Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Ivanti
Endpoint Manager
2017
Guía de Usuario
1
IVANTI ENDPOINT MANAGER
Copyright Notice
This document contains information, which is the confidential information and/or proprietary property of
IVANTI Software, Inc. and its affiliates (referred to collectively as "IVANTI"), and may not be disclosed or
copied without prior written consent of IVANTI.
To the maximum extent permitted under applicable law, IVANTI assumes no liability whatsoever, and
disclaims any express or implied warranty, relating to the sale and/or use of IVANTI products including
liability or warranties relating to fitness for a particular purpose, merchantability, or infringement of any
patent, copyright or other intellectual property right, without limiting the rights under copyright.
IVANTI retains the right to make changes to this document or related product specifications and
descriptions, at anytime, without notice. IVANTI makes no warranty for the use of this document
and assumes no responsibility for any errors that can appear in the document nor does it make a
commitment to update the information contained herein. For the most current product information, please
visit www.Ivanti.com.
Copyright © 2003-2017, IVANTI Software, Inc. and its affiliates. All rights reserved. IVANTI and its logos
are registered trademarks ortrademarks of IVANTI Software, Inc. and its affiliates in the United States
and/or other countries. Other brands and names maybe claimed as the property of others
2
GUÍA DE USUARIO
Contenidos
Contenidos................................................................................................................................................ 3
Bienvenido a la documentacion de IVANTI® Management and Security 2017......................................12
Fuentes de informacion adicionales .................................................................................................... 12
Consola.................................................................................................................................................... 13
Informacion general sobre la consola .................................................................................................. 13
Asistentes de instalacion de la consola ............................................................................................... 14
Iniciode la consola ............................................................................................................................... 16
Vista de red de la consola.................................................................................................................... 17
Dispositivos administrados .................................................................................................................. 29
Visualizar los diagnosticos y registros de dispositivos ......................................................................... 36
Herramientas y funciones de la consola .............................................................................................. 38
Integration de IVANTI Service Desk .................................................................................................... 45
Usodel Inspector .................................................................................................................................. 46
User management ................................................................................................................................... 54
Informacion general sobre la administration basada en roles ...........................................................54
Flujo de trabajo de la administracion basada en roles......................................................................... 55
Usuarios .............................................................................................................................................. 55
Autenticaciones ................................................................................................................................... 58
Roles y derechos ................................................................................................................................. 60
Ambitos ................................................................................................................................................ 73
Agrupaciones ....................................................................................................................................... 76
Restricciones del control remoto.......................................................................................................... 77
Core configuration ................................................................................................................................... 79
Ejecutarel programa de instalacion de IVANTI Endpoint Manager...................................................... 79
Instalacion de consolas de Endpoint Manager adicionales ................................................................. 80
Configuration de la consola Web ......................................................................................................... 81
Activation del servidor central .............................................................................................................. 83
Acerca de la utilidad Activacion del servidor central ............................................................................ 85
Activacion de un servidor central o verification de los datos de cuenta de nodos de forma manual 87
Configuracion de credenciales de servidor COM+ .............................................................................. 88
Configuracion del certificado del servidor de IVANTI Endpoint Manager 2017 ..................................88
Plataformas y funciones compatibles .................................................................................................. 90
Uso de los puertos de Endpoint Manager............................................................................................ 90
Centro de configuracion ....................................................................................................................... 91
Configuring core services ........................................................................................................................ 92
Configuracion de servicios ................................................................................................................... 92
Core synchronization ............................................................................................................................. 104
Sincronizacion de servidores centrales ............................................................................................ 104
Agregarservidores a la lista de sincronizacion del servidor central ................................................... 105
Sincronizarelementos a petition ......................................................................................................... 106
Sincronizacion automatica de elementos .......................................................................................... 107
Exportation e importation de elementos de sincronizacion del servidor central .................................109
Monitor del estadode sincronizacion del servidor central .................................................................. 110
Administracion de conflictos de sincronizacion del servidor central .................................................. 110
Cambiar la configuracion de sincronizacion automatica .................................................................... 110
Agent configuration ................................................................................................................................ 112
Configuracion de agentes de dispositivos ......................................................................................... 112
Operaciones con configuraciones de agentes ................................................................................... 113
Crear una configuracion de agente.................................................................................................... 114
3
IVANTI ENDPOINT MANAGER
4
GUÍA DE USUARIO
5
IVANTI ENDPOINT MANAGER
6
GUÍA DE USUARIO
Descripcion de la forma en que los ambitos afectan a la visibilidad del destino de las politicas ... 361
Software license monitoring ................................................................................................................. 362
Informacion general sobre la monitorizacion de licencias de software ............................................ 362
Uso del tablero de resultados ........................................................................................................... 367
Supervision del uso de software ....................................................................................................... 373
Supervision de la utilizacion de licencias ......................................................................................... 397
Crear un informe de datos del monitor de licencias de software ...................................................... 418
Definicion de grupos de equipos ...................................................................................................... 420
Ver los productos instalados en un grupo de equipos ...................................................................... 421
Unmanaged device discovery 422
Informacion general sobre la deteccion de dispositivos no administrados ....................................... 422
Despliegue de agentes de IVANTI en dispositivos no administrados .............................................. 423
Detectardispositivos no administrados con UDD ............................................................................. 424
Mantener registros de los dispositivos ARP detectados .................................................................. 426
Restaurar registros de cliente ............................................................................................................ 426
Descripcion del filtrado de direcciones IP con Extended Device Discovery (XDD) .......................... 427
Usar la deteccion extendida de dispositivos (con ARP y WAP) 428
Usarlos informes de deteccion extendida de dispositivos ................................................................ 430
Lo que sucede cuando se detecta un dispositivo .............................................................................. 431
Trabajarcon dispositivos detectados medianteXDD ......................................................................... 433
Deteccion de hosts VMWare ESXi virtuales ..................................................................................... 434
Resolucion de resultados inexactos de la version del SO ................................................................. 435
Ayuda de la deteccion de dispositivos no administrados ................................................................. 435
Provisioning 441
Provisioning overview ....................................................................................................................... 441
Steps for provisioning a device.......................................................................................................... 444
Creating templates . 445
Delete a provisioning template ......................................................................................................... 449
Configure a provisioning template ..................................................................................................... 449
Schedule a provisioning task . 450
Product to package mapping ............................................................................................................ 451
Provisioning bare metal devices ....................................................................................................... 452
About the Machine Mapping tool ...................................................................................................... 453
USB-based disconnected provisioning templates ............................................................................ 454
Sharing templates 454
Edit a template's XML code .............................................................................................................. 455
Using installation scripts in provisioning templates .......................................................................... 457
Import and export installation scripts 458
Provisioning device naming templates ............................................................................................. 459
Provisioning history _ 460
Provisioning template groups ........................................................................................................... 461
Define the image store location and tool .......................................................................................... 462
Changing the Windows PE image drivers and wallpaper .................................................................. 462
Re-branding the provisioning client interface .................................................................................... 462
Referencia de plantillas de aprovisionamiento .................................................................................. 463
Despliegue basado en PXE . 495
Hardware independent imaging ........................................................................................................... 499
Hardware-independent imaging overview ........................................................................................ 499
Creating a driver repository .............................................................................................................. 500
Disabling HII drivers . 501
Assigning HII drivers ......................................................................................................................... 501
Using hardware-independent imaging with provisioning templates .................................................. 502
7
IVANTI ENDPOINT MANAGER
8
GUÍA DE USUARIO
9
IVANTI ENDPOINT MANAGER
10
GUÍA DE USUARIO
Configurarla replica del servidor SQL para los servidores de inscripcion centrales ...................... 1119
Solucion de errores de replica de resumen ..................................................................................... 1125
Preferred servers and content replication ............................................................................................ 1128
Informacion general sobre Servidores preferidos y replicacion de contenido ................................ 1128
Servidores preferidos ....................................................................................................................... 1129
Fuentes y duplicacion ...................................................................................................................... 1132
Replicadores .................................................................................................................................... 1134
Ayuda de la replica de archivos ....................................................................................................... 1137
Cloud Services Appliance .................................................................................................................... 1144
Configuration de IVANTI Cloud Services (Management Gateway) ................................................. 1144
Uso del registradorde actividad de los dispositivos Cloud Services ................................................ 1147
Tenant management ............................................................................................................................ 1149
Informacion general sobre la Administration de inquilinos ............................................................... 1149
Creation de un inquilino ................................................................................................................... 1149
Cree un inquilino .............................................................................................................................. 1150
Agregardispositivos de inquilinos..................................................................................................... 1151
Agregardispositivos de inquilinos..................................................................................................... 1151
Elimination de inquilinos y dispositivos del inquilino ........................................................................ 1152
Eliminar un inquilino o un dispositivo del inquilino ........................................................................... 1152
Administracion de dispositivos de un inquilino................................................................................. 1153
Application virtualization ...................................................................................................................... 1155
IVANTI Virtualization de aplicaciones .............................................................................................. 1155
Distribuiruna aplicacion virtualizada................................................................................................. 1155
Uso del inventario y la supervision de licencias de software con aplicaciones virtualizadas ......... 1157
Web Consola ....................................................................................................................................... 1158
La consola Web ............................................................................................................................... 1158
Ver la consola del Monitor e inventario en tiempo real [consola web] ............................................ 1175
El escritorio de mantenimiento......................................................................................................... 1182
Accesoremoto .................................................................................................................................. 1185
Distribution de software ................................................................................................................... 1193
Alertas y monitoreo .......................................................................................................................... 1210
Consultas ......................................................................................................................................... 1211
Administracion de inventarios .......................................................................................................... 1222
Mantenimiento e instalacion de la base de datos central ................................................................ 1226
Inventario Manager .............................................................................................................................. 1228
Administradorde inventario de IVANTI............................................................................................. 1228
11
IVANTI ENDPOINT MANAGER
Bienvenido a la documentacion de
IVANTI® Management and Security
2017
IVANTI® Management and Security 2017 consta de una amplia variedad de herramientas poderosas y
faciles de usar que puede utilizar para ayudarle a administrary proteger los dispositivos de Windows,
Macintosh, movil, Linuxy UNIX. Las herramientas de Management and Security 2017 mejoran la
productividad y la eficiencia del usuario final y del administrador de TI.
• https://community.Ivanti.com/support/docs/DOC-39935
La Comunidad de usuarios de IVANTI tiene foros de usuarios y los metodos mejor conocidos de todos
los productos y tecnologfas de IVANTI. Para tener acceso a este valioso recurso, vaya a:
12
GUÍA DE USUARIO
Consola
Informacion general sobre la consola
La Consola del IVANTI Administrator le permite efectuartodas las funciones de administracion de la red
desde una sola ubicacion. Desde una unica consola, puede distribuir y actualizar el software o las
opciones de configuracion, diagnosticar problemas de hardware y software, implementar imagenes del
SO y migrar perfiles de usuario, utilizar la administracion basada en roles para controlar el acceso de los
usuarios a las funciones y a los dispositivos, utilizar las funciones de control remoto para orientar a los
usuarios finales o resolver problemas, y mas.
Cckcrvj
15 r
Qer/e kvtiro
L_J AnMto
— Egupot
Q Irtcxmei / MordoiiieaCc
^ y ccnpc4ic4n
A Barra de herramientas de la consola, B Menu de diseno, C Menu del servidor central, D Herramientas, E Grupos
de Herramientas, F Vista de red, G Lista de resultados, H Barra de busqueda, I Panel de herramientas, J Barra de
herramientas, KEtiquetas de herramientas, L Barra de estado
Los temas de ayuda de esta seccion describen como navegar y usar la consola para visualizar y
organizar los dispositivos, asf como la forma de tener acceso a las diferentes herramientas de
administracion.
13
IVANTI ENDPOINT MANAGER
Puede disponer de varios servidores y bases de datos para satisfacer sus necesidades especficas de
administracion de redes. Para obtener informacion sobre la instalacion del servidor de central y la consola
de IVANTI Endpoint Manager, sobre consolas adicionales, la consola Web y la administracion de multiples
servidores centrales y bases de datos, consulte la documentacion de la Comunidad de usuarios de IVANTI.
Los asistentes aparecen automaticamente cuando hay una instalacion nueva y se puede tener acceso a
ellos en el menu de Ayuda en cualquier momento. Puede seguir los pasos del asistente para aprender
mas acerca de la funcion o funcion espedfica. O puede marcar la casilla de verificacion No volver a
mostrar este asistente para evitar que el asistente aparezca automaticamente.
El asistente Introduction le ayudara a configurar IVANTI Endpoint Manager con el fin de realizar las
siguientes funciones:
14
GUÍA DE USUARIO
• Deteccion: busca dispositivos en la red que IVANTI Endpoint Manager no conoce. Se pueden
especificar los intervalos de direcciones IP a rastrear en la red.
• Implementar un agente: instala al agente de Administracion de IVANTI en los dispositivos que se
van a administrar.
Asistente de actualizaciones de seguridad
15
IVANTI ENDPOINT MANAGER
El asistente Administration de usuarios le ayuda a realizar los pasos necesarios para administrar quien
puede tener acceso a los dispositivos de la red y que herramientas o funciones espedficas se pueden
utilizar en esos dispositivos. Lo lleva a traves del proceso de crear un ambito, un rol y un permiso de grupo
de usuarios.
Inicio de la consola
Para iniciar la consola
1. Haga clicen Inicio > Programas > IVANTI > Endpoint Manager. (El nombre real del programa
puede cambiar dependiendo del producto de IVANTI que se haya instaladoy de la licencia que se
uso para su activacion en el servidor central).
2. Escriba el nombre de usuario y la contrasena.
Si se va conectar a un servidor central remoto, siga las reglas habituales de Windows para el inicio
de sesion remoto (por ejemplo, si el usuario es local para el servidor central, escriba unicamente el
nombre de usuario; si se trata de un usuario de dominio, escriba el nombre de dominio o de
usuario).
3. Seleccione el servidor central al que desea conectarse. El usuario debe disponer de las
credenciales de autenticacion adecuadas para el servidor central.
4. Haga clic en Aceptar.
La consola se abre con la disposition (tamano, position, ventanas de herramientas abiertas, etc.) utilizada la
ultima vez que el usuario finalizo una sesion.
En las otras consolas, las credenciales que se utilicen para iniciar sesion en Endpoint Manager deben
coincidir con las credenciales que utilizo para asignar las unidades al servidor central. Caso contrario,
podna ver un error de "Conexiones multiples" en el cuadro de dialogo de la consola.
Acerca del cuadro de dialogo Inicio de sesion
Utilice este cuadro de dialogo para ejecutar la consola y conectarse a un servidor central.
• Nombre de usuario: identifica al usuario de IVANTI. puede ser un usuario administrador u otro tipo
de usuario con acceso restringido (consulte "Informacion general sobre la administracion basada en
roles" (54)). El usuario debe ser miembro de uno de los grupos de IVANTI en el servidor central.
Siga las normas habituales de Windows para iniciar sesion
remota (por ejemplo, si el usuario es local en ese servidor central, escriba unicamente el nombre de
usuario; si se trata de un usuario de dominio, escriba el nombre_de_dominio\nombre_de_ usuario).
16
GUÍA DE USUARIO
surtira efecto hasta que el usuario reinicie la consola. En ese momento, el usuario debe introducir la
contrasena nueva para iniciar una sesion en la consola).
• Servidor central: Especifica el servidor central al que desea conectarse. Esta lista es igual a la lista
del servidor central que esta disponible en la barra de herramientas de la consola.
Con el inicio de sesion unico, el usuario puede iniciar sesion en la consola de IVANTI sin introducir un
nombre de usuario ni una contrasena. Si el usuario ya ha iniciado sesion, las credenciales de Windows
pasaran y la consola no solicitara al usuario la informacion de inicio de sesion.
1. En el servidor central, haga clic en el icono Consola de administracion de IVANTI para abrir la
ventana IVANTI Endpoint Manager.
La Vista de red es la ventana principal de la consola yconstituye el punto de inicio de la mayona de las
tareas administrativas. Aqrn puede ver los datos de inventario de dispositivos, crear consultas para buscary
agrupar dispositivos, seleccionar dispositivos para efectuar control remoto, etcetera.
La ventana de la Vista de red se encuentra siempre abierta y contiene dos paneles. En el panel izquierdo
se muestra una vista jerarquica de arbol del servidor central y la base de datos a la cual se esta conectado
actualmente, asf como los grupos de Dispositivos, Consultas y Configuration correspondientes. Los
objetos del arbol se pueden expandir o contraer segun sea necesario. El panel derecho (B) de la Vista de
red muestra una lista detallada de los elementos del grupo seleccionado.
17
IVANTI ENDPOINT MANAGER
Puede cambiar el tamano de la ventana de la vista de red y de los paneles y columnas correspondientes,
aunque no se puede cerrar. Al contrario que las ventanas de herramientas, la ventana de la vista de red no
es acoplable.
NOTE: Administracion basada en rolesLos dispositivos que puede visualizary administrar en la Vista de red y
las herramientas que puede utilizar dependeran de los derechos de acceso y del ambito de los dispositivos que
le haya asignado el administrador. Para obtenermas informacion, consulte "Informacion general sobre la
administracion basada en roles" (54).
La Vista de red contiene los siguientes grupos y subgrupos:
Central
El objeto Central identifica el servidor central al que esta conectado actualmente. El objeto Central se
encuentra justo debajo de la rafz de Vista de la red y se puede contraery expandir.
18
GUÍA DE USUARIO
Dispositivos
• Mis dispositivos: Muestra una lista de los dispositivos del usuario que ha iniciado sesion en funcion
del ambito de dicho usuario. El usuario puede crear subgrupos de dispositivos unicamente en Mis
dispositivos. Para agregar dispositivos al grupo Mis dispositivos o a uno de sus subgrupos, el
usuario debe copiarlos de los grupos Dispositivos publicos y Todos los dispositivos. Los
usuarios tambien pueden hacer clic y arrastrar los dispositivos de Dispositivos publicos y Todos
los dispositivos al grupo Mis dispositivos.
• Dispositivos publicos: Muestra una lista de los dispositivos que ha agregado algun administrador
(un usuario con derecho de administrador de IVANTI) y que provienen del grupo Todos los
dispositivos. El administrador ve todos los dispositivos del grupo y los demas usuarios ven
solamente los dispositivos permitidos en su ambito. Asimismo, solo el administrador puede crear un
subgrupo en Dispositivos publicos.
2 Todos los dispositivos: Se muestra un listado no jerarquico (sin subgrupos) de todos los
dispositivos que puede ver el usuario que actualmente ha iniciado sesion en funcion del ambito de
dicho usuario. Para el administrador, Todos los dispositivos incluye la totalidad de los dispositivos
administrados que se han rastreado en la base de datos central. Los dispositivos configurados con
los agentes estandar de IVANTI aparecen automaticamente en el grupo Todos los dispositivos
cuando el rastreador de inventario los rastrea en la base de datos central.
Para los usuarios regulares, Todos los dispositivos es un compuesto de los grupos Mis dispositivos y
Dispositivos publicos del usuario.
Los administradores y usuarios pueden ejecutar informes de activos en los dispositivos de este grupo.
Tambien puede agregar de forma manual los equipos a la vista de red. Para ello, haga clic con el boton
derecho en el grupo Todos los dispositivos, seleccione y haga clic en Insertar nuevo equipo, llene la
informacion de dispositivo y de red, y haga clic en Aceptar. Estos equipos tambien aparecen en el
subgrupo Equipos agregados por el usuario bajo el grupo Configuracion.
Hosts de SO virtuales
El grupo Hosts de SO virtuales muestra los servidores virtuales de VMWare ESX. El grupo de Hosts de SO
virtuales incluye los siguientes grupos de configuracion:
• Mis hosts de SO virtuales: muestra una lista de Hosts de SO virtuales del usuario que ha iniciado
sesion, con base en el ambito de dicho usuario. El usuario solo puede crear subgrupos
19
IVANTI ENDPOINT MANAGER
• Mis consultas: Muestra una lista de las consultas creadas por el usuario que ha iniciado una sesion
o de aquellas consultas agregadas al grupo Consultas de usuarios por un administrador. El
usuario puede crear, modificary eliminar grupos de consultas y consultas en el grupo Mis
consultas. Ademas, puede copiar consultas a este grupo desde el grupo
Consultas publicas.
Toda consulta ejecutada por un usuario esta limitada a la serie de dispositivos definida por el ambito del
usuario. Por ejemplo, si el ambito de un usuario es Todos los equipos, la consulta buscara todos los
dispositivos de la base de datos central, pero si el ambito del usuario se limita a 20 equipos, la consulta solo
buscara estos 20 equipos. Para obtener mas informacion sobre la creacion de consultas, consulte
"Consultas de base de datos" (196).
• Consultas publicas: muestra una lista de las consultas agregadas por un administrador o usuario
con derecho de Administracion de consultas publicas (PQM). Solo los usuarios con derechos de
administrador de IVANTI o derechos de PQM pueden agregar, modificar o eliminar grupos de
consultas o consultas en el grupo Consultas publicas. No obstante, todos los usuarios pueden ver
las consultas del grupo y pueden copiarlas en su propio grupo Mis
consultas.
20
GUÍA DE USUARIO
• Todas las consultas: Se muestra un listado no jerarquico (sin subgrupos) de todas las consultas
que puede ver el usuario que actualmente ha iniciado sesion en funcion del ambito de dicho
usuario. Todas las consultas es un compuesto de los grupos Mis consultas y Consultas
publicas del usuario.
Los administradores pueden utilizar este grupo para ejecutar las consultas de un usuario que quedan fuera
del ambito de dicho usuario, actuando como si fueran el propio usuario. De este modo, el administrador
puede obtener la vista previa exacta de los resultados que el usuario puede ver al ejecutar la consulta.
Ambitos
La Vista de red incluye un acceso directo para ver los ambitos existentes o para modificar o crear nuevos
ambitos. Tambien puede definir los campos que desee que aparezcan en la Vista de la red.
Para obtener detalles acerca de como crear y utilizar ambitos, consulte "Crear un ambito" (74).
Configuracion
• Cola de espera de PXE: Se muestra un listado de las colas de espera de PXE y de los dispositivos
que estan esperando en estas.
• Servidor de estructura metalica: presenta una lista de los dispositivos de estructura metalica que
han sido creados para aprovisionar las tareas.
• Aprovisionamiento de PXE (Windows PE): presenta una lista de los dispositivos de destino de las
tareas de aprovisionamiento de Microsoft Windows PE.
• Representantes de dominio de multidifusion: Este elemento solo se aplica a dispositivos con
versiones de agentes posteriores a la 9.6. Muestra una lista de los representantes de dominio de
multidifusion que se pueden utilizar para el equilibrio de carga de la distribucion de software. Para
obtener mas informacion, consulte "Uso de la multidifusion autoorganizada con la distribucion de
software" (312).
• Representantes de PXE: Muestra una lista de los dispositivos configurados como representantes
de PXE que pueden implementar imagenes del SO en los dispositivos de su subred.
• Implementaciones de los clientes no administrados pendientes: Muestra un listado de
dispositivos que se han detectado con la herramienta de Deteccion de dispositivos no administrados
y que estan esperando una tarea de configuracion de agente. Para obtener mas informacion,
consulte "Informacion general sobre la deteccion de dispositivos no administrados" (422).
• Equipos agregados por los usuarios: (Administrador solamente) presenta una lista de los equipos
que se han agregado de forma manual a la Vista de red a traves del cuadro de dialogo Insertar
nuevo equipo (haga clic con el boton derecho en el grupo Todos los dispositivos).
21
IVANTI ENDPOINT MANAGER
Cuando se utiliza el Inspector de IVANTI para ver los datos, se puede hacer doble clic en un grafico de la
ventana del Inspectory ver los detalles en la ventana Resultados del Inspector.
Cuando se visualizan los resultados de esta manera, se puede hacer que los datos realicen acciones.
Porejemplo, en Inspector detareas programadas, un grafico puede mostrar cuantos dispositivos tuvieron
errores en una tarea. Si hace doble clic en el grafico, podra ver los dispositivos individuales que figuran en
la carpeta Resultados del Inspector. Se puede entonces aplicar una accion a los dispositivos (como reiniciar
la tarea) o ver un informe con los datos para hacer seguimiento.
Los datos de la carpeta Resultados del inspector cambian cada vez que se hace doble clic en un grafico de
una ventana del inspector.
El agente y la integridad se pueden actualizar para los dispositivos de uno en uno a medida que se
seleccionan en la vista de red o bien para todos los dispositivos visibles en la vista de red al mismo tiempo.
Asimismo, puede actualizar el estado de un dispositivo si lo selecciona y hace clic en el boton Actualizar de
la barra de herramientas. Para obtener informacion sobre como configurar la gestion de la deteccion de
agentes, consulte "Configurar la deteccion de agentes" (33).
22
GUÍA DE USUARIO
Los grupos le ayudan a organizar los dispositivos y consultas en la Vista de red de la consola. Puede crear
grupos para organizar los dispositivos de red segun la funcion, ubicacion geografica, departamento,
atributos del dispositivo o cualquier otra categona que satisfaga sus necesidades. Puede crear, por
ejemplo, un grupo de mercadeo para todos los dispositivos del departamento de mercadeo o un grupo que
incluya todos los dispositivos que ejecutan un SO concreto.
• Mis dispositivos y Mis consultas: los administradores y todos los demas usuarios pueden crear
grupos en Mis dispositivos yen Mis consultas.
• Dispositivos publicos: Solo los administradores pueden crear grupos en Dispositivos publicos.
• Consultas publicas: unicamente los administradores o usuarios con derechos de "Administracion
de consultas publicas" pueden crear grupos en Consultas publicas.
• Todos los dispositivos y Todas las consultas: No existe ningun subgrupo en Todos los
dispositivos o Todas las consultas. Los usuarios, incluyendo los administradores, no pueden
crear grupos en Todos los dispositivos o Todas las consultas.
Para crear un grupo
1. En la vista de red de la consola, haga clic con el boton derecho sobre el grupo principal (como por
ejemplo Mis dispositivos) y, a continuacion, seleccione Nuevo grupo. O bien, seleccione el grupo
principal y luego haga clic en Modificar > Mis dispositivos > Nuevo grupo.
23
IVANTI ENDPOINT MANAGER
• Mis conjuntos de columnas: conjuntos de columnas creados por el usuario que ha iniciado la
sesion.
• Conjuntos de columnas publicos: conjuntos de columnas creados por un administrador, o
predefinidos en los conjuntos de columnas.
• Todos los conjuntos de columnas (solo visibles para el administrador): conjuntos de columnas
creados portodos los usuarios de IVANTI.
Los usuarios pueden copiar un conjunto de columnas del grupo Conjuntos de columnas publicos en su
propio grupo Mis conjuntos de columnas y luego modificar las propiedades de los conjuntos de columnas.
Puede crear subgrupos bajo el objeto Mis conjuntos de columnas para organizar los conjuntos de
columnas aun mas.
24
GUÍA DE USUARIO
25
IVANTI ENDPOINT MANAGER
4. Seleccione los atributos de inventario de la lista y agreguelos a la lista de Columnas haciendo clic en
Agregar a las columnas. No olvide seleccionar los atributos que le ayudaran a identificar los
dispositivos de la lista de dispositivos devueltos por la consulta.
5. (Opcional) Puede personalizar como y cuando aparecen las columnas en la Vista de red mediante la
modificacion directa de los campos de encabezado, alias yorden de un componente; o mediante la
eliminacion o traslado del componente seleccionado hacia arriba o abajo en la lista haciendo uso de
los botones disponibles.
6. (Opcional) Puede especificar datos de calificacion mas precisos para los componentes de software.
Seleccione el componente, haga clic en el boton Calificary seleccione un valor clave principal en la
lista de valores disponibles. Para obtener mas informacion, consulte "Especificar la opcion de
calificacion con los componentes de software" (28).
26
GUÍA DE USUARIO
Si despues de definir ciertos atributos de inventario, decide que desea ocultar una columna o cambiar su
posicion en la Vista de red, puede utilizar el menu contextual para ver el dialogo Seleccionar columnas.
1. Haga clic con el boton derecho en cualquier dispositivo de la lista de resultados de la Vista de red.
2. Seleccione Columnas...
3. Utilice los botones Agregar ->, <-Eliminar, Subir o Bajar para organizar las columnas.
4. Haga clic en Aceptar.
Observe que para las listas de dispositivos, es persistente seleccionar distintos conjuntos de columnas aun
27
IVANTI ENDPOINT MANAGER
cuando se seleccionan varias vistas de consultas. No obstante, para los resultados de las consultas, el
conjunto de columnas debe reaplicarse cuando se alterna entre diversas consultas.
Tambien puede hacer clic con el boton derecho en el conjunto de columnas para acceder al menu
contextual para very ejecutartareas comunes, asfcomo para very modificar sus propiedades. El menu
contextual incluye las opciones siguientes:
Durante la creacion de los conjunto de columnas que incluyen componentes de software, puede especificar
un criterio calificador para los componentes mediante la eleccion de un valor clave principal que sea
especfico. El calificador de software permite la identificacion mas precisa de los datos que desee buscar
con una consulta y que desee mostrar en la columna de componentes de software. Por ejemplo, puede
configurar el conjunto de columnas para que muestre la informacion de una sola version de las
aplicaciones especficas. Para ello, seleccione el nombre del archivo ejecutable de la aplicacion como
calificador.
Para especificar un calificador de componentes de software, seleccione el componente en la lista de
Columnas, haga clic en el boton Calificary seleccione un valor en la lista de valores claves principales que
estan disponibles y haga clic Aceptar.
28
GUÍA DE USUARIO
Dispositivos administrados
Ver los dispositivos administrados
Los dispositivos que ejecutan agentes de IVANTI aparecen automaticamente en el grupo Todos los
dispositivos cuando el rastreador de inventario los rastrea en la base de datos central. Generalmente,
este rastreo se realiza por primera vez durante la configuracion inicial de un agente de dispositivo.
Una vez que se rastrea un dispositivo ysu informe de inventario se envfa a la base de datos central, este se
considera un dispositivo administrado. En otras palabras, ese servidor central podra administrarlo ahora. Si
desea obtener mas informacion acerca de la configuracion de dispositivos, consulte "Configuracion de
agentes de dispositivos" (112).
29
IVANTI ENDPOINT MANAGER
Como el grupo Todos los dispositivos se rellena automaticamente mediante un rastreo de inventario, es
probable que nunca deba detectar a los dispositivos de forma manual. Para detectar a los dispositivos que
aun no se han rastreado en la base de datos central, puede realizar un sondeo de la red mediante la
herramienta de deteccion de dispositivos no administrados. Para obtener mas informacion, consulte
"Visualizacion de un inventario de resumen" (157).
Cuando se encuentra conectado con un servidor central espedfico, el administrador puede ver todos los
dispositivos administrados por ese servidor central. otros usuarios tienen restricciones y unicamente
pueden ver los dispositivos que residen dentro del ambito que tengan asignado (un ambito tiene como base
una consulta de base de datos o una ubicacion de directorio). Para obtener mas informacion, consulte
"Informacion general sobre la administracion basada en roles" (54).
30
GUÍA DE USUARIO
Utilice este cuadro de dialogo para visualizar informacion util acerca del dispositivo seleccionado. El cuadro
de dialogo contiene tres pestanas: Inventario, Dispositivo y Agentes. Haga clic en cada una de ellas para
ver la informacion correspondiente.
La pestana Inventario contiene un resumen de los datos de inventario del dispositivo. Para obtener mas
informacion, consulte "Visualizacion de un inventario de resumen" (157).
Pestana de Dispositivo
* Dispositivo:
• Nombre: El nombre que aparece en la base de datos central y en la vista de red del
dispositivo.
Si inserta un dispositivo de forma manual, puede asignarle un nombre facil de recordar.
Si no escribe un nombre, el nombre predeterminado del dispositivo sera el nombre del
equipo Windows.
31
IVANTI ENDPOINT MANAGER
La pestana Agentes contiene informacion acerca del estado actual de los agentes y la configuracion del
control remoto del dispositivo.
• Estado del Agente de base comun: Indica si el agente de IVANTI estandar (Agente de base
comun) esta cargado en el dispositivo.
• Estado de monitor e Inventario en tiempo real: indica si el agente de monitor e inventario en
tiempo real esta cargado en el dispositivo.
• Estado del agente de control remoto: Indica si el agente de control remoto esta cargado en el
dispositivo. Si este agente no esta cargado en el dispositivo, las operaciones de control remoto
(como por ejemplo la transferencia de archivos y la conversacion) no estaran disponibles.
• Tipo de seguridad: Indica el modelo de seguridad de control remoto utilizado para el dispositivo.
Entre las opciones se incluyen: Plantilla local, Seguridad de Windows NT/plantilla local y Basada en
certificado/plantilla local.
• Permitir: Muestra las operaciones de control remoto que se permiten en el dispositivo. Estas
operaciones se habilitaron en la configuracion del agente de dispositivo.
• Configuracion: Indica el modo en que funciona el control remoto cuando intenta interactuar con el
dispositivo.
Datos de inventario
Los datos de inventario proveen informacion mas detallada sobre el dispositivo. Puede ver informacion
ampliada sobre el inventario haciendo doble clic en el nombre de dispositivo del panel de resultados de la
Vista de la red.
32
GUÍA DE USUARIO
• Agente estandar de IVANTI: Activa el PDS (Servicio de deteccion de ping). Si el agente estandar
de IVANTI esta instalado en algun dispositivo, puede programar las distribuciones de software y las
configuraciones del dispositivo.
• Control remoto: Permitetener acceso a un dispositivo ycontrolarlo de modo remoto.
La deteccion de agentes utiliza TCP/IP para comprobar los agentes que se ejecutan en los dispositivos.
Se utilizan las direcciones IPcomo criterio de busqueda para llevar a cabo una deteccion de agentes
estandar de IVANTI que tengan TCP/IP. busca los agentes estandar y de control remoto de IVANTI en los
dispositivos en un ambito espedfico de direcciones IP. Este ambito de direcciones dependera de la
direccion de red IP que se proporcione.
33
IVANTI ENDPOINT MANAGER
Si no designa direcciones de red de subred cuando realiza la busqueda en TCP/IP, la deteccion se realiza
unicamente en el segmento de red en el que reside la consola que inicia la deteccion. Por ejemplo, si ha
instalado cuatro consolas y cada una reside en un segmento de red diferente, debera iniciar cuatro rastreos,
uno desde cada una de las cuatro consolas.
En los segmentos de red en los que no existen consolas, debe utilizar direcciones de red de subredes para
tener acceso a la informacion de ese segmento de red.
NOTE: Si dispone de uno o mas servidores de seguridad en la red, la deteccion de agentes no se puede utilizar
para buscar fuera de los servidores de seguridad, ya que estos generalmente limitan el flujo del trafico de
paquetes a los puertos designados.
34
GUÍA DE USUARIO
NOTE: Cuando se configuran las alertas, la configuracion se aplica a todos los dispositivos que se esten
supervisando.
Utilice este cuadro de dialogo para configurar las opciones de supervision del dispositivo siguientes.
35
IVANTI ENDPOINT MANAGER
• Supervisar estos dispositivos: Muestra una lista de los dispositivos que se estan supervisando
actualmente.
• Agregar: Abre el cuadro de dialogo Agregar dispositivos supervisados desde donde puede
buscary seleccionar los dispositivos administrados que desee supervisar.
• Registros de cliente individuales (tiempo real) que se muestran en el visor del registro
• Obtenga todos los registros de clientes y carguelos en el servidor central o en la consola adicional
como archivo zip.
36
GUÍA DE USUARIO
37
IVANTI ENDPOINT MANAGER
• Consola
• LDAP (schedldapresolver)
• Controladordetareas de poiftica
• Aprovisionamiento
• Consuitas (schedquery)
• Servidor central de vuinerabilidades
El administrador de Endpoint Manager ve todas las herramientas tanto del menu de Herramientas como
del Cuadro de herramientas. Los usuarios de Endpoint Manager vera unicamente las herramientas y
funciones que les esten permitidas en funcion de los derechos quetengan asignados. Las herramientas que
dependen de los derechos que no se le han concedido a un usuario no apareceran en el menu de
Herramientas ni en el Cuadro de herramientas cuando dicho usuario inicie una sesion en la consola. Por
ejemplo, si un usuario no tiene derechos de "Administracion de energfa", la herramienta de "Administracion
de energfa" no aparecera en el menu de Herramientas ni en el Cuadro de herramientas.
Cuando se hace clic sobre el nombre de una herramienta, se abre la ventana de dicha herramienta en la
consola, debajo de la Vista de la red.
38
GUÍA DE USUARIO
Las ventanas de las herramientas se pueden cambiar de tamano, acoplar, hacer flotar, ocultary cerrar.
Puede tener varias ventanas de herramientas abiertas al mismo tiempo, ya sean acopladas o flotantes.
Para obtener mas informacion, consulte "Mover y cambiar el tamano de las ventanas de herramientas" (39).
Favoritos
Si encuentra que utiliza ciertas herramientas mas a menudo que otras, puede establecer rapidamente una
caja de herramientas de Favoritos haciendo clic con el boton derecho en cualquier herramienta del cuadro
de herramientas y seleccionando "Mostrar en Favoritos". De esta forma de puede tener acceso a Favoritos
mediante el boton de Favoritos de la parte inferior del panel Herramientas.
Mostrar/Ocultar imagen
NOTE: Puede guardar las disposiciones de consola disenadas y preferidas para determinadas tareas de
administracion, y restaurar una disposicion guardada siempre que sea necesario. Para obtener mas informacion,
consulte "Guardar la disposicion de la consola" (43).
Cuando abre varias ventanas de herramientas, estas aparecen como pestanas en una unica ventana. La ventana
de herramienta activa se muestra en la parte superior, con una pestana para cada herramienta abierta en un lado
o en la parte inferior de la misma. Haga clic sobre una pestana para visualizar la ventana de herramientas.
39
IVANTI ENDPOINT MANAGER
Se puede "acoplar" una ventana de herramientas arrastrandola a alguno de los bordes de la consola. Se dice que
la ventana se encuentra acoplada cuando esta adjunta a un vertice de la consola. Puede acoplar las ventanas en
sentido horizontal o vertical en la consola.
1. Haga clic en la barra de trtulo de la ventana yarrastre la ventana a algun borde de la consola
2. Cuando aparezca el rectangulo de acoplamiento (contorno atenuado de la ventana) que indica que la
ventana se va a acoplar, suelte el boton del raton. La ventana se adjuntara a ese vertice de la consola.
Tambien se puede desacoplar la ventana de herramientas yarrastrarla (tomandola por la barra de trtulo) de
manera que pueda "flotar" a otra ubicacion dentro o fuera de la consola. Las ventanas de herramientas flotantes
se pueden arrastrar o cambiar de tamano para quitarlas temporalmentey dar mas espacio para trabajar en otras
tareas. Cuando se arrastra la ventana de herramientas, las etiquetas de cualquier herramienta abierta en ese
momento tambien flotaran con ella. Para regresar la herramienta a su ubicacion acoplada o predefinida,
simplemente haga doble clic en ella. O puede arrastrarla de regreso a su posicion y soltarla cuando aparezca el
rectangulo gris de acoplamiento en la ubicacion correcta
Mostrar/Ocultar imagen
Observe que unicamente las ventanas de herramientas (aquellas a las que se puede tener acceso desde el menu
Herramientas o el Cuadro de herramientas) pueden existir como ventanas acopladas, flotantes o con pestanas. Se
puede cambiar el tamano de la ventana de vista de red, pero no puede organizar con pestanas junto con otras
ventanas, convertir en una ventana flotante fuera de la consola o cerrar.
Si minimiza y, a continuation, restaura la ventana principal de la consola, todas las ventanas acopladas y flotantes,
incluidas las ventanas con pestanas, tambien se minimizan y restauran.
40
GUÍA DE USUARIO
Las ventanas de herramientas tambien admiten la funcion Ocultar automaticamente. Ocultar automaticamente es
un boton en forma de chincheta en la esquina superior derecha de una ventana que permite mantener una
ventana en su lugar u ocultarla.
Cuando la chincheta esta clavada (por ejemplo, la imagen de la chincheta apunta hacia abajo), la ventana
permanecera fija en ese lugary la funcion de Ocultar automaticamente estara temporalmente deshabilitada.
Cuando la chincheta esta desclavada (por ejemplo, la imagen de la chincheta apunta hacia la izquierda) la
ventana entra en el modo Ocultar automaticamente cuando el cursor se desplaza fuera de ella. Mediante la
funcion Ocultar automaticamente se minimiza y acopla la ventana en uno de los vertices de la consola y, en su
lugar, se muestra una pestana.
Un ejemplo puede ser util. Considere una organization quetiene 10000 nodos en la base de datos. Un usuario pide
ayuda, y el miembro de asistencia tecnica tiene que encontrar el dispositivo en la consola. El miembro de
asistencia tecnica puede pedir el nombre de acceso del usuario o el nombre de equipo, o cualquier otra
information especfica de usuario y dispositivo y buscar el registro exacto entre las 10000 entradas en un Segundo
o dos.
1. Seleccione el grupo Todos los dispositivos. La barra Buscar aparece al principio de la lista.
La lista resultante muestra solo los elementos que coinciden con los criterios de busqueda.
41
IVANTI ENDPOINT MANAGER
Barra de estado
La barra de estado de la parte inferior de la consola muestra la siguiente informacion (de izquierda a
derecha):
5/48 elementos seleccionados Estado de agente: ciclo finalizado Usuario: TESTAcecilia A\
42
GUÍA DE USUARIO
Temas de la consola
La consola tiene varios temas de colores que puede seleccionar. Seleccione un tema de la lista
desplegable Tema situada en la barra de herramientas de la consola. El valor predeterminado es
"Expression Dark". Pruebe alguna de las otras opciones si desea un tema diferente.
Solo puede seleccionar un tema de la lista de temas disponibles. No es posible personalizar un tema existente ni
crear uno propio.
Theme: Expression Dark v
Silver Pearl
Black Pearl
Blue Glow
Silver Glow
Charcoal Grey
Retro
Embers
Modern Blue
Modern Green
Modern Orange
Steel
Para cambiar la disposicion de la consola, seleccione una disposicion guardada en la lista Disposicion de
la barra de herramientas principal.
43
IVANTI ENDPOINT MANAGER
Utilice este cuadro de dialogo para administrar disposiciones de ventanas guardadas y para
restablecer la ventana de la consola a la disposicion anterior.
1. Seleccione un servidor central en la lista desplegable Central que esta ubicada en la parte
derecha de la barra de herramientas de la consola. O bien, introduzca el nombre de algun
servidor central en el cuadro de texto Central y pulsar Intro.
44
GUÍA DE USUARIO
el nombre_de_dominio\nombre_de_usuario).
Una vez conectado al servidor central, el nombre de este se agrega automaticamente a la lista Central de
la barra de herramientas.
Tambien puede iniciar sesion rapidamente como otro usuario en el servidor central actual haciendo clic en
la lista desplegable Servidor central y, sin cambiar el nombre del Servidor central, presionando la tecla
Intro.
Al hacer clic con el boton derecho en un usuario o dispositivo en Vista de red, aparecen las siguientes opciones
del menu contextual de Service Desk:
• Gestion de incidencias
• Gestion de cambios
• Gestion de problemas
• Gestion de solicitudes
La seleccion de cualquiera de estas opciones inicia una sesion de Service Desk en el navegador
predeterminado del dispositivo o usuario que seleccione. Dependiendo de la configuracion de Service
Desk, puede que le solicite que inicie sesion. La URL de la sesion se basa en los datos del archivo de
configuracion XML. Si la sesion de Service Desk no se inicia correctamente, compruebe la configuracion.
45
IVANTI ENDPOINT MANAGER
Los Inspectores estan definidos para muchos elementos estandar. Por ejemplo, puede inspeccionar los
dispositivos administrados, las tareas programadas, las vulnerabilidades y el servidor central.
Para visualizar el inspector, el usuario debe tener los derechos correctos asignados en la administracion
basada en roles. El derecho de Inspectortiene una sola opcion, Visualizar, que se puede habilitar para un
usuario. Si un usuario no tiene este derecho, el inspector automatico y la opcion del menu contextual del
inspector no son visibles.
Para obtener informacion acerca de la administracion basada en roles, consulte "Informacion general
sobre la administracion basada en roles" (54).
Hay dos maneras de ver los datos de una ventana del inspector:
• Encender el inspector automatico (haga clic en Ver > Inspection automatical Se abrira una
ventana que muestra los datos en cualquier momento que se haga clic en un elemento. Cada vez
que haga clic en otro elemento, los datos de ese elemento apareceran en la ventana del Inspector
automatico.
• Haga clic con el boton derecho en un elemento yseleccione Inspeccionar. Se abrira una nueva ventana
del inspector con los datos de ese elemento.
46
GUÍA DE USUARIO
Las ventanas del inspector contienen diferentes fichas y datos. Los elementos se muestran con base en
el archivo XML que se definio para ese elemento. Por ejemplo, se proporciona un inspector
predeterminado para los dispositivos administrados. Cuando se hace clic en un dispositivo administrado,
vera las siguientes fichas en la ventana del inspector:
47
IVANTI ENDPOINT MANAGER
Puede cambiar el tamano de la ventana para ver los datos. Puede actuar sobre algunos elementos, como
la lista de procesos que se ejecutan en un dispositivo administrado. En la ventana de inspector, puede
hacer clic en la ficha Procesos, hacer clic con el boton derecho en un proceso de la lista y cerrar el
proceso.
48
GUÍA DE USUARIO
Del mismo modo, se pueden detener o iniciar servicios que se ejecutan en un dispositivo haciendo clic en
la ficha Servicios y haciendo clic con el boton derecho en un servicio de la lista.
Algunos elementos de datos de la ventana de inspector se muestran como graficos. Para ver los detalles
de un grafico, haga doble clic en este. Los detalles de los datos se muestran en la vista de red de la lista
de Resultados del inspector.
Cada grafico muestra un resumen de los datos cuando se senala a una parte de la tabla.
49
IVANTI ENDPOINT MANAGER
Haga doble clic en el grafico para ver los datos asociados en formato de lista.
Cuando se visualizan los resultados de esta manera, se puede hacer que los datos realicen acciones. Porejemplo,
50
GUÍA DE USUARIO
en Inspector detareas programadas, un grafico puede mostrar cuantos dispositivos tuvieron errores en una tarea.
Si hace doble clic en el grafico, podra ver los dispositivos individuals que figuran en la carpeta Resultados del
inspector. Se puede entonces aplicar una accion a los dispositivos (como reiniciar la tarea) o ver un informe con
los datos para hacer seguimiento.
Los datos de la carpeta Resultados del inspector cambian cada vez que se hace doble clic en un grafico de una
ventana del inspector. En el ejemplo anterior, podna hacer clic en la seccion "Sin antivirus" de un grafico para ver
una lista de los dispositivos que no tienen una aplicacion de antivirus. Si hace clic en la seccion "Antivirus
instalado" del grafico, la lista cambiara para mostrar los dispositivos que tienen una aplicacion de antivirus.
Algunos datos del inspector se pueden actualizar en tiempo real. Esto solo puede suceder si se desplego un
agente de dispositivos que inclufa el componente de inventarioy supervision en tiempo real.
1. En la vista de red, haga clic con el boton derecho en el dispositivo y seleccione Propiedades.
2. Haga clic en la ficha Agentes.
Inspectores predeterminados
• Conjuntos de columnas
• Consultas de equipos
• Usuarios de la consola
• Grupos de usuarios de la consola
• Servidores centrales
• Metodos de entrega
• Paquetes de distribucion
• Consultas
• Roles
• Tareas programadas
• Ambitos
• Secuencias de comandos
• Agrupaciones
• Vulnerabilidades
51
IVANTI ENDPOINT MANAGER
Puede crear un archivo XML que defina los parametros del inspector de los elementos de la consola de IVANTI
Management. Para ello, tendra que estar familiarizado con las convenciones de XMLy comprender como se
administran los datos en la base de datos que utiliza el servidor central.
Para obtener instrucciones sobre la creacion de un inspector personalizado, consulte el documento "Crear un
inspector personalizado" de la Comunidad de usuarios de IVANTI.
Si desea mantener los datos en una ventana del inspector automatico, desvincule al inspector.
Por ejemplo, puede desvincular los datos si desea comparar mas de un elemento de forma paralela.
Tendna que desvincular la primera ventana de datos y luego hacer clic en un elemento nuevo para abrir
una segunda ventana del inspector.
1. Haga clic con el boton derecho en un elemento de la lista (como un dispositivo administrado).
2. Seleccione Inspeccionar.
52
GUÍA DE USUARIO
Despues de desvincular una ventana del inspector, no se pueden volver a enlazar los datos para que sean
dinamicos. Los datos en la ventana permaneceran igual, a menos que se cambie la configuracion de
actualizacion.
53
IVANTI ENDPOINT MANAGER
User management
Informacion general sobre la administracion basada en
roles
IVANTI Endpoint Manager le permite administrar usuarios de consola mediante un conjunto amplio de
funciones de administracion basadas en roles. Se puede:
Puede crear roles para los usuarios segun sus responsabilidades, las tareas de administracion que desea
que realicen y los dispositivos a los que desea que tengan acceso, vean y administren. El acceso a los
dispositivos se puede limitar a una ubicacion geografica como un pafs, region, estado, ciudad o incluso una
sola oficina o departamento. El acceso tambien se puede limitar a una plataforma de dispositivo, tipo de
procesador o cualquier otro atributo de hardware o software determinado del dispositivo. Con la
administracion basada en roles, puede elegir cuantos roles desea crear, que usuarios pueden actuar en
dichos roles y que tan grande o pequeno es el ambito de acceso al dispositivo. Por ejemplo, puede haber
uno o mas usuarios cuyo rol sea la de administrador de distribucion de software, otro usuario responsable
de las operaciones de control remoto, un usuario que ejecute informes, etc.
Si no tiene demasiados usuarios de consola o no quiere limitar la cantidad de usuarios de consola que
tiene, puede evitar completamente la administracion basada en roles y solamente agregar los usuarios al
grupo local de Administradores de IVANTI del servidor central. Los miembros de este grupo tienen acceso
pleno a la consola y pueden administrar todos los dispositivos. Como valor predeterminado, la cuenta que
se utiliza para instalar Endpoint Manager se coloca en el grupo de Administradores de IVANTI.
La administracion basada en roles es lo suficientemente flexible para permitirle crear tantos roles
personalizados como sea necesario. Puede asignar los mismos permisos a varios usuarios, aunque debera
restringir el acceso de ellos a una serie limitada de dispositivos con un ambito reducido. Se puede limitar
incluso el ambito de un administrador, sobre todo si pasa a ser administrador de un area geografica o un
tipo de dispositivo administrado espedficos. El modo en que aproveche las ventajas de la administracion
basada en rolesdepende tanto de los recursos de red y personal como de sus necesidades concretas.
NOTE: Si ha actualizado a partir de Endpoint Manager 8, la instalacion crea un archivo de registro llamado
..\IVANTI\Endpoint Manager\RBAUpgradeReport.txt. Este archivo contiene informacion para ayudarle a asignar
roles de 8.x a 9.x.
Para obtener mas informacion sobre la utilizacion de roles, ver las siguientes secciones:
54
GUÍA DE USUARIO
• "Usuarios" (55)
• "Autenticaciones" (58)
• "Roles y derechos" (60)
• "Descripcion de derechos y estados" (63)
• "Ambitos" (73)
• "Uso de agrupaciones" (77)
Usuarios
Adicion de usuarios de la consola Endpoint Manager
Los usuarios de Endpoint Manager pueden iniciar una sesion en la consola yrealizartareas concretas en
determinados dispositivos de la red. El usuario que inicio sesion en el servidor durante la instalacion de
Endpoint Manager se coloca automaticamente en el Grupos de usuarios de Administradores de IVANTI
de Windows, lo cual les otorga permisos plenos de administrador. Este individuo es responsable de agregar
usuarios de grupo adicionales a la consola yasignar permisos y ambitos. Una vez que se han creado los
demas administradores, estos pueden realizar las mismas tareas administrativas.
La instalacion de Endpoint Manager crea varios grupos locales de Windows en el servidor central. Estos
grupos controlan los permisos del sistema de archivos en las carpetas del programa de Endpoint Manager
del servidor central. Debe agregar manualmente los usuarios de consola a uno de estos grupos locales de
Windows:
• IVANTI Endpoint Manager: este grupo permite tener acceso basico al servidor central. Las
carpetas de Endpoint Manager son de solo lectura. Los usuarios en este grupo no pueden escribir
en el directorio de secuencias de comandos, por lo tanto no podran administrar las secuencias de
comandos. La correccion de vulnerabilidades mediante revisiones y el aprovisionamient del SO no
trabajaran correctamente para los usuarios de este grupo porque estas dos funciones usan
secuencias de comandos.
• Administradores de IVANTI: este es el grupo a prueba de error para tener acceso a la consola.
Algun miembro de este grupo tiene derechos completos en la consola, incluyendo la escritura de
55
IVANTI ENDPOINT MANAGER
secuencia de comandos. Como valor predeterminado, la cuenta de usuario que instalo Endpoint
Manager se agrega a este grupo. Si no tiene demasiados usuarios de consola o no quiere limitar la
cantidad de usuarios de consola que tiene, puede evitar completamente la administracion basada en
roles ysolamente agregar los usuarios a este grupo.
Cuando agregue administradores plenos a la consola, puede agregarlos bien sea al grupo local de
Administradores de IVANTI del servidor central o puede agregarlos a un grupo diferente que tenga
derechos de "Administrador" IVANTI. La unica diferencia es que los usuarios del grupo de Administradores
de IVANTI en Windows no se pueden eliminar de la consola hasta que se eliminen del grupo de
Administradores de IVANTI.
El arbol de Usuarios y grupos de las Herramientas de usuarios muestra la lista de usuarios de consola
autorizados. Se puede ver la ultima vez que un usuario de consola inicio sesion, su grupo, rol, ambito,
estado de restriccion de tiempo de control remotoy equipo. Tambien puede utilizar este arbol para ver si los
usuarios estan en los grupos Windows locales de IVANTI. Los usuarios no podran iniciar sesion hasta que
se hayan agregado a uno de los grupos de IVANTI que se describen en esta seccion.
Los usuarios se almacenan en la base de datos mediante identificadores de seguridad unicos (SID). Si un
usuario de Active Directory cambia el nombre de cuenta, por ejemplo, si se casa, su SID debe seguir siendo
el mismo y sus permisos de Endpoint Manager se seguiran aplicando.
IMPORTANT: Las consolas adicionales y el servidor central deben ser miembros del mismo dominio o * grupo
de trabajo. Los usuarios de consola no se podran autenticar con un servidor central que este en un dominio o grupo
de trabajo diferente.
Para agregar usuarios a un grupo IVANTI desde el cuadro de dialogo de Windows Computer Management
56
GUÍA DE USUARIO
Eliminar usuarios
Tambien puede utilizar el arbol de Usuarios y grupos para eliminar usuarios o grupos de la consola.
Cuando se elimina un usuario o grupo, se le solicitara que decida como quiere manejar los elementos de
consola de los cuales el usuario era propietario, como consultas, tareas programadas, etcetera. Puede
hacer que la consola automaticamente elimine los elementos que esta tenga o puede hacer que la consola
los reasigne a otro usuario o grupo que usted seleccione. Observe que la eliminacion de un usuario solo
elimina a dicho usuario de la base de datos de usuarios de Endpoint Manager. Tambien tendra que quitar
manualmente al usuario o grupo de los grupos de Windows de IVANTI locales de los cuales son miembros.
Si no hace esto, el usuario eliminado de todas maneras podra iniciar sesion en la consola.
Para eliminar un usuario de consola
En el arbol de Usuarios y grupos, puede hacer clic con el boton derecho en un usuario o grupo en el panel
derecho y hacer clic en Propiedades. Este cuadro de dialogo de propiedades muestra todas las
propiedades y derechos efectivos de ese usuario. El cuadro de dialogo Propiedades contiene las siguientes
paginas:
57
IVANTI ENDPOINT MANAGER
• Resumen: resume los roles, ambitos, equipos, la pertenencia al grupo y los derechos efectivos de
ese usuario o grupo.
• Derechos efectivos: muestra una vista mas detallada de los derechos efectivos de ese usuario o
grupo.
• Roles: muestra los roles explfcitos y heredados. Puede seleccionar que roles explfcitos se aplican a
ese usuario o grupo.
• Ambitos: muestra los ambitos explfcitos y heredados. Puede seleccionar que ambitos explfcitos se
aplican a ese usuario o grupo.
• Agrupaciones: muestra las agrupaciones explfcitas y heredadas. Puede seleccionar que
agrupaciones explfcitas se aplican a ese usuario o grupo.
• Restricciones de tiempo del control remoto: le permite aplicar y modificar las restricciones de
tiempo RC. Para obtener mas informacion, consulte "Restricciones del control remoto" (77).
• Pertenencia a grupos: muestra los grupos a los cuales pertenece ese usuario.
• Miembros de grupo: si se selecciona un grupo, muestra los miembros del grupo. Si se selecciona
un usuario, muestra el grupo del cual el usuario es miembro.
Si se realizan cambios en las paginas que se pueden modificar, debe hacer clic en Aceptar para aplicar los
cambios. A continuacion, puede volver a abrir el cuadro de dialogo Propiedades si es necesario.
Autenticaciones
Manejo de autenticaciones
Utilice la herramienta de Administracion de usuarios para definir las credenciales de los grupos de Active
directory que tendran acceso a la consola. Estas credenciales solo tienen que permitir que Endpoint
Manager enumere el directorio. Tendra que proporcionarle credenciales a cada Active directoryque
contenga usuarios que se desee quetengan acceso a la consola. Las autenticaciones que proporcione
determinaran que grupos de usuario se pueden seleccionar para asignarles permisos de grupo de consola.
La autenticacion de consola esta basada en la pertenencia al grupo local de Windows o al grupo de Active
directory. Cuando un administrador de IVANTI asigna permisos de grupo a un grupo local o de Active
directory, los usuarios que son miembros de ese grupo pueden iniciar sesion en Windows o la Consolas
Web y compartir los permisos asignados a ese grupo.
Debe tener en cuenta los aspectos siguientes al administrar los Directorios activos que se utilizan con
Endpoint Manager:
• Active Directory esta totalmente integrado con DNS y se requiere TCP/ IP (DNS). Para que sea
completamente funcional, el servidor DNS debe ser compatible con los registros de recursos SRV o
registros de servicios.
• El uso de Active Directory para agregarle algun usuario a un grupo que se esta utilizando en la
consola no habilitara al usuario para que inicie sesion en la consola aunque Endpoint Manager le
hayan asignado permiso al usuario. Para iniciar sesion en la consola, el usuario debe pertenecer a
los grupos locales de IVANTI del servidor central. Para obtener mas informacion, consulte
58
GUÍA DE USUARIO
"Usuarios" (55).
• Para que los Directorios activos funcionen debidamente con la administracion basada en roles,
debe configurar las credenciales del servidor COM+ en el servidor central. Esto permite que el
servidor central utilice una cuenta en uno de los grupos locales de IVANTI del servidor central que
tenga los permisos necesarios para enumerar los miembros del dominio Windows, tal como la
cuenta de administrador. Para obtener instrucciones sobre como realizar la configuracion, consulte
"Configuracion de credenciales de servidor COM+" (88).
Si la contrasena de cuenta de una autenticacion cambia, tendra que iniciar sesion en la consola y cambiar
la contrasena por la nueva contrasena en el cuadro de dialogo de autenticacion. Se puede hacer lo anterior
iniciando sesion en un grupo local. Los usuarios se autentican cuando inician sesion, por lo cual cualquier
sesion existente seguira funcionando. A los usuarios del dominio al cual se le cambio la contrasena no se
les permitira iniciar sesion hasta que el cambio de la contrasena haya sido corregido en la herramienta de
Usuarios.
• Si un usuario es miembro de un grupo de Active Directory, el usuario hereda los derechos de RBA
de ese grupo.
• Si un usuario es miembro de un grupo de Active Directory, el cual es un miembro de un grupo de
nivel mas alto, el usuario hereda los derechos RBA del grupo del nivel superior.
• Los grupos se pueden anidar, y heredan los derechos correspondientes de acuerdo con las reglas
de Active Directory habituales.
2. En el cuadro de dialogo Fuente de autenticacion, introduzca las credenciales que dan acceso a
Active Directory.
En LMDS 9 SP2, existe una funcion llamada Resolveusergroups.exe. Esta funcion se ejecuta
59
IVANTI ENDPOINT MANAGER
periodicamente (cada 20 minutos) para actualizar la lista de usuarios de IVANTI Endpoint Manager.
Una vez que se realiza la lista de usuarios, se coloca en la memoria cache y se utiliza hasta que se vuelva
a ejecutar Resolveusergroups.exe. En algunos entornos de Active directory, si los valores de TTL son
demasiado pequenos, puede que algunas de las cuentas de usuario que han sido determinadas crucen el
umbral de TTL antes de que todas las cuentas hayan sido determinadas. Esto provoca que la memoria
cache se actualice una y otra vez, y la consola carga muy lentamente.
Cualquier cambio en los valores de TTL se escriben en la tabla KeyValue de la base de datos
(GroupResolutionTTLy LocalLDGroupResolutionTTL), de modo que sean persistentes.
Roles y derechos
Administracion de roles
Use el arbol de Roles para definir y mantener roles administrativos y sus derechos de consola asociados.
Los derechos de consola estan basados en las funciones de Endpoint Manager. Por ejemplo, usted puede
crear un rol de asistencia tecnica ydarle el derecho de control remoto.
Podra introducirtantos roles adicionales como desee. Los nuevos roles no se asignan automaticamente a
ningun usuario ni grupo. Una vez que cree un rol, asocielo con un grupo o usuario del arbol de Permisos de
grupo.
Puesto que se pueden asignar varios roles a grupos o usuarios, decida como desea asignar los derechos.
Usted puede asignar derechos basados en una descripcion del trabajo, como "asistencia tecnica," o puede
asignar derechos basados en la funcion de consola, como "control remoto." Segun el numero y la variedad
de usuarios de consola que su organizacion tenga, un modo puede trabajar mejor que el otro.
Puede asignarle varios roles a un usuario o grupo de Active Directory. Si hay derechos en conflicto entre los
roles seleccionados, el permiso de grupo sera la suma de los roles yambitos combinados. Por ejemplo, si
uno de los roles incluidos permite el control remotoyotro rol incluido lo niega, el permiso de grupo resultante
permitira el control remoto. Puede consultar los derechos efectivos de un usuario o grupo abriendo sus
propiedades y viendo la pagina Derechos efectivos.
En general, debe evitar asignar un rol a los grupos locales predeterminados: IVANTI Endpoint Manager y
Administrador de IVANTI. La asignacion de roles a un grupo afecta a cada uno de sus miembros. Puesto
que todos los usuarios de consola deben ser miembros de uno de estos tres grupos, se podna restringir
involuntariamente el acceso de todos los miembros a las funciones de consola. El grupo de administradores
IVANTI ya cuenta con un rol predeterminado de Administrador, el cual no se puede restringir mas.
Los cambios en los derechos del usuario que inicio sesion no tendran efecto hasta la proxima vez que inicie
sesion.
60
GUÍA DE USUARIO
Para obtener mas informacion, consulte "Descripcion de derechos y estados" (63) y "Descripcion de los
roles predeterminados" (62).
Utilice los roles para definir y mantener roles administrativos y sus derechos de consola asociados.
1. En la herramienta de Administracion de usuarios, haga clic con el boton derecho en Roles y haga
clic en Nuevo rol.
1. En la herramienta de Administracion de usuarios, haga clic con el boton derecho en Roles y haga
clic en Propiedades. Tambien puede hacer doble clic en un rol para modificar sus propiedades.
2. En la pagina Usuarios y grupos, seleccione los grupos que desee que tenga ese rol.
61
IVANTI ENDPOINT MANAGER
Hay varios roles predeterminados bajo el arbol de Roles. Puede modificar o eliminar cualquiera de estos
roles predeterminados, a excepcion del rol de Administrador de IVANTI.
• Configuracion de la auditona
• Auditor
• Visor del inspector
• Asistencia tecnica de TI
• Administrador de IVANTI
• Gestion de parches
• Administracion de la energfa
• Aprovisionamiento
• Seguridad
• Distribucion de software
• Licencias de software
No todos los derechos admiten todos los tipos. Por ejemplo, el derecho de "Administracion de consultas
publicas" solo puede tener el tipo "Modificar publico". No tendna sentido tener tambien los tipos "Ver",
"Modificar" o "Implementar".
62
GUÍA DE USUARIO
. Un simbolo de No aplica:
La herramienta Tareas programadas solo puede ser vista por los usuarios que tengan el derecho de
"Implementar" y, en ese caso, solo pueden trabajar con las tareas asociadas con la herramienta para la
cual se desplegaron los derechos. Todas las otras tareas son de solo lectura.
Si usted tiene los tipos de derecho de "Modificar publico" e "Implementar", usted puede crear nuevas tareas
en el grupo Publico asf como agregar o eliminartareas en el.
• Administrador
• Configuracion de agentes
• Alertas
• Consola Web basica
• Replicacion de Contenido
• Sincronizacion de servidores centrales
• Formularios de datos personalizados
• Administracion de dispositivos
• Agregar o eliminar dispositivos
63
IVANTI ENDPOINT MANAGER
• Supervision de dispositivos
• Control de energfa de dispositivos
• Administrar usuarios y grupos locales
• Administrar grupos de dispositivo publicos
• Deteccion de dispositivos no administrados
• Inspector
• Administracion devfnculos
• Aprovisionamiento del SO
• Administracion de energfa
• Administracion de consultas publicas
• Actualizar ambitos
• Herramientas de control remoto
. Conversacion
• Ejecutar programas
• Reiniciar
• Control remoto
• Transferir archivos
• Elaboracion de informes
• Disenador de informes
• Informes
• Seguridad
• Control de acceso a la red
• Revisiones y cumplimiento
• Configuraciones de seguridad
• Distribucion de software
• Metodos de entrega
• Administracion de directorios
• Paquetes de distribucion
• Administracion devfnculos
• Administrar secuencias de comandos
• Monitor de licencias de software
• Administracion de usuarios
• vPro
Consulte las descripciones de abajo si desea obtener mas informacion sobre cada permiso ycomos se
pueden utilizar estos permisos para crear roles administrativos.
64
GUÍA DE USUARIO
Configuracion de agentes
• Sin derechos: No se puede ver la herramienta.
• Ver: Puede ver esta herramienta y puede ver todo. No se puede cambiar nada.
• Editar: Se puede very cambiar todo. No se puede implementar un trabajo de configuracion de
agente.
• Desplegar: Se puede ver todo. No se puede cambiar nada. Se puede programar cualquiertarea de
configuracion de agente que todos puedan ver (incluyendo publicos).
• Modificar publico: Se pueden asignar configuraciones al publico. Se puede modificar
configuraciones publicas.
Alertas
• Sin derechos: No se puede ver la herramienta.
• Ver: Puede ver esta herramienta y puede ver todo. No se puede cambiar nada.
• Editar: Se puede very cambiar todo. No se puede implementar.
• Desplegar: Se puede vertodo. No se puede cambiar nada. Se puede implementar.
Consola Web basica
• Sin derechos: No se puede iniciar sesion en la Consola Web.
• Ver: No aplica.
• Editar: Puede iniciar sesion en la consola Web y ver lo mas basico.
• Desplegar: No aplica.
Replicacion de Contenido
• Sin derechos: No se puede ver la herramienta.
• Ver: Puede ver esta herramienta y puede ver todo. No se puede cambiar nada.
• Editar: Se puede very cambiar todo.
• Desplegar: No aplica.
El permiso de administrador de Endpoint Manager proporciona acceso completo a todas las herramientas
de aplicacion (no obstante, el uso de estas herramientas esta limitado a los dispositivos incluidos en el
ambito del administrador).
65
IVANTI ENDPOINT MANAGER
• Sin derechos:
• No se puede ver la opcion Insertar nuevo equipo en el menu de contexto cuando se
visualizan Todos los dispositivos en la Vista de red.
• No se puede ver la opcion Eliminar en el menu de contexto cuando se selecciona un
dispositivo en la Vista de red.
• No se puede ver el nodo de Vista de red > Configuration > Equipos agregados por el
usuario.
• Ver: No aplica.
• Editar:
• Se puede ver y usar la opcion Insertar nuevo equipo en el menu de contexto cuando se
visualizan Todos los dispositivos en la Vista de red.
• Se puede very usar la opcion Eliminar en el menu de contexto cuando se selecciona un
dispositivo en la Vista de red.
• Se puede ver el nodo de arbol de Vista de red > Configuracion > Equipos agregados por
el usuario.
• Desplegar: No aplica.
Supervision de dispositivos
66
GUÍA DE USUARIO
• Editar: Se pueden very usar las opciones Despertar, ReiniciaryApagaren el menu de contexto
cuando se selecciona un dispositivo.
• Editar: Se puede ver y usar Administrar a usuarios locales y grupos en el menu de contexto
cuando se selecciona un dispositivo.
Administrar grupos de dispositivo publicos
. Sin derechos: No se puede cambiar nada en Dispositivos publicos.
. Ver: No aplica.
• Editar: No aplica.
• Desplegar: No aplica.
• Modificar publico: Pueden crear, eliminary cambiar grupos de dispositivos en Dispositivos
publicos. Se puede mover un grupo de dispositivos en Dispositivos publicos.
• Editar: Se puede abrir la herramienta UDD y ver cualquier elemento. Se puede crear, eliminar o
modificar todo.
• Desplegar: Se puede abrir la herramienta UDD y ver cualquier elemento. No se puede crear,
eliminar o modificar nada. Se puede programar una tarea UDD.
Inspector
• Sin derechos: No se ve la herramienta Inspector.
• Ver: Se puede abrir la herramienta Inspectory ver cualquier elemento.
Aprovisionamiento del SO
• Sin derechos: No se puede ver la herramienta de aprovisionamiento del SO.
• Ver: Se puede ver la herramienta. No se puede cambiar nada.
• Editar: Se pueden crear, modificar y eliminar elementos. No es posible programar tareas.
• Desplegar: Se pueden programar tareas de los elementos que se pueden ver (incluyendo publicos).
No se pueden crear, modificar ni eliminar elementos.
• Modificar publico: Se pueden mover elementos a la carpeta Publica. Se pueden crear, modificar o
eliminar elementos en la carpeta Publica.
Administracion de energia
• Sin derechos: No se puede ver la herramienta de Administracion de energfa.
• Ver: Se puede ver la herramienta. No se puede cambiar nada.
• Editar: Se pueden crear, modificar y eliminar elementos. No es posible programar tareas.
• Desplegar: Se pueden programar tareas de los elementos que se pueden ver (incluyendo publicos).
No se pueden crear, modificar ni eliminar elementos.
67
IVANTI ENDPOINT MANAGER
• Modificar publico: Se pueden mover elementos a la carpeta Publica. Se pueden crear, modificar o
eliminar elementos en la carpeta Publica.
Administracion de consultas publicas
• Sin derechos: Comportamiento regular.
• Ver: No aplica.
• Editar: No aplica.
• Desplegar: No aplica.
• Modificar publico: Se pueden mover consultas a la carpeta Publica. Se pueden crear, modificar o
eliminar consultas en la carpeta Publica.
Actualizar ambitos
• Sin derechos: El boton de la barra de herramientas Actualizar ambitos de la Vista de red no hace
nada.
• Editar: El boton de la barra de herramientas Actualizar ambitos de la Vista de red actualiza todos
los ambitos. Utilfcelo cuando haya agregado dispositivos a un ambito o haya cambiado el ambito de
un usuario y desea permitir que ese usuario vea el nuevo ambito. De lo contrario la actualizacion del
ambito puede tardar hasta una hora antes de que suceda automaticamente.
Conversacion
• Editar: Se puede ver la opcion Control remoto > Charlar y se puede usar. La opcion Charlar se
habilita en la ventana de Control remoto.
Ejecutar programas
• Editar: Se puede ver la opcion Control remoto > Ejecutar programa y se puede usar. La opcion
Ejecutar programa se habilita en la ventana de Control remoto.
Reiniciar
• Editar: Se puede ver la opcion Control remoto > Reiniciar yse puede usar. La opcion Reiniciar se
habilita en la ventana de Control remoto.
Control remoto
• Sin derechos: No se puede ver la opcion Control remoto > Control remoto en el menu de
contexto.
• Ver: Se puede ver la opcion Control remoto > Control remoto yse puede controlar remotamente
un dispositivo. No se puede tomar el control del dispositivo (solo verlo).
• Editar: Se puede ver la opcion Control remoto > Control remoto, y se puede controlar
remotamente y tomar control de un dispositivo.
• Desplegar: No aplica.
Transferir archivos
• Editar: Se puede ver la opcion Control remoto > Transferir archivos yse puede usar. La opcion
Transferir archivos se habilita en la ventana de Control remoto.
68
GUÍA DE USUARIO
Elaboracion de informes
Disenador de informes
• Sin derechos: No se puede ver la herramienta. No se pueden ver las tareas programadas o las
polfticas de distribucion de software que se hayan creado a partir de la herramienta.
• Ver: Se puede ver la herramienta. Se puede ver todo lo de adentro. No se puede descargar el
contenido, crear/modificar/eliminar configuraciones, ni cambiar nada. El acceso es de solo lectura.
• Editar: Se puede ver la herramienta. Se puede ver todo lo de adentro. Se puede modificar todo. No
se puede programar nada, incluyendo: descargas de contenido, funciones de rastreo, funciones de
reparacion, recopilar historicos, etc.
• Desplegar: Se puede ver la herramienta. Se puede vertodo lo de adentro. No se puede modificar
nada, pero se puede crear una tarea o poiftica usando la informacion de allF correspondiente a
elementos que se pueden ver (incluyendo publicos).
• Modificar publico: Se pueden mover elementos a la carpeta Publica. Se pueden crear, modificar o
eliminar elementos en la carpeta Publica.
Configuraciones de seguridad
. Sin derechos: No se puede ver la herramienta. No se pueden ver las tareas programadas o las
polfticas de la ventana de tareas Programadas que se hayan creado a partir de la herramienta.
• Ver: Se puede ver esta herramienta y la herramienta de Actividades de seguridad. Se puede mirar,
69
IVANTI ENDPOINT MANAGER
Metodos de entrega
• Ver: Puede ver la herramienta y todo su interior (asumiendo que alguien ya se haya autenticado).
• Editar: Se puede autenticar en un nuevo directorioy se puede ver todo, yse pueden
crear/modificar/eliminar consultas.
• Desplegar: No aplica.
Paquetes de distribucion
Administracion de vinculos
• Sin derechos: No se puede ver la herramienta de Administracion de enlaces.
• Ver: Se puede ver la herramienta. No se puede cambiar nada.
• Editar: Se pueden crear, modificar y eliminar elementos. No se puede programar una tarea o
70
GUÍA DE USUARIO
polftica.
• Desplegar: No se pueden crear, modificar ni eliminar elementos. Se puede programar una tarea o
polftica.
71
IVANTI ENDPOINT MANAGER
Ambitos
Creadon de ambitos
El ambito define los dispositivos que el usuario de Endpoint Manager puede visualizary administrar.
El ambito puede tener una dimension tan amplia o reducida como deseey abarcar asftodos los dispositivos
administrados que se rastrean en la base de datos central o bien un solo dispositivo. Esta flexibilidad,
combinada con el acceso a las herramientas modulares, es lo que hace que la administracion basada en
roles sea una funcion de administracion tan versatil.
Ambitos predeterminados
La administracion basada en roles de Endpoint Manager incluye un ambito predeterminado: "Todas los
equipos." Este ambito incluye todos los dispositivos administrados de la base de datos. El ambito
predeterminado no se puede modificar ni quitar.
Ambitos personalizados
Existen tres de ambitos personalizados que puede creary asignar a los usuarios:
• Consulta de LDMS: controla el acceso a solo aquellos dispositivos que coinciden con una
busqueda de consultas personalizadas. Puede seleccionar una consulta existente o crear consultas
nuevas en el cuadro de dialogo Propiedades de ambito, para definir un ambito.
Tenga en cuenta que tambien puede copiar las consultas de los grupos de Consultas de la vista de
red directamente en el grupo Ambitos. Para obtener mas informacion sobre la creacion de
consultas, consulte "Consultas de base de datos" (196).
LDAP: controla el acceso solamente a los dispositivos recopilados por el rastreador de inventario
que se encuentran en una estructura de directorio compatible con LDAP. Seleccione las
ubicaciones de directorios en el cuadro de dialogo Seleccionar dispositivos visibles para definir
un ambito. Este tipo de ambito basado en directorios admite las ubicaciones de directorios
personalizadas (si introdujo rutas de directorio personalizadas como parte de la configuracion de
agentes). Los directorios personalizados disponibles aparecen en el cuadro de dialogo Seleccionar
dispositivos visibles. Utilice directorios personalizados para definir un ambito si no se dispone de
una estructura de directorios compatible con LDAP, o si desea limitar el acceso a los dispositivos
por un detalle espedfico de organizacion, como la ubicacion geografica o el departamento.
• Grupo de dispositivos: controla solamente el acceso a los dispositivos que pertenecen a un grupo
de dispositivos espeofico en la vista de red.
72
GUÍA DE USUARIO
A un usuario de Endpoint Manager se le puede asignar uno o mas ambitos al mismo tiempo. Ademas, un
ambito puede asociarse a varios usuarios.
Se le puede asignar mas de un ambito a cualquiera de los usuarios de Endpoint Manager. Cuando se
asignan varios ambitos a un usuario, el usuario tiene derechos a todos los equipos de todos los ambitos
asignados. La lista acumulativa de equipos de todos los ambitos asignados es el ambito efectivo del
usuario.
Los derechos de un usuario y los ambitos se pueden modificar en cualquier momento. Si modifica los
derechos o ambitos de un usuario, dichos cambios tendran efecto la proxima vez que el usuario inicie
sesion en la consola o cuando el administrador de consola haga clic en el boton de la barra de
herramientas Actualizar ambito en la Consola (en la parte superior de la ventana).
Crear un ambito
El ambito define los dispositivos que el usuario de Endpoint Manager puede visualizary administrar.
El ambito puede tener una dimension tan amplia o reducida como deseey abarcar asftodos los dispositivos
administrados que se rastrean en la base de datos central o bien un solo dispositivo.
Haga clic en los signos mas (+) y menos (-) para expandir y contraer los nodos del arbol de directorios. En
el ambito se incluiran todos los nodos del nodo principal seleccionado.
Las ubicaciones de directorio LDAP se determinan mediante la ubicacion del servicio de directorio del
dispositivo. Las ubicaciones de directorio personalizado se determinan mediante el atributo de ubicacion de
equipo del dispositivo en la base de datos del inventario. Este atributo se define durante la configuracion del
agente de dispositivo.
73
IVANTI ENDPOINT MANAGER
8. Vuelva a hacer clic en Aceptar para guardar el ambito y cierre el cuadro de dialogo.
1. Haga clic con el boton derecho en Ambitos y haga clic en Nuevo ambito a partir de la consulta.
NOTE: Puede crear rapidamente un ambito a partir de una consulta existente arrastrando una consulta desde la
vista de red al arbol de ambitos.
NOTE: Los ambitos utilizan una copia de la consulta en la cual se basan. Los cambios en la consulta de origen
de la Vista de red no afectaran a los ambitos existentes.
74
GUÍA DE USUARIO
Agrupaciones
Crear una agrupacion
Una agrupacion de administracion basada en roles es un grupo de usuarios que pueden very
compartir la propiedad de las tareas y configuraciones que pertenecen a la agrupacion.
75
IVANTI ENDPOINT MANAGER
Uso de agrupaciones
Una agrupacion de administracion basada en roles es un grupo de usuarios que pueden very compartir la
propiedad de las tareas y configuraciones que pertenecen a la agrupacion. Por ejemplo, si usted tiene
varios departamentos que quieren compartir consultas o tareas, puede reunir los departamentos en una
agrupacion. Las tareas y las configuraciones de una agrupacion aparecen en un grupo especial que tiene el
mismo nombre de la agrupacion de la vista de arbol de la herramienta. Por ejemplo, si hubiera una
agrupacion llamada "Salt Lake" del cual usted es miembro, vena un subgrupo de "Dispositivos de Salt
Lake" bajo el grupo Dispositivos en la Vista de red. La gente puede pertenecer a varias agrupaciones.
La gente que no esta en ninguna agrupacion no vera que ese grupo en ninguna parte de la consola.
La gente con derechos de administrador puede vertodas las agrupaciones y el contenido de ellas. Aunque
puede usar carpetas publicas para compartir el contenido de la consola, el contenido de la carpeta publica
puede ser vista portodos los quetienen derechos a una herramienta. La ventaja de las agrupaciones
consiste en que solo los miembros de la agrupacion ven su contenido, haciendo potencialmente el
contenido mas organizadoyaccesible a los miembros de la agrupacion.
Las agrupaciones consisten de uno o varios permisos de grupo. Incluso puede crear agrupaciones con
solamente 1 o 2 personas. Por ejemplo, si una persona esta enferma, se puede agregar su sustituto a la
misma agrupacion. O, si hay dos personas que comparten responsabilidades, se pueden colocar en la
misma agrupacion.
Los administradores y los miembros de la agrupacion pueden cambiar la propiedad de los elementos de
arbol haciendo clic con el boton derecho en ellos y haciendo clic en Information. Los cuadros de dialogo de
informacion tienen una lista desplegable de Propietarios en la cual puede seleccionar al propietario del
elemento.
Note que la hora inicial esta en formato UTC (Tiempo universal coordinado u Hora del meridiano de
Greenwich). El servidor central determina el tiempo inicial comparando con la hora UTC que informa el
sistema operativo del servidor central. El servidor central no se ajusta a la zona de la hora local de los
usuarios de consola. Cuando introduzca el valor del tiempo inicial, debe compensar la diferencia entre el
tiempo UTCy el huso horario local de los operadores de consola y usar el tiempo ajustado resultante.
76
GUÍA DE USUARIO
Para asegurarse de que las restricciones de tiempo de control remoto se apliquen en la forma en que se
desee, se recomienda asegurarse de que solo se les haya aplicado un rol a los usuarios con restricciones
de tiempo.
77
IVANTI ENDPOINT MANAGER
Core configuration
Ejecutar el programa de instalacion de IVANTI
Endpoint Manager
Antes de instalar Endpoint Manager, asegurese que el servidor que ha seleccionado cumpla con los
requisitos del sistema que se describieron en esta seccion. Los pasos siguientes instalan Endpoint Manager
con la base de datos predeterminada de Microsoft SQL Express. Si planea utilizar una de las otras bases
de datos admitidas, debe instalary configurar esa base de datos antes de ejecutar la instalacion de
Endpoint Manager. Para obtener instrucciones detalladas sobre como hacer esto y la instalacion de,
consulte IVANTI User Community en http://support.Ivanti.com.
Para consultar las notas de la version, las instrucciones de instalacion e informacion adicional importante,
no dude en visitar la pagina del anuncio de IVANTI Endpoint Manager 2017 en la comunidad de IVANTI:
• https://community.Ivanti.com/support/docs/DOC-39935
Para obtener mas informacion sobre las plataformas compatibles, consulte este documento en la
Comunidad de usuarios de IVANTI:
• https://community.Ivanti.com/support/docs/DOC-7478.
Se debe desactivar el servicio de indexacion y el servicio de busqueda de Windows antes de instalar
IVANTI Endpoint Manager; si no se desactivan estos servicios, podna fallar la instalacion.
Ademas, asegurese de que el servidor en el cual se esta instalando no tenga Microsoft Windows Server
Update Service instalado en el. Si el servicio esta activo, tendra problemas para iniciar sesion en la consola.
Como cada entorno tiene necesidades diferentes, le recomendamos que se comunique con IVANTI
Professional Services, su distribuidor o un Expert Solution Provider (ESP) para obtener informacion acerca
de Certified IVANTI Deployment.
78
GUÍA DE USUARIO
Continuar.
3. Acepte el contrato de licencia y luego haga clic en Continuar.
4. En la pagina Que desea instalar, asegurese de que Servidor central este seleccionado y luego
haga clicen Continuar.
5. En la pagina de Prerrequisitos, asegurese que el servidor pase la verificacion de prerrequisitos. Si
no pasa, instale los prerrequisitos faltantes y haga clic en Continuar.
6. En la pagina Como debe IVANTI configurar la base de datos, haga clic en Configurar una
nueva base de datos 10.0 y luego haga clicen Continuar.
7. En la pagina Aplicacion de la base de datos, seleccione SQL Express (paquete) y luego haga
clic en Continuar.
8. En la pagina Donde desea instalar, haga clic en Continuar para aceptar la ruta de instalacion
predeterminada (C:\Archivos de programa\IVANTI\ManagementSuite\).
9. En la pagina Secure Client Management, haga clic en Hbilitar la seguridad basada en los
certificados de cliente si es la primera vez que se ha instalado Endpoint Manager en el entorno. Si
no, lea Seguridad basada en los certificados de clientes.
10. En la pagina Listo para instalar, haga clic en Instalar.
11. Cuando la instalacion termine haga clic en Reiniciar ahora.
12. Despues deque reinicie, esperecinco minutos para quetodos los servicios se inicien.
13. Active su servidor central como se describio en "Activacion del servidor central" (83).
14. Inicie la consola e inicie sesion con las credenciales de Windows del usuario que inicio sesion
durante la instalacion de Endpoint Manager. (Durante la instalacion, automaticamente se le dan
al usuario derechos de administrador completos en la consola.)
Cuando inicie la consola, se abrira un asistente para ayudarle a configurar Endpoint Manager. Es
importante que siga los pasos del asistente. Despues de hacer esto, consulte "Configuracion de agentes de
dispositivos" (112) y IVANTI User Community en https://community.Ivanti.com para obtener mas
informacion sobre el despliegue de agentes.
Para obtener mas informacion sobre las plataformas soportadas, consulte el siguiente documento en la
Comunidad de usuarios de IVANTI: https://community.Ivanti.com/support/docs/DOC-7478.
79
IVANTI ENDPOINT MANAGER
De forma predeterminada, el programa de configuracion ubica los archivos de la Consola Web en la carpeta
\Inetpub\wwwroot\remote
La instalacion tambien crea archivos compartidos de consola Web con los permisos necesarios en el
servidor central.
Alertas Si Si
Antivirus Si No
80
GUÍA DE USUARIO
Si Si
Clic con el boton
Comportamiento muy diferente - la unica funcion comun es ejecutar un
derecho en el
rastreo de inventario (en “Rastrear dispositivo” de Web).
dispositivo
Si Si
Administradorde
directorios
Si No
Administradorde
pantalla
Si Si
Paquetes de
distribucion
Si No
Prevencion de
intrusion de host
Si Minima
Los despliegues programados de LaunchPad Link pueden ser vistos y
Gerente de vrnculos
controlados por los usuarios de la consola Web con derechos de
de LaunchPad
Distribucion de software.
Registros Si No
Si Parcial En Secuencias de comandos, se pueden programar y agrupar las
Administrar
secuencias de comandos existentes.
secuencias de
comandos
Si Minima
Las tareas programadas de polfticas de energfa pueden ser
Administracion de la
potencialmente vistas y controladas por los usuarios de la
energfa
Consola Web.
Aprovisionamiento Si No
Si No
Menu de inicio de
PXE
81
IVANTI ENDPOINT MANAGER
Control remoto Si Si
Informes Si Si
La consola de informes se inicia en una ventana de explorador aparte.
Si Si
Tareas
programadas
Ambitos Si Parcial
Los ambitos existentes se le pueden agregar a un usuario, pero no se
pueden crear nuevos ambitos.
Si Minima
Administradorde Los rastreos programados y las tareas de reparacion pueden ser vistas y
seguridad y controladas por los usuarios de la consola Web que tengan derechos de
revisiones Gerente de Revisiones.
Monitor de licencias Si Parcial
de software No son visibles los datos de utilizacion de producto en la consola Web, no
estan disponibles los informes de cumplimiento de los productos
individuales y de grupo, y no se pueden ignorar o agrupar productos.
Deteccion de Si Minima
dispositivos no Los Rastreos programados de deteccion de dispositivos no administrados
administrados pueden ser vistos y controlados por los usuarios de la consola Web con
derechos de Deteccion de dispositivos no administrados.
Usuarios Si No
Si No
Configuracion de
agente de
Windows CE
Si No
Creador de CAB de
Windows CE
82
GUÍA DE USUARIO
IVANTI se compromete a utilizar los datos del programa de Mejora de la experiencia del cliente para
mejorar el software de IVANTI para sus clientes. Puede participar el el programa de Mejora de la
83
IVANTI ENDPOINT MANAGER
experiencia del cliente de IVANTI para contribuir con su experiencia personal a la interaccion general que
afecte al desarrollo de los productos de software de IVANTI. La participacion en el programa de Mejora de
la experiencia del cliente es totalmente voluntaria.
Para obtener mas informacion sobre este programa, consulte el documento PDF siguiente:
• http://rs.Ivanti.com/documents/customer-experience-improvement-program.pdf
La opcion de participacion se encuentra en la utilidad de activacion. Puede cambiar el estado de
participacion desde ah, aunqueya haya activado el producto.
1. Inicie la utilidad de activacion haciendo clicen Inicio > IVANTI > Activacion del servidor central.
2. En la pestana Activacion, marque o desmarque Participar en el programa de Mejora de la
experiencia del cliente de IVANTI.
3. Haga clic en Activar. Puede tardar varios minutos para que el proceso de activacion se complete.
Cada servidor central debe tener un certificado autorizado unico. Varios servidores centrales no pueden
compartir el mismo certificado de autorizacion, aunque pueden verificar las cuentas de nodos de la misma
cuenta de IVANTI.
De forma periodica, el servidor central genera informacion de verificacion de cuenta de nodos en el archivo
"\Archivos de programa\IVANTI\Authorization Files\.usage". Este archivo se env^a de forma periodica al
servidor de licencias de IVANTI. Este archivo esta en formato XMLy se firma y codifica de forma digital. Si
se cambia este archivo de forma manual, se anula su contenidoy el informe de uso siguiente que se envfa
al servidor de licencias de IVANTI.
El servidor central se comunica con el servidor de licencias de IVANTI a traves de HTTP. Si utiliza un
servidor proxy, haga clic en la pestana Proxy y escriba la informacion de proxy. Si el servidor central tiene
conexion a Internet, la comunicacion con el servidor de licencias es automatica y no requiere su
intervencion.
Tenga en cuenta que la utilidad Activacion del servidor central no inicia una conexion a Internet de acceso
telefonico de forma automatica, pero si usted la inicia manualmente y ejecuta la utilidad de activacion, esta
84
GUÍA DE USUARIO
Si el servidor central no tiene conexion a Internet, verifiquey envfe la cuenta de nodos manualmente, tal
como se describe mas adelante en esta seccion.
Antes de activar un servidor nuevo con una licencia completa, debe configurar una cuenta con IVANTI, la
cual le otorga licencia para los productos de IVANTIy la cantidad de nodos que haya adquirido. Necesita la
informacion de la cuenta (nombre de contacto y contrasena) a fin de activar el servidor. Si no tiene dicha
informacion, comurnquese con el representante de ventas de IVANTI.
1. Haga clicen Inicio > Todos los programas > IVANTI > Activacion del servidor central.
2. Haga clic en Activar este servidor central haciendo uso de su nombre de contacto y
contrasena de IVANTI.
La licencia de evaluacion de 45 dfas activa el servidor con el servidor de licencias de IVANTI. Una vez que
caduca el penodo de evaluacion de 45 dfas, no podra iniciar una sesion en el servidor central y este dejara
de aceptar rastreos de inventario. No obstante, no se perderan los datos existentes en el software y la base
de datos. Mientras utiliza la licencia de evaluacion de 45 dfas o despues que esta expire, puede volver a
ejecutar la utilidad Activacion del servidor central y cambiar a la activacion completa que utiliza una cuenta
de IVANTI. Si ha caducado la licencia de evaluacion, al cambiar a la licencia completa se reactiva el
servidor central.
1. Haga clicen Inicio > Todos los programas > IVANTI > Activacion del servidor central.
2. Haga clic en Activar este servidor central para la evaluacion de 45 dias.
3. Haga clic en Activar.
Actualizacion de una cuenta existente
La opcion de actualizacion envfa la informacion de uso al servidor de licencias de IVANTI. Los datos de uso
se envfan automaticamente si tiene conexion a Internet, de modo que no necesitara utilizar esta opcion
para enviar la verificacion de la cuenta de nodos. Tambien puede utilizar esta opcion para cambiar la
cuenta de IVANTI a la que pertenece el servidor central. Esta opcion tambien puede cambiar un servidor
central de una licencia de evaluacion a una licencia completa.
85
IVANTI ENDPOINT MANAGER
1. Haga clicen Inicio > Todos los programas > IVANTI > Activacion del servidor central.
2. Haga clic en Actualizar el servidor central que esta utilizando su nombre de contacto y
contrasena de IVANTI.
3. Escriba el Nombre de contacto y la Contrasena que desea para el servidor central. Si escribe un
nombre y una contrasena distintos a los utilizados originalmente para activar el servidor central, el
servidor cambia a la nueva cuenta.
4. Haga clic en Activar.
Para activar un servidor central o verificar los datos de cuenta de nodos de forma manual
1. Cuando el servidor central le solicita que verifique los datos de cuenta de nodos de forma manual,
este crea un archivo de datos llamado {languagecode}-activate.{datestring}.txt en la carpeta
"\Archivos de programa\IVANTI\Authorization Files". Adjunte el archivo a un mensaje de correo
electronico y envfelo a licensing@Ivanti.com Puede utilizar cualquier asunto o cuerpo en el
mensaje.
2. IVANTI procesa el archivo adjunto al mensaje y le responde a la direccion de correo electronico
desde la cual se envio. El mensaje de IVANTI brinda instrucciones y un nuevo archivo de
autorizacion.
3. Guarde el archivo de autorizacion adjunto en la carpeta \Archivos de programa\IVANTI\Authorization
Files. El servidor central procesa inmediatamente el archivo y actualiza el estado de activacion.
Si la activacion manual falla o el servidor central no puede procesar el archivo de activacion adjunto, se
cambia el nombre del mismo con la extension .rejected y la utilidad registra el suceso con mas detalles en
el registro de aplicaciones del visor de sucesos de Windows.
Para resolver este problema, el servidor de la consola Web y el servidor central utilizan una aplicacion
COM+ para comunicarse mediante HTTPS, lo que permite al servidor de la consola Web obtener la
86
GUÍA DE USUARIO
informacion de usuario y la base de datos del servidor central. Necesita configurar esta aplicacion COM+ en
el servidor de la consola Web para utilizar una cuenta que tenga los derechos necesarios, como la cuenta
del administrador de dominio. La cuenta que proporcione debe pertenecer al grupo de IVANTI Endpoint
Manager del servidor central (esto le permite el acceso a la informacion de conexion de base de datos del
servidor central) y necesita tener derechos para enumerar miembros de dominio de Windows.
Si utiliza grupos de dominio dentro del grupo de IVANTI Endpoint Manager del servidor central, Endpoint
Manager tambien necesita tener la capacidad de enumerar los miembros de dominio de Windows. En este
caso, tambien debe proporcionar una cuenta para la aplicacion IVANTI1 COM + del servidor central.
Para configurar la aplicacion IVANTI1 COM+ en un servidor central o de consola Web remota
3. Haga clic en Servicios de componentes > Equipos > Mi equipo > Aplicaciones COM+.
4. Haga clic con el boton derecho en la aplicacion IVANTI1 COM+ y seleccione Propiedades.
5. En la pestana Identidad, introduzca las credenciales que desea utilizar.
6. Haga clic en Aceptar.
87
IVANTI ENDPOINT MANAGER
El problema
Para que Microsoft Internet Information Services (IIS) maneje correctamente la autenticacion basada en
certificados, es importante que los certificados de "Autoridades del certificado de ^z de confianza" esten
configurados correctamente. Los certificados de este contenedor deberan ser certificados autofirmados. Si
hay certificados no autofirmados instalados en este contenedor, puede hacer que la autenticacion basada
en certificados para IIS con error403 de HTTP. Para obtener una descripcion de los errores 403.16y403.7
de HTTP, consulte este sitio web:
• https://support.microsoft.com/en-us/kb/2802568
Resolucion
Parte 1: Elimine los certificados no autofirmados de Autoridades del certificado de raiz de confianza
Este problema se puede solucionar eliminando todos los certificados no autofirmados de Autoridades del
certificado de rafz de confianza en Gestor de certificados (certmgr.msc) y moverlos a la ubicacion
adecuada, como Autoridades de certificacion intermedia. Este cambio puede afectar a otro software, asf
que se debe tener cuidado y probar el software para asegurarse de que sigue funcionando correctamente.
En algunos sistemas puede ser necesario cambiar las siguientes claves de registro que afectan al
modo de confianza de los certificados:
1. Ajuste HKEY_LOCAL_
MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL, Nombre del valor:
ClientAuthTrustMode, Tipo del valor: REG_DWORD, datos del valor: 2
2. Ajuste HKEY_LOCAL_
MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL Nombre del valor:
SendTrustedlssuerList Tipo del valor: REG_DWORD Datos del valor: 0 (Falso, o elimine totalmente
esta clave)
Para obtener informacion acerca de la clave de registro SCHANNELy sus usos, consulte estos sitios web:
• http://stackoverflow.com/questions/27232340/iis-8-5-mutual-certificates-authentication-fails-
with-error-403-16
• http://blogs.technet.com/b/configurationmgr/archive/2013/08/13/support-tip-a-configmgr-
2012-management-point-enabled-for-ssl-fails-with-403-forbidden.aspx
• http://configmgrblog.com/2014/02/23/configmgr-2012-r2-internet-facing-mp-windows-server-
2012-r2-note/
88
GUÍA DE USUARIO
Los siguientes documentos de la Comunidad de usuarios de IVANTI identifican los puertos que Endpoint
Manager utiliza en el servidor central y los dispositivos administrados.
89
IVANTI ENDPOINT MANAGER
Centro de configuracion
Utilice el sitio web del Centro de configuracion para administrar las instancias y la integracion de IVANTI
Service Desky IVANTI Workspaces. Si no utiliza estos productos, no necesita utilizar el Centro de
configuracion.
Para obtener mas informacion acerca de la configuracion de Service Desk, consulte la ayuda en lfnea de
Service Desk aqu:
• https://help.Ivanti.com/docs/help/en_https://help.Ivanti.com/docs/help/en_
US/LDSD/10.0/Default.htm#../Subsystems/Setup/Content/ConsolaSetup/ConfiqCenterLoqOn.h
tm
• https://community.Ivanti.com/support/community/systems/workspaces
90
GUÍA DE USUARIO
Antes de configurar un servicio, utilice la pestana General para especificar el servidor y la base de datos
centrales para los que desea configurar el servicio.
O NOTE: Todos los cambios en la configuracion de un servicio que realice para un servidor y una base de
datos centrales no tendran efecto hasta que reinicie el servicio en el servidor central.
Utilice esta pestana para seleccionar el servidor y la base de datos centrales para los cuales desea
configurar un servicio espedfico. A continuacion, seleccione cualquiera de las otras pestanas de servicios
yespecifique la configuracion para ese servicio.
Las Credenciales de usuario de la base de datos de informes le permiten conectarse a la base de datos
mediante una cuenta de usuario diferente cuando utilice la Herramienta de informes. Por ejemplo, puede
crear una cuenta de usuario para la base de datos con derechos de solo lectura, y a continuacion utilizar
esa cuenta para que los usuarios de informes puedan leer, pero no modificar, la base de datos.
91
IVANTI ENDPOINT MANAGER
• Nombre del servidor: muestra el nombre del servidor central al que esta actualmente conectado.
• Servidor: le permite escribir el nombre de un servidor central diferente y el directorio de la base de
datos del mismo.
• Base de datos: le permite escribir el nombre de la base de datos central.
• Nombre de usuario: Identifica un usuario con credenciales de autenticacion a la base de datos
central (especificada durante la configuracion).
• Contrasena: identifica la contrasena de usuario que se requiere para tener acceso a la base de
datos central (que se especifico durante la instalacion).
• Base de datos Oracle: Indica que la base de datos central especificada anteriormente es de
Oracle.
• Usuario de la base de datos de informes: Especifique el nombre de usuario y la contrasena de
cuenta con los cuales desea que la herramienta de informes tenga acceso a la base de datos. Se
debe haber creado esta cuenta previamente con los derechos espedficos de acceso a la base de
datos.
• Configuracion de la consola Web: muestra la direccion IPo el nombre del servidor en los cuales
se puede ejecutar la consola Web. Cuando desee tener acceso a la consola Web desde otro
dispositivo, escriba este nombre o direccion, seguida de /remote, en un explorador de Web.
• FIPS 140-2: Habilita el FIPS 140-2, un estandar de seguridad del gobierno de los Estados Unidos
que define un conjunto de funciones de criptograffa permitidas. Para obtener mas informacion,
consulte Acerca de la asistencia de FIPS 140-2.
• Inicio de sesion sencillo: Permite al usuario iniciar sesion en la consola de IVANTI sin introducir un
nombre de usuario ni una contrasena. Para obtener mas informacion, consulte Inicio de sesion
unico en la consola de IVANTI.
• Actualizar configuracion: Restaura la configuracion que existfa cuando se abrio el cuadro de
dialogo.
Al especificar los nombres de usuario y las contrasenas de una base de datos, el nombre de usuario y la
contrasena no pueden contener un apostrofe ('), un puntoycoma (;) o un signo de igual (=).
Utilice la pestana Inventario para configurar el servicio de Inventario para el servidor y la base de datos
centrales que se seleccionaron con la pestana General.
Si desea reiniciar el servicio de Inventario en un servidor central agrupado, debe hacerlo mediante Windows
Service Control Manager. El boton Reiniciar servicios en la pestana de Inventario de IVANTI Software
Services no puede reiniciar el servicio de Inventario en un servidor central agrupado.
Acerca de la pestana Inventario
92
GUÍA DE USUARIO
Windows.
• Transporte de datos cifrados: habilita el rastreador de inventario para enviar los datos de
inventario del dispositivo rastreado de regreso al servidor central como datos cifrados a traves
deSSL.
• Rastrear el servidor en: Especifica la hora en que se rastreara el servidor central.
• Realizar el mantenimiento en: Especifica la hora en que se realizara el mantenimiento estandar de
la base de datos central.
• D^as que conservar los rastreos de inventario: Define el numero de dfas anteriores a la
eliminacion del registro de rastreo de inventario.
• Inicios de sesion del propietario primario: establece el numero de veces que el rastreador de
inventario realiza un seguimiento de los inicios de sesion para determinar el propietario principal de
un dispositivo. El propietario principal es el usuario que ha iniciado sesion la mayona de las veces
dentro de este numero especificado de inicios de sesion. El valor predeterminado es 5 y los valores
mfnimo y maximo son 1 y 16 respectivamente. Si todos los inicios de sesion son exclusivos, el
ultimo usuario que ha iniciado una sesion se considera el propietario principal. Un dispositivo solo
puede tener un propietario principal asociado cada vez. Los datos de inicio de sesion del usuario
principal incluyen el nombre completo del usuario en formato ADS, NDS, nombre de dominio o
nombre local (en este orden), asf como tambien la fecha del ultimo inicio de sesion.
• Configuracion avanzada: Muestra el cuadro de dialogo Configuracion avanzada. Aqui puede
cambiar la configuracion avanzada pertinente al inventario. Al hacer clic en cada uno de los
elementos, el texto de ayuda aparece en la parte inferior del cuadro dialogo y explica cada opcion.
Los valores predeterminados deben ser adecuados para la mayona de las instalaciones. Para
cambiar un valor, haga clic en el, cambie el Valory haga clic en Establecer. Al finalizar, reinicie el
servicio de inventario.
• Elementos desconocidos: abre el cuadro de dialogo Elementos de inventario desconocidos,
el cual muestra una lista de todos los objetos que se han encontrado durante los rastreos, pero que
todavfa no estan en la base de datos. Esto le da control sobre que nuevos elementos se agregan a
la base de datos de manera que usted pueda eliminar problemas potenciales de los datos. Puede
seleccionar permitir que los datos se agreguen a la base de datos, simplemente elimine los datos de
esta lista o ignore el elemento en todos los rastreos futuros.
• Software: Muestra el cuadro de dialogo Configuracion del rastreo de software. Especifique en que
momento se ejecuta el rastreo de software y por cuanto tiempo se guarda el historial de inventario.
• Atributos: abre el cuadro de dialogo Seleccionar atributos a guardar, en el cual puede seleccionar
los atributos de rastreo de inventario que se almacenan en la base de datos. Esto puede reducir el
tamano de la base de datos yacelerar el tiempo de insercion del rastreo.
• Administrar duplicados: Dispositivos: Abre el cuadro de dialogo Dispositivos duplicados, en
el cual puede configurar la forma en que se manejan los dispositivos duplicados.
• Administrar duplicados: ID de dispositivo: Abre el cuadro de dialogo ID de dispositivos
duplicados, en el cual se pueden seleccionar atributos que identifican de modo exclusivo a los
dispositivos. Puede utilizar esta opcion para evitar rastrear ID de dispositivos duplicados en la base
de datos central (vease "Resolucion de registros de dispositivo duplicados en la base de datos"
93
IVANTI ENDPOINT MANAGER
(97)).
• Estado del servicio de inventario: Indica si el servicio se inicia o se detiene en la base de datos
central.
• Inicio: Inicia el servicio en el servidor central.
• Detener: Detiene el servicio en el servidor central.
• Reiniciar: reinicia el servicio en el servidor central.
El cuadro de dialogo Elementos de inventario desconocidos (Configurar > Servicios > Pestana de
Inventario > Boton de Dispositivos desconocidos) le permite controlar que elementos nuevos se
agregan a la base de datos del inventario. Cuando el rastreo de inventario se ejecuta, puede encontrar
objetos que no estan identificados en la base de datos. Como puede haber datos corruptos u otros
problemas en un dispositivo administrado, puede no ser conveniente que los nuevos datos se agreguen a la
base de datos. Este cuadro de dialogo presenta una lista de todos los elementos que se han encontrado y
le da la opcion de agregar los elementos nuevos a la base de datos, eliminarlos o bloquearlos para que
nunca se agreguen a la base de datos.
• Bloquear elementos de inventario desconocidos: Cuando esta casilla es seleccionada, todos los
elementos desconocidos apareceran en una lista aqrn hasta que usted seleccione como disponer
de ellos.
• Elementos bloqueados: presenta una lista de todos los objetos de inventario que no estan
actualmente en la base de datos. Haga clic en uno o varios elementos para seleccionarlos y aplicar
alguna accion.
• Permitir: seleccione los elementos y haga clic en Permitir para agregar los datos a la base de
datos. Los elementos se agregaran a la base de datos y se permitira que se procesen en futuros
rastreos de inventario.
• Eliminar: seleccione los elementos y haga clic en Eliminar para eliminarlos unicamente de esta
lista. Si el elemento se vuelve a encontrar, aparecera de nuevo en la lista. Tpicamente, se eliminan
los elementos que son el resultado de datos corruptos y que probablemente nunca se volveran a
encontrar en un rastreo.
• Ignorar: seleccione los elementos y haga clic en Ignorar para bloquear permanentemente que se
agreguen a la base de datos. Por motivos de rendimiento, la lista Ignorar debe conservarse tan
corta como sea posible. Note que los elementos de esta lista no se ignoran permanentemente; el
unico modo de eliminarlos de la lista es eliminarlos manualmente de la tabla META_IGNORE de la
base de datos de inventario y reiniciar el servicio de inventario.
• Aceptar/Cancelar: En este cuadro de dialogo, los botones de Aceptary Cancelar solo se aplican a
la casilla de verificacion Bloquear elementos de inventario desconocidos, no a las acciones
sobre los elementos bloqueados.
Utilice este cuadro de dialogo (Configurar > Servicios > Pestana de Inventario > Boton de Software)
para configurar la frecuencia de los rastreos de software. El hardware de un dispositivo se rastrea cada vez
94
GUÍA DE USUARIO
que el rastreador de inventario se ejecuta en el dispositivo y, por el contrario, el software del dispositivo se
rastrea unicamente en el intervalo de tiempo que se especifique aqm.
• Cada inicio de sesion: rastrea todo el software instalado en el dispositivo cada vez que el usuario
inicia sesion.
• Una vez cada ^as): rastrea el software del dispositivo unicamente en el intervalo diario
especificado, como un rastreo automatico.
• Guardar historial (en d^as): especifica el periodo de tiempo durante el que se guarda el historial
de inventario del dispositivo. Desmarque la casilla de verificacion para que no guarde el historial de
inventario.
De forma predeterminada, el servicio de inventario inserta todos los atributos de rastreo en la base de
datos. Los cambios que realice en el filtro de atributos no tendran efecto en los datos que ya se encuentran
en la base de datos. A fin de limitar los datos que se almacenan, realice los pasos siguientes.
1. Haga clicen la pestana de Configurar > Servicios > Inventario > boton de Atributos.
2. Los atributos de la columna Atributos seleccionados de la derecha se insertan en la base de
datos. Coloque los atributos que no desee incluir en la base de datos en la columna Atributos
disponibles de la izquierda. Cuando haya finalizado, haga clic en Aceptar.
95
IVANTI ENDPOINT MANAGER
En algunos entornos se utilizan las imagenes de SO con regularidad yfrecuencia para configurar
dispositivos. Debido a esto, aumenta la posibilidad de que existan ID de dispositivo duplicados entre los
dispositivos. Para evitar este problema, especifique otros atributos de dispositivo que, junto con el Id. del
dispositivo, creen un identificador unico para los dispositivos. Ejemplos de estos y otros atributos son el
nombre del dispositivo, el nombre de dominio, el BIOS, el bus, el coprocesador, etc.
La funcion de ID duplicado le permite seleccionar los atributos de dispositivo que se pueden utilizar para
identificar al dispositivo de modo exclusivo. Especifique los atributos y la cantidad de atributos que deben
faltar para que el dispositivo se designe como duplicado de otro. Si el rastreador de inventario detecta un
dispositivo duplicado, escribe un evento en el registro de eventos de la aplicacion para indicar el Id. del
dispositivo duplicado.
Ademas de los ID de dispositivo duplicados, tambien es probable que existan nombres de dispositivo o
direcciones MAC duplicados que se hayan acumulado en la base de datos. Si se presentan problemas
frecuentes con dispositivos duplicados (y desea evitar que futuros registros de dispositivo duplicados sean
explorados en su base de datos), tambien puede especificar que se eliminen los nombres de dispositivo
duplicados que se encuentren en la base de datos. La funcion complementaria de resolucion de dispositivos
duplicados se incluye en el procedimiento a continuacion.
De manera predeterminada, si se detecta una direccion MAC duplicada cinco o seis veces mas, se agrega
automaticamente a la lista de ignorar durante el mantenimiento de la base de datos. Puede cambiar este
umbral haciendo clic en Configurar > Servicios > pestana Inventario > Configuration avanzada >
Umbral de MAC duplicadas.
1. Haga clic en Configurar > Servicios > Inventario > Identificadores de dispositivo.
2. Seleccione los atributos de la Lista de atributos que desee utilizar para identificar de modo
exclusivo a un dispositivo y, a continuacion, haga clic en el boton >> para agregar el atributo a la
lista de Atributos de identidad. Podra introducir tantos atributos como desee.
96
GUÍA DE USUARIO
Utilice este dialogo (haga clic en la pestana de Configurar > Servicios > Pestana de Inventario > Boton
de ID de dispositivos) para configurar el manejo de ID de dispositivos duplicados.
• Lista de atributos: muestra una lista de atributos que puede elegir para identificar de modo
exclusivo a un dispositivo.
• Atributos de identidad: muestra los atributos que ha seleccionado para identificar exclusivamente
a un dispositivo.
• Registrar como ID de dispositivo duplicado cuando: identifica el numero de atributos que deben
ser distintos en un dispositivo para que este se considere un duplicado de otro.
• Rechazar identidades duplicadas: hace que el rastreador de inventario registre el Id. del
dispositivo duplicado y rechace todos los intentos posteriores de rastrear el ID de ese dispositivo. A
continuacion, el rastreador de inventario genera un nuevo ID de dispositivo.
Acerca del cuadro de dialogo Dispositivos duplicados
Utilice este cuadro de dialogo (haga clic en la pestana de Configurar > Servicios > Inventario >
Boton de Dispositivos) para especificar las condiciones de nombre y direccion cuando se eliminan
dispositivos duplicados de la base de datos. Si se marca una de las opciones de eliminacion de duplicados,
se permiten duplicados en la base de datos pero los mismos se eliminan la siguiente vez que se realiza el
mantenimiento de la base de datos.
• Eliminar duplicados si:
• Los nombres de dispositivo coinciden: quita el registro mas antiguo cuando dos o mas
nombres de dispositivos coinciden en la base de datos.
• Las direcciones MAC coinciden: quita el registro mas antiguo cuando dos o mas
direcciones MAC coinciden en la base de datos.
• Los nombres de dispositivo y las direcciones MAC coinciden: Elimina el registro mas
antiguo solo si coinciden dos o mas nombres de dispositivo y direcciones MAC (en el mismo
registro).
• Restaurar ID originales: restaura el ID del dispositivo original proveniente del registro anterior del
dispositivo rastreado siempre que haya dos registros de ese dispositivo en la base de datos y al
menos se selecciona una de las opciones de eliminar de arriba y sus criterios se cumplen. El ID del
dispositivo original se restaurara cuando se ejecute el siguiente rastreo de mantenimiento de
inventario. Esta opcion no tiene vigor a menos que se seleccione una de las opciones de eliminacion
anteriores.
97
IVANTI ENDPOINT MANAGER
administrador completos para los dispositivos Windows de la red y permitirles recibir distribuciones de
paquetes desde el servidor central. Para especificar varias credenciales de inicio de sesion que puedan
utilizarse en los dispositivos, haga clic en Cambiar inicio de sesion.
. HKEY_CURRENT_USER\Software\IVANTI\ManagementSuite\WinConsola
Configure "TaskRefreshlntervalSeconds" con el numero de segundos entre actualizaciones de una tarea
activa. Configure "TaskAutoRefreshlntervalSeconds" con el intervalo de actualizacion de toda la ventana
Tareas programadas.
Utilice esta pestana para ver el nombre del servidor y la base de datos centrales que se seleccionaron
previamente asf como para especificar las opciones de tareas programadas siguientes:
98
GUÍA DE USUARIO
* Avanzada: Muestra el cuadro de dialogo Configuration avanzada del programador. Aqui puede
cambiar otros valores de configuracion pertinentes al programador. Al hacer clic en cada uno de los
elementos, el texto de ayuda aparece en la parte inferior del cuadro dialogo y explica cada opcion.
Los valores predeterminados deben ser adecuados para la mayoria de las instalaciones. Para
cambiar una configuracion, haga clic en ella, luego en modificar, introduzca un valor nuevo y por
ultimo haga clic en Aceptar. Al finalizar, reinicie el servicio de programacion.
Utilice el cuadro de dialogo Cambiar inicio de sesion (haga clic en Configurar >Servicios > pestana
Programador) para cambiar el inicio de sesion predeterminado del programador. Tambien puede
especificar credenciales alternativas que el servicio programador puede intentar cuando necesite ejecutar
una tarea en dispositivos no administrados.
Para instalar agentes de IVANTI en dispositivos no administrados, el servicio programador debe poder
conectarse con los dispositivos mediante una cuenta administrativa. La cuenta predeterminada que utiliza
el servicio programador es LocalSystem. Por lo general, las credenciales de LocalSystem funcionan en
dispositivos que no se encuentran en un dominio. Si los dispositivos estan en un dominio, especifique una
cuenta de administrador de dominio.
Si desea cambiar las credenciales de inicio de sesion del servicio programador, puede especificar otra
cuenta administrativa a nivel de dominio para utilizarla en los dispositivos. Si administra dispositivos a
traves de varios dominios, puede agregar credenciales adicionales para el programador. Si desea utilizar
una cuenta diferente a LocalSystem para el servicio programador o si desea proveer credenciales
alternativas, debe especificar un servicio de inicio de sesion primario para el programador que posea
derechos administrativos en el servidor central. Las credenciales alternativas no requieren derechos
administrativos en el servidor central, pero si en los dispositivos.
El servicio programador intenta las credenciales predeterminadas y utiliza cada credencial especificada en
la lista Credenciales alternativas hasta que tiene exito o se terminan las credenciales. Las credenciales
especificadas se codifican y almacenan de forma segura en el registro del servidor central.
NOTE: Los servidores centrales de Resumen usan las credenciales de servicio del programador para
autenticar la sincronizacion. En servidores centrales de resumen, estas credenciales de servicio del
programador deben pertenecer a un grupo con privilegios de administrador de consola en los servidores
centrales de origen. Si las credenciales no tienen estos privilegios, el Resumen fallara y usted vera errores
en el manejador de tareas en el registro de sincronizacion del servidor central de origen. 5 6
• Agregar: Haga clic para agregar un nuevo nombre de usuario y una contrasena a la lista de
Credenciales alternas.
Defina las opciones siguientes para las credenciales predeterminada del programador:
Defina las opciones siguientes para las credenciales adicionales del programador:
99
IVANTI ENDPOINT MANAGER
• Nombre de usuario: Introduzca el nombre de usuario que desee que el programador utilice.
• Dominio: Introduzca el dominio del nombre de usuario que se especifico.
• Contrasena: escriba la contrasena para las credenciales especificadas.
• Confirmar contrasena: vuelva a escribir la contrasena para confirmarla.
Utilice la pestana Tareas personalizadas para configurar el servicio de tareas personalizadas para el
servidory la base de datos centrales que se seleccionaron mediante la pestana General. Algunos ejemplos
de tareas personalizadas son los rastreos de inventarios, los despliegues de dispositivos y las
distribuciones de software.
Los trabajos se pueden ejecutar con cualquiera de los dos protocolos de ejecucion remota, TCP o el
protocolo de agente estandar IVANTI, CBA. Cuando deshabilita TCP como protocolo de ejecucion remota,
los trabajos personalizados utilizan el protocolo del agente IVANTI estandar de forma predeterminada, ya
este marcado como inhabilitado o no. Asimismo, si estan habilitadas la ejecucion remota TCPy el agente
IVANTI estandar, el servicio de trabajos personalizados trata de utilizar la ejecucion remota TCP en primer
lugary, si no esta presente, utiliza el IVANTI estandar.
La pestana Tareas personalizadas tambien permite elegir las opciones de la deteccion de dispositivos.
Para que un servicio de tareas personalizadas pueda procesar una tarea, debe detectar cada direccion IP
actual de los dispositivos. Esta pestana permite configurar el modo en que el servicio se comunicara con
los dispositivos.
Acerca del cuadro de dialogo Configuracion de servicios IVANTI: Pestana de Tareas personalizadas
Utilice esta pestana para configurar las opciones siguientes de Trabajos personalizados:
100
GUÍA DE USUARIO
101
IVANTI ENDPOINT MANAGER
Utilice la pestana de Multidifusion para configurar las opciones de deteccion del representante de dominio
de multidifusion del servidory la base de datos centrales que haya seleccionado mediante la pestana
General.
102
GUÍA DE USUARIO
Core synchronization
Sincronizacion de servidores centrales
La sincronizacion del servidor central permite copiar las configuraciones y tareas de servidor
central a servidor central, manual o automaticamente. Puede usar esta funcion para mantener varios
servidores centrales sincronizados con un servidor central maestro.
• Tareas ypolfticas
• A peticion
• Automaticamente
• Importar/exportar
Relacionado con esto, cuando trabaje con tareas programadas de exportacion o sincronizacion,
asegurese que cualquier ruta de acceso de paquete sea la misma en los servidores de origen y
destino. De lo contrario, cuando se importe o sincronice la tarea y se ejecute, la tarea fallara porque
el servidor de destino no puede encontrar el paquete.
103
IVANTI ENDPOINT MANAGER
2. El servidor central de origen se conecta vfa HTTPS al servicio Web seguro del servidor
central de destinoy transmite el archivo .ldms.
3. El servicio Web seguro del servidor central de destino copia el archivo .ldms recibido a su
carpeta C:\Archivos de programa\IVANTI\ManagementSuite\exportablequeue.
4. El servicio de sincronizacion de servidor central revisa con regularidad esta carpeta para
buscar nuevos archivos. Este encuentra el archivo exportado proveniente del servidor
central de origen y lo importa, eliminando el archivo de la carpeta.
O NOTE: El aprovisionamiento del SO y las herramientas del supervisor de licencias de software no son
compatibles con la sincronizacion de servidor central.
104
GUÍA DE USUARIO
IMPORTANT: Los servidores centrales de Resumen usan las credenciales de servicio del programador para
autenticar la sincronizacion. En servidores centrales de resumen, estas credenciales de servicio del programador
deben pertenecer a un grupo con privilegios de administrador de consola en los servidores j centrales de origen. Si
las credenciales no tienen estos privilegios, usted vera errores en el manejador de tareas en el registro de
sincronizacion del servidor central de origen. Para obtener information sobre como cambiar las credenciales de
servicio del programador, consulte "Acerca del cuadro de dialogo Cambiar Inicio de sesion" (100).
105
IVANTI ENDPOINT MANAGER
Para seleccionar los componentes de sincronizacion automatica que usted desea activar
106
GUÍA DE USUARIO
Cuando usted selecciona un componente del arbol de Componentes, puede ver la actividad de
sincronizacion de ese componente.
Al igual que con la sincronizacion a peticion, los elementos de sincronizacion automatica aparecen
en la misma ubicacion de la consola. Sin embargo, los elementos de sincronizacion automatica son
de solo lectura en los servidores centrales de destino y no se pueden modificar o eliminar. Cada vez
que usted cambie un elemento de sincronizacion automatica en el servidor central de origen, el
elemento se sincronizara en los servidores centrales de destino. Si desea que los usuarios de la
consola puedan eliminar un elemento de sincronizacion automatica, solo tiene que apagar la
sincronizacion automatica. Esto no eliminara el elemento de los servidores centrales de destinos,
pero dichos elementos se podran modificar.
107
IVANTI ENDPOINT MANAGER
Para obtener mas informacion sobre como funciona el manejo de conflictos, consulte
"Administracion de conflictos de sincronizacion del servidor central" (110).
1. En la Vista de red o la vista del arbol de herramientas, haga clic con el boton derecho en el
elemento que desea exportary haga clic en Exportar. Si un elemento es exportable, tendra un
comando para Exportar.
1. En la Vista de red o la vista del arbol de herramientas, vaya a la ubicacion en la cual desea
que el elemento importado aparezca.
108
GUÍA DE USUARIO
Si dos elementos con el mismo nombre tienen un ID diferente, la sincronizacion ignorara el original
en el destino yagregara un %1 al nombre del archivo del elemento de sincronizacion. La
sincronizacion seguira creando nuevas entradas en los conflictos de sincronizacion siguientes e
incremental este numero por cada uno hasta que se alcance el lfmite de 99.
109
IVANTI ENDPOINT MANAGER
opciones:
• Cantidad maxima de reintentos: el numero de veces que este servidor central tratara de
conectarse a los servidores centrales de destino. El valor predeterminado es cinco. Una vez
que se alcance este tfmite, el servidor central de origen no intentara sincronizar mas ese
elemento.
• Comprimir los datos cuando se env^en: los servidores centrales se sincronizan vfa HTTPS.
Cuando se marca, esta opcion tambien comprime el flujo de datos. Esta opcion se encuentra
marcada de forma predeterminada.
• Mostrar advertencias de "solo lectura" cuando el usuario intente modificar elementos que se
sincronizaron automaticamente: Esta opcion solo se aplica al servidor en el cual usted
efectuo este cambio, y se refiere a los elementos de sincronizacion automatica que este
servidor reciba, no que se originen. Usted puede desactivar esta opcion si no desea que los
usuarios de la consola vean una advertencia adicional cuando traten de hacer cambios en un
elemento que se sincronizo automaticamente en este servidor. Esta desactivacion solo
deshabilita la advertencia adicional. Los usuarios de la consola de todos modos no podran
cambiar los elementos que se sincronizaron automaticamente en el servidor que los recibe.
110
GUÍA DE USUARIO
Agent configuration
Configuracion de agentes de dispositivos
Los dispositivos necesitan disponer de agentes de Endpoint Manager para que se puedan
administrar por completo.
La ventana Configuracion de agentes permite crear nuevas configuraciones de agente para los
dispositivos de Windows, Linux y Macintosh. Las configuraciones de agente creadas se instalan
automaticamente en los clientes mediante la ventana Tareas programadas de la consola.
NOTE: Creacion de configuraciones de dispositivo en dispositivos con Windows no habilitados para que
sean administrados
Si tiene dispositivos con Windows que forman parte de un dominio de Windows, puede enviar una configuracion
a dichos dispositivos aunque no esten presentes el agente IVANTI estandary el agente de control remoto. Para
obtener mas informacion, consulte la documentacion sobre despliegue de IVANTI community en
https://community.Ivanti.com.
111
IVANTI ENDPOINT MANAGER
Puede utilizar la herramienta Configuracion de agentes para creary actualizar las configuraciones de
agente de dispositivo y servidor (por ejemplo, que agentes estan instalados en los dispositivos y
que protocolos de red utilizan los agentes). Se pueden crear diferentes configuraciones para las
necesidades espedficas de los departamentos o grupos. Por ejemplo, se pueden crear
configuraciones para los dispositivos del departamento de contabilidad o para dispositivos que
utilicen un Sistema operativo determinado. Solo puede haber una configuracion predeterminada
para cada tipo de configuracion. La configuracion predeterminada no se puede eliminar, pero sf se
puede modificar. Es recomendable no tener demasiadas configuraciones diferentes, puesto que
hace el soporte de servicio y la solucion de problemas mas complejos y demorados.
Antes de instalar algun software de agente es necesario crear una configuracion de agente (o usar
la predeterminada). Esto involucra bastante planificacion y pruebas. Es mejor implementar la
configuracion correcta la primera vez, aunque el agente se puede volver a configurary desplegar
nuevamente si es necesario.
Una organizacion puede necesitar varias configuraciones de agente. Por ejemplo, un sistema
portatil podna necesitar una configuracion diferente a un sistema de escritorio. Para evitar
implementar un agente equivocado en el sistema incorrecto, es importante adoptar una convencion
razonable para nombrar cada configuracion de agente.
112
GUÍA DE USUARIO
El agente del rastreador de seguridad y revisiones se instala de forma predeterminada con el agente
de IVANTI estandar. Puede configurar los rastreos de seguridad para determinar la manera y el
momento en que el rastreador de seguridad se ejecuta en los dispositivos administrados y si
muestra o no el progreso y las opciones interactivas al usuario final. (El rastreador de seguridad
permite buscar las actualizaciones del software de IVANTI en los dispositivos y los servidores
centrales aunque no setenga una suscripcion al contenido de IVANTI Security Suite. Con una
suscripcion a Security Suite se pueden aprovechar al maximo las capacidades del rastreador para
encontrar y corregir vulnerabilidades conocidas, spyware, aplicaciones no autorizadas, virus yotros
posibles riesgos de seguridad).
Antes de implementar los agentes, asegurese de consultar los mejores metodos conocidos para
desplegar agentes en el sitio web de la Comunidad de usuarios de IVANTI en
https://community.Ivanti.com/support/docs/DOC-23482.
IMPORTANT: Cuando cree configuraciones de agente en entornos con varios idiomas, asegurese que el nombre
de la configuracion de agente utilice solo caracteres ASCII (juego de caracteres en ingles). Un servidor central
en ingles es compatible con clientes que utilicen todos los idiomas permitidos.
Sin embargo, si el nombre de la configuracion de agente contiene caracteres que no son ASCII, como japones,
chino o ruso, la configuracion de agente se debe crear en un servidor central o consola en ese mismo idioma y
solo funcionara en dispositivos que tengan el mismo idioma. Por ejemplo, una configuracion de agente que
contenga caracteres en japones se debe crear en un servidor central en japones y se debe desplegar en un
cliente en japones.
Se pueden crear diferentes configuraciones para las necesidades espedficas de los grupos. Por
ejemplo, pueden crear configuraciones para los dispositivos en su departamento de contabilidad, o
bien, para dispositivos que utilicen un sistema operativo determinado.
113
IVANTI ENDPOINT MANAGER
Para instalar automaticamente una configuracion en los dispositivos, debe realizar lo siguiente:
114
GUÍA DE USUARIO
115
IVANTI ENDPOINT MANAGER
El agente de avance funciona bien en la mayona de los dispositivos, incluso en los equipos
portatiles con conexiones de red intermitentes o lentas. Sin embargo, no es compatible con PDAy
otros dispositivos de mano.
116
GUÍA DE USUARIO
Al crear una configuracion de agente de avance, la consola toma unos segundos para crear un
paquete de configuracion completa de agentes. La consola coloca el paquete de agente de avance
(<nombre de configuracion>.msi) y el paquete de configuracion completa de agentes recientemente
creado (<nombre de configuracion>.exe) en la carpeta LDLogon\AdvanceAgent del servidor central.
Los nombres de los archivos se basan en el nombre de la configuracion de agentes.
Una vez que ha creado un paquete de configuracion de agentes, debe ejecutar la porcion MSI en los
dispositivos mediante uno de los metodos siguientes:
Una vez que implemente el agente de avance en los dispositivos, este empieza la descarga de la
configuracion asociada de agentes. El agente se ejecuta de forma silenciosa en el dispositivo
administrado, sin mostrar ningun dialogo o informacion de estado. El agente de avance utiliza las
preferencias de ancho de banda que ha especificado en el cuadro de dialogo Ajustes de Agente
avanzados, tales como la descarga entre iguales y el lfmite de ancho de banda dinamico.
Una vez que se instala MSI y se configuran los agentes de forma satisfactoria en un dispositivo, se
elimina el paquete de configuracion completa de agentes. La porcion MSI permanece en el
dispositivo y si se ejecuta el mismo MSI de nuevo no vuelve a instalar los agentes.
1. Cree una configuracion de agente basada en Windows (Herramientas > Configuracion >
Configuracion del Agente).
117
IVANTI ENDPOINT MANAGER
118
GUÍA DE USUARIO
4. Seleccione la ruta donde desee que se almacene el paquete. Asegurese que el nombre de
archivo solo contenga caracteres ASCI I (a-z, A-Z, 0-9).
5. Espere que Endpoint Manager cree el paquete. Esta operacion puede demorar algunos
minutos.
• <nombredeclave>.crt: el archivo .crt contiene la clave publica del servidor central. El archivo
.crt es una version de facil visualizacion de la clave publica que puede consultar para ver
mas informacion acerca de la clave.
119
IVANTI ENDPOINT MANAGER
Otro metodo alternativo para obtener el valor hash es utilizar la aplicacion openssl, la cual esta
almacenada en la carpeta \Archivos de programa\IVANTI\Shared Files\Keys. Se mostrara el valor
hash asociado al certificado mediante la siguiente lfnea de comandos:
Se debe colocar una copia de seguridad del contenido de la carpeta de Claves del servidor central
en un lugar seguro. Si por alguna razon debe reinstalar o reemplazar el servidor central, no podra
administrar los dispositivos de dicho servidor si no agrega los certificados del servidor central
original al nuevo servidor.
Con IVANTI Endpoint Manager version 2017, la instalacion del agente genera automaticamente un
certificado en cada dispositivo administrado. Estos certificados no son validos en el servidor
central hasta que hayan sido aprobados (Configurar > Acceso de clientes). Los dispositivos no
aprobados no podran comunicarse mediante un Dispositivo de Cloud Services.
IVANTI Endpoint Manager version 2017tambien introduce un nuevo modelo de seguridad basado
en certificados para dispositivos de Windows. Cuando este modelo de seguridad esta activo, solo
los dispositivos con certificados validos pueden descifrar los datos del servidor central seguro.
Debido a que este modelo de seguridad no es valido con agentes de versiones de Endpoint Manager
anteriores (9.x), no esta habilitado de manera predeterminada. No obstante, IVANTI recomienda
fervientemente que habilite este modelo de seguridad en cuanto los dispositivos administrados
esten utilizando la version 2916 o posteriores de los agentes. Para obtener mas informacion,
consulte Seguridad basada en los certificados de clientes.
120
GUÍA DE USUARIO
Principalmente, hay dos formas de compartir las claves entre los servidores centrales y centrales de
resumen:
1. Distribucion del certificado de confianza de cada servidor central (el archivo <hash>.0) a los
dispositivos ysus respectivos servidores centrales. Es el metodo mas seguro.
2. Copiando la clave privada y los certificados en cada servidor central. No requiere realizar
ninguna accion en los dispositivos, pero, dado que se tiene que copiar la clave privada,
supone algo mas de riesgo.
En nuestro ejemplo, si desea que el servidor central de resumen y la consola Web puedan
administrar dispositivos de los tres servidores centrales, necesitara distribuir el archivo de
certificado de confianza del servidor central de resumen (el <hash>.0) a todos los dispositivos,
ademas de copiar el mismo archivo en la carpeta ldlogon de cada servidor central. Para obtener mas
informacion, consulte la seccion siguiente. Otra opcion es copiar los archivos de certificado/clave
privada desde cada servidor central al servidor central de resumen. De este modo, cada dispositivo
podra buscar la clave privada coincidente para su servidor central en el servidor central de
resumen. Para obtener mas informacion, consulte "Copiar archivos de certificado/clave privada
entre los servidores centrales" (124).
Si desea que un servidor central pueda administrar dispositivos de otro servidor central, puede
realizar el mismo proceso, distribuyendo el certificado de confianza a los dispositivos o copiando
los archivos de certificado/clave privada entre los servidores centrales.
Si copia certificados entre servidores centrales independientes (no en servidores centrales de
resumen), existe un factor adicional. El servidor central no podra administrar los dispositivos de
otro servidor central a menos que el primero tenga un rastreo de inventario de esos dispositivos. Un
modo de llevar los rastreos de inventario a otro servidor central es mediante la programacion de
una tarea de rastreo de inventario con una lmea de comandos personalizada que envfe el rastreo al
servidor central nuevo. Si se utilizan varios servidores centrales, el uso de un servidor central de
resumen y una consola Web provee un modo mas sencillo de administrar dispositivos a traves de
los servidores centrales. Los servidores centrales de resumen obtienen los datos de rastreo de
inventario automaticamente de todos los dispositivos en los servidores centrales que se resumen
en ellos.
1. Implementar una configuracion de dispositivo que incluya los certificados de confianza del
121
IVANTI ENDPOINT MANAGER
Cada certificado de confianza adicional del servidor central (<hash>.0) que desee que utilicen los
dispositivos se debe copiar en la carpeta ldlogon de dicho servidor. Una vez que este certificado
este en esta carpeta, podra seleccionarlo en la pagina Agente de base comun del cuadro de dialogo
de configuracion de dispositivos. El programa de configuracion de dispositivos copia las claves en
este directorio en los siguientes dispositivos:
122
GUÍA DE USUARIO
NOTE: Cuando se utiliza el control remoto basado en certificados, los dispositivos de destino deben
encontrarse en la base de datos central.
Si utiliza seguridad por control remoto basada en certificados en los dispositivos, solamente podra controlar de
forma remota los dispositivos que tienen un registro de inventario en la base de datos central con la cual tiene
conexion. Antes de comunicarse con un nodo a fin de iniciar el control remoto, el servidor central busca en la
base de datos y verifica que el solicitante tiene derechos para ver el dispositivo. Si el dispositivo no se
encuentra en la base de datos, el servidor central deniega la solicitud.
• Utilizan los mismos certificados de cliente que se utilizan para el acceso de CSA.
123
IVANTI ENDPOINT MANAGER
Con Endpoint Manager 2017, SESS se utiliza para la herramienta de deteccion de dispositivos no
administrados y para el servicio de multidifusion. Otros servicios tendran compatibilidad en el
futuro.
Si desea asegurarse de que Endpoint Manager haga seguimiento a cada equipo individual del fondo
de VDI, debe eliminar estas claves de registro de la imagen de base. Esto permite que las claves de
registro se puedan volver a crear cuando cada equipo del fondo de VDI se inicialice la primera vez y
se carguen los agentes.
Estas son las claves de registro de identificadores unicos y seguimiento de inicios de sesion que se
deben eliminar de la imagen de base VDI.
124
GUÍA DE USUARIO
HKLM\SOFTWARE\Wow6432Node\Intel\IVANTI\CommonApi\UniqueID
HKLM\SOFTWARE\Wow6432Node\IVANTI\CommonApi\UniqueID
HKLM\SOFTWARE\Wow6432Node\IVANTI\Inventario\LogonHistory\Logons
Si usa el monitor de utilizacion de software, tambien debe establecer una ruta de acceso UNC en la
cual se almacenaran los archivos de datos del monitor de software. Si no establece una ruta de
acceso, el supervisor de licencias de software almacenara los datos de la supervision en el registro.
En un entorno no-persistente, los datos se perderan cuando se restablezca la imagen.
Con Endpoint Manager 8.5 y posteriores, se ha eliminado el parametro/u de wscfg32.exe. Existe una
utilidad nueva denominada UninstallWinClient.exe en el recurso compartido LDMain, el cual
constituye la carpeta principal del programa Endpoint Manager. Solamente los administradores
tienen acceso a dicho recurso compartido. Este programa desinstala los agentes de Endpoint
Manager o Server Manager de todos los dispositivos en los cuales se ejecutan. Puede moverlo a
cualquier carpeta que desee o agregarlo a la secuencia de comandos de inicio de sesion. Es una
aplicacion de Windows que se ejecuta en segundo plano sin mostrar una interfaz.
125
IVANTI ENDPOINT MANAGER
La ejecucion de este programa no elimina los dispositivos de la base de datos central. Si vuelve a
implementar agentes en un dispositivo en el que se ejecuto el programa, se almacenara en la base
de datos como un dispositivo nuevo.
NOTE: Si utiliza el cuadro de dialogo Configuracion de agentes para crear una nueva configuracion
predeterminada, tenga en cuenta quetodos los dispositivos configurados porWSCFG32 utilizando secuencias de
comandos de inicio de sesion, se volveran a configurar automaticamente con los nuevos valores
predeterminados la siguiente vez que se inicie sesion, aunque la configuracion actual coincida con la nueva. 7 8
Las siguientes secciones describen las paginas del cuadro de dialogo Configuracion de agentes.
La pagina Inicio del cuadro de dialogo Configuracion de agentes contiene las siguientes opciones:
• Nombre de la configuracion: esta opcion aparece en la parte superior de todas las paginas
del cuadro de dialogo. Escriba un nombre que describa la configuracion en la que esta
trabajando. Puede ser un nombre de configuracion existente o uno nuevo. Este nombre
aparece en la ventana Configuracion de agentes.
8 Configuracion predeterminada: cuando se selecciona, hace que esta sea la
configuracion predeterminada que se instala cuando no se especifica ninguna otra
configuracion.
126
GUÍA DE USUARIO
Administracion de energfa:
Distribucion:
Seguridad:
127
IVANTI ENDPOINT MANAGER
• Componentes basicos: instala a un agente que supervisa el hardware del sistema, como la
velocidad del ventilador, el espacio de disco y la temperatura total del dispositivo.
• Componentes ampliados: instala un agente que supervisa el proceso, los servicios y el
rendimiento global del sistema.
Otras opciones:
• Instalacion de .NET: cuando el agente este instalado, si lo desea, seleccione la instalacion de
Microsoft .NET 4.0 en el dispositivo. Es util para dos nuevas opciones que pueden instalarse
en los dispositivos: Administrador del portal (la version nueva de Desktop Manager) y
Deteccion de la ubicacion (en Configuracion del inventario). Ambas necesitan .NET 4.0. Si
incluye alguna de estas opciones en las configuraciones de agente, seleccione una de las
siguientes opciones de empaquetamiento.
• Incluir .NET en el paquete de instalacion del agente: el paquete de agente contiene el
instalador de .NET y este siempre se instala.
• Si .NET no esta instalado, descargar e instalar: .NET no se instala automaticamente.
Despues de instalar el agente, comprueba si el dispositivo administrado ya tiene .NET
4.0. Si no lo encuentra, utiliza Vulscan.exe para descargar e instalar .NET. (Esta
instalacion no afecta a las versiones anteriores de .NET.)
• Incluir software en el analisis de inventario durante la instalacion: despues de instalar esta
configuracion en los clientes, efectue un analisis completo de inventario (hardware y
software). Los analisis de software pueden durar un rato pero puede habilitar esto si no
desea esperar a que el analisis de inventario lleve a cabo un analisis propio. De manera
predeterminada, el analisis de inventario lleva a cabo un analisis de software al dfa.
• Mostrar el menu de inicio en el dispositivo del usuario final: cuando se activa, crea entradas
en el menu Inicio de Windows para los agentes instalados que tienen una interfaz de usuario.
Si se borra esta opcion, los agentes se instalan pero no se crean entradas en el menu Inicio.
• Directorio temporal de instalacion: especifica la carpeta temporal que se utiliza en los
dispositivos administrados durante la instalacion de agentes. Para que el agente se instale
correctamente, la carpeta debe permitir la escritura.
Despliegue del agente de IVANTI estandar
Todos Endpoint Manager los componentes requieren el agente estandar IVANTI, que se instala de
forma predeterminada en todas las instalaciones de dispositivos. Entre otras cosas, el agente de
IVANTI estandar detecta dispositivos yadministra la comunicacion entre el servidor central y el
dispositivo.
128
GUÍA DE USUARIO
Security Suite.
Para configurarlo, utilice las paginas del agente de IVANTI estandar que cuenta con los siguientes
componentes yconfiguraciones:
La pagina del agente IVANTI estandar cuenta con dos configuraciones globales que puede ajustar:
• No reiniciar nunca: deshabilite todos los reinicios relacionados con el producto. Esta opcion
sobrescribe cualquier configuracion de reinicio de la instalacion del agente que haya
especificado.
Utilice la pagina Conectividad del cliente para seleccionary aplicar una coleccion de Ajustes del
agente de conectividad del cliente que se haya seleccionado y guardado con un unico identificador
o para crear una nueva coleccion de Ajustes del agente de conectividad del cliente. Las
configuraciones del agente requieren valores de conectividad del cliente.
• Conectividad del cliente: Lista las colecciones de ajustes disponibles. Haga clic en un
identificador de la lista y, a continuacion, haga clic en Guardar para aplicar esos ajustes a la
configuracion del agente.
• Editar... Abre el cuadro de dialogo de Ajustes de conectividad del cliente, donde podra
cambiar los ajustes de una coleccion existente.
• Configurar...: Abre el cuadro de dialogo Configurar ajustes de conectividad del cliente. Este
dialogo enumera las colecciones de Ajustes de conectividad del cliente que haya
configurado.
• Nuevo...: Abre el cuadro de dialogo de Ajustes de conectividad del cliente, donde
podra crear una nueva coleccion de ajustes.
• Editar...: Abre el cuadro de dialogo de Ajustes de conectividad del cliente, donde
podra cambiar los ajustes de la coleccion especificada.
• Copiar...: crea una copia de la coleccion de ajustes seleccionada y abre el cuadro de
dialogo Ajustes de conectividad del cliente. Esto es util cuando se desea crear una
nueva coleccion de ajustes similares a una coleccion que ya se ha configurado.
129
IVANTI ENDPOINT MANAGER
Utilice la pagina Ajustes de inventario para seleccionary aplicar una coleccion de Ajustes de
inventario que se haya especificadoy guardado con un unico identificador o para crear una nueva
coleccion de Ajustes de inventario.
• Configuracion del inventario: Lista las colecciones de ajustes disponibles. Haga clic en
un identificador de la lista y, a continuacion, haga clic en Guardar para aplicar esos
ajustes a la configuracion del agente.
• Editar...: Abre el cuadro de dialogo de Ajustes de inventario, donde podra cambiar los ajustes
de una coleccion existente.
• Configurar...: Abre el cuadro de dialogo Configurar ajustes de inventario. Este dialogo
enumera las colecciones de Ajustes de inventario que haya configurado.
• Nuevo...: Abre el cuadro de dialogo de Ajustes de inventario, donde podra crear una
nueva coleccion de ajustes.
• Editar...: Abre el cuadro de dialogo de Ajustes de inventario, donde podra cambiar los
ajustes de una coleccion especificada.
• Copiar...: crea una copia de la coleccion de ajustes seleccionada y abre el cuadro de
dialogo Ajustes de inventario. Esto es util cuando se desea crear una nueva coleccion
de ajustes similares a una coleccion que ya se ha configurado.
• Usar seleccionado: Aplica la configuracion seleccionada en la configuracion del
agente.
Las reglas de alertas definen que eventos requieren una accion inmediata o deben registrarse para
su revision. Una regla contiene un grupo de reglas de alerta, cada una de las cuales cuenta con una
accion de alerta correspondiente. Al definir una regla de alertas, puede implementarlo a uno o mas
dispositivos, a fin de supervisar los elementos que son relevantes para ese tipo de dispositivo.
Puede implementar una de las reglas predefinidas o puede implementar reglas que haya creado
dentro de la herramienta de alerta.
La pagina de alerta contiene las siguientes funciones:
• Agregar: haga clic para anadir una regla existente a la lista Reglas de alerta seleccionadas.
Las reglas de esta lista se implementaran en los dispositivos que reciban esta configuracion
de agente.
• Quitar: Haga clic en una regla y luego en Quitar para eliminarlo de la lista Reglas de alerta
seleccionadas.
Acerca de la pagina Opciones de Reinicio (en Agente de IVANTI estandar)
Utilice la pagina Opciones de reinicio de dispositivo para seleccionary aplicar una coleccion de
Ajustes de reinicio que se haya especificadoy guardado con un unico identificador o para crear una
130
GUÍA DE USUARIO
131
IVANTI ENDPOINT MANAGER
La pagina de Formularios enviados con el agente muestra una lista de todos los formularios de
datos personalizados que se han definido. Seleccione que formularios estaran disponibles en los
dispositivos que reciban esta tarea de configuracion. Tendra que crear los formularios
(Herramientas > Configuracion > Formularios de datos personalizados) para que aparezcan en esta
lista.
Utilice la pagina Distribucion y revision para seleccionary aplicar una coleccion de Ajustes
distribucion y revision que se haya especificadoy guardado con un unico identificador o para crear
una nueva coleccion de Ajustes.
• Ajustes de distribucion y revision: Lista las colecciones de ajustes disponibles. Haga clic en
un identificador de la lista y, a continuacion, haga clic en Guardar para aplicar esos ajustes a
la configuracion del agente.
• Editar...: Abre el cuadro de dialogo de Ajustes de distribucion y revision, donde podra
cambiar los ajustes de una coleccion especificada.
• Configurar...: Abre el cuadro de dialogo Configurar ajustes de distribucion y revision. Este
dialogo enumera las colecciones de Ajustes de distribucion y revision que haya configurado.
• Nuevo...: Abre el cuadro de dialogo de Ajustes de distribucion y revision, donde podra
crear una nueva coleccion de ajustes.
• Editar...: Abre el cuadro de dialogo de Ajustes de distribucion y revision, donde podra
cambiar los ajustes de una coleccion especificada.
132
GUÍA DE USUARIO
Utilice la pagina Administrador del portal para seleccionary aplicar una coleccion de Ajustes del
administrador del portal que se haya especificado y guardado con un unico identificador o para
crear una nueva coleccion de Ajustes. Las opciones de esta pagina se habilitan si se selecciona
Utilizar el Administrador del portal en la pagina Distribucion de software de Configuracion de
agentes.
• Ajustes del administrador del portal: Lista las colecciones de ajustes disponibles. Haga clic
en un identificador de la lista y, a continuacion, haga clic en Guardar para aplicar esos
ajustes a la configuracion del agente.
• Editar...: Abre el cuadro de dialogo de Ajustes del administrador del portal, donde podra
cambiar los ajustes de la coleccion especificada.
• Configurar...: Abre el cuadro de dialogo Configurar ajustes del administrador del portal. Este
dialogo enumera las colecciones de Ajustes del administrador del portal que haya
configurado.
• Nuevo...: Abre el cuadro de dialogo de Ajustes del administrador del portal, donde
podra crear una nueva coleccion de ajustes.
• Editar...: Abre el cuadro de dialogo de Ajustes del administrador del portal, donde
podra cambiar los ajustes de la coleccion especificada.
• Copiar...: crea una copia de la coleccion de ajustes seleccionada y abre el cuadro de
dialogo Ajustes del administrador del portal. Esto es util cuando se desea crear una
nueva coleccion de ajustes similares a una coleccion que ya se ha configurado.
• Usar seleccionado: Aplica la configuracion seleccionada en la configuracion del
agente.
• Configuracion de accesos directos: Seleccione las ubicaciones donde desea agregar
accesos directos al Administrador del portal en el dispositivo administrado.
• Iniciar/apagar opciones: se utiliza para que el Administrador del portal se abra siempre que
un usuario final inicia sesion. Garantiza que las tareas de directivas requeridas se ejecuten
con regularidad.
Utilice la pagina IVANTI Workspaces para agregar un acceso directo de IVANTI Workspaces al grupo
de programas de IVANTI. Para obtener mas informacion sobre Workspaces, consulte IVANTI
Workspaces.
133
IVANTI ENDPOINT MANAGER
Utilice esta pagina para asignar una configuracion de reemplazo de variable personalizada a los
dispositivos que tengan esta configuracion de agente. El analizador de seguridad puede utilizar
variables personalizadas (valores modificables incluidos en ciertas definiciones de tipos de
seguridad) para detectary modificar opciones espedficas de configuracion y para implementar
opciones estandar de configuracion del sistema en los dispositivos administrados. Puede cambiar
el valor de una configuracion y seleccionar si desea reemplazar el valor actual con uno nuevo y
luego utilizar esta configuracion de agente para aplicarla en los dispositivos de destino. Es posible
que en algunos casos desee ignorar la configuracion de variables personalizadas o, en otras
palabras, crear una excepcion a la regla. La configuracion del reemplazo de variables
personalizadas le permite decidir que variables personalizadas se van a pasar por alto durante el
analisis de los dispositivos para que no se las detecte como vulnerables ni se las repare aunque
cumplan con las condiciones reales de las reglas de deteccion de una definicion.
134
GUÍA DE USUARIO
Utilice esta pagina para seleccionar una configuracion de antivirus para los dispositivos con esta
configuracion de agente y para seleccionar si se deben quitar o no los antivirus existentes en
dichos dispositivos cuando se configuren.
Para seleccionar una configuracion de antivirus, primero debe seleccionar la casilla de verificacion
del agente Antivirus de IVANTI Antivirus en la pagina Inicio.
La configuracion de antivirus le permite controlar la forma en que opera el analizador de antivirus en
los dispositivos de destino. Puede definir parametros de analisis de antivirus tales como archivos y
carpetas para analizar o excluir, analisis manuales, analisis en tiempo real, analisis programados,
opciones de cuarentena y copia de seguridad, opciones de actualizacion de archivos de patrones de
virus y las opciones de informacion e interactiva que se muestran en la pantalla de los dispositivos
del usuario final durante el analisis de antivirus.
Si hay instalado otro producto de antivirus en los dispositivos de destino, se eliminaran
automaticamente durante la configuracion del agente de IVANTI Antivirus.
Esta pagina contiene las siguientes opciones:
• Configuration de IVANTI Antivirus: La configuracion del antivirus determina si el icono de
Antivirus aparece en la bandeja del sistema del dispositivo, la disponibilidad de las opciones
interactivas para los usuarios finales, la habilitacion del analisis de correo electronico y de la
proteccion en tiempo real, los tipos de archivo a analizar, los archivos y carpetas a excluir, la
cuarentena y la copia de seguridad de los archivos infectados, los analisis programados del
antivirus y las actualizaciones programadas de los archivos de definiciones de virus.
Seleccione una configuracion de la lista. Haga clic en Configurar para abrir el cuadro de
dialogo Configuracion de IVANTI Antivirus, donde podra crear un nuevo ajuste.
135
IVANTI ENDPOINT MANAGER
Utilice estas opciones para configurar el modo en que IVANTI Antivirus se instalara en los
dispositivos administrados. La opcion que elija afectara al tamano de la descarga del paquete de
instalacion de antivirus. Puede seleccionar las siguientes opciones:
Utilice esta pagina para habilitary configurar el servidor de seguridad de Windows en dispositivos
administrados con esta configuracion de agente. Puede habilitar o deshabilitar el firewall, asf como
configurar sus valores, incluyendo excepciones, reglas de entrada y reglas de salida (de
dispositivos, puertos y programas).
• Ajustes del Firewall de Windows: Especifica las opciones de configuracion del Firewall de
Windows implementadas en los dispositivos de destino con esta configuracion de agente.
Seleccione una configuracion de la lista para aplicarla a la configuracion que creo.
136
GUÍA DE USUARIO
Utilice esta pagina para seleccionar una configuracion de Endpoint Security en los dispositivos
administrados con esta configuracion de agente. Endpoint Security incluyetres componentes: HIPS,
IVANTI Firewall y Device Control
Para seleccionar una configuracion Seguridad de terminales, en primer lugar debe seleccionar la
casilla de verificacion del agente de Seguridad de terminales en la pagina Inicio.
Esta pagina contiene las siguientes opciones:
137
IVANTI ENDPOINT MANAGER
Utilice esta pagina para habilitary configurar el servicio del vigilante del agente de IVANTI en los
dispositivos con esta configuracion de agente.
El vigilante del agente le permite supervisar activamente los servicios y los archivos del agente de
IVANTI seleccionados en los dispositivos. El vigilante del agente reinicia los servicios del agente
que se han detenido y restablece los tipos de inicio de los servicios que se han establecido como
automaticos. Ademas, el servicio quita los archivos del agente supervisado de las listas de archivos
que se eliminaran durante el arranque, a fin de impedir su eliminacion. De forma adicional, el
Vigilante del agente le avisa cuando no se pueden reiniciar los servicios del agente, cuando se han
eliminado los archivos del agente y cuando estos se han programado para ser eliminados durante el
reinicio.
• Usar Vigilante del agente: habilita el servicio del Vigilante del agente en los dispositivos con
esta configuracion de agente.
• Configuracion del Vigilante del agente: especifica las opciones de configuracion del Vigilante
del agente se desplieguen a los dispositivos de destino con esta configuracion de agente. La
configuracion del vigilante del agente determina que servicios y archivos se supervisan y
con que frecuencia, asf como tambien si el servicio permanece residente en el dispositivo.
Seleccione una configuracion de la lista.
• Configurar...: Abre el cuadro de dialogo Lista de ajustes. Este dialogo enumera las
colecciones de Configurar vigilante del agente que haya configurado.
• Nuevo...: Abre el cuadro de dialogo de Configurar vigilante del agente, donde podra
crear una nueva coleccion de ajustes.
• Editar...: abre el cuadro de dialogo de Configurar vigilante del agente, donde podra
cambiar los ajustes de una coleccion existente.
• Copiar...: crea una copia de la coleccion de ajustes seleccionada y abre el cuadro de
dialogo Configurar vigilante del agente. Esto es util cuando se desea crear una nueva
coleccion de ajustes similares a una coleccion que ya se ha configurado.
• Usar seleccionado: Aplica la configuracion seleccionada en la configuracion del
agente.
Utilice esta pagina para habilitary configurar otros ajustes de seguridad en dispositivos
administrados con esta configuracion de agente. Otros ajustes de seguridad incluyen los
bloqueadores de aplicaciones en tiempo real para aplicaciones no autorizadas y bloqueo de
spyware en tiempo real.
• Aplicar otros ajustes de seguridad a esta configuracion: Si se selecciona esta opcion, podra
seleccionar un perfil Otros ajustes de seguridad.
138
GUÍA DE USUARIO
• Otros ajustes de seguridad: Lista las colecciones de ajustes disponibles. Haga clic en un
identificador de la lista y, a continuacion, haga clic en Guardar para aplicar esos ajustes a la
configuracion del agente.
• Editar...: Abre el cuadro de dialogo de Otros ajustes de seguridad, donde podra cambiar los
ajustes de una coleccion existente.
• Configurar...: Abre el cuadro de dialogo Configurar otros ajustes de seguridad. Este dialogo
enumera las colecciones de Otros ajustes de seguridad que haya configurado.
• Nuevo...: Abre el cuadro de dialogo de Otros ajustes de seguridad, donde podra crear
una nueva coleccion de ajustes.
• Editar...: abre el cuadro de dialogo de Otros ajustes de seguridad, donde podra
cambiar los ajustes de una coleccion existente.
• Copiar...: crea una copia de la coleccion de ajustes seleccionada y abre el cuadro de
dialogo Otros ajustes de seguridad. Esto es util cuando se desea crear una nueva
coleccion de ajustes similares a una coleccion que ya se ha configurado.
• Usar seleccionado: Aplica la configuracion seleccionada en la configuracion del
agente.
• Configuracion de control remoto: Lista las colecciones de ajustes disponibles. Haga clic en
un identificador de la lista y, a continuacion, haga clic en Guardar para aplicar esos ajustes a
la configuracion del agente.
• Configurar...: abre el cuadro de dialogo Configurar los ajustes de control remoto. Este
dialogo enumera las colecciones de Ajustes de control remoto que haya configurado.
• Nuevo...: abre el cuadro de dialogo deAjustes de control remoto, donde podra crear
una nueva coleccion de ajustes.
• Editar...: abre el cuadro de dialogo de Ajustes de control remoto, donde podra cambiar
los ajustes de una coleccion existente.
• Copiar...: crea una copia de la coleccion de ajustes seleccionada y abre el cuadro de
dialogo Ajustes de control remoto. Esto es util cuando se desea crear una nueva
coleccion de ajustes similares a una coleccion que ya se ha configurado. Esto es util
cuando se desea crear una nueva coleccion de ajustes similares a una coleccion que
ya se ha configurado.
• Usar seleccionado: Aplica la configuracion seleccionada en la configuracion del
agente.
139
IVANTI ENDPOINT MANAGER
• Utilizar el controlador de pantalla vatia: esta opcion, que esta seleccionada de forma
predeterminada, utiliza un controlador especial que puede informar a la pantalla del
dispositivo de destino que apague el monitor. Cuando este controlador se encuentra
activo, filtra los comandos que se dirigen al controlador de pantalla real para evitar
que vuelvan a encender el monitor. Los operadores de control remoto pueden activar
o desactivar la opcion de pantalla vada desde la aplicacion del visor del control
remoto. Si se presentan problemas de compatibilidad con este controlador, puede
desactivar la casilla de verificacion para utilizar un modo de pantalla vada mas
compatible, pero probablemente menos eficaz. Si no utiliza el controlador de pantalla
vada, el modo de pantalla vada alternativo puede hacer parpadear la pantalla del
dispositivo de destino mientras se controla en remoto. Esta opcion requiere el
controlador espejo.
Utilice esta pagina para habilitary configurar la deteccion extendida de dispositivos en dispositivos
administrados con esta configuracion de agente.
Con la deteccion ARP, el agente de deteccion extendida de dispositivos escucha las difusiones
ARP de red. Luego el agente verifica los dispositivos detectados ARP para ver si tienen instalado el
agente de IVANTI estandar. Si el agente de IVANTI no responde, el dispositivo detectado ARPse
muestra en la lista Equipos. La deteccion extendida de dispositivos es ideal en situaciones donde
los servidores de seguridad evitan que los dispositivos respondan a los metodos de deteccion UDD
normales basados en ping.
140
GUÍA DE USUARIO
141
IVANTI ENDPOINT MANAGER
Las funciones de Administracion de energfa de IVANTI permiten que los administradores controlen
centralmente el consumo de energfa de los terminales mediante la creacion, evaluacion financiera y
despliegue de directivas de administracion de energfa.
Use la pagina Administracion de energfa para seleccionar la directiva de energfa que se va a
distribuir al dispositivo del cliente. Aunque los administradores controlan centralmente las
condiciones en las cuales los equipos y los monitores quedan en espera, hibernan o se apagan, los
usuarios pueden impedir ciertas acciones de Administracion de energfa desde el lado del cliente de
ser necesario. Ademas, hay una opcion de apagado mediante "software" que protege los datos de
usuario que no se hayan guardado. Se efectua una comparacion entre una base de datos que tiene
valores de consumo de energfa en vatios OEM y los datos de inventario de hardware actuales.
Ademas, la configuracion personalizada del consumo de energfa permite lograr altos niveles de
142
GUÍA DE USUARIO
Utilice esta pagina para administrar los inquilinos asociados a una configuracion de agente. La
administracion de inquilinos es un complemento a IVANTI Endpoint Manager que se puede comprar
por separado. La Administracion de inquilinos le permite dividir en secciones los dispositivos
administrados y las configuraciones de la compama. Para obtener mas informacion, consulte
"Informacion general sobre la Administracion de inquilinos" (1149).
Esta pagina contiene las siguientes opciones:
143
IVANTI ENDPOINT MANAGER
144
GUÍA DE USUARIO
La pagina Agente estandar de IVANTI del cuadro de dialogo Configuracion de agentes Linux
contiene las siguientes opciones:
• Certificados de confianza para autenticar agentes: los certificados controlan que servidores
centrales pueden administrar dispositivos. Marque los certificados del servidor central que
desee que se instalen con esta configuracion. Para obtener mas informacion, consulte
"Seguridad del agente y certificados de confianza" (120).
• NOTA: Las otras opciones de esta pagina se encuentran atenuadas y no se aplican a las
configuraciones de agentes de Linux.
• Iniciar analisis de inventario: puede seleccionar diario, semanal o mensual. La opcion que
seleccione agrega un comando al archivo cron.daily, cron.weekly o cron.monthly del servidor
que ejecuta el analizador de inventario.
Utilice el cuadro de dialogo Opciones de estado del agente (Configurar > Opciones de estado del
agente) para configurar las siguientes opciones de deteccion del agente.
• Solo para los elemento seleccionados que son visibles: especifica que el estado del
agente de un dispositivo se actualice cuando el dispositivo esta seleccionado en la
vista de red. Considere la posibilidad de utilizar esta opcion y desactivar la
actualizacion automatica si la relacion de dispositivos disponibles a no disponible es
de alrededor de 50/50. Tambien se recomienda utilizar esta opcion y desactivar la
actualizacion automatica cuando se desea reducir la cantidad de trafico de red que la
consola genera.
• Para todos los elementos visibles: especifica que se actualizara el estado del agente
de todos los dispositivos visibles en la vista de red segun la frecuencia de
actualizacion. Cuando nuevos dispositivos se hacen visibles se actualiza su estado
del agente (e integridad). Esta opcion genera el mayor trafico de red.
• Actualizar cada < > minutes: indica si el estado del agente se actualiza automaticamente
dentro del intervalo que se selecciono. Para activar esta opcion, seleccione la casilla de al
145
IVANTI ENDPOINT MANAGER
146
GUÍA DE USUARIO
Agent Watcher
Informacion general sobre el Vigilante del agente
El vigilante del agente de IVANTI es una herramienta que permite supervisar de forma proactiva el
estado de los servicios y los archivos seleccionados del agente de IVANTI Endpoint Manager para
garantizar su integridad y preservar el funcionamiento adecuado en los dispositivos administrados.
Se puede habilitar el Vigilante del agente e implementar su configuracion asociada mediante una
configuracion inicial de agente en el dispositivo. Tambien se puede actualizar en cualquier
momento sin tener que configurar un agente completo.
El vigilante del agente no solo supervisa los servicios y archivos cnticos, sino que tambien puede
reiniciar servicios finalizados, restablecer servicios programados para iniciarse automaticamente,
restaurar archivos que estan pendientes de eliminar durante el reinicio e informarle sobre
evidencias de manipulacion de archivos al servidor central.
El vigilante del agente de IVANTI Endpoint Manager supervisa los servicios y archivos
especificados por la configuracion del Vigilante del agente de un dispositivo.
La configuracion del Vigilante del agente tambien determina la frecuencia con la que se debe
verificar el estado de los servicios y archivos del agente, si permanece residente el Vigilante del
agente en los dispositivos y si se deben buscar cambios en la configuracion aplicada.
De forma predeterminada, el Vigilante del agente se encuentra apagado. Puede habilitar el Vigilante
del agente mediante una configuracion de agente o hacerlo luego mediante una tarea aparte para
Actualizar la configuracion del Vigilante del agente. En otras palabras, no es necesario que habilite
el Vigilante del agente durante la configuracion inicial de un dispositivo. Puede hacerlo en cualquier
momento directamente desde la consola en uno o mas dispositivos administrados.
Monitor de servicios
Se pueden monitorizar los siguientes servicios del agente:
• Programador local . IVANTI
Antivirus
• IVANTI Policy Invoker
• Control remoto
• Monitoreo de licencia de software
• Multidifusion dirigida
147
IVANTI ENDPOINT MANAGER
CAUTION: No se deben seleccionar servicios que no se van a implementar para que el vigilante del
agente los supervise
Cuando configure el Vigilante del agente, no seleccione servicios que no piense instalar en los dispositivos de
destino. De lo contrario, el servidor central recibira alertas para servicios no instalados que no se instalaron a
proposito. Sin embargo, tenga en cuenta que aunque se seleccione un servicio no instalado para supervisarlo,
no se envian alertas diciendo que el servicio no puede reiniciarse o que su tipo de inicio no puede cambiarse.
Monitor de archivos
Los siguientes archivos se pueden monitorizar:
• Ldiscn32.exe
• Vulscan.dll
• Vulscan.exe
• Sdclient.exe
El Vigilante del agente puede activarse a traves de la configuracion inicial del agente del dispositivo
o luego a traves de una tarea para Actualizar la configuracion del Vigilante del agente.
148
GUÍA DE USUARIO
Si desea activar el Vigilante del agente (o actualizar su configuracion) mas adelante, puede hacerlo
directamente desde la consola para uno o mas de los dispositivos administrados.
Para habilitar el Vigilante del agente (o actualizar su configuracion) como una tarea aparte
1. En la consola, haga clic con el boton derecho en uno o mas dispositivos y luego haga clic en
Actualizar la configuracion del Vigilante del agente.
2. Active Usar Vigilante del agente.
3. Seleccione una de las configuraciones de la lista disponibleyaplfquela a la configuracion de
agente que esta creando. Usted puede crear una nueva configuracion o modificar una
existente. La configuracion que se aplique determina que servicios y archivos se supervisan
y con que frecuencia, y si el ejecutable del Vigilante del agente permanece residente en la
memoria de los dispositivos supervisados.
4. Haga clic en Aceptar.
Al hacer clic en el boton Aceptar, todos los dispositivos de destino seleccionados se actualizan con
la nueva configuracion yaparece un mensaje de estado.
Utilice la configuracion del Vigilante del agente (haga clic en Herramientas > Configuracion >
Configuracion del agente > Nuevo agente de Windows > Seguridad y cumplimiento> Vigilante del
agente) para determinar que servicios y archivos se supervisan, con que frecuencia se verifica el
estado de los servicios y archivos, si el Vigilante del agente permanece residente en el dispositivo y
si se buscan de cambios en la configuracion que se aplique.
149
IVANTI ENDPOINT MANAGER
1. En la consola, haga clic con el boton derecho en uno o mas dispositivos y luego haga clic en
Actualizar la configuration del Vigilante del agente.
150
GUÍA DE USUARIO
Todos los informes del Vigilante del agente incluyen el nombre del equipo de escritorio, el servicio o
archivo que se monitorea, el estado de la alerta (encontrada o resuelta) y la fecha de deteccion del
evento.
El Vigilante del agente guarda el estado de las alertas para que el servidor central reciba solo una
cuando se encuentre la condicion y otra cuando esta se resuelva. Pueden haber varias alertas al
reiniciar el Vigilante del agente para reiniciar el sistema, o cuando se envfa o se extrae una
configuracion nueva del equipo de escritorio.
Tambien pueden generarse informes para una categona determinada con base en distintos
intervalos de tiempo, tales como hoy, la semana pasada, los ultimos 30 dfas u otros periodos.
IMPORTANT: Informacion sobre alertas del Vigilante del agente eliminadas automaticamente al cabo de
90 dias
Todas las alertas del vigilante del agente que tienen mas de 90 dfas se eliminan automaticamente de la base de
datos. La informacion de alertas se utiliza para generar informes del vigilante del agente.
Para obtener mas informacion sobre la utilizacion de la herramienta de Informes, consulte "Uso de
los informes" (212).
Utilice este cuadro de dialogo para administrar su configuracion. Cuando ya este configurado,
puede aplicar dicha configuracion a los dispositivos administrados a traves de una tarea de
configuracion de agente o de cambio de configuracion.
El Vigilante del agente permite crear varias opciones de configuracion que pueden aplicarse a los
dispositivos o a los grupos de dispositivos.
151
IVANTI ENDPOINT MANAGER
Utilice este cuadro de dialogo para creary modificar la configuracion del Vigilante del agente.
La configuracion del vigilante del agente determina que servicios y archivos se supervisan y con
que
frecuencia, asf como tambien si la utilidad permanece residente en el dispositivo.
152
GUÍA DE USUARIO
IMPORTANT: No se deben seleccionar servicios que no se van a implementar para que el vigilante
del
Acerca del cuadro de dialogo Actualizar la configuracion del Vigilante del agente
Utilice este cuadro de dialogo para actualizar la configuracion del Vigilante del agente en los
dispositivos de destino y para habilitar o deshabilitar la herramienta del Vigilante del agente en los
dispositivos de destino.
Mediante el cuadro de dialogo Actualizar la configuracion del vigilante del agente tambien puede
desactivar el vigilante del agente desmarcando la casilla de verificacion Usar vigilante del agente y
haciendo clic en Aceptar.
• Usar el Vigilante del agente: habilita el servicio del Vigilante del agente en los dispositivos de
destino.
Puede ver los datos de inventario y utilizarlos para:
• personalizar las columnas de vista de red para mostrar atributos espedficos del inventario
• Consultar la base de datos central acerca de los dispositivos con atributos espedficos del
inventario
• Agrupar dispositivos para acelerartareas de administracion, como la distribucion de software
153
IVANTI ENDPOINT MANAGER
Inventario
Informacion general sobre el rastreo de inventario
Recopila datos del hardware y software ylo introduce en la base de datos central. Al configurar un
dispositivo con la herramienta de configuracion de agentes, el rastreador de inventario es uno de
los componentes del agente Endpoint Manager estandar que se instala en el dispositivo. El
rastreador de inventario se ejecuta automaticamente cuando el dispositivo se configura por primera
vez. Un dispositivo se considera administrado una vez que envfa un rastreo de inventario a la base
de datos central. El archivo ejecutable del rastreador tiene el nombre ldiscn32.exe.
Para rastrear un dispositivo a peticion, localfcelo en la vista de red, haga clic con el boton derecho y
haga clic en Rastreo de Inventario.
NOTE: Un dispositivo agregado a la base de datos central mediante la funcion de deteccion aun no ha rastreado
los datos de su inventario en dicha base de datos. Debera ejecutar un rastreo de inventario en cada dispositivo
para que aparezcan todos los datos de dicho dispositivo. 11
Puede utilizar rastreos de inventario para realizar un seguimiento de los cambios de hardware y
software en los dispositivos, asf como para generar alertas o entradas en el archivo de registro
cuando dichos cambios se produzcan. Para obtener mas informacion, consulte "Seguimiento de
cambios del inventario" (160).
154
GUÍA DE USUARIO
Rastreo delta
Tras el rastreo completo inicial en un dispositivo, el rastreador de inventario solo captura los
cambios delta y los envfa a la base de datos central. Al enviar solamente los datos cambiados, se
minimiza el tiempo de trafico de red y de procesamiento de datos.
1. Elimine el archivo invdelta.dat del dispositivo. Se almacenara de forma local una copia del
ultimo rastreo de inventario en un archivo oculto denominado invdelta.dat. La variable de
entorno LDMS_LOCAL_DIR define la ubicacion de dicho archivo. De forma predeterminada
se ubica en C:\Archivos de programa\IVANTI\LDClient\Informacion.
3. En el servidor central, haga clic en Inicio > Todos los programas > IVANTI > Configuracion de
servicios de IVANTI.
De manera predeterminada, los rastreos de inventario se cifran (solo los rastreos de TCP/IP). Para
desactivar el cifrado del rastreo de inventario, cambie una opcion en el subprograma Configuracion
de servicios de IVANTI Software (Configurar > Servicios).
155
IVANTI ENDPOINT MANAGER
1. En el servidor central, haga clicen Inicio > Todos los programas > IVANTI > Configuracion de
servicios de IVANTI.
En la pestana Configurar > Servicios > Inventario, existe la opcion Transporte de datos cifrados.
Esta opcion ocasiona que los rastreos de dispositivos se envfen al servidor central mediante SSL.
Debido a que los archivos se envfan a traves del servicio Web y no de la interfaz del servicio de
inventario, no se anexa una direccion NAT al archivo de rastreo, aunque dicha opcion este activada
en el registro.
Puede ver los datos de inventario, ya sea como un resumen o como un inventario completo de
dispositivo. Puede ademas visualizar datos de inventario en los informes que genere. Para obtener
mas informacion, consulte "Uso de los informes" (212).
NOTE: Si ha agregado un dispositivo a la base de datos central utilizando la herramienta de deteccion, los datos
de su inventario aun no se han rastreado en la base de datos central. Debe ejecutar un rastreo de inventario en
el dispositivo para que aparezca su inventario.
1. En la vista de red de la consola, haga clic con el boton derecho del raton en un dispositivo.
2. Haga clic en la pestana Propiedades > Inventario.
Mostrar/Ocultar imagen
156
GUÍA DE USUARIO
Un inventario completo proporciona una lista entera de los componentes detallados de hardware y
software de un dispositivo. Dicha lista contiene objetos y atributos de objeto. El campo de
busqueda busca texto en ambos paneles, incluidos los valores. La busqueda no distingue entre
mayusculas y minusculas y puede utilizar F3 para acceder a la siguiente coincidencia.
1. En la vista de red de la consola, haga clic con el boton derecho del raton en un dispositivo.
2. Haga clic en Inventario.
Mostrar/Ocultar imagen
157
IVANTI ENDPOINT MANAGER
En la lista de inventario, puede ver las propiedades de los atributos de los objetos de inventario de
un dispositivo. Estas propiedades le informaran de las caractensticas y valores de un objeto de
inventario. Puede ademas crear atributos personalizados y modificar otros definidos por el usuario.
Para obtener mas informacion, consulte "Acerca del cuadro de dialogo Propiedades de atributos de
inventario" (192).
158
GUÍA DE USUARIO
Mostrar/Ocultar imagen
Puede ver e imprimir el historial de un dispositivo con los cambios del inventario. Asimismo, puede
exportar los cambios del inventario a un archivo con formato CSV para analizarlo utilizando sus
propias herramientas de informe.
Para realizar un seguimiento y utilizar los cambios del inventario, primero debe configurarlos. Podra
realizar las demas tareas del historial de cambios de inventario:
159
IVANTI ENDPOINT MANAGER
Mostrar/Ocultar imagen
160
GUÍA DE USUARIO
Para obtener mas informacion, consulte "Acerca del cuadro de dialogo Configuracion de cambios
del inventario" (192).
1. En la vista de red de la consola, haga clic con el boton derecho del raton en un dispositivo.
2. Haga clic en Historial de inventario.
3. Haga clic en Imprimir, para imprimir el historial de cambios de inventario.
4. Haga clic en Exportar para guardar el historial de cambios de inventario como un archivo
CSV.
Para obtener mas informacion, consulte "Acerca del cuadro de dialogo Historial de cambios del
inventario" (193).
161
IVANTI ENDPOINT MANAGER
La mejor forma de obtener esta informacion es directamente de los usuarios con formularios de
datos personalizados.
Estos formularios incluyen dos componentes principales: Form Designer, que sirve para crear
formularios que los usuarios pueden rellenar; y Visor de formularios, con el que los usuarios
rellenan los formularios.
Los formularios se pueden almacenar de forma central o local. En el primer caso, todos los
usuarios reciben acceso automatico a los formularios mas recientes, puesto que todos ven el
mismo desde la misma ubicacion. Si los formularios se almacenan localmente, debe asegurarse
de que los usuarios reciben los mas recientes.
162
GUÍA DE USUARIO
Mostrar/Ocultar imagen 13 •
163
IVANTI ENDPOINT MANAGER
Ademas, asegurese de que los campos personalizados reciben nombres unicos, independientemente de las
mayusculas. Es probable que no se recuperen los datos de inventario correctos si existen dos campos
personalizados con el mismo nombre, independientemente de las mayusculas.
Mostrar/Ocultar imagen
164
GUÍA DE USUARIO
10. Si ha seleccionado alguno de los tipos de control de cuadro combinado, haga clic en
Siguiente para abrir el cuadro de dialogo Agregar elementos. Este tipo de control permite
que los usuarios seleccionen sus respuestas en una lista desplegable de elementos
predefinidos.
11. En el cuadro de dialogo Agregar elementos, introduzca el nombre de un elementoy haga clic
en Insertar para colocarlo en la lista Elementos. Dichos elementos aparecen en una lista
desplegable para la pregunta correspondiente del formulario. Puede agregartantos
elementos como desee y, a continuacion, hacer clic en Finalizar.
12. Una vez que haya agregado las preguntas, haga clic en Cerrar para guardar el formulario.
Puede hacer clic con el boton derecho del raton en un formulario, a fin de programarlo para su
distribucion a dispositivos.
165
IVANTI ENDPOINT MANAGER
NOTE: Si un formulario que forma parte de un grupo se modifica o elimina posteriormente, el grupo reflejara
dichos cambios automaticamente.
Mostrar/Ocultar imagen
Una vez que haya creado un grupo de formularios, puede hacer clic con el boton derecho en el
grupo para programarlo para efectuar distribucion a los dispositivos.
Mostrar/Ocultar imagen
166
GUÍA DE USUARIO
• Cuando se inicia desde la carpeta del programa IVANTI: el visor de formularios se puede
abrir de forma manual desde el grupo de programas Endpoint Manager. La proxima vez que
se ejecute el rastreador de inventario, enviara formularios rellenados a la base de datos
central.
Tambien puede utilizar la ventana Tareas programadas para ejecutar el visor de formularios en
dispositivos en un momento predefinido. Para ello, utilice la ventana Tareas programadas para que
primero distribuya los formularios a los dispositivos. Asegurese de que le proporciona tiempo
suficiente a esta distribucion antes de utilizar la funcion de trabajos realizables en secuencia de
tareas programadas para ejecutar el visor de formularios.
167
IVANTI ENDPOINT MANAGER
Una vez que los usuarios seleccionan un formulario para llenary hacen clic en Abrir, aparece un
asistente de formulario sencillo. Este incluye una lista de preguntas y campos para las respuestas.
Si hay mas preguntas que no caben en una pagina, utilice los botones Atras/Siguiente. Los
usuarios pueden hacer clic en Ayuda (o presionar la tecla F1), mientras que el cursor se encuentra
en algun campo, para mostrar un mensaje de ayuda generado por el campo Descripcion del
disenador de formularios.
Mostrar/Ocultar imagen
168
GUÍA DE USUARIO
Es necesario responder a todas las preguntas obligatorias antes de pasar a la pagina siguiente o de
salir del formulario. Las preguntas obligatorias tienen un punto rojojunto a ellas.
La ultima pagina del asistente de formularios incluye el boton Finalizar, haga clic en el cuando haya
terminado de rellenar el formulario. Al hacer clic en este boton, se regresara al cuadro de dialogo
Selection de formularios y se actualizara el mensaje de estado que aparece junto al nombre de los
formularios.
Ol
tano | Nombre de atributo ^ 1 Clave I Gave 1 Valor
x c Datos personalizados Custom Data - DirectX - Version HKCU
d...
Software\Microsoft\DirectX InstalledVer...
Bementos de
\ y registro
Bemento de WMI a Custom Data - Image - Image Time Stamp
Custom Data - Image - Image Version
HKLM
HKLM
system \setup
system \setup
donetag
oemduplicat...
Achivos a Custom Data - Internet Explorer - Version HKLM Software\Microsoft\lntemet Explore Version
m - Por rastrear
Oasificar a
Custom Data - LAN Desk - Deferred Repair
T...
Custom Data - LAN Desk - Inventario Scan
HKLM
HKLM
Softw are MandeskVManagement suit
e\WinQient\...
Def erred
Tas...
Softw are \Mi crosoft\Wind ows\CurrentVersion\Run IvantiSc...
o
a) "Q
d a Co...
Exduir
a Custom Data - MDAC - Version HKLM Softw are \Mi crosoft \Data Access Full Install Ver
169
IVANTI ENDPOINT MANAGER
El rastreador de inventario utiliza los elementos de datos que se especifiquen para identificar los
archivos de software y los elementos de datos personalizados, tales como valores de registro,
datos de WMI y direcciones URL. Puede especificar los siguientes elementos:
IMPORTANT: Endpoint Manager 9.6y posteriorya no utiliza el archivo ldappl3.template. La configuracion migra
los datos de este archivo a la base de datos central. Para cambiar la configuracion que solia j encontrarse en este
archivo, utilice la herramienta Administrar lista de software (Herramientas > Configuracion > Informes/Monitor) o la
configuracion del inventario configuracion del agente
(Herramientas > Configuracion > Configuracion del agente).
Consulte las siguientes secciones para obtener informacion acerca de como cambiar los elementos
que se incluyen en los rastreos de inventario:
Cuando se realizan cambios en la herramienta Administrar lista de software, se deben desplegar los
cambios a los dispositivos administrados para cambiar la forma en que se ejecutan los rastreos de
inventario. Los cambios se aplicaran si se utiliza el parametro de linea de comandos /i del
rastreador en los dispositivos administrados.
1. En la consola, haga clic en Herramientas > Informes/Monitor > Lista de manejo de software.
2. Realice los cambios.
170
GUÍA DE USUARIO
3. Haga clic en el boton de la barra de herramientas Poner a disposicion de los clientes para
poner los cambios mas recientes a disposicion de los dispositivos la proxima vez que estos
realicen un rastreo de inventario.
NOTE: Despues de cambiar algun elemento en la Lista de manejo de software del servidor central, debe hacer
clic en el boton Poner a disposicion de los clientes para actualizar los archivos de definicion de producto que
utiliza el rastreador de inventario. La proxima vez que los dispositivos realicen un rastreo de inventario, el
rastreador descarga los archivos de definicion de producto actualizados desde el servidor central y aplica los
cambios.
Utilice la vista de arbol de la Lista de manejo de software para especificar que archivos se deben
rastrear y cuales se deben excluir del rastreo de inventario. El elemento de Archivo en el arbol
muestra tres categories que le ayudaran a organizar los archivos:
• Para explorar: los archivos que el rastreador identificara en los dispositivos. Esta lista
contiene descripciones de varios miles de aplicaciones, lo que proporciona una lmea base
de ejecutables que los dispositivos probablemente tengan instalados. Puede agregar
archivos a esta lista o excluirlos de ella.
• Para clasificar: A medida que el rastreador de inventario agrega datos de software a la base
de datos, este encuentra muchos archivos de software que no reconoce; estos archivos se
agregan a esta lista. Puede mover los archivos de esta lista a cualquiera de las otras dos
listas.
• Para excluir: el rastreador ignora todas las existencias de cada archivo que se muevan aquL
Si elimina un archivo de Para excluir, este aparece en la categoria Para clasificar.
De forma predeterminada, el rastreador de inventario solo rastrea los archivos enumerados en la
lista de Administrar la lista de software. Los archivos que se especifican como rastreados o
excluidos se guardan en la herramienta de la lista Administrar software (Herramientas >
Configuration > Informes / Monitor).
Luego del rastreo inicial, el rastreador de inventario envfa solo rastreos delta, que seran muchos
mas pequenos.
171
IVANTI ENDPOINT MANAGER
La lista predeterminada Por rastrear contiene descripciones de ejecutables, pero solo con las
extensiones de archivo .exe. Si desea que el rastreador identifique tambien otros tipos de archivos
de aplicaciones (.dll, .com, .sys, etcetera), consulte "Agregar elementos de software y datos a los
rastreos de inventario" (170).
Utilice este cuadro de dialogo para agregar archivos a Lista de manejo de software. Un nombre de
archivo es el unico campo obligatorio. En caso necesario, puede expandir el dialogo para que
proporcione mas informacion.
• Nombre del archivo: Escriba un nombre de archivo. Es campo tiene un archivo comodfn de
manera predeterminada.
• Tamano (en bytes): introduzca el tamano del archivo en bytes. No utilice comas u otros
separadores entre los dfgitos. Si especifica un tamano de archivo de 1, cualquier archivo con
dicho nombre coincidira.
• Nombre del producto: Introduzca el nombre del producto al que pertenece el archivo.
• Proveedor: introduzca el nombre del proveedor del producto que utiliza el archivo.
• Version: introduzca el nombre de la version del archivo.
172
GUÍA DE USUARIO
• Para clasificar: agregue el archivo a esta categona para decidir mas tarde lo que desea
hacer con el.
La herramienta de Administracion de software le permite especificar las claves de registro que debe
agregar al rastreo de inventario. Los resultados apareceran en la seccion del inventario que se
especifique.
Varios elementos de registro se suministran con Endpoint Manager. Puede consultar las
propiedades de estos elementos para ver un ejemplo de como crear elementos del registro. Para ver
las propiedades de un elemento, haga cliccon el boton derecho en estey seleccione Propiedades.
1. Haga clic en Herramientas > Informes / Monitor > Lista de manejo de software.
2. Amplie Datos personalizados yhaga clicen Elementos del registro.
3. Haga clic en el boton Agregar de la barra de herramientas.
4. Seleccione e introduzca los datos que se describen a continuacion.
5. Haga clic en Aceptar.
HKLM =
HKEY_LOCAL_MACHINE HKCC
= HKEY_CURRENT_CONFIG
HKCR =
HKEY_CLASSES_ROOT HKU =
HKEY_USERS HKCU =
HKEY_CURRENT_USER
• Clave: La ruta de acceso del registro que define la ubicacion de la clave. Los elementos
deben estar separados por una barra inversa ( \), y cada elemento entre barras inversas
173
IVANTI ENDPOINT MANAGER
Por ejemplo, el nombre del atributo Datos personalizados - MDAC - Version aparecera en
el resumen de inventario del dispositivo de la siguiente manera:
NOTE: Despues de cambiar algun elemento en la Lista de manejo de software del servidor central, debe hacer
clic en el boton Poner a disposicion de los clientes para actualizar los archivos de definicion de producto que
utiliza el rastreador de inventario. La proxima vez que los dispositivos realicen un rastreo de inventario, el
rastreador descarga los archivos de definicion de producto actualizados desde el servidor central y aplica los
cambios.
Utilice esta opcion si hay elementos de inventario correspondientes a dispositivos de Windows que
no se encuentran en el resumen de inventario estandar que viene con Endpoint Manager.
Para agregar elementos a la busqueda de inventario de WMI, tendra que estar familiarizado con las
clases e instancia de WMI, y necesitara saber de que espacio de nombre es parte una clase. Utilice
una herramienta como Microsoft CIM Studio o PowerShell (en Windows 7) para explorar las clases
174
GUÍA DE USUARIO
de WMI.
En cada clase, puede buscar una o mas propiedades y devolver esos valores al arbol de inventario.
Por ejemplo, la siguiente es una clase de WMI de un conector de puerto de medios. Contiene tres
propiedades. El espacio de nombres, la clase y la ruta de acceso de la pantalla de inventario
aparecen en la seccion superior del cuadro de dialogo. Las propiedades se agregan
individualmentey se enumeran en el cuadro de Propiedades de la parte central del cuadro de
dialogo.
Despues de que este elemento de datos personalizado se defina y se ponga a disposicion de los
dispositivos administrados (haciendo clic en el boton Poner a disposicion de los clientes de la barra
de herramientas), cualquier dispositivo administrado que tenga un conector de puerto de medios
incluira este elemento en el resumen del inventario. En el arbol de inventario, el elemento se
presenta en la lista bajo Almacenamiento masivo > Cambiador de medios. Mostrara tres elementos
de datos: Nombre del adaptador, Nombre del disco y Tipo de chasis.
1. Haga clic en Herramientas > Informes / Monitor > Lista de manejo de software.
2. Amplie Datos personalizados y haga clic en Elementos de WMI.
175
IVANTI ENDPOINT MANAGER
Cada elemento puede tener una o mas propiedades para que el busque el rastreador.
NOTE: Despues de cambiar algun elemento en la Lista de manejo de software del servidor central, debe hacer
clic en el boton Poner a disposition de los clientes para actualizar los archivos de definicion de producto que
utiliza el rastreador de inventario. La proxima vez que los dispositivos realicen un rastreo de inventario, el
rastreador descarga los archivos de definicion de producto actualizados desde el servidor central y aplica los
cambios.
Por cada URL que se agregue, el rastreador de inventario guardara datos tales como:
176
GUÍA DE USUARIO
1. Haga clic en Herramientas > Informes / Monitor > Lista de manejo de software.
2. Haga clic elementos del URL supervisados.
3. Haga clic en el boton Agregar de la barra de herramientas.
4. Introduzca un nombre de dominio en el cuadro de URL.
Puede introducir un nombre de dominio con subdominios, separados por puntos, pero no se
pueden incluir rutas de acceso espedficas. El nombre de dominio no puede incluir caracteres no
validos. Si introducir una ruta de acceso o caracteres que no son validos, aparecera un mensaje de
error y se debera corregir la direccion URL.
Puede incluir hasta 10 niveles de subdominios con un maximo de 60 caracteres por nivel. Puede
utilizar un maximo de 260 caracteres en total en el nombre de dominio.
NOTE: Despues de cambiar algun elemento en la Lista de manejo de software del servidor central, debe hacer
clic en el boton Poner a disposicion de los clientes para actualizar los archivos de definicion de producto que
utiliza el rastreador de inventario. La proxima vez que los dispositivos realicen un rastreo de inventario, el
rastreador descarga los archivos de definicion de producto actualizados desde el servidor central y aplica los
cambios.
• HKEY_LOCAL_MACHINE\SOFTWARE\INTEL\IVANTI\INVENTARIO\CUSTOM FIELDS
El rastreador de inventario siempre rastrea el registro en busca de la clave de los campos
Personalizado/a y obtiene la informacion que esta contiene. A continuacion, especifica la
informacion personalizada en los campos Personalizado/a de la base de datos central. La
informacion de las claves en los Campos personalizados puede ser lo que se necesite. En la
consola, los datos aparecen debajo de los campos Personalizado/a.
177
IVANTI ENDPOINT MANAGER
O NOTE: El hardware de cualquier dispositivo se rastrea siempre que este se inicia y se conecta a la red.
1. En la vista de red de la consola, haga clic en Configurar > Servicios > Inventario > Software.
2. Especifique la frecuencia del rastreo de software.
3. Especifique el numero de dfas que desea guardar el historial.
NOTE: Rastreo de servidor central y software
O Esta funcion solo se aplica a los dispositivos. No afecta al servidor central, que se rastrea diariamente.
Parametros de lmea de comando del rastreador
Puede agregar parametros de lmea de comandos a las propiedades de acceso directo del rastreador
de inventario (ldiscn32.exe) para controlar su funcionamiento.
178
GUÍA DE USUARIO
Si utilizo Endpoint Manager antes de la version 9.6, es posible que reconozca muchos de estos
ajustes del archivo ldappl3.template. Endpoint Manager 9.6traslado los ajustes de ese archivo a la
base de datos, y la Administrar lista de software es el lugar en el que ahora los puede modificar.
CfgFiles
Agregue los archivos de texto que desee que el escaner del inventario recopile de los dispositivos
administrados y los guarde en la base de datos. Si se empieza la ruta del archivo de texto con una
barra diagonal inversa el escaner del inventario buscara el archivo en cada unidad local. Si solo
quiere buscar en una unidad espedfica, incluya la letra de la unidad en la ruta.
Estos archivos seran visibles en el inventario del dispositivo, en Archivos de configuracion, que se
encuentra en la rafz del arbol de inventario. El escaner tambien recopila la fecha, tamano y ruta del
archivo. Si hace doble clic en Datos de archivo, se muestra el cuadro de dialogo Propiedades del
atributo, y si se hace clic en la pestana Valor ampliado, se muestra el contenido del archivo.
179
IVANTI ENDPOINT MANAGER
software del equipo. Esta informacion se puede encontrar en el atributo Software.Data Files de la
base de datos e incluira el nombre del archivo, la ruta, la fecha y el tamano.
ScanExtensions
MultimediaExtensions
MAC ignoradas
Las MAC ignoradas son una lista con un espacio limitado de hasta 40 direcciones MAC, que el
rastreador no tendra en cuenta como candidato cuando escoja una direccion para utilizarla en la
identificacion. Esta es la direccion asignada a una "Red: direccion NIC" y se utiliza en el servidor
central para identificar Id. de dispositivos duplicadas. Las direcciones de esta lista deben coincidir
EXACTAMENTE con las direcciones que se encuentran en la seccion "Adaptadores enlazados" de
un archivo de rastreo. Por este motivo, es mejor copiar estas direcciones desde un archivo de
rastreo.
Una direccion a ignorardpica es aquella que es coherente entre maquinas para el cliente VPN.
MAC ignoradas=00059A3C7a00
Archivos de utilizacion
Si la lista de Archivos de utilizacion esta vada (por defecto), los datos de uso se enviaran a todos
los productos monitorizados. Si agrega archivos a esta lista, los datos de utilizacion solo se
incluiran en un informe para aquellos archivos.
MacScanExtensions
MacMultimediaExtensions
180
GUÍA DE USUARIO
Ejemplo: MacSearchFolders=/johndoe
MIFPATH
MIFPATH es el directorio que buscaran los rastreadores para encontrar archivos MIF.
MIFPATH=C:\DMI\DOS\MIFS
Excluir carpetas
Excluye las carpetas del rastreo. Estas carpetas se incluyen por defecto:
• ExcludeDir=\recycled\
• ExcludeDir=\recycler\
• ExcludeDir=%USERPROFILE%\LOCALSETTINGS\TEMP\
• ExcludeDir=%USERPROFILE%\LOCALSETTINGS\TEMPORARY INTERNET FILES\
• ExcludeDir=%USERPROFILE%\Application Data\Thinstall\
• ExcludeDir=%windir%\$ntservicepackuninstall$\
• ExcludeDir=%windir%\installer\
• ExcludeDir=%windir%\lastgood*\
• ExcludeDir=%windir%\driver cache\
• ExcludeDir=%windir%\registeredpackages\
• ExcludeDir=%windir%\temp\
• ExcludeDir=%windir%\system32\dllcache\
• ExcludeDir=%windir%\$NtUninstall*\
• ExcludeDir=%windir%\ServicePackFiles\i386\
• ExcludeDir=%windir%\i386\
• ExcludeDir=\i386\
• ExcludeDir=\$LDCFG$\
• ExcludeDir=\SYSTEM VOLUME INFORMATION\
• ExcludeDir=\SP3\
• ExcludeDir=\SP4\
• ExcludeDir=\Library\
• ExcludeDir=\DOCUMENTS AND SETTINGS\LOCALSERVICE\LOCALSETTINGS\TEMP\
. ExcludeDir=\DOCUMENTSANDSETTINGS\LOCALSERVICE\LOCALSETTINGS\TEMPORARY
INTERNET FILES\
. ExcludeDir=%ProgramFiles%\IVANTI\lddient\bkupcfg\
. ExcludeDir=%ProgramFiles%\IVANTI\ldclient\cache\
181
IVANTI ENDPOINT MANAGER
• ExcludeDir=%ProgramFiles%\IVANTI\ldclient\data\
. ExcludeDir=%ProgramFiles%\IVANTI\ldclient\sdmcache\
• ExcludeDir=%ProgramFiles%\IVANTI\SHARED FILES\
• ExcludeDir=%ProgramFiles%\COMMON FILES\MICROSOFT SHARED\
• ExcludeDir=\LDClient\Temp\
• ExcludeDir=\LDCLIENT\SDMCACHE\
Ignorar SMBIOS
Incluya, en esta seccion, las cadenas que desee inventariar para ignorarlas del rastreador de
SMBIOS. Los cuatros valores que se muestran en el ejemplo siguiente se incluyen, de manera
predeterminada, y no es necesario volver a incluirlos.
• Desconocida
• N/D
• Nodisponible
• Ninguno
Al iniciar LDISCN32.EXE directamente, sin parametros, activa una lfnea de comando predeterminada
que equivale a:
LDISCN32.EXE /NTT={server} /S={server} /I=HTTP://{server}/ldlogon/ldappl3.ldz
182
GUÍA DE USUARIO
1.
2.
Haga clic en Herramientas > Distribution > Tareas programadas.
3.
En la barra de herramientas, haga clic en el boton Programar un rastreo de inventario
En la ventana Tareas programadas se pueden configurar los destinos de las tareas y el tiempo de
inicio.
1. Copie la utilidad de rastreo del inventario, un archivo de descripcion de software (que suele
ser LdAppl3.ini), y los archivos siguientes en una unidad o en otra ubicacion accesible:
ldiscn32.exe, elogapi.dll, loc32vc0.dll y processrunner.dll.
2. Ejecute el rastreo con el parametro /O= y especifique la ruta y el nombre del archivo de
salida.
3. En el sfmbolo del sistema de la lmea de comandos, escriba un nombre unico para el
dispositivo. Este nombre aparece en el campo Descripcion de la base de datos central. Por
ejemplo:
1. Asigne una unidad (N: por ejemplo) al directorio ldlogon del servidor central en el cual desea
que aparezca el rastreo.
2. Haga clic en Inicio > Ejecutary pegue este comando despues de sustituir el nombre del
servidor central donde sea necesario:
183
IVANTI ENDPOINT MANAGER
Para crear un archivo MIF Unicode, utilice la opcion /MUNI. Para crear un archivo MIF no Unicode,
utilice la opcion /M.
Para obtener informacion sobre una solucion alterna de datos personalizados en Macintosh,
descargue los datos personalizados de las notas tecnicas de Macintosh de
https://community.Ivanti.com/support/docs/DOC-1570
Antes de que pueda agregar datos personalizados a un rastreo de inventario de un dispositivo que
ejecute el agente IVANTI en Macintosh, primero debe crear un Archivo XMLde datos personalizados
en el formato apropiado. Esta seccion describe el formato correcto para permitir que un archivo
XML de datos personalizados sea tratado sin errores.
184
GUÍA DE USUARIO
Los archivos XML usados para almacenar datos personalizados deben cumplir con las siguientes
reglas. Los archivos XML con datos personalizados que no cumplan con todas las reglas no se
enviaran al inventario.
• Los archivos XML de datos personalizados pueden tener cualquier nombre, pero deben
terminar con la extension .xml. Por ejemplo:
Numeros de telefono.xml
• El primer renglon de un archivo XML de datos personalizados debe ser una declaracion XML.
Por ejemplo:
<?xml version="1.0" encoding="UTF-8"?>
• Todas las pestanas de inicio dentro del archivo XML de datos personalizados deben tener su
correspondiente pestana de fin. Por ejemplo:
<Home>(123) 456-7 890</Home>
• Todas las pestanas dentro de un archivo XML de datos personalizados no deben tener
espacios. Por ejemplo:
<Phone Numbers></Phone Numbers>
• Todos los elementos dentro de un archivo XML de datos personalizados que representen un
renglon individual de informacion deben estar encerrados entre elementos principales. Por
ejemplo:
<Phone_Numbers><Home>(123) 456-7890</Home></Phone_Numbers>
• En caso de que no haya ningun contenido en alguno de los elementos anidados dentro de un
elemento principal de un archivo XML de datos personalizados, el nombre del elemento
principal no aparecera como nodo bajo los datos personalizados del inventario. Por ejemplo:
<Phone Numbers><Home></Home><Work></Work></Phone Numbers>
Se pueden crear archivos XML de datos personalizados para que inserten una sola entrada en la
seccion de datos personalizados del inventario. Para hacer esto, las pestanas de cada elemento de
un archivo XML de datos personalizados deben ser llamadas con la cadena de texto que se va a
mostrar en el inventario. Por lo tanto, el conjunto de elementos se debe anidar entre elementos
principales mediante pestanas con nombres que representen la cadena que se va a mostrar bajo los
datos personalizados en la vista de arbol del inventario.
Por ejemplo, si un archivo XML de datos personalizados se va a usar para agrupar numeros de
telefono, el siguiente formato XML producina el registro de inventario que se presenta a
continuacion:
<?xml version="1.0" encoding="UTF-8"?>
<Phone Numbers>
<Work>123-456-7 8 90</Work>
<Home>(123) 456-7 890</Home>
<Home>1234567890</Home>
<Other>N/A</Other>
<Preference>Work</Preference>
</Phone Numbers>
185
IVANTI ENDPOINT MANAGER
Se pueden crear archivos XML con datos personalizados para que inserten varias entradas en la
seccion de datos personalizados del inventario. Para hacer esto, las pestanas de cada elemento de
un archivo XML de datos personalizados deben ser llamadas con la cadena de texto que se va a
mostrar en el inventario. Por lo tanto, cada conjunto de elementos se debe anidar entre elementos
principales mediante pestanas con nombres que representen la cadena que se va a mostrar bajo los
datos personalizados en la vista de arbol del inventario.
Por ejemplo, si un archivo XML de datos personalizados se va a usar para agrupar informacion
sobre los empleados, el siguiente formato XML producina el registro de inventario que se presenta a
continuacion:
<?xml version="1.0" encoding="UTF-8"?>
<Phone Numbers>
<Work>123-456-7 8 90</Work>
<Home>(123) 456-7 890</Home>
<Home>1234567890</Home>
<Other>N/A</Other>
<Preference>Work</Preference>
</Phone Numbers>
<Addresses>
<Work_Address_1>123 Maple St.</Work_Address_1>
<Work_Address_2>Suite 550</Work_Address_2>
<Work_Address_2>Suite 550</Work_Address_2>
<Work_City>St. Louis</Work_City>
<Work_State>MO</Work_State>
<Work_ZIP_Code>63102</Work_ZIP_Code>
<Home Address 1>456 Elm Way</Home Address 1>
<Work_Address_2>Suite 550</Work_Address_2>
<Work_Address_2>Suite 550</Work_Address_2>
<Work_City>St. Louis</Work_City>
<Home_State>MO</Home_State>
<Work_ZIP_Code>63102</Work_ZIP_Code>
<Addresses>
<Employee Information>
<Title>Sales Representative</Title>
<Employee_ID>4562</Employee_ID>
<Manager>Bob Smith</Manager>
<E-Mail>John.Doe@WidgetsNMore.com</E-Mail>
<Employee Information>
186
GUÍA DE USUARIO
Cada archivo XML con datos personalizados que se va a enviar al inventario se debe guardar en el
directorio de datos personalizado, que esta localizado en /Library/Application
Support/IVANTI/CustomData de cada dispositivo que ejecuta el agente IVANTI en Macintosh.
Despues de que un archivo XML con datos personalizados se envfe al inventario, el archivo
permanecera en el directorio CustomData. Esto permite efectuar rastreos completos posteriores (y
rastreos delta habilitados con Forzar rastreo de software) que incluyan la informacion de los
archivos XML con datos personalizados que se guardaron en el directorio de datos personalizados.
Inventario
Los archivos XML con datos personalizados que esten en el directorio CustomData se procesan
durante todos los rastreos completos, y tambien durante rastreos de delta que incluyan exploracion
de software.
Registro de inventario
La parte de un rastreo de inventario que busca y procesa archivos XML con datos personalizados
se registra en IVANTI.log como ldscan: Explorar en busca de datos personalizados. Si los archivos
XML con datos personalizados del directorio CustomData estan formateados correctamente, no
habra ninguna entrada adicional en IVANTI.log en cuanto a datos personalizados. Sin embargo, si
hay un error, este sera registrado en IVANTI.log como ldscan: Error al abrir o cargar el archivo
CustomData:filename.xml como XML.
Un error de procesamiento de un archivo XML con datos personalizados no evitara que sean
procesados otros archivos de este tipo que esten guardados en el directorio de datos
personalizados. De la misma manera, los errores de procesamiento de archivos XML con datos
personalizados no impediran que se efectue un rastreo de inventario o que se envfe al servidor
central.
187
IVANTI ENDPOINT MANAGER
Tenga presente que la informacion sobre datos personalizados que se elimine de los archivos XML
con datos personalizados no se eliminara de los registros de inventario del servidor central. Para
eliminar informacion de datos personalizados no deseada de un registro de inventario del servidor
central, elimine el registro yenvfe un nuevo rastreo completo desde el dispositivo que el registro
representaba.
• Compruebe que la base de datos central se ha configurado para que realice un rastreo de
software ahora y utilice el parametro /f para forzar un rastreo de software.
• Rastree un archivo con el parametro /O=. Aparecera una lista de todo el software al final del
archivo.
Para ver la informacion del dispositivo, asegurese de que los dispositivos se han rastreado en la
base de datos central. Los dispositivos que aparezcan sin informacion no se han rastreado en la
base de datos central.
1. Configure el dispositivo.
Especificacion del numero de dias que desea mantener los rastreos de inventario
De manera predeterminada, el servidor central mantiene los rastreos de inventario para los
dispositivos hasta que los elimine. El servidor central puede eliminar los rastreos de inventario para
los dispositivos si el dispositivo no ha enviado un rastreo durante el numero de dfas especificado.
Al hacer esto se pueden eliminar los dispositivos que no se encuentran mas en la red.
188
GUÍA DE USUARIO
Para especificar el numero de revisiones de archivo que desea mantener en la base de datos central
Ayuda de Inventario
Acerca de la ventana Inventario
• BIOS: Tipo, fecha, bytes de Id., fabricante, version de ROM, version de SMBIOS y el modelo
del sistema para el BIOS. El BIOS reside de forma permanente en la memoria de solo lectura
(ROM) del equipo y permite que la memoria de este, las unidades de disco y el monitor se
comuniquen. En la ventana Inventario aparece informacion adicional del BIOS como cadenas
de texto BIOS. Para very buscar las cadenas de texto BIOS, expanda el objeto BIOS,
seleccione Cadenas BIOS, haga clic con el boton derecho en el atributo de Datos y
seleccione Propiedades y, a continuacion, haga clic en Valores ampliados. Durante un
rastreo de inventario, se exportan las cadenas de texto disponibles en el BIOS a un archivo
de texto, LDBIOS.TXT. Puede configurar una consulta en el archivo LdAppl3.ini que extraiga
una o varias cadenas de texto del BIOS a la consola.
• Bus: el tipo de bus. El bus conecta el microprocesador, las unidades de disco, la memoria y
los puertos de entrada/salida. Los tipos de bus pueden ser ISA, EISA, bus local VESA, PCI y
USB.
• Coprocesador: el tipo de coprocesador, si existe. Aunque es distinto que el microprocesador
principal, puede encontrarse en la misma motherboard o incluso el mismo chip. El
coprocesador matematico evalua las operaciones de punto flotante para el microprocesador
principal.
• Datos personalizados: cualquier dato personalizado que se haya habilitado en el rastreador
de inventario.
• Base de datos: controlador e informacion de la version de la base de datos.
• Entorno: las ubicaciones de archivo, ruta de comando, indicador del sistema y demas
variables del entorno Windows.
• Estado de integridad: la integridad de dispositivo como lo haya determinado el agente de
IVANTI.
• Teclado: el tipo de teclado conectado al dispositivo. Actualmente, el tipo mas utilizado es el
teclado mejorado de IBM. El teclado utiliza el lenguaje de pagina de codigos.
• IVANTI Management: informacion sobre los agentes, el administrador de clientes y Alert
Management System (AMS). Asimismo, contiene informacion sobre el rastreador de
inventario y los archivos de inicializacion.
• Usuarios y grupos locales: los grupos locales de usuarios de Windows y membreda de
189
IVANTI ENDPOINT MANAGER
grupo.
• Almacenamiento masivo: los dispositivos de almacenamiento del equipo, incluidos los
discos duros, unidades de disquete, unidades logicas y de cinta y CD-ROM. Entre los objetos
de disco duro y unidad de disquete, se encuentran los atributos de almacenamiento total,
sector, numero ycabezal.
• Memoria: los atributos de memoria virtual, ffsica y archivo de paginacion. Todos estos
objetos de memoria incluyen atributos de bytes. El primer byte representa la cantidad de
memoria disponible. El segundo es la memoria total.
• Modems: Informacion del modem que incluye fabricante, modelo, numero y puerto.
• Placa base: informacion de la placa base, como la velocidad del bus y la informacion sobre la
ranura.
• Raton: el tipo de raton conectado al dispositivo. En los valores de tipo de raton, se
encuentran PS/2, serie e infrarrojos.
• Archivos de multimedia: el numero de archivos con extensiones que coincidan con los tipos
comunes de archivos multimedia (.jpg, .mp3, etc.) y la cantidad de espacio que utilizan estos
archivos.
• Red: el adaptador de red, direccion NICy la informacion de direccion del nodo del adaptador.
El objeto Red incluye informacion de cada protocolo
• Adaptadores de red: los atributos de cada adaptador de red instalado en el dispositivo.
• SO: el sistema operativo, controladores, servicios y puertos. Estos objetos y sus atributos
vanan en funcion de las configuraciones de los servicios y controladores cargados.
• Puertos: los objetos de cada puerto de salida del equipo (serie y paralelo). Cada puerto de
salida contiene atributos de direccion y nombre. El atributo de direccion incluye la direccion
de hardware del puerto.
• Administration de ene^a: Configuracion de la administracion de energfa en el dispositivo.
• Impresoras: los objetos de cada impresora conectada al equipo, ya sea directamente o en
red. Entre estos objetos, se incluyen atributos de puerto, numero, nombre ycontrolador. El
atributo de puerto contiene la cola de red o el puerto al que la impresora se encuentra
conectada.
• Procesador: los atributos de la CPU del dispositivo. Detecta procesadores Intel, Motorola
680x0 y PowerPC.
• Recursos: los objetos de cada recurso de hardware del equipo. Todos estos objetos
contienen atributos que describen el tipo del que se trata y los puertos o interrupciones que
utiliza.
• Seguridad: Software y version de antivirus.
• Software: los objetos de cada aplicacion de software instalada en la unidad de disco duro del
dispositivo. Cada objeto enumera los atributos que suelen contener el nombre del software,
la ubicacion yel numero de version.
• Sistema: informacion de placa base y chasis.
• Capacidad del sistema: Las tecnologfas miscelaneas de los sistemas, tales como la
190
GUÍA DE USUARIO
Utilice este cuadro de dialogo para ver las propiedades de un atributo. La pestana
Caracteristicas muestra la informacion siguiente. Es probable que no aparezcan todos los
campos, en funcion del atributo y de si esta agregando, editando o visualizando un atributo.
• Nombre: el nombre del atributo de la base de datos central, cuyas propiedades esta
visualizando.
• Valor: el valor asignado a este atributo de inventario.
• Definido por el usuario: indica si el usuario ha definido el atributo seleccionado o no. Esta
opcion no se puede modificar.
• Especificacion de formato (Solo numeros): anotacion que se utiliza para mostrar el valor de
la forma adecuada. Por ejemplo, %d MB muestra el valor del atributo sin valores decimales;
mientras que %,1f MB muestra el valor con el primer punto decimal flotante en unidades de
MB. Si no se introduce ningun valor de factor, esta especificacion de formato debe describir
valores numericos (%d). Si se introduce un valor de factor, esta especificacion de formato
debe describir valores de punto flotante (%f).
• Factor (Solo numeros enteros): valor numerico que se utiliza para dividir el atributo en
unidades. Si cambia el valor de este factor, debe introducir el codigo adecuado en el campo
especificador de formato. Por ejemplo, para ver la cantidad de megabytes si el atributo se ha
registrado en kilobytes, introduzca el valor 1000.
• Valor formateado: Texto de ejemplo que muestra el formato y el factor especificado.
Utilice este cuadro de dialogo para seleccionar los atributos de inventario que se registraran
siempre que se produzcan cambios en dispositivos individuales, asf como para determinar donde
se registran los mismos.
• Inventario actual: enumera todos los objetos almacenados en la base de datos central. Haga
clic en un objeto para mostrar sus atributos en la lista Registrar los eventos en. Expanda un
grupo de objetos para ver los objetos de datos incluidos.
• Registrar los eventos en: enumera los atributos del objeto de inventario seleccionado en la
lista de Inventario actual.
Para definir donde se registran los cambios de inventario, seleccione un atributo y active una
o varias opciones. Seleccione la opcion Inventario para registrar los cambios de inventario
en el cuadro de dialogo Historial de cambios del inventario del dispositivo. Seleccione la
opcion Registro de NT para registrar cambios de inventario en el registro de eventos de
Windows NT. Seleccione la opcion AMS para enviar los cambios de inventario como una
191
IVANTI ENDPOINT MANAGER
alerta a traves de AMS (configure estas alertas con la herramienta Configuracion de alertas.
• Gravedad de alertas/registro: enumera todas las opciones de prioridad de alertas. Esta
funcion se encontrara atenuada hasta que se seleccione un atributo. Puede seleccionar un
nivel de gravedad de Ninguno, Informacion, Advertencia o Crftico.
Acerca del cuadro de dialogo Historial de cambios del inventario
Utilice este cuadro de dialogo para ver los cambios en el inventario de un dispositivo. Desde este
cuadro de dialogo, puede tambien imprimiry exportar el historial de cambios.
• Nombre de dispositivo: muestra el nombre del dispositivo seleccionado en la vista de red de
la consola del cual se ha solicitado informacion sobre cambios de inventario.
• Componente: identifica el componente del sistema que ha cambiado. (Aqm solo pueden
aparecer los componentes seleccionados en el cuadro de dialogo Configuration de cambios
del inventario.)
• Atributo: identifica el atributo del componente espedfico que se esta registrando.
• Hora: indica el momento en que se ha producido el cambio.
• Valor nuevo: muestra el valor nuevo (modificado) para el atributo enumerado.
• Valor antiguo: muestra el valor antiguo (anterior) del atributo de la lista.
• Imprimir: abre un cuadro de dialogo de impresion estandar desde donde puede imprimir el
contenido del historial de cambios del inventario.
• Exportar: abre un cuadro de dialogo Guardar como en el cual puede elegir un nombre y
ubicacion para el archivo CSVexportado, el cual contiene el historial de cambios del
inventario.
NOTE: El cuadro de dialogo de Historial de cambios del inventario muestra el historial en orden cronologico.
Puede ordenar los datos haciendo clic en los encabezados de las columnas.
192
GUÍA DE USUARIO
• Salto de pagina: controla el aspecto del formulario, ya que agrega saltos de pagina para
agrupar preguntas por paginas. Cuando se produce un salto de pagina, los usuarios deben
hacer clic en el boton Siguiente, para continuar con las preguntas de la pagina posterior.
• Vista previa: abre el formulario, de modo que puede ver el aspecto quetendra para los
usuarios. En este modo, no tiene que rellenar ningun dato y no se guardara nada de lo que
introduzca.
Utilice este cuadro de dialogo para crear o modificar preguntas que aparezcan en un formulario de
datos personalizados. Estos formularios contienen preguntas y un espacio para que los usuarios
introduzcan las respuestas. Primero, identifique la pregunta:
• Texto de la pregunta: descripcion en una lmea de lo que se pregunta. Este texto aparecejunto
al campo de datos.
• Nombre del inventario: nombre del campo de la base de datos central. Si desea consultar la
base de datos central en relacion con este elemento, debe hacerlo con la Id. de la etiqueta.
• Descripcion: informacion adicional que aparece cuando los usuarios hacen clic en Ayuda (o
pulsan F1 mientras se encuentran en este campo de datos de la pregunta).
Asimismo, necesita especificar que tipo de campo de datos (control) desea ver junto a cada
pregunta y si este es obligatorio. Los campos de datos disponibles son:
• Cuadro combinado (lista fija): los usuarios seleccionan uno de los elementos de lista
predefinidos.
• Hacer que el campo sea obligatorio: obliga al usuario a responder la pregunta. El usuario no
podra finalizar un formulario ni desplazarse a la pagina siguiente mientras no responda los
campos obligatorios.
Utilice este cuadro de dialogo para agregar elementos a una lista desplegable que el usuario puede
elegir al responder a dicha pregunta en un formulario.
• Lista de elementos: enumera todos los elementos que aparecen en la lista de la pregunta.
• Insertar: incluye el elemento en la lista Elementos.
• Eliminar: quita el elemento de la lista Elementos.
193
IVANTI ENDPOINT MANAGER
Utilice este cuadro de dialogo para crear un grupo de formularios que muestre el nombre del mismo
y enumere los formularios disponibles que pueden formar parte de el.
194
GUÍA DE USUARIO
Queries/Directory manager
Consultas de base de datos
Las consultas son busquedas personalizadas realizadas en los dispositivos administrados. IVANTI
Endpoint Manager provee un metodo para consultar en busca de dispositivos que se han rastreado
en la base de datos central a traves de consultas a la base de datos, al igual que ofrece un metodo
para consultar en busca de dispositivos ubicados en otros directorios a traves de consultas de
LDAP. Las consultas de bases de datos seven, crean y organizan con los grupos de consultas de la
vista de red de la consola.
Las consultas facilitan la administracion de la red, ya que permiten buscary organizar dispositivos
de red, en la base de datos central, en funcion del sistema operativo y los criterios de busqueda
especificados por el usuario.
Por ejemplo, puede creary ejecutar una consulta que capture solo los dispositivos con una
velocidad de reloj de procesador inferior a 2 GHz o con menos de 1024 MB de RAM o un disco duro
inferior a 20 GB. Cree una o varias instrucciones de consulta que representen dichas condiciones y
relacione las instrucciones entre sf utilizando operadores logicos estandar. Al ejecutar las
consultas, puede imprimir los resultados de la consulta y accedery administrar los dispositivos que
coincidan.
Grupos de consultas
Las consultas se pueden organizar en grupos en la vista de red. Para crear consultas nuevas (y
grupos de consultas nuevos), haga clic con el boton derecho en el grupo Mis consultas
yseleccione Nueva consulta o Nuevo grupo, respectivamente.
Si otros usuarios de Endpoint Manager inician una sesion en la consola, podran ver las consultas
en los grupos Mis consultas, Consultas publicas y Todas la consultas segun el ambito del
dispositivo.
Al mover una consulta a un grupo (haciendo clic con el boton derecho yseleccionando Agregar a
nuevo grupo o Agregar a grupo existente o al arrastrary colocar la consulta), se esta creando una
copia del consulta. Puede quitar la copia de cualquier grupo de consultas; la copia maestra de la
consulta (en el grupo Todas las consultas) no se vera afectada. Si desea eliminar la copia maestra,
puede hacerlo desde el grupo Todas las consultas.
195
IVANTI ENDPOINT MANAGER
1. En la vista de red de la consola, haga clic con el boton derecho en el grupo Mis consultas (o
en Consultas publicas si tiene derechos de administracion de consultas publicas) y luego
haga clic
en Nueva consulta.
2. Introduzca un nombre exclusivo para la consulta.
3. Seleccione un componente de la lista de atributos de inventario.
4. Seleccione un operador relacional.
5. Seleccione un valor de la lista de valores. Puede modificar un valor.
6. Haga clic en Insertar para agregar la instruccion a la lista de consultas.
7. Para realizar una consulta de mas de un componente, haga clic en un operador logico (Y, O)
y repita los pasos del 2 al 5.
8. (Opcional) Para agrupar instrucciones de consulta para que se evaluen como grupo,
seleccione
dos o mas instrucciones de consulta y haga clic en Agrupar( ).
9. Una vez que haya finalizado de agregar instrucciones, haga clic en Guardar.
1. En la vista de red, expanda los grupos de consultas para localizar la consulta que desea
ejecutar.
2. Haga doble clic en la consulta. O bien, haga clic con el boton derecho del raton y seleccione
Ejecutar.
3. Los resultados (dispositivos coincidentes) se muestran en el panel derecho de la vista de
red.
1. Haga clic con el boton derecho del raton en el grupo de consultas en el que desea situar la
196
GUÍA DE USUARIO
consulta importada.
1. Haga clic con el boton derecho del raton en la consulta que desea exportar.
2. Seleccione Exportar en el menu contextual.
3. Vaya a la ubicacion en la que desea guardar la consulta (como archivo .ldms).
4. Escriba un nombre para la consulta.
5. Haga clic en Guardar para exportar la consulta.
Consultas LDAP
Ademas de permitir la consulta de la base de datos central, Endpoint Manager tambien proporciona
la herramienta de directorios, la cual permite ubicar, tener acceso y administrar dispositivos en
otros directorios a traves de LDAP (Protocolo ligero de acceso a directorios).
Para obtener informacion sobre como creary ejecutar consultas de bases de datos a partir de los
grupos de consultas de la vista de red, vease "Consultas de base de datos" (196)
NOTE: La cuenta que configure en el administrador de directorios debe poder leer los usuarios, equipos y
grupos que se utilizan en la administracion con LDMS.
197
IVANTI ENDPOINT MANAGER
5. Haga clic en Aceptar para guardar la informacion. La informacion que introduzca se verifica
contra el directorio antes de que se cierre el cuadro de dialogo.
O NOTE: Cuando se quite el directorio, se eliminaran todas las consultas LDAP que lo esten usando.
1. Desde la vista Vista de red, haga clic en Directorio > (el directorio activo configurado) >
Explorar directorio.
2. Haga clic con el boton derecho en el directorio LDAPyen Nueva consulta. Creara una
consulta LDAP que devuelva resultados desde este punto en el arbol de directorio.
1. En el cuadro de dialogo Consulta LDAP basica, haga clic en el atributo que servira de criterio
para la consulta en la lista de atributos de directorio (ejemplo = departamento).
198
GUÍA DE USUARIO
Puede arrastrar los grupos LDAPy las consultas LDAP guardadas convirtiendolas en destinos de
tareas.
• Atributos de LDAP: Seleccione los atributos para los objetos de tipo de usuario.
• Operador: Seleccione el tipo de operacion que desea realizar en relacion un objeto LDAP,
sus atributos y los valores de atributo, incluidos igual a (=), menor o igual a (<=) mayor o
igual a (>=).
• Valor: Especifica el valor asignado al atributo de un objeto LDAP.
199
IVANTI ENDPOINT MANAGER
Aparece el cuadro de dialogo Consulta LDAP avanzada cuando modifique una consulta que ya
estaba creada. Asimismo, si selecciona un grupo LDAP en el administrador de directorios y luego
crea una consulta de ese punto, aparece el cuadro de dialogo Consulta LDAP avanzada con una
consulta predeterminada que responde con los usuarios que son miembros del grupo. No puede
modificar la sintaxis de esta consulta predeterminada, solo guardarla.
200
GUÍA DE USUARIO
• Ra^z de consulta LDAP de detalles: Le permite crear una consulta utilizando los elementos
basicos de una consulta LDAP, pero de una manera libre.
• Consulta LDAP de detalles: Muestra los ejemplos de consulta que se pueden utilizar como
gma para crear una consulta propia de forma libre.
• Guardar: Le permite guardar la consulta creada por nombre. La consulta se guarda en
Consultas guardadas en la entrada del directorio LDAP en el panel de directorios del
administrador de directorios.
201
IVANTI ENDPOINT MANAGER
202
GUÍA DE USUARIO
Auditing
Bienvenido a auditorias
La herramienta de auditona examina la actividad del usuario de la consola y almacena la
informacion de auditona en la base de datos central y, opcionalmente, en el registro de eventos de
Windows.
• Configuracion de auditorias: Los usuarios con este rol pueden configurar lo que se va a
auditar. Este rol tambien incluye los derechos del rol de auditor, de manera que los usuarios
con esta funcion tambien pueden consultar la herramienta de auditona y ver datos de
auditona.
• Auditor: Los usuarios con esta funcion pueden ver datos de auditona y crear consultas
personalizadas de auditona, pero no pueden cambiar lo que se audita.
203
IVANTI ENDPOINT MANAGER
204
GUÍA DE USUARIO
205
IVANTI ENDPOINT MANAGER
O NOTE: Puede tomar hasta dos minutos para que los cambios en la opcion Escribir eventos de auditoria en
el registro de eventos surta efecto. Puede reiniciar la consola si no desea esperar.
Endpoint Manager envfa los eventos de auditona en la siguiente ruta de acceso del Visor de
eventos:
206
GUÍA DE USUARIO
Habilitar el registro del Visor de eventos solo afecta a los eventos que ocurran despues de ello.
NOTE: Puede tomar hasta dos minutos para que los cambios en la opcion Escribir eventos de auditoria en el
registro de eventos surta efecto. Puede reiniciar la consola si no desea esperar.
Ver eventos de auditoria
Los eventos de auditona se almacenan en la base de datos central en formato XML. Cuando se hace
207
IVANTI ENDPOINT MANAGER
doble clic en un evento de auditona para verlo, vera los elementos de XML registrados que estan
asociados a ese evento. Los elementos registrados dependen de los eventos de auditona.
Las consultas predeterminadas sobre eventos de auditona cubren estos penodos de tiempo:
• Ultimos 30 dfas
• Ultimos 7 dfas
• Ultimo dfa
Tambien puede crear filtros personalizados para realizar las consultas de auditona. Para obtener
mas information, consulte "Creation de filtros para consultas de eventos de auditona" (210).
Identificar lo que ha cambiado en un evento de auditorla
Algunos eventos de auditona pueden implicar muchos cambios, tales como aquellos que implican
cambios en las configuraciones de agente. En estos casos, puede ser diffcil identificar en el XML lo
que cambio en el evento auditado.
208
GUÍA DE USUARIO
Para ayudar con esto, la herramienta de auditona es compatible con la herramienta diff que se elija,
la cual se puede utilizar para comparar el archivo XML de un evento auditado con el estado del
evento antes de se modificara.
Para ver las diferencias en los datos del XML de un eventos de auditona
Puede crear filtros para realizar consultas personalizadas de auditona. Puede elegir entre estos
filtros de eventos de auditona:
• Nombre de usuario: Mostrar los eventos de auditona del usuario especificado.
. Nombre de dispositivo: Mostrar los eventos de auditona del nombre de dispositivo
especificado.
209
IVANTI ENDPOINT MANAGER
Si selecciona varios filtros, estos tendran las opciones de consulta AND. Por ejemplo, si selecciona
un
nombre de usuario y una funcion, los resultados solo mostraran los dispositivos que coincidan
tanto
con ese nombre de usuario como esa funcion.
2. En la barra de herramientas de la ventana Auditona, haga clic en los botones Archivar datos
§ o en Restaurar desde archivo.
3. Introduzca sus preferencias y, dependiendo del modo que elija, haga clic en Archivar o
Restaurar.
210
GUÍA DE USUARIO
Reports
Uso de los informes
La herramienta de elaboracion de informes se utiliza para generar informes detallados que brindan
informacion crftica sobre los dispositivos de la red. Esta herramienta aprovecha la utilidad de
rastreo de inventario de Endpoint Manager, la cual recopila y organiza los datos de hardware y
software, para producir informes utiles y actualizados.
Se pueden programar informes de forma que puedan ejecutarse en intervalos regulares. Los
informes programados se pueden publicary guardar en alguna ubicacion compartida de archivos
que sea segura en el servidor central, en la cual cualquier usuario con las credenciales de inicio de
sesion debidas pueda tener acceso a los informes yverlos. Tambien puede programar los informes
publicados para que sean enviados por correo electronico a determinados destinatarios.
Grupos de informes
211
IVANTI ENDPOINT MANAGER
Los informes estan organizados en una estructura de arbol, agrupados en las siguientes carpetas:
• Mis informes: los informes que el usuario actual ha creado o copiado de otra carpeta. Por lo
general son informes que ejecuta de forma regular y que ha organizado para su propio uso.
Se pueden organizar los informes en carpetas que usted haya creado. El administradortiene
acceso a los grupos de informes de cada usuario y puede agregary eliminar informes.
• Informes estandar: informes predefinidos que se instalan con Endpoint Manager. Los
informes se encuentran previamente formateados, contienen propiedades de consulta y
tipos de graficos asignados, y estan listos para utilizarse.
• Informes publicos: informes personalizados del servidor central que estan disponibles para
todos los usuarios.
• Todos los informes: todos los informes que puede utilizar el usuario actual. Esta vista
incluye un cuadro de Busqueda que filtra la lista de informes cuando se escribe una cadena
de busqueda yse selecciona una columna. (Por ejemplo, escriba "licencia" y seleccione la
columna "Descripcion" para ver los informes relacionados con licencias de software.)
Los administradores pueden ver el contenido de todos los grupos de informes. Los usuarios con
derecho de Informes tambien pueden ver, ejecutary publicar informes, pero solo en los dispositivos
incluidos en su ambito. Los usuarios que tienen el derecho de Disenador de informes pueden crear
informes personalizados.
Los informes se ejecutan de acuerdo con el ambito los derechos del usuario que ha iniciado sesion.
Si un usuario no tiene permisos para usar la herramienta, no puede ejecutar informes que incluyan
esa herramienta. Del mismo modo, los unicos dispositivos que aparecen en el informe son las que
se incluyen en el ambito del usuario.
Fuentes de informes
Los informes predefinidos recopilan datos de la base de datos de Endpoint Manager. Si crea un
informe personalizado, puede especificar otras fuentes de datos disponibles para que se incluyan
en el informe.
Formatos de informes
Cuando se publica un informe, se puede guarda el informe utilizando uno de los siguientes
212
GUÍA DE USUARIO
formatos:
• HTML: HTML estandar. Puede hacer clic en los graficos de los informes de HTML para ver
informacion detallada acerca de algun elemento.
• Imagen: Archivo de imagen bitmap
Para abrir rapidamente el portal de informes de la Comunidad de usuarios de IVANTI, tambien puede
hacer clic en Herramientas > Informes/ Monitor > Informes de la comunidad.
213
IVANTI ENDPOINT MANAGER
Modificar
Pernnisos Ver Modific Implemei
publico
Informes X
Disenador de informes 0 X 0 0
Informes
X X X X
Disenador de informes
. Sin derechos: no se puede abrir el disenador.
• Editar: se puede abrir el disenador y crear o modificar informes.
Informes
• Sin derechos: no se puede ver la herramienta.
• Ver: Puede ver esta herramienta y ver los informes. Puede ejecutar informes. No se puede
cambiar nada.
• Editar: puede ver los informes y cambiar sus propiedades. Este derecho solo no permite
acceso al disenador, se necesita el derecho para modificar al Disenador de informes para
tener acceso a el.
La Herramienta de informes tiene acceso a la base de datos con las credenciales de usuario que se
especificaron durante la instalacion del producto. Estas credenciales se pueden administrar en el
cuadro de dialogo Configurar servicios de software de IVANTI. Si prefiere configurar credenciales
diferentes para los usuarios que tienen derechos para elaborar informes, puede crear un segundo
conjunto de credenciales para tener acceso a la bases de datos de los informes.
Por ejemplo, si desea que los usuarios de informes tengan acceso de solo lectura a la base de
datos, puede crear una cuenta de usuario de base de datos con acceso de solo lectura. Tendna
entonces que introducir esa cuenta de usuario como el Usuario de la base de datos de informes en
el cuadro de dialogo Configurar servicios de software de IVANTI.
NOTE: Si esta utilizando una base de datos Oracle y crea un usuario de informes de solo lectura, tendra
que crear un sinonimo publico para cada tabla a la cual se hara referencia en los informes de dicho
usuario.
Temas relacionados
214
GUÍA DE USUARIO
Para especificar las credenciales de usuario de base de datos para elaborar informes
1. Cree una cuenta de usuario para la base de datos, asfgnele los derechos que desea utilizar.
2. En la consola de Endpoint Manager, haga clic en Configurar > Servicios.
3. En Usuario de la base de datos de informes, escriba el nombre de usuario y la contrasena de
esa cuenta.
Ejecucion de informes
Ejecucion de informes
Utilice la herramienta de informes para ejecutar informes, organizarlos y crear otros nuevos. Puede
programar los informes para que se ejecuten una vez o de manera recurrente. Tambien puede
importar y exportar informes para utilizarlos en otras consolas de Endpoint Manager.
La forma mas rapida de ver los datos del informe es ejecutandolos desde la consola. El visor de
informes muestra los datos como una vista previa de la pagina impresa o como datos continuos.
Puede cambiar las vistas y los formatos en el visor. Tambien puede cambiar los parametros del
informe para seleccionar un subconjunto de los datos.
Informes en la consola Web
Cuando se utiliza la consola Web, los informes que se encuentran en la consola Windows estaran
disponibles, pero hay pequenas diferencias en la manera de ver y seleccionar los parametros. No se
pueden modificar o crear informes personalizados en la consola web o mover informes entre
carpetas, pero sf se pueden ejecutar, imprimir y exportar informes.
215
IVANTI ENDPOINT MANAGER
Se puede hacer una copia de un informe predefinido y modificar sus elementos en el cuadro de
dialogo Propiedades del informe. Puede cambiar el tipo de grafico que aparece en el informe y
especificar otro campo como el elemento clave de la consulta. Tambien puede seleccionar una
consulta de LDMS para utilizarla como base del informe. Asf mismo puede cambiar el nombre y la
descripcion.
216
GUÍA DE USUARIO
Si desea hacer muchos mas cambios en el informe, tendra que abrir el disenador de informes.
"Creacion de informes personalizados" En la pagina 231 para obtener informacion sobre como
utilizar el disenador de informes.
Visor de informes
Cuando se ejecuta un informe, el visor de informes inicia y muestra el informe generado. El visor de
informes contiene controles que le permiten visualizar el informe segun sus preferencias de
visualizacion. Tambien puede exportar un informe a partir del visor de informes o guardarlo en un
formato diferente para su distribucion.
El visor de informes incluye una barra de herramientas y una barra lateral. La barra de herramientas
contiene los siguientes botones:
217
IVANTI ENDPOINT MANAGER
• Modo de seleccion: arrastrar el puntero para seleccionar una porcion de la pagina. Puede
pegar la seleccion en otra aplicacion que admita texto pegado.
La barra lateral incluye tres opciones, a las cuales se tiene acceso mediante los iconos de la parte
inferior:
218
GUÍA DE USUARIO
• Parametros: 1 cambiar los parametros del informe para seleccionar un subconjunto de datos y
ajustar los resultados en funcion de como se define el informe. Una vez que haya
seleccionado los diferentes parametros, haga clic en Ver informe para actualizar el informe
con los nuevos parametros.
• Resultados de la busqueda: ^ buscar una cadena en los resultados del informe. Especifique la
cadena y seleccione los criterios (como el caso de coincidencia), luego haga clic en Buscar.
Aparece una lista de las coincidences de la cadena. Haga clic en una de ellas para ir a esa
seccion del informe. La coincidencia aparece resaltada. Tambien puede hacer clic en la barra
verde de la parte derecha del informe para desplazare entre las ocurrencias.
Miniaturas de las paginas: ■—1 ver las miniaturas de las paginas del informe. Haga clic en
una miniatura para ira esa pagina.
Cuando la barra lateral incluya una lista de parametros, se pueden incluirtodos los elementos de la
lista en el informe seleccionando la casilla de verificacion Todos. Al hacer esto, las casillas de
verificacion de los elementos individuales no se marcan, pero se incluyen todos los elementos en el
informe.
219
IVANTI ENDPOINT MANAGER
Los parametros vanan con cada informe. Sin embargo, todos los informes incluyen una opcion de
seleccion que especifica dispositivos individuals, consultas, grupos, ambito o ubicacion. Esto le
permite generar un informe que corresponda a una consulta, un grupo o un ambito que hayan sido
definidos en la vista de red o en una ubicacion en la red.
Seleccionar dispositivos por:
Por ejemplo, puede seleccionar dispositivos de una ubicacion con base en la ubicacion del
dispositivo en la red. Cuando seleccione Ubicacion, la lista mostrara las ubicaciones en la red
ordenadas por nombre de dominio.
Informes secundarios
Por ejemplo, si se ejecuta el informe de tablero Antivirus, haga clic en el grafico "Estado del
rastreador en tiempo real" para abrir un informe separado con el estado de rastreo del dispositivo. A
continuacion, haga clic en el boton Volver al informe principal para volver al informe de tablero.
Ejecutar un informe
Cuando se ejecuta un informe, el visor de informes muestra los datos como una vista previa de la
pagina impresa o como datos continuos. Puede cambiar las vistas y los formatos en el visor.
Tambien puede cambiar los parametros del informe para seleccionar un subconjunto de los datos.
220
GUÍA DE USUARIO
Se abrira el cuadro de dialogo de la vista previa del informe. Algunos informes tienen
parametros configurables que le permiten seleccionar un subconjunto de datos para el
informe. Si no hay parametros predeterminados, es necesario introducir al menos uno
(por ejemplo, especificar un nombre de dispositivo) o no habra datos en el informe.
6. En las paginas de informe, haga clic en las flechas T de columna para ordenar los datos de
esa columna.
7. Utilice los botones de la barra de herramientas para buscar datos, exportar datos en un
formato diferente, imprimir el informe, etcetera.
Cuando la barra lateral incluya una lista de parametros, se pueden incluirtodos los elementos de la
lista en el informe seleccionando la casilla de verificacion Todos. Al hacer esto, las casillas de
verificacion de los elementos individuales no se marcan, pero se incluyen todos los elementos en el
informe.
Despues de ejecutar un informe, puede guardar los resultados en una ubicacion de archivos. El
informe se puede guardar como una imagen (en formato BMP, EMF, GIF, JPEG, TIFF o PNG, o en
formato HTML, PDF, XML, XLS o DOC).
1. Ejecute un informe.
2. En la barra de herramientas del visor, haga clic en el boton Exportar.
221
IVANTI ENDPOINT MANAGER
5. Navegue hasta la ubicacion donde desea guardar el informe, escriba el nombre del informe y
haga clic en Guardar.
6. Seleccione Exportar.
NOTE: Si guarda un informe y planea enviarlo por correo electronico, utilice el formato PDF en lugar de la salida
HTML.
Programar informes
Si necesita algun informe con regularidad, puede programarlo para que se ejecute anticipadamente
o durante horas no laborables cuando la carga de la base de datos del servidor central se mas
ligera. Cuando se programa un informe, este se guarda en el recurso compartido de Informes
IVANTI (ldmain\reports) y tambien se envfa a los usuarios del servidor central que tengan derechos
de informes y tengan una direccion de correo electronico asociada con su nombre de usuario (en la
herramienta Administracion de usuarios). Para enviar informes por correo electronico se requiere
un servidor de correo SMTP.
Si desea distribuir un informe que usted ejecuto, guarde el informe en el formato que desee y luego
adjunte el archivo a un mensaje de correo electronico. El informe utilizara su alcance. Los usuarios
con derechos al recurso compartido de Informes tambien pueden ver el informe de esa ubicacion
del archivo.
NOTE: Si guarda un informe y planea enviarlo por correo electronico, utilice el formato PDF en lugar de la salida
HTML.
NOTE: La ejecucion de informes con muchos datos puede consumir grandes cantidades de recursos del sistema
en el servidor central. Debido a esto, solo se puede programar un informe a la vez. Si un informe esta en
ejecucion y se programan otros informes al mismo tiempo, los informes que siguen se postergaran hasta que el
primer informe haya finalizado.
222
GUÍA DE USUARIO
Programar un informe
Puede ver el progreso del informe en la herramienta Tareas programadas (haga clic en la carpeta
Mis
tareas).
Para obtener detalles sobre las opciones del cuadro de dialogo Programar tareas, consulte "Acerca
del cuadro de dialogo Programar tarea" (246).
Haytres archivos de plantilla, uno con orientacion vertical, uno con orientacion horizontal yuno para
plantillas de tableros.
NOTE: Las plantillas de informes estan instaladas en cada dispositivo en el cual se instale una consola. Si
223
IVANTI ENDPOINT MANAGER
cambia de una plantilla del servidor central, esa plantilla se utiliza para ejecutar informes en el servidor central y en la
consola Web. Sin embargo, otras consolas utilizaran la plantilla que se instalaron en ellas. Si desea utilizar la plantilla
revisada en otras consolas, tendra que copiar el archivo de plantilla en cada consola adicional o crear un trabajo de
distribucion para desplegarlos.
224
GUÍA DE USUARIO
3. Realice los cambios en el disenador de informes. Cuando haya finalizado, haga clic en
Guardar.
Informes Ad hoc
Ejecutar informes Ad hoc
Hay informes sencillos disponibles para la mayona de los elementos de la consola de Windows.
Cualquier grupo o contenedor (como una consulta) tiene una opcion de menu contextual para
ejecutar un informe. El informe muestra los datos en la vista actual, organizados utilizando las
columnas de datos que aparecen en la consola.
Por ejemplo, un Informes ad hoc de un grupo de la vista de red muestra una lista de dispositivos de
ese grupo. Las columnas de la vista de red (como la direccion IP, propietario, etc.) se muestran en
el informe. Para cambiar la organizacion de los datos del informe, modifique el conjunto de
columnas (agregar o eliminar columnas o cambiar su orden) antes de ejecutar el informe.
Puede ejecutar informes sobre varias herramientas, y mostrar los elementos de una vista en
particular (por ejemplo, una lista de conjuntos de reglas de alertas en la herramienta de alertas).
Puede ejecutar un informe de cualquier consulta que cree o para cualquier grupo que haya creado
en la vista de red o en otra parte.
225
IVANTI ENDPOINT MANAGER
• Ver como informe: Haga clic en un elementoy seleccione esta opcion para ver los datos en
un formato de informe estandar. Se abre una ventana de vista previa del informe, y puede
seleccionar diferentes opciones antes de imprimir, guardar o enviar el informe.
• Exportar como CSV: haga clic con el boton derecho y seleccione esta opcion para guardar
los datos en un archivo de valores separados por comas.
• Nuevo Informe: haga clic con el boton derecho en una consulta y seleccione esta opcion
para crear un nuevo informe basado en la consulta. Puede utilizar un formato estandar o
abrir el disenador de informes para personalizar aun mas el informe. El nuevo informe se
guarda en Mis informes.
226
GUÍA DE USUARIO
Hay informes sencillos disponibles para la mayona de los elementos de la consola de Windows.
Cualquier grupo o contenedor (como una consulta) tiene una opcion de menu contextual para
ejecutar un informe. El informe muestra los datos en la vista actual, organizados utilizando las
columnas de datos que aparecen en la consola.
1. En la consola de Windows, haga clic con el boton derecho en un elemento del arbol, como
un grupo en la vista de red o en algun elemento de un panel de herramientas.
2. Si hay algun elemento en el menu Ver como informe, haga clic en el y seleccione el formato
de informes que desee.
Si no hay ningun elemento en el menu Ver como informe, el elemento en el que hizo clic con el
boton derecho no admite esta opcion.
Puede guardar los datos en un archivo CSV (valores separados por comas) para la mayona de los
elementos de la consola de Windows. Los elementos con esta funcion tienen una opcion de menu
contextual que guarda datos de informes en este formato.
1. En la consola de Windows, haga clic con el boton derecho en algun elemento del arbol,
como un grupo en la vista de red o un elemento en algun panel de herramientas
2. Haga clic en Exportar en formato CSVy especifique la ubicacion para guardar el archivo
CSV.
Si no hay ningun elemento en el menu Exportar como CSV, el elemento en el cual hizo clic con el
boton derecho no admite esta opcion.
Puede ejecutar un informe para cualquier consulta que cree o para cualquier grupo que haya
creado en la vista de red o en otra parte.
3. Escriba un nombre y una descripcion para el informe y efectue cualquier otro cambio
personalizado que desee.
4. Haga clic en Aceptar para guardar el informe.
Si no hay ningun elemento en el menu Nuevo informe, el elemento en el cual hizo clic con el boton
derecho no admite esta opcion.
227
IVANTI ENDPOINT MANAGER
Copiar y modificar
Los informes estandar no se pueden eliminar, pero se puede copiar y pegar en otras carpetas. Por
ejemplo, puede crear una carpeta bajo Mis informes que contenga los informes que utiliza con mas
frecuencia.
Tambien puede copiar o modificar un informe estandar, yguardarlo como un informe unico. Esto
suele ser mas facil que crear un informe a partir de cero. Cada vez que se copia un informe, se
agrega un numero al nombre del informe para distinguirlo de otras copias. Cuando se modifica el
informe, puede darle un nombre unico.
NOTE: Debe hacer una copia separada de cada informe por cada revision que cree. Si ha copiado y modificado
un informe, y luego efectua cambios adicionales y los guardar de nuevo, se perderan sus modificaciones
anteriores. Le recomendamos que haga una nueva copia cada vez para asegurar que las consultas o los
parametros no se pierdan.
Los informes se ejecutan utilizando una base de datos del servidor central. Si tiene varios
servidores centrales, puede compartir informes entre ellos de manera que la presentacion de
informes este normalizada en su organizacion.
Compartir un informe una sola vez utilizando la opcion Copiar a otros servidores centrales. Guarda
una copia de un informe con la misma estructura de carpetas de la herramienta de generacion de
informes de otro servidor central.
Para compartir un informe de forma permanente, puede sincronizar informes entre servidores
centrales. Cada vez que un informe se modifica, una copia del informe modificado se guarda
automaticamente en los otros servidores centrales que se hayan seleccionado para sincronizar
contenido. Esta caractenstica es parte del nucleo herramienta de smcromzacion.
Importar y exportar
Puede importar y exportar informes, ya sea para guardar copias de los informes o intercambiar
informes y plantillas con los demas. Por ejemplo, si guarda copias exportada de los informes, y los
elimina, y mas tarde decide que desea recuperarlos, los puede volver a importar.
Los informes se almacenan en archivos XML de texto sin formato con una extension de archivo
.ldms en la ubicacion que se especifique. Estos archivos solo pueden ser lefdos por IVANTI
Endpoint Manager.
228
GUÍA DE USUARIO
Los nombres de las carpetas y los archivos de los informes exportados generalmente coinciden con
la forma en que aparecen en la herramienta de informes.
Puede copiar cualquier informe, modificarlo y guardarlo como un informe unico. Esto suele ser mas
facil que crear un informe a partir de cero. Cuando se copia un informe estandar, se agrega un
numero al nombre del informe para distinguirlo de otras copias. Cuando se modifica el informe,
puede darle un nombre unico.
NOTE: Debe hacer una copia separada de cada informe por cada revision que cree. Si ha copiado y modificado
un informe, y luego efectua cambios adicionales y los guardar de nuevo, se perderan sus modificaciones
anteriores. Le recomendamos que haga una nueva copia cada vez para asegurar que las consultas o los
parametros no se pierdan.
NOTE: Aunque puede copiar cualquier tipo de informe, solo los informes personalizados o copiados se pueden
cortary pegar. Para ello, haga clic con el boton derecho en el informe y haga clic en Cortar, luego abra la carpeta
de destino, haga clic con el boton derecho y haga clic en Pegar.
229
IVANTI ENDPOINT MANAGER
Para sincronizar un informe con otros servidores centrales, haga clic con el boton derecho en el
informe y haga clic en Sincronizacion automatica.
Temas relacionados
2. Haga clic con el boton derecho en el informe y haga clic en Copiar en otros servidor
centrales.
3. Seleccione los servidores centrales que desea que reciban la copia.
4. Haga clic en Copiar contenido para iniciar inmediatamente la operacion de copia.
Observe que tiene que actualizar manualmente la vista de la consola del servidor remoto
presionando F5 para que el elemento aparezca. Las copias remotas tienen el mismo nombre y
ubicacion de la original y se pueden modificar. Cualquier grupo o subgrupo que contenga el informe
sera creado automaticamente.
Los informes exportados se almacenan en archivos XML de texto sin formato con una extension de
archivo .ldms en la ubicacion que se especifique. Estos archivos solo pueden ser lefdos por IVANTI
Endpoint Manager.
Los nombres de las carpetas y los archivos de los informes exportados generalmente coinciden con
la forma en que aparecen en la herramienta de informes.
230
GUÍA DE USUARIO
Al crear o modificar un informe, se especifican en primer lugar las propiedades del informe.
231
IVANTI ENDPOINT MANAGER
Si ha copiado un informe estandar, puede simplemente cambiar los elementos del cuadro de
dialogo Propiedades y guardar el nuevo informe. Pero probablemente es mas conveniente abrir el
disenador de informes y realizar cambios mas sustanciales.
Disenador de informes
En el cuadro de dialogo de propiedades del informe se puede abrir el disenador de informes. Esta
es una aplicacion independiente, Informes de Data Dynamics, que se integra con la herramienta de
informes y la base de datos.
232
GUÍA DE USUARIO
NOTE: Para abrir el disenador de informes, el usuario debe tener debe el derecho Disenador de informes - Modificar
• Diseno de pagina: el centro del disenador muestra el diseno de pagina del informe. Haga clic
en el boton Vista previa debajo del diseno para abrir el visor de informes y mirar como se
vera el informe cuando se ejecute.
• Parametros: defina los parametros que determinan los resultados del informe.
• Propiedades: la columna de la derecha muestra las propiedades del objeto seleccionado que
se pueden modificar.
• Asistente: haga clic en Abrir el asistente para ver todas las propiedades del objeto
seleccionado, organizado portipo de opcion.
El disenador de informes es una herramienta flexible y con muchas funciones que le da opciones
233
IVANTI ENDPOINT MANAGER
para consultary mostrar datos provenientes de una variedad de fuentes. Cuando se crea un informe,
se necesitan los siguientes elementos basicos:
• Una fuente de datos y conjuntos de datos definidos a partir de los cuales se llena el informe
• Un diseno de pagina para mostrar los datos visualmente
• Regiones de datos y otros elementos de los informes para el formatear datos
Los informes extraen informacion de la fuente de datos, una base de datos que utiliza un formato
estandar como SQL, ODBC, Oracle o XML. En combinacion con la fuente de datos, se definen las
consultas de los conjuntos de datos a las que se hace referencia en el informe. El explorador de datos
del lado izquierdo del disenador muestra las fuentes de datos y los conjuntos de datos en una vista
de arbol. En el ejemplo siguiente, LDMS es la fuente de datos (la base de datos de Endpoint
Manager) y Dispositivos de Windows es un conjunto de datos. El Nombre y la Version son los
nombres de los campos (tablas de base de datos) a los cuales se hace referencia en la consulta del
conjunto de datos.
La base de datos de Endpoint Manager aparece como una fuente de datos predeterminada cuando
se crea un nuevo informe. Usted puede anadir cualquier otra fuente, especificando el tipo de datos,
la cadena de conexion y las credenciales necesarias para tener acceso a los datos. Esto permite
que los datos se extraigan no solo de la base de datos de Endpoint Manager, sino de cualquier otra
fuente, al igual que cuando se crea un informe personalizado.
Los Parametros pasan informacion entre conjuntos de datos. En el visor de informes, los parametros
se pueden mostrar para permitir al usuario reducir la seleccion de los datos que aparecen.
El disenador de informes incluye asistentes para ayudarle a vincularse a las fuentes de datos y
definir los conjuntos de datos y parametros. Por ejemplo, cuando haga clic en una fuente de datos
(como LDMS), haga clic en el boton Agregary seleccione Conjunto de datos.
234
GUÍA DE USUARIO
El asistente del conjunto de datos aparece con las propiedades organizadas en seis grupos.
235
IVANTI ENDPOINT MANAGER
En la pagina de Consultas del asistente, por ejemplo, puede agregar una consulta SQL. Haga clic en
la marca de verificacion verde para comprobar la sintaxis y haga clic en el sfmbolo de funcion (fx)
para abrir el editor de expresiones.
236
GUÍA DE USUARIO
El editor de expresiones enumera todos los campos disponibles del elemento seleccionado y le
permite insertar estos elementos, como parametros y campos de conjuntos de datos, en una
expresion. Ademas de los campos relacionados con conjuntos de datos, hay valores que se utilizan
de forma global, operadores estandaryfunciones que se pueden insertar en una expresion.
Despues de anadir al menos un conjunto de datos, puede definir parametros con base en los
conjuntos de datos. Cuando un usuario ejecuta un informe, los parametros que usted agregue se
muestran en el visor de informes para que el usuario puede seleccionar que datos apareceran en el
informe.
237
IVANTI ENDPOINT MANAGER
Cuando se ejecuta el informe, este parametro se muestra al usuario con una lista que
permite la seleccion de una suite de productos:
238
GUÍA DE USUARIO
Cuando se le permite a los usuarios seleccionar un parametro, puede hacer referencia a tal
seleccion en una consulta mediante una instruccion SQL que sea unica en el editor de informes de
Data Dynamics: "in (?)". Esta instruccion utiliza el valor actual del parametro seleccionado cuando
se ejecuta el informe. Un ejemplo de esto se muestra en el siguiente ejemplo de codigo.
La consulta siguiente utiliza los campos de la tabla de productos y la tabla slm_productsuiteref para
seleccionar los productos que se incluyen en una suite de productos. En este caso, se incluyo una
sola suite de productos, identificada por su numero de ID (615).
select p.product idn, p.title, p.version from slm productsuiteref r
left outer join product p on p.product idn = r.product idn where r.productsuite idn = 615 order by
p.title
En lugar de especificar una suite, puede reemplazar la referencia espedfica del producto suite con
"in (?)" para incluir la suite que el usuario seleccione cuando se ejecuta el informe.
select p.product idn, p.title, p.version from slm productsuiteref r
left outer join product p on p.product idn = r.product idn where r.productsuite idn in (?) order by
p.title
Encontrara otros ejemplos de este uso en algunos de los informes estandar que requieren que el
usuario seleccione el valor de un parametro.
Diseno
Los disenos de informe definen el resultado de la pagina, usando medidas estandar de pagina.
Puede especificar el tamano de pagina, la orientacion, el encabezado y pie de pagina repetitivos y el
formato del cuerpo del informe.
Los informes estandar utilizan un encabezado con el logotipo de IVANTI, el cual se suprime en la
pagina 1. El diseno del cuerpo comienza con un logotipo mas grande que solo aparece una vez,
239
IVANTI ENDPOINT MANAGER
mientras que los datos debajo del este llena tantas paginas como sea necesario.
Arrastre algun elemento al diseno, a continuacion, muevalo y cambie su tamano. Defina el objeto en
detalle mediante el uso del panel de propiedades (en el lado derecho del editor) o haga clic en Abrir
el asistente para modificar las mismas propiedades en un formato de asistente, el cual tiene
elementos agrupados portipo de propiedad.
Regiones de datos
Los datos se formatean mediante regiones de datos, los cuales son elementos de formato estandar
que se definen para obtener ciertos tipos de pantallas. Las regiones de datos incluyen:
• Tabla: Filas y columnas, con un campo proveniente de datos establecidos para cada
columna. Tambien puede agrupar filas por campos, tales como agrupar datos por
dispositivos, donde se tiene una fila de encabezado para cada dispositivoy datos de soporte
agrupados bajo cada encabezado. (Consulte el informe de inventario de hardware para ver
un ejemplo de filas agrupadas.)
• Lista: los elementos se repiten en una lista por cada registro de la fuente de datos. Puede
utilizar cualquiertipo de formato para las presentar listas, y las agrupaciones complejas se
puede anidar en listas o poner una lista dentro de otra region de datos.
• Lista en bandas: es una coleccion de bandas (encabezado, detalle y pie de pagina) la cual los
datos se repiten en la banda de detalles. Las listas en bandas son utiles porque se puede
insertar elementos libremente sin verse limitado por formatos de listas o tablas.
240
GUÍA DE USUARIO
• Matriz: tambien tiene filas y columnas, pero formateadas con encabezados de filas y
columnas, como en una tabulacion cruzada o tabla dinamica.
Las regiones de datos se incluyen en la caja de herramientas. Se pueden combinar, anidar e incluir
en cualquier otro elemento de diseno.
Elementos de informes
Los elementos de la caja de herramientas se utilizan para dar formato al diseno de la pagina y
colocar datos en ella.
• Los calendarios se pueden agregar a una pagina y vincular a datos para mostrar los eventos
dentro de un intervalo de fechas.
Estos y otros elementos se pueden personalizar totalmente y combinar de muchas maneras para
agrupar y mostrar datos.
Para ver ideas sobre como puede definir sus propios informes, observe las propiedades de
cualquier informe estandar y haga clic en Disenador de informes para ver como se definio el
informe.
Ayuda adicional
Para obtener mas ayuda detallada sobre el disenador de informes, consulte el sitio Web de la
Comunidad de usuarios de IVANTI (community.Ivanti.com). Tambien hay informacion disponible
sobre los informes de Data Dynamics en el sitio Web (datadynamics.com).
241
IVANTI ENDPOINT MANAGER
Cuando un usuario ejecuta un informe en la consola Web, se aplica el ambito del usuario al informe.
El informe contendra solo los datos de los dispositivos que estan dentro del ambito del usuario.
Para utilizar los informes en la consola Web, el usuario debe tener por lo menos el derecho Informes
- Ver.
6. Utilice los botones de la barra de herramientas para buscar datos, exportar datos en un
formato diferente, imprimir el informe, etcetera.
1. Ejecute un informe.
2. En la barra de herramientas del visor, seleccione el formato de informes que desee utilizar en
la lista de Seleccionar un formato, luego haga clic en el boton Exportar.
O NOTE: Si guarda un informe y planea enviarlo por correo electronico, utilice el formato PDF en lugar de la
salida HTML.
El visor de informes de la consola Web le permite ver, imprimir y exportar informes. La barra de
herramientas contiene los siguientes botones:
• Imprimir: Abre el cuadro de dialogo de impresion asociado con el tipo de salida que se eligio.
. Vista previa de impresion: activar o desactiva el modo de vista previa de impresion (ver
pagina). Cuando no se selecciona, se muestra el informe como una sola pagina HTML.
• Modo de visor: ver el informe en formato HTML o PDF. Seleccione un formato de la lista y
haga clic en el boton de Modo de visor para cambiar el formato.
242
GUÍA DE USUARIO
• Cuadro de pagina: inserte un numero de pagina determinado, que le lleve directamente a esa
pagina.
La barra lateral incluye tres opciones, representadas con iconos. A medida que seleccione opciones
y sus parametros respectivos, el informe se actualiza en el visor.
243
IVANTI ENDPOINT MANAGER
Parametros: —Cambiar los parametros del informe, los cuales varian entre informes. Una vez
que haya seleccionado los diferentes parametros, haga clic en Ver informe para actualizar el
informe con los nuevos parametros.
Buscar: buscar una cadena de texto determinada en todos los datos del informe.
Especifique la cadena y seleccione los criterios (como el caso de coincidencia),
luego haga clic en Buscar. Aparece una lista de las coincidencias de la cadena. Haga clic en
una de ellas para ir a esa seccion del informe. La coincidencia aparece resaltada.
Mapa del documento: si se definio un mapa del documento para el informe, muestra un
esquema del contenido del informe. Esta opcion no aparece si no hay un mapa del
documento. Haga clic en un elemento de la lista para ir a ese punto del informe.
Cuando la barra lateral incluya una lista de parametros, se pueden incluirtodos los elementos de la
lista en el informe mediante la seleccion de (Todos). Al hacer esto, no se seleccionan los elementos
individuales de la lista, sino que se incluyen todos en el informe.
Para seleccionar un subconjunto de los elementos, seleccione las opciones que desee incluir en el
informe. Asegurese de que la opcion (Todos) no este activada. Use la tecla Ctrl+clic o Mayus+clic
para seleccionar varios elementos, luego haga clic en Ver informe.
Los parametros vanan con cada informe. Sin embargo, todos los informes incluyen una opcion de
seleccion que especifica dispositivos individuales, consultas, grupos, ambito o ubicacion. Esto le
permite generar un informe que corresponda a una consulta, un grupo o un ambito que hayan sido
definidos en la vista de red o en una ubicacion en la red.
Seleccionar dispositivos por
1 Dispositivo
^Seleccionar un valor>
HOispositivo :
! Consulta
Agrupar
Ambito
Ubicacion
Por ejemplo, puede seleccionar dispositivos de una ubicacion con base en la ubicacion del
dispositivo en la red. Cuando seleccione Ubicacion, la lista mostrara las ubicaciones en la red
ordenadas por nombre de dominio.
244
GUÍA DE USUARIO
Lists
M.
Ivanti.com/Aplicaciones ds
Ivanti.com/Ccmtmlador de
Ivanti.com/Equipos
Ivanti.com/3en/icios de LA
El editor del tablero de resultados muestra los tableros predefinidos de varias herramientas, como
Parches ycumplimiento. Es necesario que la herramienta se haya iniciado para que el tablero de
resultados aparezca en el editor de tableros de resultados. Tambien se pueden creartableros de
resultados nuevos.
Para abrir el Editor del tablero de resultados, haga clic en Herramientas > Informes/Monitor > Editor
del tablero de resultados. El Editor del tablero de resultados se abre en el panel inferior de la
consola. Desde la barra de herramientas del editor del tablero de resultados, puede acceder a las
siguientes funciones: Muchas de estas funciones estan tambien disponibles en el menu que
aparece cuando hace clic sobre un grafico con el boton derecho.
Nuevo tablero de resultados: ^ Si tiene seleccionada una carpeta de la consola, haga clic
17
sobre el boton Nuevo tablero de resultados para crear un tablero de resultados nuevo.
245
IVANTI ENDPOINT MANAGER
/
• Propiedades: Haga clic para abrir el dialogo Propiedades del grafico seleccionado. El boton
1
Propiedades solo esta activo si es posible editar el grafico seleccionado. Tambien se puede
editar un grafico haciendo clic con el boton derecho sobre el grafico y haciendo clic en
Propiedades... Algunos graficos le permiten aplicar filtros, algunos tienen propiedades
editables y otros no tienen ninguna de estas opciones. Por ejemplo, con algunos graficos se
puede especificar una paleta de colores y otros graficos tienen colores no modificables que
se definen en el dialogo Propiedades. Las opciones del dialogo Propiedades vanan segun el
grafico.
• Eliminar elementos seleccionados:Haga clic para eliminar un grafico. El boton Eliminar
elementos seleccionados solo esta activo si es posible editar el grafico o tablero de
resultados seleccionado. No es posible eliminar definitivamente los tableros de resultados
predefinidos.
Actualizar: Actualiza los datos de los graficos del tablero de resultados. Los graficos de
otros tableros se sincronizaran automaticamente.
■ ■■
• Mostrar tablero en una ventana distinta: haga clic para que aparezca el tablero de
resultados en una ventana nueva. Cuando se visualiza un tablero de resultados en una
ventana separada, setiene acceso a funciones adicionales, que incluyen el filtrado portipo de
definicion, por ambito, aplicar filtros personalizados y personalizar la actualizacion
automatica. Se pueden ver varios tableros de resultados simultaneamente. Por ejemplo, es
posible que desee ver varios tableros de resultados de la misma herramienta pero que
utilicen filtros diferentes. Para obtener mas informacion acerca del uso de filtros, consulte
Personalizar las listas de elementos con filtros.
NOTE: Las ventanas de tableros de resultados separadas permanecen en la parte superior de la consola.
Si hace doble clic sobre un grafico para desglosarlo, es posible que deba recolocar el tablero de resultados
para ver la consulta que se haya generado con el grafico en la consola.
246
GUÍA DE USUARIO
Etiqueta de Destinatarios
• Recurso compartido de Informes LAN DESK: De forma predeterminada, todos los informes
se guardan en la carpeta ldmain\reports, la cual queda configurada como un recurso
compartido en el servidor central. Cualquier persona que tenga derechos a ese recurso
compartido puede abrir la carpeta y ver los informes. Si no desea que se guarde el informe
en el recurso compartido, desmarque esta casilla.
• Usuarios: seleccione la casilla de verificacion de cada usuario que desea que reciba el
informe. Para enviar un informe algun usuario, el usuario de las propiedades debe tener una
direccion de correo electronico especificada (esto se hace en la herramienta de
Administration de usuarios).
247
IVANTI ENDPOINT MANAGER
Scheduling tasks
Programacion de tareas
IVANTI Endpoint Manager incluye un potente sistema de tareas programadas. Tanto el servidor
central como los dispositivos administrados tienen servicios o agentes que admiten tareas
programadas. Las consolas de Endpoint Manager yconsolas Web pueden agregarle tareas al
programador.
• Configuraciones de dispositivos
• Diversas secuencias de comandos personalizadas
• Implementaciones de formularios de datos personalizados
• Detecciones de dispositivos no administrados
• Rastreos de vulnerabilidad
• Ejecucion de software en dispositivos administrados
• Todas las secuencias de comandos: todas las secuencias de comandos que se encuentran
en el servidor central.
Puede crear grupos en el elemento Mis secuencias de comandos para clasificar aun mas las
secuencias de comandos. Para crear una nueva secuencia de comandos, haga clic en el elemento
Mis secuencias de comandos o un grupo que haya creado, y luego haga clic en el tipo de secuencia
de comandos que desee crear.
Una vez creada la secuencia de comandos, puede hacer clic en Programar en el menu contextual de
la misma. Esta operacion inicia la ventana Tareas programadas (Herramientas > Distribucion >
248
GUÍA DE USUARIO
Tareas programadas), en la cual se pueden especificar los dispositivos sobre los que se ejecutara la
tarea y cuando se debera ejecutar. Para obtener mas informacion sobre la programacion de tareas,
consulte la siguiente seccion.
• A traves del agente de IVANTI estandar (ya debe estar instalado en los dispositivos).
• A traves de una cuenta del sistema a nivel de dominio. La cuenta que elija debe tener el inicio
de sesion como un privilegio del servicio. Para obtener mas informacion sobre la
configuracion de la cuenta Programador, consulte "Configuracion del servicio programador"
(98).
La consola incluye secuencias de comandos que se pueden programar para que realicen tareas de
mantenimiento de rutina; por ejemplo, ejecucion de rastreos de inventario en dispositivos
seleccionados. Puede programar estas secuencias de comandos desde Herramientas > Distribucion
> Administrar secuencias de comandos > Todas las secuencias.
Antes de programar tareas para un dispositivo, este debe contener el agente de IVANTI estandar y
encontrarse en la base de datos de inventario.
1. En la ventana de Tareas programadas, haga clic en uno de los siguientes botones de la barra
de herramientas: Programar secuencias de comandos personalizadas, Formularios de datos
personalizados, Configuracion del agente o Programar rastreos de inventario.
4. En la vista de red, seleccione los dispositivos que desee que sean los destinos de las tareas,
y arrastrelos a la tarea en la ventana Tareas programadas.
6. En la pagina Tarea programada, defina la hora de inicio de la tarea y haga clic en Guardar.
Puede agregar mas dispositivos a la tarea al arrastrarlos desde la vista de red y soltarlos en la tarea
que desee en la ventana Tareas programadas.
Uso de la ventana Tareas programadas
Utilice la ventana Tareas programadas para configurary programar las secuencias de comandos que
ha creado. Programe elementos para una unica entrega, o bien, programe una tarea recurrente
como, por ejemplo, una tarea de secuencia de comandos para buscar regularmente dispositivos no
249
IVANTI ENDPOINT MANAGER
administrados.
La ventana Tareas programadas se divide en dos partes. La mitad izquierda muestra el arbol de
tareas y las tareas, y la mitad derecha muestra la informacion espedfica a lo que usted selecciono
en el arbol.
Panel izquierdo
• Mis tareas: tareas que se han programado. Solamente usted y los usuarios administrativos
de Endpoint Manager pueden ver estas tareas.
• Tareas publicas: tareas que los usuarios que tienen el derecho de "para Modificar publico"
han marcado como publicas.
• Todas las tareas: tanto las tareas personales y las tareas marcadas como comunes.
Las tareas tienen tambien un menu contextual que puede utilizar. La opcion del boton derecho del
menu Iniciar ahora tiene las siguientes opciones:
250
GUÍA DE USUARIO
• Resumen de tareas: Configurable en d^as u horas. Los administradores pueden vertodas las
tareas, del ambito del propietario, de inicio, y otros.
• Resumen: Los administradores pueden ver todas las tareas, del ambito del propietario, de
inicio, y otros.
• Tareas por tipo: Muestra las tareas portipo de tarea (como un envfo con soporte de polfticas,
polftica o envfo). Los administradores pueden ver todas las tareas, del ambito del
propietario, de inicio, y otros.
• Tareas obsoletas: Configurable en dfas u horas. Muestra las tareas con los dispositivos que
no han respondido.
• Estado de clientes: Muestra el estado de los clientes en las tareas, como En progreso,
Descargando o Instalando.
Para los usuarios que no sean administradores de consola, todos los graficos entran en el ambito
de propietario, inicio o de equipo. El ambito no se aplica a los graficos en los propietarios de tareas
principales ni a las tareas principales del ambito de usuario.
Cada grafico tiene un barra de herramientas que le permite llevar a cabo lo siguiente:
251
IVANTI ENDPOINT MANAGER
Graficos “ .
3. Mueva los graficos que desee visualizar al cuadro de graficos seleccionado.
4. Seleccione un grafico y utilice las flechas de direction para modificar el orden de
visualization.
5. Haga clic en Aceptar.
• Detection en tiempo real: Detecta el nombre de dominio completo, direcciones IPy MAC del
dispositivo, y la ID de dispositivo de Endpoint Manager.
252
GUÍA DE USUARIO
Endpoint Manager se envfa con algunas plantillas de tareas predeterminadas con los ajustes
recomendados.
Para crear una nueva tarea programada basada en una plantilla existente
4. Configure los ajustes de la plantilla y haga clic en Guardar. La nueva plantilla aparecera en el
arbol, bajo Plantillas de tareas.
253
IVANTI ENDPOINT MANAGER
botones Parar tarea y Cancelar tarea. Haga clic en el boton que desee.
• Tareas en espera: En el menu de acceso directo de la tarea que desee cancelar, haga clic en
Propiedades. En la pagina Tarea programada, haga clic en Dejar sin programar.
Si un dispositivo se define como destino mas de una vez, tal como cuando dos consultas de destino
tienen resultados que se traslapan, el servidor central detecta la duplicacion y no ejecuta la tarea
varias veces en el mismo dispositivo.
Al utilizar consultas para seleccionar destinos de tareas, la consulta no se ejecuta hasta que se
inicia la tarea. El cuadro de dialogo Propiedades de tarea programada muestra los dispositivos de
destino hasta que se ejecuta la tarea.
Tambien puede agregar destinos directamente desde las pagina Destinos de las propiedades de las
tareas. Asignar destinos desde esta pagina le proporciona un punto de acceso unico para todos los
tipos de destino disponibles y destinos posibles. Simplemente debera seleccionar el tipo de destino
que desee y hacer clic en Agregar.
Varios usuarios de Endpoint Manager pueden agregar destinos a una tarea programada. Sin
embargo, en el panel Tareas programadas, cada usuario de Endpoint Manager solo vera los
destinos de su propio ambito. Si dos usuarios con ambitos que no se superponen entre sf agregan
20 destinos a una tarea, cada usuario vera solo estos 20 destinos que han agregado, pero la tarea se
ejecutara en los 40.
Cada tarea necesita un juego de destinos en los que ejecutarla. Las tareas pueden tener dos tipos
de destinos: estaticos y dinamicos.
• Destinos estaticos: Una lista de usuarios o dispositivos espedficos que no cambia a menos
que lo modifique manualmente. Los destinos estaticos pueden ser usuarios o dispositivos
LDAP del Administrador de directorios o dispositivos de la vista de red de la consola.
• Destinos dinamicos: Una lista dinamica de dispositivos de destino que las tareas de
distribucion basadas en poifticas comprueban regularmente en busca de cambios. A medida
que haya dispositivos nuevos que cumplan los criterios de consulta, las tareas recurrentes
que utilicen dichas consultas se aplicaran a estos dispositivos. Entre las listas dinamicas se
254
GUÍA DE USUARIO
• Vista de red del grupo: Conjunto dinamico de dispositivos de la base de datos central.
• Grupo/contenedor LDAP: Un conjunto dinamico de objetos de usuario, dispositivo u objetos
de grupo.
• Consulta de base de datos: Conjunto de dispositivos generado por una consulta realizada en
la base de datos central.
En cada dispositivo Windows, debe existir una cuenta de equipo en el controlador de dominio de
Active Directory. Esto significa que el equipo que se utiliza como dispositivo debe conectarse al
dominio en el que se encuentre Active Directory. No basta con asignar una unidad de red utilizando
un nombre de dominio completo de Windows. Esta polftica no se aplicara de este modo.
255
IVANTI ENDPOINT MANAGER
Entre los datos del inventario, Endpoint Manager mantiene para cada dispositivo administrado en la
zona horaria del lugar en que se encuentra. Si asf lo desea, el programador de tareas puede utilizar
estos datos para ejecutar automaticamente la tarea basandose en la zona horaria del dispositivo, en
lugar de utilizar la zona horaria del servidor central.
4. En la pagina Programar tarea, seleccione Destino con conocimiento de zona horaria, para
que la tarea se ejecute basandose en la zona horaria de destino.
5. Guarde los cambios y ejecute la tarea. Cuando la hora programada llegue a cada zona
horaria, los servidores centrales ejecutaran la tarea en los destinos de dicha zona horaria.
256
GUÍA DE USUARIO
Estos son los estados que puede tener la tarea, y la categoria en la que son visibles:
• Esperando: Listo para procesar una tarea; (Pendiente) categona . Activo: Procesando la
257
IVANTI ENDPOINT MANAGER
• am_verifyall: verifica todos los paquetes instalados en los clientes mediante polfticas.
• Crear certificado de cliente de Management Gateway: Crea un certificado de seguridad para
que un dispositivo puede usar Management Gateway.
• Data Analytics: importar y borrar usuarios: Ejecuta la regla de Servicios de traduccion
de datos para archivar los dispositivos de usuarios espedficos en Control de Activos, al
mismo tiempo que se eliminan los dispositivos de la base de datos de Endpoint
Manager.
• Desactivar el filtro de escritura de Windows: desactiva el filtro de escritura de Windows;
comienza un reinicio en el cliente.
• Activar el filtro de escritura ampliado de Windows: activa el filtro de escritura ampliado de
Windows; comienza un reinicio en el cliente.
• Activar el filtro de escritura basado en el archivo de Windows: activa el filtro de escritura con
base en archivo de Windows; comienza un reinicio en el cliente.
258
GUÍA DE USUARIO
259
IVANTI ENDPOINT MANAGER
menos una velocidad RAS o de acceso telefonico, tal como se detecta a traves del API de
red. Normalmente, si se selecciona esta opcion, la tarea siempre se va a ejecutar si el
dispositivo tiene una conexion de red de algun tipo.
• LAN: La tarea se ejecuta cuando la conexion del dispositivo al dispositivo de destino excede
la configuracion de velocidad LAN. La velocidad LAN se define como cualquier velocidad
mayor a 262,144 bps, de forma predeterminada. Puede definir el umbral LAN en la
configuracion del agente (pagina Herramientas > Configuracion > Agente > Configuracion >
Deteccion de ancho de banda). Los cambios que realice entran en efecto cuando se
implementa la configuracion actualizada en los dispositivos.
A este cuadro de dialogo se accede desde la ventana de Tareas programadas (Herramientas >
Distribucion > Tareas programadas). En la ventana Tareas programadas, haga clic en el boton Crear
tarea de distribucion de software en la barra de tareas, o desde el menu contextual de la tarea que
desee configurar, haga clic en Propiedades.
Utilice este cuadro de dialogo para establecer el la hora de inicio de la tarea y si se desea su
repeticion, y con que frecuencia. Este cuadro de dialogo tambien muestra los destinos de la tarea.
Dependiendo del tipo de tarea que se este programando, tambien podra ver las opciones de entrega
y distribucion de los paquetes.
Tambien puede crear grupos para que las tareas comunes los clasifiquen. Los demas usuarios
veran los grupos solo si su ambito RBA les permite ver una tarea en dicho grupo. Si trata de
eliminar un grupo que contenga tareas, no podra eliminar el grupo si contiene tareas que su ambito
no le permite ver.
Esta pagina permite elegir un propietario para la tarea y resume las opciones seleccionadas para el
cuadro de dialogo Tareas programadas. Si desea modificar alguna de las opciones, haga clic en
Cambiar, junto a esa tarea. Si desea que la tarea aparezca en el grupo Tareas comunes de la ventana
Tareas programadas, en lugar de en el grupo Mis tareas, haga clic en Mostrar en tareas comunes.
260
GUÍA DE USUARIO
Esta pagina permite seleccionar el paquete que se desea enviar. Una vez seleccionado el Tipo de
paquete, la lista Paquete de distribucion muestra los paquetes de ese tipo que se pueden distribuir.
Los paquetes de la lista corresponden a los paquetes que se pueden ver en ese tipo espedfico, en la
ventana Paquetes de distribucion para el usuario actual y el usuario publico. Haga clic en el Paquete
de distribucion deseado.
Utilice esta pagina para ver los dispositivos de destino para la tarea que esta configurando. Puede
agregar destinos en esta pagina seleccionando un tipo de destino y haciendo clic en Agregar. Mas
adelante tambien se pueden agregar destinos arrastrandoy soltandolos en la tarea de la ventana
Tareas programadas. Los dispositivos de destino pueden incluirse en alguna de las categonas
siguientes:
• Dispositivos de destino
• Objetos LDAP de destino
• Consultas dirigidas
• Consultas LDAP dirigidas
• Grupos de dispositivos de destino
• Ambitos de destino
• Zonas horarias de destino
Acerca de la pagina Configuracion de tareas
Utilice esta pagina para configurar el tipo de tarea, frecuencia de ejecucion, opciones de envfo y
opciones de descarga.
Tipo de tarea:
• Distribucion compatible con la polftica: Se trata del modelo de distribucion y polftica por
envfo. Primero, la distribucion de software intenta instalar el paquete en todos los
dispositivos de la lista de destino. De este modo, se puede realizar una implementacion
inicial mediante la multidifusion dirigida. Segundo, los dispositivos que no recibieron el
paquete o que se agregan posteriormente a la lista de destino (en el caso de las listas de
destino dinamicas), reciben el paquete cuando lo solicite el agente de administracion basada
en poifticas del dispositivo. Generalmente, este es el metodo de entrega recomendado.
• Polftica: El servidor central pone los paquetes a la disposicion para su descarga. Cuando un
dispositivo administrado busca las polfticas disponibles, se devuelve el paquete. Segun el
tipo de polftica, los dispositivos podnan instalar el paquete de forma automatica o ponerlo a
la disposicion de los usuarios para que lo instalen cuando lo deseen.
• Por envfo: Los paquetes pueden multidifundirse a los dispositivos administrados. A
continuacion, el servidor central inicia la instalacion de los paquetes en los dispositivos
administrados.
• Ignorar las siguientes solicitudes en dispositivos de destino correctos: si la tarea se
completo correctamente en el dispositivo, no intente volver a llevarla a cabo.
. Tipo de accion: Que hacer con la tarea en el portal del cliente. Esta opcion muestra que hay
261
IVANTI ENDPOINT MANAGER
Opciones de descarga:
• Ejecutar desde la fuente (ejecutar al compartir): Ejecuta la tarea sin descargar antes los
archivos del paquete.
• Descargar y ejecutar: Predeterminado. Descarga los archivos del paquete en el cache de
distribucion local antes de ejecutarlos.
• Pre-cache (descargar para una tarea futura o para una accion iniciada desde el portal):
Copia los archivos del paquete en el cache local y los deja ahf.
Utilice esta pagina para seleccionar el modo en que los portales del cliente manejaran esta tarea.
Utilice esta pagina para reemplazar temporalmente la distribucion y los ajustes del agente de
revision o las del agente de reinicio en el trabajo actual. Puede seleccionar una configuracion
diferente haciendo clic en una configuracion de la columna Configuracion.
262
GUÍA DE USUARIO
Utilice esta pagina si desea configurar un mensaje personalizado para que aparezca cuando se
ejecuta la tarea. El texto del mensaje del texto puede incluir codigos de formato HTML.
Utilice esta pagina para configurar en que momento se ejecutara una tarea y la forma en que
funcionaran los reintentos:
• Dejar sin programar: Agrega la tarea a la ventana Tareas programadas, pero no la programa.
Utilice esta opcion si desea preservar una tarea de configuracion pero no desea ejecutarla.
• Iniciar ahora: inicia la tarea tan pronto se cierra el cuadro de dialogo. Puede haber un retraso
de hasta un minuto antes de que la tarea se inicie realmente.
• Repetir cada: programa la tarea para que suceda periodicamente. Indique el dfa, la semana y
el mes en la lista para seleccionar con que frecuencia se repetira la tarea. Se repetira cuando
se indique.
• Reintentar tareas en dispositivos con fallo: Si una tarea falla en un dispositivo, permite
volver a intentar la tarea en dicho dispositivo. Puede especificar el numero de reintentos
permitidos.
• Programar estos dispositivos: la primera vez que se ejecuta una tarea, es recomendable que
utilice la opcion predeterminada Dispositivos que no ejecutaron la tarea. En las ejecuciones
subsiguientes, elija entre Todos, En estado de espera o trabajando actualmente o
Dispositivos que no ejecutaron la tarea. Estas opciones se explican en detalle a
continuacion.
Al reprogramar una tarea, puede limitar los dispositivos en los que se ejecuta. Es probable que
desee hacerlo si la tarea no se ejecuta en una gran cantidad de dispositivos y no cree que cambie el
estado de los dispositivos fallidos. El limitar la tarea de este modo podna ayudar a que esta termine
mas rapidamente debido a que el programador no continuara intentando en dispositivos que no
procesaran la tarea. Puede elegir ejecutar las tareas en dispositivos que tengan los siguientes
estados:
• Esperando o en ejecucion: opcion predeterminada que debe utilizarse al ejecutar la tarea por
primera vez. Si vuelve a ejecutar la tarea, esta opcion utiliza los dispositivos de destino que
ejecutaron la tarea la primera vez que se ejecuto.
. Todos: seleccione esta opcion si desea que la tarea se ejecute en todos los dispositivos,
263
IVANTI ENDPOINT MANAGER
independientemente del estado. Considere esta opcion si tiene una tarea, particularmente
una repetitiva, que necesite ejecutarse en la mayor cantidad de dispositivos posible.
• Dispositivos que no ejecutaron la tarea: seleccione esta opcion si desea que la tarea
solamente se ejecute en todos los dispositivos que no la completaron la primera vez. Esta
opcion excluye los dispositivos que tienen el estado Satisfactorio. La tarea se ejecutara en
los dispositivos con todos los demas estados, incluso Esperando o Activo. Considere esta
opcion si necesita ejecutar la tarea en la mayor cantidad posible de dispositivos que no la
ejecutaron, y solamente necesita ejecutarla una vez en cada dispositivo.
• Dispositivos que no intentaron ejecutar la tarea: seleccione esta opcion si desea que la tarea
solamente se ejecute en los dispositivos que no la ejecutaron pero que tampoco fallaron.
Esto excluye los dispositivos con el estado Apagado, Ocupado, Fallido o Cancelado.
Considere esta opcion si varios dispositivos de destino fallaron y no tienen importancia
como destino.
Esta pagina solo se aplica a equipos de destino que esten ejecutando agentes de Endpoint Manager
posteriores a la version 9.6. Utilice esta pagina para seleccionar el metodo de entrega que desee
utilizar para destinos de Legacy. Para equipos de destino 9.6 y mas recientes, estas opciones se
ajustan en la pagina Configuration de tareas.
Utilice esta pagina cuando se ha programado una secuencias de comandos personalizada y desea
ver cual es su contenido. No se puede modificar el contenido de la secuencias de comandos
personalizada en esta pagina.
Varios agentes de Endpoint Manager tienen funciones que puede programar mediante el agente
programador local que se encuentra instalado en los dispositivos administrados. Utilice este cuadro
de dialogo para configurar dicha programacion.
Tambien puede utilizar el programador local para programar la ejecucion periodica de sus propias
tareas en los dispositivos. Una vez que cree una secuencia de comandos local o personalice la
programacion del agente de un dispositivo, puede implementar la misma en los dispositivos
mediante la ventana Tareas programadas.
Para configurar la tarea del programador local, en la ventana Secuencias de comando administradas
(Herramientas > Distribution > Secuencias de comando administradas), en el menu contextual Mis
Secuencias, haga clic en Nueva secuencia de comandos del Programador local.
Antes de que se ejecute la tarea deben satisfacerse todos los criterios en este cuadro de dialogo
que esta configurando. Por ejemplo, si configura una programacion que se repite todos los dfas
entre las 8
y las 9 en punto con un Estado del equipo de El equipo de escritorio debe bloquearse, la tarea solo
se ejecutara entre las 8y las 9 en punto y si el dispositivo esta bloqueado.
264
GUÍA DE USUARIO
Seccion de eventos
La seccion de eventos esta atenuada a menos que este configurando una secuencia de comandos
del programador local desde la herramienta Administrar secuencias de comandos.
. Ejecutar cuando el usuario inicia sesion: seleccione esta opcion para ejecutar la tarea siempre
que un usuario inicie sesion. Cuando un usuario lo haga, el programador local ejecutara la
tarea directamente.
• Ejecutar siempre que cambie la direccion IP del equipo: seleccione esta opcion si desea
ejecutar la tarea si cambia la direccion IP del dispositivo o si se renueva a traves de DHCP.
Por ejemplo, puede usar esta opcion para iniciar un rastreo de inventario cuando cambie la
direccion IP, para mantener sincronizada la direccion IPde la base de datos de Endpoint
Manager.
Seccion de horarios
Use esta seccion para configurar los horarios de ejecucion de la tarea. Si ejecuto este cuadro de
dialogo desde la herramienta configuracion del agente, puede especificar un retraso aleatorio en la
pagina de configuracion del agente del cual viene. El intervalo de retraso aleatorio que especifique
es un rango horario en el que puede ejecutarse la tarea. Por ejemplo, si cuenta con una gran
cantidad de usuarios que inician sesion al mismo tiempo, este retraso permite que las tareas que se
ejecutan en el inicio de sesion no lo hagan todas a la vez, si se asume que su intervalo de retraso es
lo suficientemente extenso. El retraso predeterminado es de una hora.
• Inicio: marque esta opcion para mostrar un calendario en el que puede seleccionar el dfa de
inicio de la tarea. Despues de elegir un dfa, tambien puede introducir un horario. El valor
predeterminado de estas opciones es la fecha y hora actuales.
• Repetir despues de: si desea que la tarea se reitere, haga clic en el cuadro de lista y
seleccione minutos, horas o d^as. Despues, introduzca en el primer cuadro la extension
deseada del intervalo que selecciono (por ejemplo, 10 dfas).
• Rango horario: si desea que la tarea se ejecute dentro de cierto horario, seleccione las horas
de inicio y fin. Las horas estan en formato horario de 24 horas.
• Semanalmente entre: si desea que la tarea se ejecute entre ciertos dfas de la semana,
seleccione los dfas de inicio y fin.
• Mensualmente entre: si desea que la tarea se ejecute entre ciertas fechas del mes, seleccione
las fechas de inicio y fin.
Seccion de ejecutar filtros
Al configurar los comandos del programador local, puede especificar el criterio de ancho de banda
mfnimo necesario para que se ejecute la tarea. La prueba del ancho de banda consiste en
creartrafico de red en el dispositivo especificado. Cuando llega el momento de ejecutar la tarea,
cada dispositivo que ejecuta la tarea del programador local envfa una pequena cantidad de trafico
de red ICMP al dispositivo especificado y evalua el rendimiento de la transferencia. Si el dispositivo
de destino de prueba no esta disponible, la tarea no se ejecuta.
Al especificar criterios de ancho de banda para dispositivos que pueden conectarse al servidor
central a traves de IVANTI Management Gateway, se debe colocar la direccion IP de Management
265
IVANTI ENDPOINT MANAGER
Gateway en el campo para. Esto permite que finalice la prueba de ancho de banda y que la tarea
pueda ejecutarse a continuacion.
• RAS: la tarea se ejecuta si la conexion de red del dispositivo al dispositivo de destino tiene al
menos una velocidad RAS o de acceso telefonico, tal como se detecta a traves del API de
red. Normalmente, si se selecciona esta opcion, la tarea siempre se va a ejecutar si el
dispositivo tiene una conexion de red de algun tipo.
• LAN: La tarea se ejecuta cuando la conexion del dispositivo al dispositivo de destino excede
la configuracion de velocidad LAN. La velocidad LAN se define como cualquier velocidad
mayor a 262,144 bps, de forma predeterminada. Puede definir el umbral LAN en la
configuracion del agente (Pagina Herramientas > Configuracion > Agente de Configuracion >
Detection de ancho de banda). Los cambios que realice entran en efecto cuando se
implementa la configuracion actualizada en los dispositivos.
• Ancho de banda mmimo: Si desea que el criterio de ejecucion de tareas incluya el ancho de
banda disponible, seleccione el ancho de banda mmimo deseado e introduzca el nombre del
dispositivo o direccion IP de destino para la prueba de ancho de banda entre el destino y el
dispositivo.
• Estado del equipo: si desea que el criterio de ejecucion de tareas incluya un estado del
equipo, seleccione uno de los siguientes estados: Protector de pantalla o equipo de
escritorio bloqueado, El equipo de escritorio debe bloquearse, El equipo debe estar en
position neutral, El usuario debe estar en sesion o El usuario debe estar fuera de sesion. Los
criterios del estado El equipo debe estar en posicion neutral son: el SO esta bloqueado, el
protector de pantalla esta activo o el usuario esta fuera de sesion.
Otras opciones
• Retraso aleatorio adicional una vez que se superan todos los demas filtros: si desea un
retraso aleatorio adicional, utilice esta opcion. Si selecciona un retraso aleatorio que se
extienda mas alla de los lfmites horarios configurados para la tarea, esta puede no ejecutarse
si el valor aleatorio coloca a la tarea por fuera de los lfmites horarios configurados.
266
GUÍA DE USUARIO
• Comando: escriba el programa que desea ejecutar de forma local. Incluya la ruta completa al
programa o cerciorese de que el programa este es una carpeta que forme parte de la ruta del
dispositivo. La ruta debe ser la misma en todos los dispositivos en los que se despliega el
archivo de comandos.
• Parametros: escriba los parametros de lfnea de comandos que desea pasar al programa.
267
IVANTI ENDPOINT MANAGER
• Registros: Desde este menu desplegable puede extraer registros en tiempo real desde el
cliente y el servidor central. Si selecciona los registros basandose en una tarea, la
herramienta extraera automaticamente los registros de la tarea resaltada. Desde el menu
Cliente, puede escoger descargar todos los registros del dispositivo en un archivo zip o en
informes SCAP. Los registros aparecen con la sintaxis resaltada y permiten realizar
busquedas. Puede ver una version truncada del registro en la herramienta Diagnosticos si el
archivo de registro es superior a 50 Kb o verlo en un visor externo. Todos los codigos de
retorno de sdclient estan vinculados con el contenido relacionado en el sitio web de la
comunidad de IVANTI, que es especialmente util para los registros que dieron error de
diagnostico. Si el area de visionado del registro tiene foco, al pulsar F5 se volvera a realizar
la ultima accion y le permitira ver las actualizaciones del registro del cliente en tiempo real.
• Detection en tiempo real: detecta el dispositivo en tiempo real y luego verifica que esta
disponible en la red y que IVANTI se puede comunicar con el.
Control remoto HTML5: 0 abre una ventana de control remoto HTML5 para el dispositivo
seleccionado.
Ver polftica del cliente de la tarea: — muestra los ajustes de la politica del cliente de la tarea
18
seleccionada, que es util para realizar depuraciones.
268
GUÍA DE USUARIO
• Historial de tareas del cliente: ' ° muestra un historial detodas las tareas yde sus estados.
• Habilitar el acceso remoto al sistema de archivos: “ mientras trabaja con dispositivos que
utilizan Windows 8 y posterior, le permite evitar una ventana emergente que le solicite las
credenciales si el nombre de usuario y la contrasena son la misma. (versiones anteriores de
Windows no son compatibles con esta funcion).
• Visor de eventos remoto: muestra el Visor de eventos del dispositivo seleccionado para
solucionar mas facilmente los problemas con las credenciales del usuario que ha iniciado
sesion.
Ba
• Sistema de archivos remoto: abre el Explorador de Windows para el C$ compartido del
dispositivo seleccionado mediante las credenciales del usuario que ha iniciado sesion.
Ver las tareas del programador local: ' ^ muestra las tareas del programador local del cliente.
Ver servicios: ” muestra el estado actual de todos los dispositivos instalados en los clientes.
• Buscar el sitio web de la comunidad de IVANTI: toma el texto resaltado del archivo
de registroy busca la comunidad de IVANTI para ayudarle a encontrar mas informacion.
269
IVANTI ENDPOINT MANAGER
Local scheduler
Acerca del programador local
El programador local es un servicio que se ejecuta en los dispositivos. Es una parte del Agente de
base comun y se lo puede instalar mediante la instalacion del dispositivo. Normalmente, el
programador local maneja las tareas de Endpoint Manager, tal como la ejecucion del rastreador de
inventario de forma periodica. Las otras tareas programadas, tales como los aprovisionamientos de
software o de SO, son realizadas por el servidor central en lugar de por el programador local. Puede
utilizar el programador local para programar la ejecucion periodica de sus propias tareas en los
dispositivos. Una vez que crea un archivo de comandos del programador local, lo puede desplegar
en los dispositivos mediante la ventana Tareas programadas.
El programador local asigna un numero de identificacion a cada tarea. Las secuencias de comandos
del programador local tienen un intervalo de identificadores que difiere de las secuencias del
programador local predeterminado que utiliza Endpoint Manager. De forma predeterminada,
solamente puede haber un archivo activo de comandos del programador personalizado en cada
dispositivo. Si crea una secuencia de comandos nueva y la implementa en los dispositivos, se
reemplaza la secuencia de comandos anterior (cualquier secuencia de comandos en el intervalo de
identificadores del programador local personalizado) sin afectar las secuencias de comandos del
programador local, tal como la programacion de rastreo de inventario local.
• LocalSch.exe
• LTapi.dll
Para desinstalar el servicio de Programador local de IVANTI, siga los pasos a continuacion.
1. Haga clicen Inicio > Ejecuteyescriba el siguiente comando.
270
GUÍA DE USUARIO
"%ProgramFiles%\IVANTI\LDClient\localsch.exe" /i
Ademas de las opciones de lmea de comando detalladas a continuacion, puede usarse la opcion
/taskid para especificar una tarea.
Este formato es una version resumida del formato utilizado por HTTP. El mes siempre se define
mediante una abreviatura ASCII de tres letras: Ene, Feb, Mar, Abr, May, Jun, Jul, Ago, Sep, Oct, Novo
Dic. Si el formato de la fecha se especifica de manera incorrecta, la tarea no se agregara.
/freq=xxx - Frecuencia
Especifica una frecuencia periodica. La frecuencia es la cantidad de segundos antes de que la tarea
se vuelva a ejecutar. Si este parametro no se especifica o es cero, la tarea se ejecutara solo una vez.
Especifica que debe crearse un filtro de usuarios para la tarea. Un filtro de usuarios evitara que la
tarea se ejecute hasta que un usuario se conecte al sistema.
/bw=xxx|<network host> - Filtro por ancho de banda
Especifica el ancho de banda necesario para un host de red espedfico. El ancho de banda puede
especificarse como LAN, WAN o RAS. Si se usa otro valor de ancho de banda, el programador local
quedara en el valor predeterminado de ancho de banda RAS. No se ejecutara la tarea hasta que el
programador local detecte que el tipo de ancho de banda especificado esta disponible entre el
271
IVANTI ENDPOINT MANAGER
Por ejemplo, el filtro siguiente especificana que no se ejecute la tarea hasta que haya disponible al
menos una conectividad WAN para el equipo myserver.domain.com.
/bw=WAN | myserver.domain. com
Especifica un filtro por hora. La tarea no se ejecutara a menos que la hora se encuentre entre las
horas especificadas de inicioyfin. La hora del dfa se especifica desde la hora 0 a la hora 23. Por
ejemplo, el filtro a continuacion especificana la ejecucion de una tarea entre las 7 p.m.y las 10 p.m.
/tod=19|22
Especifica un filtro por dfa de la semana. La tarea no se ejecutara a menos que el dfa de semana se
encuentre entre las horas especificadas de inicio y fin. Los dfas de la semana se especifican con
enteros, con 0 como el domingo. Por ejemplo, el filtro a continuacion especificana la ejecucion de
una tarea entre domingo yjueves.
/dow=0|4
Especifica un filtro por dfa del mes. La tarea no se ejecutara a menos que el dfa del mes se
encuentre entre los dfas especificados de inicioyfin. El filtro del dfa del mes se especifica mediante
un valor numerico entre 1 y 31. Por ejemplo, el filtro a continuacion especificana la ejecucion de una
tarea entre el 16 y 28 del mes.
/dom=16 | 28
Especifica que la tarea se debe ejecutar siempre que cambie la direccion IP del equipo.
272
GUÍA DE USUARIO
273
IVANTI ENDPOINT MANAGER
Elimina la tarea especificada por medio del parametro/taskid, o elimina todas las tareas dentro de
los valores maximos y mmimos inclusive de /range. Los ID de tareas pueden determinarse ya sea
buscando las tareas que usan la opcion de lmea de comando /tasks o por medio de una /taskid
constante al agregar una tarea.
Especifica un valor mmimoy maximo de un rango de IDs de tareas. Puede usarse con el
comando/del para quitartodas las tareas con ID dentro del rango determinado.
Normalmente, cuando se genera una tarea, se asigna un identificador al azar, utilizando el valor de
la hora actual (time_t) como el identificador de la tarea. Una identificacion asignada al azar nunca
sera menos de 100000. Este parametro de la lmea de comandos se puede utilizar para especificar el
identificador de la tarea. Los valores 0 -1000 de ID de tarea se reservan para uso interno de IVANTI.
Los valores 1001 -2000 de ID de tarea se reservan para el uso por parte de la interfaz del
programador local de la consola de administracion.
A continuacion se encuentran las opciones de lmea de comando compatibles con la aplicacion del
programador local.
Instala el servicio del programador local en el dispositivo. Despues de instalado, debera iniciarse el
274
GUÍA DE USUARIO
programador local.
/r - Quitar el servicio
Quita del dispositivo el servicio del programador local. Antes de quitar el servicio debe detener el
servicio del programador local.
Verifica si el servicio del programador local esta instalado en el equipo local. Si el programador local
esta instalado, este metodo informara S_OK o cero. Si el programador local no esta instalado, se
informara un valor distinto a cero.
Este comando muestra las tareas configuradas actualmente en stdout, pero solo pueden verse en
una interfaz de comandos si estan encaminadas hacia mas.
La salida puede redireccionarse hacia un archivo de texto, por ejemplo tasks.txt, mediante el uso de
la siguiente lmea de comandos:
Si los parametros que se van a pasar a /cmd = ya estan entre comillas, entonces necesitan tres
comillas: unas para encerrartoda la cadena, otras para encerrar las comillas de los valores y las
terceras para encerrar los valores.
275
IVANTI ENDPOINT MANAGER
Por ejemplo, la lfnea de comando a continuacion muestra un ejemplo de los parametros que deben
encerrarse con tres comillas.
LocalSch.exe /exe="%ProgramFiles%\IVANTI\File Replicator\IVANTIFileReplicatorNoUI.exe"
/cmd="""%ProgramFiles%\IVANTI\File Replicator\LDHTTPCopyTaskConfig.xml""
""%ProgramFiles%\IVANTI\File Replicator\replicator.log"""
En el comando anterior, los dos parametros son rutas a archivos. Como ambas rutas estan en el
directorio "Archivos de programa", tienen espacios y deben colocarse entre comillas a fin de ser
parametros adecuados para IVANTIFileReplicatorNoUI.exe. De manera que cada parametro entre
comillas esta rodeado por un segundo conjunto de comillas, y la cadena completa esta a su vez
rodeada por comillas.
Por ejemplo, el comando a continuacion usa un parametro/bw con un caracter | y debe colocarse
entre comillas.
LocalSch.exe /exe=C:\ldclient\myprogram.exe /cmd="/apm /s /ro" /bw="LAN|server"
276
GUÍA DE USUARIO
Remote control
Uso del visor de control remoto
El Visor de control remoto permite el acceso a un dispositivo de forma remota. Solamente se pueden
controlar de forma remota los dispositivos que tienen el agente de control remoto instalado. Durante
una sesion de control remoto, el dispositivo remoto tiene en realidad dos usuarios: usted yel usuario
final. Se pueden hacertodas las operaciones que pueda realizar el usuario que se encuentra sentado
frente al dispositivo remoto.
Si el agente del dispositivo ha sido configurado para hacerlo asf (en la configuracion del agente del
dispositivo), tambien se le puede solicitar al usuario que conceda permiso cada vez que se inicie un
nueva sesion.
Una vez que se establece la conexion, el icono de estado Remoto aparece en la esquina de la parte
superior de la ventana del usuario.
Esto le indica al usuario que su equipo se esta controlando de manera remota. El usuario puede hacer
clic con el boton derecho en el icono para terminar la sesion en cualquier momento, para consultar si
todavfa esta activa, para saber quien esta controlando el equipo, etc.
Desde la ventana del visor, se puede hacer mas que solamente controlar un dispositivo en forma
remota. Una vez que el visor se conecta al dispositivo, se puede elegir entre las siguientes tareas de la
barra de herramientas. 19
19 Conectar / Desconectar: Esta accion inicia otermina una sesion decontrol remoto.
• Iniciar / Detener el visor: Muestre u oculta la pantalla del dispositivo remoto en el visor de
control remoto.
Se pueden realizar varias tareas devisor en un dispositivo al mismo tiempo. Al activar una tarea
de visor, la interfaz de la tarea aparece en la ventana del visor.
277
IVANTI ENDPOINT MANAGER
• Pantalla remota completa: Utilice esta opcion para llenar completamente la pantalla local con la
del dispositivo remoto. Si la resolucion de la pantalla remota sobrepasa la de su equipo, puede
ser necesario utilizar el Desplazamiento automatico (vease mas adelante), a menos que se haya
activado la opcion Ajustar a la pantalla.
• Ajustar a la pantalla: Puesto que puede que la ventana del visor no ser tan grande como la
pantalla del dispositivo remoto, puede utilizar esta opcion para ajustar dinamicamente la
pantalla del usuario dentro del area visible de su monitor.
• Monitores multiples: Si el usuario remoto tiene mas de un monitor, este boton se activa
automaticamente, lo cual permite cambiar rapidamente entre monitores (hasta 8) en la ventana
remota. Puede minimizar o puede cambiar el tamano de cualquiera de los monitores remotos
para facilitar trabajar dentro de la ventana de control remoto.
La barra de herramientas tambien incluye la opcion Ejecutar, que permite buscar y ejecutar programas
ejecutables en el dispositivo remoto.
Puede utilizar la funcion Desplazamiento automatico ( Herramientas > Opciones > Cambiar
configuration > Permitirel desplazamiento automatico) para desplazarse hacia arriba, hacia abajoy de
lado a lado. El desplazamiento automatico desplaza la ventana de forma automatica a medida que el
puntero del raton se acerca al borde de la ventana.
Tambien puede aumentar el area de visualizacion de la ventana del visor mediante la desactivacion
de elementos del menu Ver, tales como los mensajes de conexion, la barra de herramientas y la
barra de estado.
278
GUÍA DE USUARIO
1. En la vista de red, haga clic con el boton derecho en el dispositivo que desee controlar de
forma remota y haga clic en Control remoto, Conversacion, Transferencia de archivos o
Ejecutar de forma remota.
2. Una vez que aparezca la ventana del usuario y se conecte con el dispositivo remoto, puede
utilizar cualquiera de las herramientas de control remoto disponibles en el menu
Herramientas del usuario, tales como conversacion, transferencia de archivos, reinicio,
inventario o control remoto.
3. Para finalizar una sesion de control remoto, haga clic en Archivo > Detener conexion.
279
IVANTI ENDPOINT MANAGER
raton.
Tambien puede utilizar las listas desplegables de grosor de lmea y de color para cambiar la
apariencia de los trazos. Los cambios en estos elementos solamente afectan los dibujos nuevos. Al
finalizar el trazado, haga clic en el boton del borrador de la paleta de dibujo o cierre la paleta.
280
GUÍA DE USUARIO
La otra ventaja es que el controlador de reflejo no utiliza mucha potencia de procesamiento del
dispositivo de destino. Si controla dispositivos de forma remota, los cuales tienen un procesador de
1,5 GHz o mas lento, el controlador de reflejo proporciona mejoras de rendimiento notables a traves
de conexiones de red rapidas. En las conexiones de red lentas, el rendimiento de control remoto es
mas limitado por el ancho de banda que por el uso del procesador.
El agente de control remoto estandar siempre se instala en los dispositivos. Si tambien se instala el
controlador de reflejo, el agente estandar y el controlador de reflejo pueden coexistir. No es posible
desinstalar el controlador de control remoto estandar y utilizar solamente el controlador de reflejo.
• Habilitar las teclas de acceso rapido (Ctrl +Alt + H): activa o desactiva la disponibilidad de las
teclas de acceso rapido. Las teclas de acceso rapido estan habilitadas de forma
predeterminada.
281
IVANTI ENDPOINT MANAGER
• Ajustar a la pantalla Define una secuencia predeterminada de teclas de acceso rapido para
alternar la activacion y desactivacion de la opcion Ajustar a la pantalla.
Para cambiar una tecla de acceso rapido, haga clic en el cuadro situadojunto a ella y pulse la nueva
combinacion de teclas. Las teclas Imprimir Pantalla y Pausa/Interrumpir no pueden ser parte de una
combinacion de teclas.
282
GUÍA DE USUARIO
visibilidad del fondo y los efectos de apariencia de las ventanas remotas (los cuales pueden
ajustarse en Propiedades de pantalla > Apariencia > Efectos), tales como los efectos detransicion de
menu e informacion de herramientas.
El control remoto siempre utiliza un algoritmo de compresion de alta eficacia para los datos de
control remoto. No obstante, aun con la compresion, se necesita una gran cantidad de datos para
enviar informacion de profundidad de color extrema. Puede reducir considerablemente la cantidad
de datos de control remoto necesarios para reducir la profundidad de color mostrada en el visor de
control remoto. Cuando el visor reduce la profundidad del color, el visor tiene que asignar la paleta
de color completa del escritorio remoto a la paleta de color reducida del visor. Como resultado,
notara colores en la ventana de control remoto que no reflejan de forma precisa el escritorio remoto.
Si esto es un problema, seleccione un ajuste de compresion de mayor calidad.
Otro modo de optimizar el rendimiento es mediante la eliminacion del fondo de pantalla remoto. Al
hacerlo, el control remoto no tiene que enviar actualizaciones de fondo de pantalla debido a que
algunas partes del escritorio remoto no estan cubiertas. Por lo general, el fondo de pantalla incluye
imagenes con alto uso de ancho de banda, como fotograffas. Estas no se comprimen bien y la
transferencia toma tiempo a traves de conexiones lentas.
Es posible guardar los mensajes de una sesion de conversacion. El texto que aparece en el area
gris de la sesion de conversacion se guarda en un archivo de texto.
Para conversar con un usuario en un dispositivo remoto
1. Haga clic en Herramientas > Conversation. Una parte de la ventana del visor se convierte en
una zona destinada a la conversacion.
283
IVANTI ENDPOINT MANAGER
2. Escriba un breve mensaje en la esquina inferior izquierda de dicha zona. Haga clic en Enviar.
3. Desplacese por la estructura en arbol del Explorador de Windows hasta Control remoto de
IVANTI. Se mostrara el nombre del dispositivo remoto que controla en la actualidad.
4. En el dispositivo remoto, seleccione la carpeta en la que desee pegar el archivo, haga clic
con el boton derecho y haga clic en Pegar.
1. En el cuadro Ejecutar del visor, introduzca la ruta y el nombre de archivo del programa. Si
tampoco lo conoce, puede desplazar la lista hacia abajo y haga clic en Examinar. Esto abre
un dialogo que le permite explorar las carpetas de los dispositivos remotos.
2. Haga clic en el boton Ejecutar de forma remota que se encuentra a la derecha del cuadro
Ejecutar.
284
GUÍA DE USUARIO
El visualizador de control remoto permite reiniciar un dispositivo de forma remota. Solo es posible
reiniciar de forma remota aquellos dispositivos en los que se haya instalado el agente de control
remoto. Esta caractenstica funciona aunque no este viendo una pantalla de dispositivo remoto.
3. En el cuadro Indicador para el usuario remoto, escriba un breve mensaje de advertencia que
se mostrara en el dispositivo antes de reiniciarlo de forma remota.
El mensaje de advertencia se mostrara en el dispositivo con una cuenta atras que indica el tiempo
restante para que se reinicie el cliente remoto. El usuario puede hacer clic en Aceptar para reiniciar
el cliente inmediatamente, o en Cancelar para rechazar la solicitud de reinicio. Se mostrara un
cuadro de mensaje en el equipo, el cual indica si el usuario ha cancelado la solicitud. Si se ha
reiniciado el cliente, se mostrara un mensaje en la zona de mensajes de la sesion de la ventana del
visor.
Puede cambiar la configuracion del control remoto y el modelo de seguridad en los clientes
actualizando la configuracion de los agentes (Herramientas > Configuracion de agentes), y desde el
menu contextual actualizado de la configuracion, haciendo clic en Programar actualizacion. Una vez
implementada la actualizacion en los dispositivos, sus agentes utilizaran la configuracion que se le
haya especificado.
Si desea obtener mas informacion, consulte "Acerca de la pagina Control remoto" (140).
285
IVANTI ENDPOINT MANAGER
Si se activa el historial, puede ver los informes de control remoto (Herramientas >
Informacion/Monitoreo > Informes,yen la herramienta Informes, haga clicen Informes > Informes
estandar > Control remoto):
1. En la consola Endpoint Manager, haga clic en Configurar > Historial de control remoto.
2. Marque o desmarque la opcion Activar historial del control remoto, segun lo prefiera.
Si los dispositivos administrados usan el modelo de control remoto de "seguridad de Windows NT",
hay algunos pasos adicionales que se deben realizar antes de garantizar que los informes de
control remoto muestran la informacion correcta. Con el modelo "seguridad de Windows NT", el
operador del control remoto y los dispositivos administrados deben ser miembros del mismo
dominio de Windows. Tambien es necesario garantizar que las cuentas de dominio de todos los
operadores de control remoto se encuentran en el grupo Operadores de control remoto en la pagina
de configuracion del agente de Control remoto. Si no lo hace, el informe de control remoto mostrara
al usuario local como operador de control remoto y no como el operador real.
Puede habilitar el registro del historial de control remoto a un archivo de texto mediante la creacion
de las siguientes claves de registro en los dispositivos administrados:
• Cree el siguiente valor de cadena y asfgnele una ruta de acceso UNC (incluyendo una barra
diagonal inversa) de un dispositivo administrado: HKLM\SOFTWARE\IVANTI\Instant Support
Suite Consola\LogPath.
286
GUÍA DE USUARIO
El agente de control remoto de IVANTI que se encuentra en los dispositivos acepta dos tipos de
conexiones:
El agente de control remoto escucha solo un tipo de conexion. Si desea cambiar el tipo de conexion
que escucha el agente, haga doble clic en el icono de estado del control remoto en la bandeja de
sistema del dispositivo remoto y haga clic en Cambiar modo. Esto cambia el agente del modo
directo al modo de puerta de enlace yviceversa. El texto del dialogo del control remoto indica el
modo en que el agente de control remoto se encuentra actualmente. Los usuarios remotos pueden
activar o desactivar esta opcion o bien, se puede hacer directamente mediante una sesion de
control remoto. SI se lleva a cabo mediante una sesion de control remoto, la sesion se desconectara
una vez que haga clic en el boton Cambiar modo.
IVANTI System Manager no es compatible con la puerta de enlace de administracion, por lo que este
boton siempre estara atenuado en los dispositivos administrados por System Manager.
Puede iniciar el visor de control remoto mediante una opcion de lmea de comandos, la cual abre de
inmediato una ventana devisor, establece conexion con el dispositivo espedficoyactiva las
funciones del visor que desee, tales como el control remoto, la conversacion, la transferencia de
archivos o el reinicio de dispositivos. El programa de control remoto, isscntr.exe, esta en la carpeta
del programa Endpoint Manager principal.
Si su servidor central usa seguridad basada en certificados o seguridad integrada para control
remoto, debe usar el parametro /s para especificar el servidor central.
287
IVANTI ENDPOINT MANAGER
Opcion
Descripcion
/a<direccion> Se conecta con un dispositivo en una direccion TCP/IP particular. La direccion TCP/IP
podna incluir direcciones con estilo numerico o de nombre, separadas con punto y coma. Tambien
puede especificarel nombre del host.
/c<comando> Inicia el visor de control remoto y ejecuta una funcion particular. (Consulte los nombres de los comandos mas
adelante). Puede especificar varios argumentos /c en una lmea de comandos. Porejemplo:
/l Limita la interfaz del visor de modo que solamente muestra las funciones que especifica
con /c.
/s<servidor Si utiliza seguridad basada en certificados, utilice esta opcion para especificarel servidor central>
central con el que se autenticara. Esta opcion resulta util si esta controlando clientes de
forma remota en un ambiente de servidores multiples. Si su servidor central usa seguridad basada en
certificados o seguridad integrada para control remoto, debe usar el parametro /s para especificar el
servidor central.
Ejemplo 1
Abre la ventana del visor. Los cambios hechos, tales como la redimension de la ventana de
mensajes de conexion o la definicion de las opciones de rendimiento se conservan a partir de la
ultima vez que se utilizo la ventana del visor.
isscntr
Ejemplo 2
Inicia una sesion de control remoto que establece conexion con el dispositivo de nombre "gamma".
(Tenga en cuenta que no existe un espacio ni ningun signo de puntuacion entre "/a" y "gamma").
isscntr /agamma /c"remote control"
Ejemplo 3
Inicia una sesion de control remotoyde conversacion que establece conexion con el dispositivo de
nombre "gamma". El control remoto primero intenta resolver el nombre "gamma". Si esto falla,
intenta establecer conexion con la direccion numerica 10.10.10.10:
isscntr /agamma;10.10.10.10 /c"remote control" /c"chat"
288
GUÍA DE USUARIO
Ejemplo 4
El puerto 9535 se utiliza para la comunicacion entre el visor ylos equipos agentes. Si los
dispositivos que ejecutan issuser.exe se configuran para que utilicen un puerto que no sea 9535, el
puerto debe pasarse como parte de la direccion dada a isscntr.exe. Por ejemplo, para controlar de
forma remota un dispositivo con la direccion 10.4.11.44, donde se ha configurado idpwuser.exe para
que utilice el puerto 1792 como puerto de verificacion, el comando sena:
Compruebe si se esta ejecutando Norton AntiVirus y si su opcion Integrity Shield esta activada. Si
es asf, debe disponer de privilegios temporales que permitan realizar la copia en el directorio que se
esta protegiendo con la opcion.
289
IVANTI ENDPOINT MANAGER
El control remoto de HTML funciona en la mayona de navegadores HTML 5, como las versiones
actuales de los siguientes:
• Chrome
• Firefox
• IE 10o posterior
• Safari
• Opera
Puede ejecutar estos navegadores en cualquier sistema operativo que los admita y el control
remoto de HTML debe funcionar en ellos:
• Windows
• Linux
• OSX
• Dispositivos moviles con iOS y Android
Comparado con el control remoto clasico, el control remoto de HTML requiere un poco mas de
ancho de banda de red y utilizacion de la CPU. Para reducir el ancho de banda, puede ajustar los
bits por pfxei que se envfan o utilizar el nuevo modo de escala de grises. Para obtener mas
informacion, ver "Valores de rendimiento" (297).
El control remoto de HTML es parte del agente de control remoto de clientes existente y no esta
activado de forma predeterminada. Una vez que se habilite, el agente de control remoto de clientes
recibe un pequeno servidor web personalizado en el puerto 4343. No hay programas adicionales
que instalar o configurar.
290
GUÍA DE USUARIO
Habilitar el control remoto de HTML no desactiva el control remoto clasico. Tampoco tiene que
cambiar manualmente entre los modos de control remoto en los clientes. El agente de control
remoto detecta automaticamente el tipo de sesion de control remoto que se solicite.
El control remoto de HTML es compatible con todos los modelos del mismo tipo de seguridad que
el control remoto clasico.
291
IVANTI ENDPOINT MANAGER
administrados.
Despues de habilitar el control remoto de HTMLy desplegar los agentes actualizados (o la
configuracion del agente) a los dispositivos administrados, tendra que esperar a que los
dispositivos envfen una exploracion de inventario antes de que el menu de Vista de red pueda
mostrar la opcion de control remoto de HTML al hacer clic con el boton derecho. De todas maneras
se puede hacer control remoto de dispositivos directamente desde un navegador. Para obtener mas
informacion, consulte "Inicio de una sesion de control remoto en HTML" (292).
Los dispositivo moviles de tableta grande o iPad funcionan bien con el control remoto de HTML.
Puesto que los dispositivos moviles tienden a tener una CPU mas lenta que los dispositivos de
escritorio, las sesiones de control remoto pueden tener una velocidad de cuadros ligeramente mas
lenta que la de una sesion de escritorio equivalente. Considere habilitar el modo de escala de grises
para mejorarel rendimiento.
Los dispositivos moviles de Android mas antiguos pueden tener versiones anteriores del
navegador que no funcionan muy bien con el control remoto de HTML. En particular, realizar control
remoto de otro equipo desde un dispositivo movil que ejecute un navegador antiguo y dejar que el
dispositivo movil entre en suspension mientras la sesion esta activa puede hacer que el navegador
movil se congele. Si esto sucede, puede que sea posible escribir una nueva direccion URL en el
navegador y esto hara que se desbloquee la pagina de control remoto de HTML.
El control remoto de HTML permite que varios observadores vean el mismo dispositivo de destino.
Cualquier observador puede controlar el dispositivo de destino, por lo que podra elegir a una
persona para operar el raton y teclado remotos.
La cantidad de observadores remotos esta limitada por la velocidad de la CPU del dispositivo de
destino y el ancho de banda de red disponible. Generalmente, tener hasta tres observadores
funcionara de forma aceptable. Si agrega mas participantes, es posible que note una reduccion en
la velocidad de los cuadros.
Habilitar el modo de escala de grises puede permitir que se agreguen mas observadores debido a
que se reducen los requisitos de ancho de banda de red.
292
GUÍA DE USUARIO
. Haga clic con el boton derecho en un dispositivo y haga clic en Control remoto de HTML.
Cuando se inicia manualmente el control remoto desde un navegador, tendra que proporcionar las
credenciales de dominio de un usuario autorizado para usar el control remoto.
293
IVANTI ENDPOINT MANAGER
NOTE: Actualmente, los dispositivos Macintosh no son compatibles con la Transferencia de archivos, el portapapeles, la
funcion de arrastrary soltary el chat.
294
GUÍA DE USUARIO
Si desea transferir texto al portapapeles local, desde un dispositivo remoto, haga clic en el texto de
la lista y, a continuacion, en el boton del portapapeles que aparece en la esquina superior derecha
de la pestana Lista de texto.
Los archivos que se agregaron al portapapeles apareceran en la vista Lista de archivos. Puede
hacer clic en un enlace para descargar ese archivo. Observe que el archivo descargado cambia a
"getcbfile". Tendra que cambiar el nombre del archivo de forma manual para que coincida con el
nombre original.
295
IVANTI ENDPOINT MANAGER
Tambien se pueden arrastrary soltar archivos en los dispositivos remotos. Si arrastra el archivo a
alguna ventana del Explorador de un dispositivo con Windows, el archivo se transferira a la carpeta
que aparezca en la ventana del explorador en ese momento. De lo contrario, los archivos se
transferiran al escritorio.
ver.
Al hacer clic en un monitor se alternara esta seleccion. Puede cambiar la seleccion del monitor en
cualquier momento durante una sesion. Si selecciona mas de un monitor, se veran todos los
monitores entre la seleccion, aunque no hayan sido seleccionados en las miniaturas de los
Monitores. Las miniaturas de los monitores se generan cuando se inicia la sesion de control remoto
y no se actualizan de forma dinamica.
Hay dos modos de visualizacion cuando hay varios monitores seleccionados. El boton de Zoom de
la barra de herramientas los alterna.
• Sin zoom: En el modo sin zoom, todos los monitores seleccionados son visibles a la vez.
Debido a la magnitud de la escala que esto requiere, la vista remota puede ser muy pequena.
296
GUÍA DE USUARIO
en
1. En una sesion activa de control remoto de HTML, haga clic en el boton Configuracion la
barra de herramientas de la sesion.
2. Ajuste los valores de configuracion que desee.
3. Haga clic fuera del cuadro de dialogo para cerrar y aplicar los cambios.
Configuracion general
• Pantalla en blanco: oculta la pantalla del dispositivo remoto de modo que solo la persona
que ejecuta el visor de control remoto puede ver la pantalla del dispositivo remoto.
• Bloquear el teclado y raton: desactiva el teclado y raton del dispositivo remoto. solo
funcionaran el teclado y raton del dispositivo del observador remoto.
• Ocultar automaticamente la barra de menus: oculta la barra de herramientas de control
remoto HTML situada en la parte inferior de la ventana. La barra de herramientas vuelve
aparecer al deslizar el raton por la parte inferior.
• Uso de nombres alternativos: Segun la configuracion del agente de control remoto en los
dispositivos administrados, los usuarios de un dispositivo que se controla de forma remota
pueden hacer doble clic en el icono de estado del control remoto de la bandeja de sistema de
Windows para ver el nombre del equipo y del usuario que los controla de forma remota. Si no
desea que los nombres de equipo y de usuario sean visibles en los dispositivos remotos por
motivos de seguridad, puede especificar un nombre alternativo de usuario y de equipo, que
aparecera en el cuadro de dialogo de estado del control remoto de los dispositivos remotos.
No obstante, si se habilita la auditona, el seguimiento de auditona mostrara el nombre real
del equipo o del usuario, no el que se especifique en configuracion.
• Idioma del teclado: Especifica el idioma del teclado. Haga clic en el idioma deseado de la
lista.
Valores de rendimiento
• Suprimir el fondo de escritorio: Sustituye un color solido en lugar del fondo de pantalla del
dispositivo remoto. Al hacerlo, el control remoto no tiene que enviar actualizaciones de
fondo de pantalla cuando alguna parte del escritorio remoto no esta cubierta. Por lo general,
el fondo de pantalla incluye imagenes con alto uso de ancho de banda, como fotograffas.
Estas no se comprimen bien y la transferencia toma tiempo a traves de conexiones lentas.
• Modo de escala de grises: Cambia la sesion al modo de escala de grises, lo cual reduce a la
mitad la cantidad de datos transmitidos. Esto preserva una sesion de escritorio de alta
fidelidad.
297
IVANTI ENDPOINT MANAGER
• Bits por pixel: Reduce la cantidad de informacion de color que se transmite. La tasa maxima
es de 15 bits por pfxei, el valor predeterminado. Cuando el visor reduce la profundidad del
color, el visor tiene que asignar la paleta de color completa del escritorio remoto a la paleta
de color reducida del visor. Como resultado, notara colores en la ventana de control remoto
que no reflejan de forma precisa el escritorio remoto. El modo de escala de grises suele ser
una mejor opcion si desea optimizar el rendimiento y no se requiere una sesion de color.
298
GUÍA DE USUARIO
Software Distribution
/Distribution packages/ Delivery
methods
Acerca de la distribucion de software
La tecnologfa de distribucion de software de IVANTI Endpoint Manager le ayuda al personal de TI a
implementar automatizacion controlada de manera rapida yeficiente de la distribucion e instalacion
de software, actualizacion de antivirus y seguridad,y aplicacion de la administracion de revisiones
en entornos de red mixtos. La tecnologfa se basa en un modelo basado en tareas que puede
mejorar sustancialmente la eficiencia global de la planificacion, programacion y administracion de
las distribuciones de software. Los paquetes, tipos de tareas de distribucion, el despliegue de
secuencias de comandos y la seleccion de destinos se manejan por separado para incrementar la
flexibilidad.
Funciones y beneficios clave
• Asignacion de codigos de retorno: Define los codigos de retorno para mejorar la exactitud de
instalacion de la aplicacion.
• Compatibilidad nativa con MSI: Copiar y pegar llamadas en la lmea de comandos de MSI.
• Flujo de trabajo simplificado: Hace facil y rapida la programacion de la instalacion de
paquetes.
• Controles de ancho de banda simplificados: Personalizar las configuraciones
adecuadamente.
• Modelado por tareas: Separa la creacion de paquetes y los tipos de tareas de entrega para
mejorar la eficiencia.
• IVANTI® Targeted Multicast™: Distribuya paquetes grandes a varios usuarios mediante un
ancho de banda mmimo y sin hardware dedicado o reconfiguracion de enrutadores.
• IVANTI® Peer Download™: Le permite el acceso a paquetes queya se han entregado a una
subred.
• Verification de prerrequisitos y encadenamiento de paquetes: Instala paquetes de
prerrequisito y le permite instalar automaticamente varios paquetes con una sola operacion.
• Programador de tareas: Se integra con las bases de datos de inventario de activos y de
servicio de directorio para facilitar la seleccion de destinos.
• Distribucion valida para distintos paquetes: Despliega cualquier tipo de paquetes y
proporciona acceso al soporte de archivos multiples MSI.
• Portal de autoservicio: Reduce incidentes del centro de atencion, faculta a los usuarios para
iniciar instalaciones aprobadas y permite solucionar problemas rapidamente a traves de
historiales detallados.
• Distribucion basada en polfticas: Despliega varios paquetes de software con una sola
299
IVANTI ENDPOINT MANAGER
polftica y asegura que los paquetes esten disponibles para su futura actualizacion y
renovacion si es necesario.
En Endpoint Manager, la distribucion de software consiste de tres pasos principales:
1. Cree u obtenga un paquete de software. El paquete de software puede consistir de uno o mas
archivos MSI, un ejecutable, un archivo de proceso por lotes, un paquete Macintosh, un
paquete Linux RPM, un paquete host de secuencia de comandos de Windows, un paquete de
virtualizacion de aplicacion o un paquete creado con el generador de paquetes de legado de
Endpoint Manager. Coloque el paquete en el servidor de entregas.
2. Cree un paquete de distribution (Herramientas > Distribution > Paquetes de distribution).
El paquete de distribucion contiene los archivos yconfiguracion necesarios para instalar un
paquete de software espedfico, tal como el nombre del paquete, cualquier dependencia o
requisito previo, parametros de lmea de comandos, archivos adicionales necesarios para
instalar el paquete, etc. Esta configuracion se guarda en la base de datos y se crea un
paquete de distribucion. Una vez creado el paquete de distribucion, la informacion se guarda
en la base de datos y puede utilizarse con facilidad en varias tareas.
3. Programe las tareas de distribucion en la ventana de Tareas programadas (Herramientas >
Distribucion > Tareas programadas). Especifique la secuencia de comandos del paquete de
distribucion, el metodo de entrega, los dispositivos que reciben el paquete de distribucion y
la hora de ejecucion de la tarea.
4. Cuando llega la hora programada, el servicio programador inicia el gestor de tareas
programadas, el cual implementa el paquete mediante las opciones seleccionadas en el tipo
de tarea de entrega. Estas pueden incluir lo siguiente:
Agrupacion
Una coleccion de paquetes de distribucion de software y/o agrupaciones que se pueden programar
para que se ejecuten como si fueran un solo paquete. Para obtener mas informacion, consulte "Uso
300
GUÍA DE USUARIO
Estos paquetes tienen el formato del instalador de Windows. Debe utilizarse una herramienta de
otro fabricante para crear paquetes MSI. Estos paquetes consisten principalmente de un archivo
.msi primario y pueden incluir archivos y transformaciones compatibles. Las transformaciones
personalizan la forma en que se instalan los paquetes MSI. Si el paquete MSI contiene varios
archivos, asegurese de agregarlos todos en el cuadro de dialogo Paquete de distribution.
Ejecutable
A fin de que se utilice un paquete ejecutable para la distribucion de software, debe satisfacer el
criterio siguiente:
Siempre que el archivo ejecutable satisfaga estos dos criterios, se puede utilizar cualquier
ejecutable para la instalacion del paquete. Puede incluir archivos adicionales para los paquetes
ejecutables.
SWD
Estos son paquetes que se crearon mediante el Generador de paquetes IVANTI Enhanced Package
Builder (instalado de forma separada). Aunque Enhanced Package Builder ya no viene con Endpoint
Manager, IVANTI Software todavfa admite la distribucion de archivos creados con el.
Estos son archivos ejecutables que tienen propiedades que los identifican de forma unica como
paquetes de distribucion de software (SWD).
Aplicacion virtualizada
Por lo general, las aplicaciones virtualizadas consisten en uno o mas archivos ejecutables. La
distribucion de software se puede utilizar para implementar archivos ejecutables de aplicaciones
virtualizadas en los dispositivos administrados. Cualquiera de los metodos de entrega de
distribucion de software se puede usar con los paquetes de aplicaciones virtualizados, incluso el
comando de Ejecucion desde el origen. Cuando se implementa la ejecucion de un paquete de
aplicaciones virtualizado desde el origen, los dispositivos administrados utilizan un icono de
acceso directo a la aplicacion para ejecutar el ejecutable de la aplicacion virtualizada a traves de la
red.
301
IVANTI ENDPOINT MANAGER
Acciones
Las acciones del paquete de Windows pueden realizar operaciones personalizadas durante la
instalacion del paquete. Las acciones que cree en la interfaz de acciones se combinan en un
paquete que ejecuta una unica cadena de PowerShell en dispositivos de destino. Para obtener mas
informacion, consulte "Acciones de paquetes de Windows" En la pagina 314.
Los paquetes de archivos de proceso por lotes se basan en un archivo de proceso por lotes de
Windows/DOS. Puede incluir archivos adicionales para estos paquetes de distribucion. El estado
satisfactorio del paquete de archivos de procesamiento por lotes se basa en el valor de la variable
de entorno del sistema de nivel de error cuando ha finalizado la ejecucion del archivo de
procesamiento por lotes.
Los paquetes de Windows Script Host (WSH) son la alternativa de Microsoft Software para agrupar
archivos en lotes, pero a menudo se utilizan para automatizartareas similares, como asignar
unidades, copiar archivos o modificar claves de registro. Los archivos WSH se utilizan casi siempre
con Jscript (.js) y VBScript (.vbs). Una ventaja principal del paquete de Windows Script Host sobre
el paquete .bat consiste en que permite que el usuario combine varios lenguajes en un archivo
individual usando la extension de archivo independiente de lenguaje (wsf). Estos paquetes a
menudo se pueden crear mediante Notepad, un editor de HTML, Microsoft Visual C++ o Visual
InterDev.
Powershell
Windows PowerShell scripts se basan en .NET framework de Microsoft y le permite llevar a cabo
tareas administrativas en los equipos.
Linux
Estos paquetes tienen el formato Linux RPM. Estos paquetes deben almacenarse en un recurso
compartido Web para que funcione la distribucion en Linux RPM.
Macintosh
302
GUÍA DE USUARIO
Aprovisionamiento universal
Documentotransmitido universal
Los documentos transmitidos se pueden visualizar con el nuevo IVANTI Portal Manager en los
dispositivos administrados. Un documento transmitido se debe alojar en un directorio compartido
UNC o HTTP al que puedan acceder los dispositivos administrados. La extension del archivo del
documento transmitido debe tener asociada una aplicacion que pueda mostrar ese tipo de
documento. Los documentos transmitidos no se almacenan localmente en cache.
Los documentos transmitidos se suelen utilizar con agrupaciones de paquetes para proporcionar a
los usuarios instrucciones o informacion adicional.
Tambien se pueden crear agrupaciones dentro de agrupaciones, pero solo se puede ajustar el orden
de instalacion de los elementos en la rafz de la agrupacion seleccionada. Cada agrupacion y
subagrupacion tiene su propio orden de instalacion.
En las propiedades del grupo, puede especificar que el grupo no se puede programar. Esto es util
para la organizacion de grupos y ayuda a evitar el despliegue accidental de estos grupos
organizativos. Por ejemplo, puede tener un grupo "Microsoft" que contiene todas las aplicaciones
de Microsoft compatibles.
303
IVANTI ENDPOINT MANAGER
1. Haga clic con el boton derecho en una agrupacion y a continuacion, haga clic en
Propiedades.
2. En la pagina Configuracion de agrupaciones de paquetes, utilice los botones Subiry Bajar
para cambiar el orden de los elementos en la rafz.
1. Haga clic con el boton derecho en una agrupacion y a continuacion, haga clic en
Propiedades.
2. En la pagina Agrupar configuracion de paquetes, en el panel derecho, seleccione el paquete
que necesita una accion entre paquetes.
• Distribucion compatible con la polftica: Se trata del modelo de distribucion y polftica por
envfo. Primero, la distribucion de software intenta instalar el paquete en todos los
dispositivos de la lista de destino. De este modo, se puede realizar una implementacion
inicial mediante la multidifusion dirigida. Segundo, los dispositivos que no recibieron el
paquete o que se agregan posteriormente a la lista de destino (en el caso de las listas de
destino dinamicas), reciben el paquete cuando lo solicite el agente de administracion basada
en poifticas del dispositivo. Generalmente, este es el metodo de entrega recomendado.
• Polftica: El servidor central pone los paquetes a la disposicion para su descarga. Cuando un
dispositivo administrado busca las polfticas disponibles, se devuelve el paquete. Segun el
tipo de polftica, los dispositivos podnan instalar el paquete de forma automatica o ponerlo a
la disposicion de los usuarios para que lo instalen cuando lo deseen.
304
GUÍA DE USUARIO
• Multidifusion (solo con cache): copia uno o mas archivos en la carpeta de cache de
distribucion local pero no instala el archivo ni hace nada mas con el. Esto resulta util cuando
sabe que los usuarios necesitaran instalar un paquete prontoyque no quiere quetengan que
esperar para descargarlo.
Distribuir paquetes
Un paquete de distribucion consiste en los archivos del paquete que desee distribuir, cualquier
archivo adicional que el paquete necesite, y las configuraciones que describan los componentes del
paquete y su comportamiento. Debera crear el paquete antes de que le cree una definicion del
paquete para su distribucion.
Las instrucciones siguientes detallan como crear paquetes de distribucion de software. Para que el
paquete se ejecute correctamente, es necesario que exista el paquete de distribucion de software en
un servidor Web o de red y que el agente de distribucion de software se encuentre instalado en los
dispositivos.
NOTE: En cuanto a IVANTI Endpoint Manager 9.6, la herramienta de metodos de envio solo se utiliza para
distribuir los dispositivos que ejecuten agentes de dispositivos anteriores a la 9.6. Ahora puede escoger un tipo
de tarea de envio directamente desde la pagina de tareas Configuracion de tareas. Los dispositivos
optimizaran automaticamente los detalles del metodo de envio.
305
IVANTI ENDPOINT MANAGER
306
GUÍA DE USUARIO
Paso 2: Programe el paquete para la distribucion y, en caso necesario, personalice el tipo de tarea de envfo.
4. Haga clic en Aceptar cuando haya terminado. La secuencia de comandos aparece debajo del
elemento de arbol del tipo de paqueteydel propietario que ha seleccionado.
Para programar una tarea de distribucion
307
IVANTI ENDPOINT MANAGER
3. Haga clic en el boton Nuevo de la barra de herramientas y haga clic en Tarea programada.
4. En la pagina Paquete de distribucion, seleccione el paquete de distribucion que ha creado.
5. En la pagina de Configuracion de tareas, seleccione el tipo de tarea de distribucion que
desee utilizar.
Los elementos privados aparecen bajo los arboles Mis metodos de entrega, Mis paquetes o Mis
tareas. Los usuarios administrativos pueden ver los elementos de todos los usuarios bajo los
arboles
Todos los paquetes de distribucion, Todos los metodos de entrega y Todas las tareas.
Cuando los usuarios crean un elemento de distribucion, la pagina de Description tiene la opcion de
Propietario. Los usuarios pueden seleccionar Publico si desean que todos los usuarios de la
consola vean el elemento. Los administradores pueden seleccionar un usuario espedfico, ademas
de seleccionar Publico.
Para obtener mas informacion sobre el uso de la administracion basada en roles con distribucion de
software, consulte "Distribucion de software" (71).
Acerca de la Descarga de archivos
La distribucion de software ofrece varios metodos para la entrega de un archivo a los dispositivos
para su instalacion. Entre ellos se incluyen:
308
GUÍA DE USUARIO
La estructura de los archivos del cache es identico a las estructuras de los archivos de la web o del
servidor de la red, lo que permite que varios paquetes tengan archivos con el mismo nombre y que
esto no suponga un problema.
Si no se puede obtener el archivo de un par, SDClient descarga los archivos directamente del origen
UNC o URL. Los servidores preferidos son la mejor ubicacion para los archivos de paquetes. Para
obtener mas informacion, consulte "Informacion general sobre Servidores preferidos yreplicacion
de contenido" (1128) Los servidores preferidos ayudan a garantizar que los clientes utilicen las
credenciales de red que les permiten acceder a los archivos del paquete de distribucion. Si el
archivo que se va a descargar esta basado en URL, SDClient lo descarga del sitio Web.
Cuando se descarga un archivo en la memoria cache, permanece ah durante varios dfas, pero con el
tiempo se elimina de dicha memoria. La cantidad de tiempo que el archivo permanece en la memoria
cache se controla a traves del metodo de entrega utilizado cuando se implementa el paquete.
Al programar un paquete de distribucion por primera vez, Endpoint Manager descarga los archivos
y calcula los valores de hash (troceo) asociados con el archivo principal y los archivos adicionales
utilizados por el paquete de distribucion. Si el hash que se guardo con el paquete no coincide con el
valor hash SDClient contabilizado en el dispositivo de destino, la descarga es invalida.
Si realiza cualquier cambio en el paquete fuera de Endpoint Manager, tal como la actualizacion del
contenido del paquete, debe restablecer el valor de hash, o en caso contrario fallaran las tareas
programadas que utilice el paquete actualizado.
309
IVANTI ENDPOINT MANAGER
En estos casos, puede hacer que el agente de distribucion de software local ejecute el archivo
directamente desde el origen, ya sea un servidor preferido o el origen especificado en el paquete.
Cuando habilita la ejecucion desde el origen, la distribucion de software no descargara los archivos
de paquete en la cache local ni ejecutara el paquete desde un par.
Cuando utiliza la ejecucion desde el origen con paquetes almacenados en los recursos compartidos
Web, el archivo primario debe ser un archivo MSI o un paquete SWD. Con los recursos compartidos
UNC, el archivo primario puede ser de cualquiertipo.
310
GUÍA DE USUARIO
El limite de ancho de banda dinamico especifica que el trafico de red que crea un dispositivo tiene
prioridad sobre el trafico de distribucion. Esta opcion tambien hace que se realice una descarga
completa del archivo en la cache del dispositivo, que asimismo permite el reinicio del punto de
comprobacion del nivel de bytes, donde las descargas se reanudan desde el punto en que quedaron
si se interrumpieron. Si selecciona esta opcion y deja el porcentaje del ancho de banda mmimo
disponible en 0, una vez que el dispositivo inicie el trafico de la red, la distribucion disminuye a un
paquete por segundo hasta que se detiene el trafico. Al aumentar el ancho de banda mmimo
disponible se garantiza aproximadamente la cantidad del ancho de banda del dispositivo que ha
especificado para la distribucion si esta necesita tal ancho de banda y existe una pugna por el
ancho de banda en el dispositivo.
Si reinstala o repara un paquete SWD o MSI, no es conveniente utilizar la opcion de lfmite del ancho
de banda dinamico ya que estos tipos de paquete solo descargan los archivos que necesitan. Si se
limita el ancho de banda dinamico en este caso, se realizara una descarga completa del paquete
cuando normalmente habna bastado con una pequena parte del paquete.
Puede configurar el lfmite de ancho de banda colectivo de modo que solamente un dispositivo del
dominio de multidifusion descargue del origen remoto. Tambien puede configurar la cantidad de
ancho de banda utilizada al descargar del origen. Esta caractenstica esta disponible en todas las
versiones de los sistemas Windows. El lfmite de ancho de banda colectivo no esta disponible en los
sistemas Macintosh.
311
IVANTI ENDPOINT MANAGER
Las tareas programadas de envfo acelerado utilizan una unica lista de dispositivos interna y, de
manera predeterminada, el envfo acelerado procesa simultaneamente hasta 64 dispositivos de
destino de la lista. En caso necesario, puede ajustar esta opcion segun los recursos del servidor
central. Por lo general, no es necesario modificar este ajuste predeterminado.
El envfo acelerado tambien funciona bien con la multidifusion. El envfo acelerado contacta con los
dispositivos de destino mucho mas rapido que los trabajos de envfo normales, de manera que una
distribucion por multidifusion pueda incluir mas dispositivos simultaneamente. El dispositivo que
actua como representante de la multidifusion en cada subred esperara el tiempo configurado antes
de empezar la multidifusion y el resto de dispositivos que utilicen ese representante recibiran la
multidifusion en cuando se inicie. Cualquier dispositivo que llegue tarde a la multidifusion obtendra
lo que haya quedado de la multidifusion cuando se unan y, despues, obtendran lo que les falte
desde sus pares o desde la fuente.
Plataformas compatibles:
• Mac OS X
• Windows
312
GUÍA DE USUARIO
resulta muy sencilla, incluso en entornos WAN con multiples saltos y velocidades de conexion
reducidas (56k). La multidifusion autoorganizada utiliza el protocolo HTTP para realizar entregas
desde un sitio Web a un representante de subred. Endpoint Manager El escaner de inventario de le
proporciona toda la informacion necesaria al servicio de Multidifusion.
1. Empieza una tarea que utiliza la multidifusion y los dispositivos de destino buscan una
sesion de multidifusion existente para esa tarea en la subred. Si no hay una, un dispositivo
se ofrece para convertirse en el representante del dominio de multidifusion para esa tarea. El
representante de cada subred empieza la descarga.
2. Otro dispositivo recibe la tarea, comprueba que hay una sesion de multidifusion existente
para esa tarea y espera a que la sesion del representante del dominio de multidifusion
empiece a retrasarse (un minuto, de manera predeterminada). Los representantes del
dominio de multidifusion empiezan a multidifundir en sus subredes.
3. Los dispositivos que reciban la tarea, despues de iniciar la sesion de multidifusion, se uniran
a la multidifusion yempezaran a recopilar los datos de multidifusion. Al final de la
multidifusion, solicitaran las partes que falten a los pares.
313
IVANTI ENDPOINT MANAGER
5. Los dispositivos que ya esten utilizando los ajustes del agente de distribucion que
modifico recibiran los cambios la proxima vez que ejecute el escaner de vulnerabilidad,
normalmente, antes de 24 horas.
Tambien puede crear una nueva configuracion para el agente de distribucion y asociarla con
las tareas que desee, lo que sobrescribira temporalmente los ajustes de distribucion
predeterminados del dispositivo. Lleve a cabo esto desde la pagina Configuracion del
agente.
1. Haga clic con el boton derecho sobre el paquete que desee copiar y haga clic en Crear tarea
programada.
2. En la ventana de tarea programada, haga clic con el boton derecho sobre la tarea que haya
creado y haga clic en Propiedades.
3. En la pagina de Configuracion de la tarea, en la seccion Opciones de descarga, haga clic en
Precache (descargar para una tarea futura o para una accion iniciada desde el portal).
4. Finalice la programacion de la tarea.
314
GUÍA DE USUARIO
Cuando se instala un paquete de distribucion MSI, Endpoint Manager aprovecha los llamados al MSI
API. Las instalaciones de MSI utilizan dos tipos diferentes de parametros de lmea de comandos:
• Parametros de opciones
• Parametros de referencia de propiedad
315
IVANTI ENDPOINT MANAGER
Parametros de opciones
Los parametros de opciones son los conmutadores que utiliza la herramienta de instalacion de
Microsoft, Msiexec.exe. Por ejemplo, el conmutador/q, es un conmutador comun para Msiexec que
silencia una instalacion desatendida.
Las referencias de propiedad, tambien conocidas como propiedades publicas, son espedficas del
archivo MSI. Los parametros se pasan directamente a las API de instalacion de MSI. Se pueden
utilizar en el campo Lmea de comandos de las opciones Instalar/Desinstalar de un paquete de
distribucion MSI.
La sintaxis de las referencias de propiedad es PROPERTY=VALUE. Una referencia de propiedad
comun es la propiedad Transformaciones. Esta es la propiedad que llama a un archivo .mst
(transformacion). Se puede encontrar mas informacion sobre los parametros de referencia de
propiedad en: http://support.microsoft.com/?kbid=230781.
316
GUÍA DE USUARIO
En ocasiones se requiere una referencia de propiedad para finalizar la instalacion. En tales casos, el
instalador de MSI pedira un valor. Durante una instalacion automatizada, no aparecera dicho pedido.
La instalacion de MSI fallara debido al error 1603 de MSI estandar, Error fatal durante la instalacion.
Las propiedades publicas requeridas deberan recibir un valor asignado en el campo Lmea de
comandos del paquete de distribucion.
• http://download.microsoft.com/download/0/e/d/0eda9ae6-f5c9-44be-
98c7-ccc3016a296a/ork.exe
Si el proveedor no tiene la informacion necesaria o dicha herramienta, Microsoft proporcionara una
herramienta denominada Orca que puede crear un archivo de transformacion. Para obtener
asistencia adicional, consulte el archivo de ayuda de Orca.
317
IVANTI ENDPOINT MANAGER
Endpoint Managermaneja los reinicios de MSI mediante la pagina Reiniciar de las propiedades del
metodo de entrega. IVANTIpasara automaticamentetanto el parametro REBOOT=REALLYSUPPRESS
como/NORESTART cuando se seleccione No reiniciar nunca en el metodo de entrega.
Reiniciar solo si es necesario permite que MSI maneje el reinicio. Si esta habilitada la opcion de
respuestas, se le consulta al usuario si desea reiniciar. Es importante saber si los MSI admiten
acciones personalizadas. Si una accion personalizada realiza un reinicio, Endpoint Manager no
podra impedirlo.
• Tengo la version correcta de los archivos de instalacion, incluso los archivos MSI y todos los
adicionales, para una implementacion de licencia del volumen.
• Tengo la informacion del proveedor de software sobre como automatizary silenciar la
instalacion y configuracion del software, y sobre como manejar reinicios.
• Conozco los parametros de propiedad publica que necesito pasar al MSI.
• Conozco si este MSI necesita un archivo de transformacion para su instalacion y de ser asf
he creado uno.
Los proveedores mantienen listas creadas por los desarrolladores de productos con todos los
codigos de retorno posibles y los resultados espedficos que los codigos indiquen. Ahora, Endpoint
Manager ha agregado la capacidad para que los administradores busquen listas de codigo de
retorno y construyan plantillas que se pueden relacionar con paquetes individuales o multiples.
Cada codigo de retorno puede ser designado por el administrador para indicar exito o error
ydevolver un mensaje personalizado que indica los resultados especficos de la instalacion.
Ademas de poder utilizar esta funcion con aplicaciones de terceros, las plantillas de codigo de
retorno tambien se pueden crear como aplicaciones privadas escritas por desarrolladores internos.
Endpoint Manager proporciona una plantilla predeterminada as^como la capacidad de crear nuevas
plantillas personalizadas, copiar las plantillas predeterminadas o personalizadas, o hacer
modificaciones a cualquier plantilla por medio del Gerente de plantillas de codigo de retorno.
Cuando se crean plantillas, se puede asociar una plantilla espedfica con un paquete especfico en el
318
GUÍA DE USUARIO
Los usuarios tienen la opcion de agregartodos los codigos de retorno posibles que indiquen exito o
error, o solo agregar codigos de retorno adicionales que indiquen exito. En caso de que solo se
agreguen los codigos de exito, cualquier codigo de retorno sin referencia en la plantilla se asigna
automaticamente como error.
• Plantilla predeterminada de MSI: Contiene mas de 50 asignaciones que cubren los codigos de
retorno estandares de MSI.
• Plantilla predeterminada que no es de MSI: Contiene una asignacion individual del codigo de
retorno 0, "La accion finalizo satisfactoriamente." Todos los codigos diferentes de cero
regresan "Error en el despliegue del paquete."
319
IVANTI ENDPOINT MANAGER
Los usuarios tienen la opcion de agregartodos los codigos de retorno posibles que indiquen exito o
error, o solo agregar codigos de retorno adicionales que indiquen exito. En caso de que solo se
agreguen los codigos de exito, cualquier codigo de retorno sin referencia en la plantilla se asigna
automaticamente como error.
320
GUÍA DE USUARIO
321
IVANTI ENDPOINT MANAGER
La ultima opcion de las cuentas es Ejecutar como un usuario especifico y proporcionar las
credenciales de ese usuario. Si tiene muchos paquetes que utilizan ejecutar como y necesita
actualizar las credenciales, editar cada paquete de manera individual puede resultartedioso. En este
caso, utilice
la Herramienta de actualizacion masiva de credenciales de paquetes.
Esta herramienta muestra una lista de todos los paquetes y le permite proporcionar las
credenciales. Puede seleccionar los paquetes que desees utilizar las nuevas credenciales. La
seleccion multiple con Mayus y Ctrl es compatible. Solo se actualizaran las credenciales de los
paquetes marcados.
Solamente se pueden distribuir RPM en dispositivos Linux. Los agentes Linux instalaran de forma
automatica el RPM que se distribuya. Una vez instalado, el RPM no quedara almacenado en el
servidor. Se puede instalar y desinstalar el RPM especificado mediante la distribucion de software.
Solo puede utilizar los metodos de instalacion automatica con la distribucion de software Linux.
Para la distribucion de software Linux, se ignora la configuracion en el metodo de envfo, para que
no importe que metodo de instalacion automatica selecciona o cual es la configuracion.
1. El servidor central se conecta al dispositivo Linux a traves del agente de IVANTI estandar
322
GUÍA DE USUARIO
Una vez que se han almacenado los archivos en el recurso compartido de paquetes, cree un nuevo
paquete de distribucion Linux en la ventana Paquetes de distribucion, asocielo con el metodo de
entrega deseado y programe el envfo.
323
IVANTI ENDPOINT MANAGER
Antes de implementar un paquete nuevo, pruebelo en sistemas de prueba. De forma idonea, los
sistemas de prueba deben incluirtodos los sistemas operativos y las aplicaciones que se utilizan en
el entorno. Una vez que se implemente el paquete, confirme que todos los sistemas y las
aplicaciones funcionen de forma prevista.
Una vez que se haya validado el paquete en los sistemas de prueba, realice una implementacion
limitada. Hagalo en una cantidad reducida de dispositivos del entorno. Al decidir la cantidad de
dispositivos de destino, la regla general es que se haga en la cantidad de dispositivos a los que el
departamento de asistencia tecnica pueda dar servicio. Una vez que el paquete se haya
implementado en los dispositivos, espere un par de dfas para ver si los usuarios encuentran
problemas.
• Equipo: Los comandos de esta seccion se ejecutan por segunda vez, una vez por cada uno
de los clientes dirigidos. Estos comandos pueden utilizar los comandos de ejecucion remota
o local, y se utilizan principalmente para ejecutar SDCLIENT.EXE de forma remota. Antes de
poder ejecutar los comandos en esta seccion de la secuencia de comandos, el agente SWD
debe estar instalado en los dispositivos de destino.
• Post-equipo: Esta seccion se procesa en ultimo lugar despues de haber procesado todos
los dispositivos. La distribucion de software no anade comandos a esta seccion y solo
324
GUÍA DE USUARIO
admite los comandos locales, LOCxxx. Los comandos de esta seccion no se procesaran
si los dispositivos de la tarea no pueden ejecutarlos. El archivo de secuencia de
comandos InventarioScanner.ini incluido en Endpoint Manager contiene informacion
detallada sobre los comandos de la secuencia.
• LOCEXEC: Ejecucion local, este comando se utiliza para ejecutar una aplicacion en un
dispositivo local, el cual es siempre el servidor central.
• REMCOPY: Copia remota, copia un archivo del dispositivo local a uno remoto.
• REMEXEC: ejecucion remota, ejecuta una aplicacion en el dispositivo remoto especificado.
• REMDEL: eliminacion remota, elimina un archivo en el dispositivo remoto.
• REMMKDIR: creacion de carpeta remota, este comando crea una carpeta en el dispositivo
remoto.
• REMRD: eliminacion de carpeta remota, este comando elimina una carpeta en el dispositivo
remoto.
Tenga en cuenta que ambos archivos .ini tienen elementos similares. En la seccion MACHINES, la
opcion -P designa la ruta en la que el dispositivo descargara el paquete de software. En el ejemplo
de la ruta HTTP, esta es http://<servidor web>/paquetes/paquete de prueba.exe.
La siguiente opcion es la opcion -G, que se refiere al GUID, un identificador exclusivo de los
paquetes. Este identificador lo genera el Generador de paquetes yevita que, durante la instalacion,
se confundan los paquetes con nombres similares.
325
IVANTI ENDPOINT MANAGER
• https://community.Ivanti.com/support/docs/DOC-5096
326
GUÍA DE USUARIO
Para obtener mas informacion, consulte el siguiente ardculo de la comunidad acerca de los
conmutadores de la lfnea de comandos de SDCLIENT.EXE:
https://community.Ivanti.com/support/docs/DOC-13759.
Antes de utilizar este cuadro de dialogo, coloque el paquete en el servidor de distribucion. Debe
explorar el paquete y proveer informacion sobre los requisitos previos o archivos adicionales del
paquete. Una vez que haya creado un paquete de distribucion para su paquete, podra asociarlo con
un metodo de entrega (Herramientas > Distribucion > Metodos de entrega) para implementarlo en
los dispositivos.
Utilice esta pagina para especificar el nombre y archivo principal del paquete. Si el paquete consiste
de un solo archivo, agreguelo aqrn. Si el paquete contiene varios archivos, agregue el archivo
principal del paquete. Por ejemplo, el archivo que inicia la instalacion. Puede agregar archivos
adicionales en la pagina Archivos adicionales.
327
IVANTI ENDPOINT MANAGER
Esta pagina permite especificar el tipo de paquete. Existen diversas opciones en funcion del
paquete que se implemente. No todos los tipos de paquetes tienen estas opciones.
• Instalar: indica que se desea utilizar un paquete de instalacion para instalar el software.
• Desinstalar: indica que se desea utilizar un paquete de instalacion para eliminar el software.
Cuando se define este indicador, la secuencia de comandos elimina todo lo instalado con la
secuencia de comandos de instalacion.
• Opciones de pantalla:
• Modo silencioso, sin interaction del usuario: ejecuta la instalacion en el dispositivo
administrado sin notificar (instalacion silenciosa).
• Modo desatendido, barra de progreso solamente: solo muestra una barra de progreso
durante la instalacion, sin opciones para aplazar o cancelar.
328
GUÍA DE USUARIO
instalacion.
• Opciones de reinicio:
• No reiniciar cuando la instalacion finalice: no efectua un reinicio aun si alguna
instalacion ha sido programada para requerirlo.
• Avisar al usuario para reiniciar si es necesario: le solicita al usuario que reinicie si el
archivo de instalacion lo requiere.
• Siempre reiniciar el equipo despues de la instalacion: efectua un reinicio despues de
realizar la instalacion.
• Nombre del archivo de registro: especifica la ubicacion y nombre de archivo para almacenar
un archivo historico del instalador de Windows basado en los resultados de la instalacion
despues de finalizada.
• Opciones de registro: habilita la creacion del archivo historico despues de que se
especifique la ubicacion.
• Introducir la lmea de comandos o seleccionar las opciones anteriores y modificar la lmea de
comandos del paquete MSI: (No disponible para paquetes SWD) muestra la lmea de
comandos que se pasara al archivo primario especificado. La distribucion de software
agrega automaticamente los parametros basicos aqrn para cambiar los comportamientos
predeterminados. Los campos de la lmea de comandos tambien pueden llamar valores del
inventario mediante macros de base de datos. Especifique el elemento del inventario
encerrandolos entre sfmbolos %. Por ejemplo:
%Nombre_de_Dispositivo.Equipo%
Aparece el nombre del dispositivo con guiones bajos en vez de espacios y el equipo en la
parte superior del arbol de inventario.
Acerca de la pagina Opciones de archivos por lotes
Las opciones de esta pagina se aplican a los paquetes que utilizan archivos de secuencias de
comandos o archivos por lotes. De forma predeterminada, los paquetes se ejecutan en modo de 32
bits, lo que significa lo siguiente:
• Si una aplicacion de 32 bits tiene acceso a valores del registro en HKEY_LOCAL_
MACHINE\SOFTWARE, en realidad esta teniendo acceso a los valores en HKEY_LOCAL_
MACHINE\SOFTWARE\Wow6432Node.
• Si una aplicacion de 32 bits ejecuta un programa que se encuentra en c:\windows\system32,
en realidad ejecuta una version de 32 bits de la aplicacion que esta en
C:\Windows\SysWOW64. Esto incluye cmd.exe, cscript.exe, wscript.exe, entre otros.
Si selecciona Ejecutar como una aplicacion de 64 bits en Windows de 64 bits, los archivos de
secuencias de comandos y de proceso por lotes:
329
IVANTI ENDPOINT MANAGER
• Estos iniciaran las aplicaciones de 64 bits que estan en System32 en lugar de las
aplicaciones de 32 bits (en c:\windows\SysWOW64)
Para obtener mas informacion de Microsoft acerca de como ejecutar aplicaciones de 32 bits en un
entorno de 64 bits, vea la siguiente pagina de MSDN:
• http://msdn.microsoft.com/en-us/library/aa384249(VS.85).aspx
Utilizar las opciones de la pagina Opciones de la cola de procesamiento del cliente para configurar
como se maneja la distribucion simultanea de trabajos.
La cola de procesamiento del cliente permite que se procesen multiples trabajos simultaneamente
por cada cliente, en el orden en que se recibieron, con prioridad para los trabajos de tipo
implementacion.
Los trabajos de todas maneras de procesan de uno en uno, pero la cola permite que se ejecuten
varios trabajos, en lugar de rechazar los trabajos entrantes que ya esten activos.
• Desactivar la cola correspondiente a este paquete del cliente: Desactiva la puesta en cola del
paquete actual. Si otros trabajos estan activos en un dispositivo y este recibe el trabajo, el
trabajo no se procesara.
Si el paquete consiste de varios archivos, puede agregarlos en esta pagina. Para utilizar el
explorador de archivos, escriba el nombre de un recurso compartido de Web o de una ruta de
archivo en el cuadrojunto al boton Ir. Si hace clic en el boton Ir, se muestra el destino en el cuadro
Archivos disponibles. Puede continuar explorando ahf. Seleccione los archivos en el cuadro
Archivos disponibles y haga clic en >> para agregarlos a la lista de Archivos adicionales. Al hacerlo,
se agregan al paquete.
• Detection automatica: esta opcion esta disponible con los paquetes MSI. Analiza el archivo
MSI principal en busca de referencias de archivo externas y las agrega automaticamente.
• Flechas: las flechas agregan y eliminan los archivos seleccionados de la lista Archivos
adicionales.
Los paquetes dependientes son paquetes que ya deben encontrarse previamente en el dispositivo a
fin de que se instale el paquete que se esta configurando. Si no se encuentran en el dispositivo, los
paquetes dependientes se instalan automaticamente. Los paquetes MSI y SWD se detectan
automaticamente a traves de las claves de registro debidas en el dispositivo. Para otros tipos de
paquetes, el metodo de deteccion de paquetes depende de lo que se ha seleccionado en la pagina
de deteccion.
Si agrega un paquete existente con una dependencia como paquete dependiente al paquete que
330
GUÍA DE USUARIO
• Paquetes disponibles: enumera los paquetes publicos que se han creado utilizando la
ventana Paquete de distribution. Solamente los paquetes publicos pueden ser dependientes.
Seleccione los paquetes que desee establecer como dependientes y haga clic en >>.
• Paquetes dependientes: enumera los paquetes que se han seleccionado como dependientes.
• Flechas: las flechas agregan y eliminan los archivos seleccionados de la lista Archivos
adicionales.
• Botones de Subiry Bajar: Los paquetes dependientes se aplican en el orden en que aparecen
en la lista de Paquetes dependientes. Utilice los Botones de Subir y Bajar para cambiar el
orden de los paquetes dependientes.
Cuando hace clic en Guardar en el cuadro de dialogo Propiedades del paquete de distribucion del
paquete Linux, la distribucion de software analiza el RPM primario y los RPM dependientes que se
seleccionaron en busca de las dependencias que estos RPM requieren. Estas dependencias luego
aparecen en el cuadro de dialogo Bibliotecas faltantes. Al seleccionar una dependencia en este
cuadro de dialogo se le indica al software de distribucion que no le vuelva a enviar mensajes. Puede
activar las dependencias que sabe que estan instaladas en los dispositivos administrados. Este
cuadro de dialogo es solo para brindarle information. Si falta una dependencia en el dispositivo de
destino y no la incluyo espedficamente como un paquete dependiente, es probable que el RPM no
se instale correctamente.
Para la opcion de archivos adicionales, puede seleccionar un archivo que se encuentre en la lista de
archivos adicionales del paquete. A continuacion, especifique una lfnea de comandos con la que se
ejecutara el paquete.
• Elija una consulta: seleccione una consulta existente que desee utilizar para filtrar los
dispositivos de destino. Tambien puede hacer clic en Crear consultas para crear una
consulta nueva.
331
IVANTI ENDPOINT MANAGER
• Ejecutar archivo adicional: si desea ejecutar un archivo en los dispositivos, marque esta
opcion.
• Elija un archivo adicional: escriba el archivo que desee ejecutar en los dispositivos. El
archivo se ejecuta antes que cualquier archivo de paquete.
Utilice la pagina de Deteccion para configurar la manera como las distribuciones de software
detectan si un paquete ya se desplego. La pagina de Deteccion solo esta disponible en paquetes
ejecutables, paquetes de archivos por lotes y paquetes de Aplicaciones virtualizadas. Si se cumple
uno o mas de los criterios no se instalaran los paquetes dependientes.
• Detectar por: Determina si un paquete ya esta instalado, haciendo coincidir uno de los
siguientes criterios:
• Archivo existente
• Version de archivo
• Tamano y/o suma de comprobacion del archivo
• Fecha de archivos
• Clave de registro existente
• Valor de registro existente
• Valor de registro coincidente
• Ruta del archivo: especifica la ubicacion y nombre del elemento a detectar.
• Buscar el archivo repetidamente: efectua una busqueda en cascada a traves de los
subdirectorios del directorio especificado en el campo Ruta de acceso de archivo.
Se pueden agregar varios criterios especificando los criterios y haciendo clic en el boton de
Agregar.
Los paquetes de MSI y SWD despliegan GUIDjunto con sus instalaciones. Estos se utilizan para
detectar si un paquete ya esta instalado. La opcion de deteccion no esta disponible en estos tipos
de paquete.
Uso de la pagina Cuentas
Utilice la pagina Cuentas para seleccionar el tipo de cuenta de usuario a utilizar para la distribucion
del paquete.
332
GUÍA DE USUARIO
Utilice la pagina configuracion del tiempo de espera para establecer un tiempo de espera de
instalacion.
• Tipo: seleccione el tipo de paquete que desea utilizar para desinstalar el paquete. La lista de
paquetes de distribucion disponibles mostrara solo los paquetes del tipo que especifica.
Use la pagina Asignar codigos de retorno para configurar mensajes de estado de los paquetes de
distribucion que aparecen en la consola con base en si una tarea de distribucion fue satisfactoria o
no.
• Informacion sobre la plantilla de codigo de retorno: presenta una lista de todas las plantillas
333
IVANTI ENDPOINT MANAGER
Utilice esta pagina para definir lo que sucede cuando un paquete SWD ya se encuentra instalado en
334
GUÍA DE USUARIO
Al crear un paquete SWD, se puede crear con o sin la interfaz de instalacion que ven los usuarios. Si
el paquete tiene una interfaz, puede elegir si el cuadro de dialogo de del estado de instalacion del
paquete aparece encima de las aplicaciones existentes o si debe ser un fondo de instalacion azul
solido que enmascare el escritorio durante la instalacion del paquete.
• Reparar el paquete: esta opcion solo actualiza las claves del registro y sustituye los archivos
de programa que han se han modificado con respecto al paquete de instalacion.
• Realizar una reinstalacion completa del paquete: Esta opcion reinstala completamente el
paquete, sustituyendo todos los archivos yvolviendo a crear todas las claves del registro.
• Si se permite la respuesta, anular la opcion anterior y dejar que el usuario decida: permite
que los usuarios decidan entre reparar o reinstalar. Puede habilitar la respuesta en la pagina
Respuestas del cuadro de dialogo Propiedades del metodo de envfo.
• Cuando se permita respuesta, visualizar pantalla de fondo: Muestra la pantalla de fondo azul
solido. Puede habilitar la respuesta en la pagina Respuestas del cuadro de dialogo
Propiedades del metodo de envfo.
En los portales de Administracion del portal y del cliente de Fuse, los usuarios pueden ver
los paquetes de distribucion disponibles. Utilice estas paginas de metadatos para
personalizar la apariencia que un paquete tendra en los portales.
Configure las propiedades de los metadatos del paquete personalizado haciendo clic en
Herramientas > Distribucion > Paquetes de distribucion, a continuacion, haga clic en el boton
Configurar valores de la barra de herramientas.
Personalice los metadatos del paquete, en paquetes individuales, abriendo las propiedades del
paquete y modificando las paginas de Metadatos.
Acerca de Metadatos: Paquete de configuracion adicional
Los portales del clientes proporcionan una manera para que los clientes puedan instalar los
paquetes de distribucion. Las paginas de metadatos afectan a la apariencia de los paquetes en el
portal.
• Reinicio esperado: Indica a los usuarios que deberan reiniciar despues de instalar este
paquete.
335
IVANTI ENDPOINT MANAGER
Los portales de clientes pueden filtrar los paquetes de aplicaciones disponibles por categona. Antes
de que las categonas esten disponibles para seleccionarlas en esta pagina, un administrador debera
crearlas. Cree categonas haciendo clic en Herramientas > Distribucion > Distribucion de paquetes.
En la barra de herramientas de Paquetes de distribucion, haga clic en el boton Configurar valores y
haga clic en Categonas.
Una vez creadas las categonas, seleccione Habilitar categorias y seleccione una categona para este
paquete.
Utilice esta pagina para agregar un logotipo de paquete que los clientes veran en Fuse. Para lograr
mejores resultados, utilice una imagen en formato .png de 320x200. Es posible adaptar otros
tamano para que se ajusten a los portales, pero esto afectara a la calidad de la imagen. Si hace clic
sobre la imagen que haya agregado, se mostrara una vista previa de la apariencia que tendra en el
portal.
Utilice esta pagina para proporcionar capturas de pantalla del paquete que los clientes veran en
Fuse. Para lograr mejores resultados, utilice una imagen en formato .png de 320x200. Es posible
adaptar otros tamano para que se ajusten a los portales, pero esto afectara a la calidad de la
imagen. Si hace clic sobre la imagen que haya agregado, se mostrara una vista previa de la
apariencia que tendra en el portal.
Fuse puede filtrar los paquetes de aplicaciones disponibles por etiquetas. Las etiquetas son
palabras clave que puede asignar a los paquetes. Cree etiquetas haciendo clic en Herramientas >
Distribucion > Distribucion de paquetes. En la barra de herramientas de Paquetes de distribucion,
haga clic en el boton Configurar valores y haga clic en Etiquetas.
Una vez creadas las etiquetas, seleccione Habilitar etiquetas y seleccione las etiquetas que desee
asignar a este paquete. Puede asignar varias etiquetas a un paquete.
Acerca de la pagina Ubicacion de paquete predeterminada (configuracion predeterminada del paquete)
Utilice esta pagina para seleccionar una ubicacion de paquete predeterminada. Puede seleccionar
en una lista de ubicaciones de paquetes existentes o puede agregar nuevas ubicaciones de
paquetes.
Utilice esta pagina para seleccionar si desea que sea necesario firmar los comandos de PowerShell.
De manera predeterminada, se permiten los comandos sin firmar.
El cuadro de dialogo Metodos de entrega (Herramientas > Distribucion > Metodos de entrega)
define la forma en que se enviara el paquete a los dispositivos. Estas opciones no se asocian a un
paquete de distribucion espedfico. Las opciones incluyen la multidifusion dirigida y las
336
GUÍA DE USUARIO
distribuciones automaticas o basadas en polfticas. No cree un metodo de entrega cada vez que
desee distribuir un paquete. Lo ideal sena crear una plantilla de metodo de entrega que pueda
volver a utilizarse en distribuciones con el mismo metodo de entrega.
Antes de utilizar este dialogo, se debe crear el paquete de distribucion (Herramientas > Distribucion
> Paquetes de distribucion) que se desea entregar.
Utilice esta pagina para describir el metodo de entrega que se esta creando y definir la cantidad de
dispositivos en los que se desea distribuir de forma simultanea.
Utilice esta pagina para controlar la forma en que se envfa el paquete y los archivos del paquete a
los dispositivos administrados. Esta pagina incluye las opciones siguientes:
337
IVANTI ENDPOINT MANAGER
• Utilice la opcion ejecutar desde el origen para distribuir archivos: No copia los archivos de
forma local antes de instalarlos. Por el contrario, el archivo de paquete principal se ejecuta
directamente desde la ubicacion de descarga del paquete. Esta opcion funciona con todos
los tipos de paquetes de los recursos compartidos de paquetes UNC. Para los recursos
compartidos HTTP, esta opcion solo funciona con los tipos de paquetes SWDy MSI. Puede
utilizar esta opcion con instalaciones de aplicacion que requieren una estructura de carpeta
espedfica. Esta opcion utilizara servidores preferidos pero no intentara ejecutar el paquete
desde un par.
• Descargar archivos: descarga los archivos en los dispositivos y a continuacion, realiza la
instalacion del paquete.
• Precache: descarga los archivos de paquete a los dispositivos, sin instalarlos. Puede ser util
en las instalaciones de paquetes sin conexion.
Cuando se seleccionan las opciones Descargar archivos o Precache, se accede a estas opciones de
descargas desde servidor preferido o punto a punto:
• Intentar descarga punto a punto: permite al agente comunicarse con sus pares de la misma
subred.
• Intentar servidor preferido: permite el redireccionamiento automatico a los paquetes
compartidos mas cercanos.
• Permitir origen: descarga desde la ubicacion del paquete original si no se encuentran los
archivos en otras ubicaciones.
Acerca de la pagina Ancho de banda (bajo la pagina Uso de red)
Esta pagina permite controlar el ancho de banda de red que requiere el paquete para su
implementacion. No es necesario seleccionar ninguna de estas opciones si se desea que todos los
dispositivos seleccionados reciban el paquete, independientemente del ancho de banda con el que
cuenten.
El control del ancho de banda es importante para aquellos dispositivos con conexiones de acceso
telefonico o WAN de baja velocidad. Lo normal es que no se implementen paquetes con una gran
cantidad de megabytes de tamano en dispositivos con conexiones de baja velocidad. Se encuentran
disponibles las opciones siguientes:
• Solicitar una conexion de red que no sea tipo RAS: Esta opcion activa el requisito del ancho
de banda. Seleccione una de las opciones siguientes:
• Permitir cualquier conexion de red que no sea tipo RAS: Esta opcion permite la
recepcion de paquetes en dispositivos WAN y LAN.
• Requiere una conexion a la red de alta velocidad: Esta opcion permite la recepcion de
paquetes solo en dispositivos con conexiones LAN.
* Limitar descargas remotas (por subred) a un dispositivo a la vez: esta opcion se utiliza para
reducir el ancho de banda de red consumido en una subred.
338
GUÍA DE USUARIO
maximo del ancho de banda de red del dispositivo de destino que se utilizara para la
distribucion.
Si utiliza PDS para detectar la velocidad de la conexion de la red, las conexiones de red de alta y
baja velocidad proporcionan la misma informacion. Para obtener una deteccion mas precisa de las
conexiones de red de alta velocidad, es necesario utilizar el protocolo ICMP.
El protocolo ICMP envfa solicitudes de eco ICMP de distintos tamanos al equipo remoto y utiliza el
tiempo de ida y vuelta de estas solicitudes/respuestas para determinar el ancho de banda
aproximado. Sin embargo, no todos los enrutadores ni todos los equipos admiten reenviar ni
responder solicitudes de eco ICMP. El protocolo ICMPtambien distingue entre conexiones LAN (de
alta velocidad) y WAN (de baja velocidad, aunque sin ser de conexion telefonica).
Si la red no esta configurada para permitir las solicitudes de eco ICMP, puede seleccionar PDS. Si
utiliza PDS, la opcion Requiere una conexion a la red de alta velocidad no proporcionara un control
de gran precision.
Esta pagina permite configurar el lfmite de ancho de banda y los retrasos de paquete.
* Descarga punto a punto (instalar solo desde la memoria cache o un par): Puede que no
aparezca en todos los cuadros de dialogo de Uso de ancho de banda. solo se permite la
descarga de paquetes si se encuentran en el cache local o en un par del mismo dominio de
multidifusion. Esta opcion permite conservar el ancho de banda de red. No obstante, para
que la instalacion del paquete se realice correctamente, el paquete se debe encontrar en uno
de estos dos lugares.
* Amplitud de banda usada por el servidor central o el preferido (WAN): ajusta la prioridad
de esta tarea espedfica sobre el resto de trafico de red. Entre mayor sea el porcentaje que
se ponga en el control deslizante, mayor sera la cantidad de amplitud de banda usada por
esta tarea sobre el resto de trafico. Las conexiones de WAN son por lo general mas
lentas, por lo cual casi siempre es mejor poner este control deslizante en un porcentaje
bajo.
* Amplitud de banda usada entre pares (Local): ajusta la prioridad de esta tarea especfica
sobre el resto de trafico de red. Entre mayor sea el porcentaje que se ponga en el control
deslizante, mayor sera la cantidad de amplitud de banda usada por esta tarea sobre el resto
de trafico. Las conexiones de LAN son por lo general mas rapidas, por lo cual casi siempre
es mejor poner este control deslizante en un porcentaje mas alto que el de WAN.
Esta pagina solo se muestra si se ha seleccionado la multidifusion como tipo de distribucion. Esta
pagina permite configurar las opciones de multidifusion.
• Usar deteccion de dominio de multidifusion: esta opcion permite a la multidifusion dirigida
realizar una deteccion de dominio para esta tarea. Esta opcion no guarda el resultado de la
deteccion de dominio para utilizarla en un futuro.
• Usar deteccion de dominio de multidifusion y guardar los resultados: esta opcion permite a
339
IVANTI ENDPOINT MANAGER
la multidifusion dirigida realizar una deteccion de dominio para esta tarea y guardar el
resultado para utilizarlo en un futuro, lo que permite ahorrartiempo en las consiguientes
multidifusiones.
• Usar los resultados de la ultima deteccion de dominio de multidifusion: utilice esta opcion
despues de que la multidifusion dirigida haya realizado una deteccion de dominio y haya
guardado el resultado.
• Los representantes de dominio reactivan a los dispositivos administrados: esta opcion
permite hacer que los equipos que admiten la tecnologfa Wake On LAN se activen para que
puedan recibir la multidifusion. Puede utilizar las opciones del cuadro de dialogo Opciones
de multidifusion para configurar cuanto tiempo esperan los representantes de dominio para
realizar la multidifusion una vez se ha enviado el paquete Wake On LAN. El intervalo de
tiempo predeterminado es de 120 segundos.
• Numero de segundos que se esperara la funcion Wake On LAN: expresa la cantidad de
tiempo que esperan los representantes de dominio para realizar la multidifusion tras enviar el
paquete Wake On LAN. El intervalo de tiempo predeterminado es de 120 segundos. Si
algunos equipos de la red tardan mas de 120 segundos en iniciar, se recomienda aumentar
este valor. El valor maximo permitido es 3600 segundos (una hora).
Descubrimiento de dominios
La deteccion de dominios solo es necesaria en redes con subredes cuyo trafico de multidifusion
puede verse de unas a otras. Si las subredes conocen el trafico las unas de las otras, puede
ahorrartiempo guardando en primer lugar los resultados de una deteccion de dominio y, a
continuacion, seleccionando Utilizar resultados de la ultima deteccion de dominio de multidifusion
de modo que la multidifusion dirigida no realiza una deteccion de dominio antes de cada tarea.
Si las subredes de la red no pueden ver el trafico del resto, la multidifusion dirigida funcionara mas
rapidamente realizando una deteccion previa de los dominios mediante el archivo de secuencia de
comandos multicast_domain_discovery.ini incluidoen la carpeta ManagementSuite\Scripts. Esta
secuencia de comandos no realiza ninguna operacion en los dispositivos de destino. Ejecute esta
secuencia de comandos desde la ventana Tareas programadas en una lista de destino que se
extienda a lo largo de la red. De esta forma se guarda el resultado de la deteccion de dominios para
utilizarlo en un futuro. Quizas desee ejecutar esta secuencia de comandos periodicamente si existen
grandes conjuntos de distribuciones de multidifusion.
Si se ha seleccionado Usar archivo en cache en Configurar > Servicios > Multidifusion, la
multidifusion dirigida continuara con el proceso de deteccion aunque se haya seleccionado Utilizar
el resultado de la ultima deteccion de dominio de multidifusion. La multidifusion dirigida requiere
realizar esta operacion para determinar los representantes de dominio de multidifusion que incluye
potencialmente el archivo en la cache.
Acerca de la pagina Limites de multidifusion (bajo la pagina Usode red)
Utilice esta pagina para configurar parametros de multidifusion dirigida espedficos a una tarea. Los
valores predeterminados de este cuadro de dialogo son adecuados para la mayona de las
multidifusiones.
340
GUÍA DE USUARIO
Esta pagina permite configurar si se reinicia el equipo tras instalar o eliminar el software. Esta
pagina incluye las tres opciones siguientes:
341
IVANTI ENDPOINT MANAGER
Utilice esta pagina para configurar los l^mites de aplazamiento del paquete y las opciones de tiempo
de espera. Para habilitar las opciones de esta pagina debe hacer clic en El usuario selecciona el
periodo de aplazamiento en la pagina Respuesta y tiempo.
* Limites de aplazamiento
* Cantidad de tiempo que el usuario puede aplazar el paquete: Seleccione la cantidad de
horas, minutos o segundos que se aplazaran los paquetes si el usuario hace clic en
Esperar en el cuadro de dialogo de aplazamiento.
* El aplazamiento del usuario es limitado: limita la cantidad de veces que los usuarios
pueden hacer clic en Esperar cuando aparece el cuadro de dialogo de aplazamiento.
342
GUÍA DE USUARIO
Cuando se espera la respuesta del usuario, podra seleccionar en una lista la accion
predeterminada. Haga clic en el boton circular que se encuentra al lado de la lista y
seleccione Cancelar, Ejecutar el paquete o Aplazar. A continuacion, puede especificar
la cantidad de tiempo que el cuadro de dialogo de aplazamiento espera la respuesta
antes de finalizar la accion seleccionada.
Utilice esta pagina si desea configurar un mensaje personalizado para el cuadro de dialogo de
aplazamiento. Este cuadro de dialogo solo se abre si se permiten los aplazamientos. El origen de la
pagina HTML para las paginas de aplazamiento se encuentra en el servidor central, en la carpeta
LDLogon\html\.
• Utilizar paginas HTML personalizadas: Utiliza las paginas HTML ubicadas en la carpeta
LDLogon\html\ del servidor central.
343
IVANTI ENDPOINT MANAGER
Esta pagina aparece con los tipos de entregas basadas en polfticas y afecta la forma en que actuan
los dispositivos si reciben la polftica.
• Recomendado: los usuarios pueden seleccionar cuando instalar las polfticas recomendadas.
Estas se seleccionan de forma predeterminada en la interfaz de usuario del dispositivo.
• Opcional: los usuarios pueden seleccionar cuando instalar las polfticas opcionales. Estas no
se seleccionan de forma predeterminada en la interfaz de usuario del dispositivo.
• Una vez: una vez se ejecuta correctamente una polftica en un dispositivo, este no la volvera a
ejecutar de nuevo.
• A petition: El paquete puede ser instalado por los usuarios en cualquier momento.
• Periodicamente: cuando se define una polftica opcional o recomendada como periodica, se
eliminara de la interfaz de usuario cuando se procese correctamente y se mostrara de nuevo
en la interfaz de usuario cuando haya transcurrido el intervalo especificado.
Utilice esta pagina para configurar lo que sucede cuando un dispositivo esta listo para instalar un
paquete, pero no puede comunicarse con el servidor central. Esto puede suceder cuando los
archivos de un paquete se encuentran en la memoria cache de un dispositivo de distribucion local
yalgun usuario que esta viajando o no tiene conexion de red intenta instalar el paquete.
• Esperar a que el dispositivo pueda comunicarse con el servidor central administrado: solo
permite la instalacion si el dispositivo puede verificar con el servidor central la integridad de
los archivos de distribucion del paquete en la memoria cache. Esta es la opcion mas segura.
• Instalar paquetes sin conexion: permite que el paquete se instale a partir de los archivos
existentes en la memoria cache de distribucion sin requerir una conexion con el servidor
central.
Utilice esta pagina para configurar el comportamiento de la distribucion si el sistema operativo o los
agentes del dispositivo de destino no admiten los metodos de entrega elegidos. Por ejemplo, si
utiliza agentes de Endpoint Manager anteriores en los dispositivos, es probable que no admitan la
multidifusion o la descarga entre iguales.
• Degradar funcion al nivel del sistema operativo: permite que las tareas continuen aunque las
opciones del metodo de entrega seleccionado no esten activas.
344
GUÍA DE USUARIO
• Degradar funcion al nivel del agente: permite que el trabajo continuen aunque las opciones
del metodo de entrega seleccionado no esten activas.
Esta pagina le permite elegir las opciones de deteccion de dispositivos. Para que el gestor de tareas
programadas pueda procesar una tarea, debe detectar cada direccion IP actual de los dispositivos.
Esta pestana permite configurar el modo en que el servicio se comunicara con los dispositivos.
Opciones de deteccion:
• UDP: al seleccionar UDP se utiliza el servicio de deteccion de ping (PDS) a traves de UDP. La
mayona de los componentes de dispositivo de Endpoint Manager dependen de PDS, de
modo que los dispositivos administrados deben tenerlo. PDS es parte del agente de IVANTI
estandar. Constituye el metodo de deteccion predeterminado y el mas rapido. Con UDP,
tambien puede seleccionar los reintentos y el tiempo de espera de ping a UDP.
• TCP: al seleccionar TCP se utiliza una conexion HTTP al servidor en el puerto 9595. Este
metodo de deteccion tiene la ventaja de que es capaz de funcionar a traves de un servidor de
seguridad si se abre el puerto 9595. No obstante, esta sujeto a los tiempos de espera de
conexion HTTP si no se encuentran los dispositivos. Dichos tiempos de espera pueden ser
de 20 segundos o mas. Si muchos de los dispositivos de destino no responden a la conexion
TCP, la tarea tardara mucho en iniciarse.
• Ambos: al seleccionar Ambos, el servicio intenta la deteccion primero con UDP, luego con
TCPy finalmente con DNS/WINS, si esta seleccionado.
• Numero de reintentos: cantidad de intentos de deteccion.
• Tiempo de espera de la Deteccion: duracion de la espera de una respuesta por cada intento
de deteccion.
• Tiempo de espera para las difusiones de la Subred: duracion de la espera de una respuesta a
las difusiones de subred.
• Desactivar la difusion de subred: si se selecciona, se deshabilita la deteccion a traves de una
difusion de subred. Si se selecciona, se envfa una difusion dirigida a subredes mediante
UDPy PDS.
• Desactivar busqueda de DNS/WINS: se deshabilita la busqueda del servicio de nombre para
cada dispositivo, si falla el metodo de deteccion TCP/UDP seleccionado.
Acerca de la ventana Estado de la distribucion de software de multidifusion
Esta ventana se muestra en el servidor central cuando hay una distribucion de multidifusion dirigida
activa. Esta ventana muestra la informacion siguiente:
345
IVANTI ENDPOINT MANAGER
• Direction UNC o URL del paquete: muestra la ubicacion del paquete que intenta distribuir en
la actualidad. Esta lmea se actualiza con el archivo que se esta transfiriendo.
• Estado: informe en tiempo real que muestra estado de la distribucion, si se ha completado y,
en caso de que sea asf, si se ha completado correctamente o no.
• Dominios de multidifusion: el campo situado en la parte superior muestra todas las subredes
y los representantes de dominio de multidifusion que se utilizan en la distribucion. Al resaltar
un representante de dominio, la ventana inferior muestra todos los equipos que reciben la
distribucion de dicho representante de dominio.
Cada uno de los equipos de la ventana inferior muestra toda la informacion sobre la forma en
la que se ha completado la distribucion en dicho equipo. Existen varios campos de
informacion situados a la derecha de cada equipo, entre los que se incluyen Paquetes que
faltan, Solicitudes de reenvfo y Solicitudes de ralentizacion. Estos campos no incluyen
ninguna informacion hasta que se haya completado la distribucion.
• Paquetes que faltan: Muestra la cantidad de paquetes que el dispositivo no pudo obtener del
representante de la subred. Si este numero no es 0, indica que la distribucion ha fallado.
• Solicitudes de reenvfo: Muestra el numero de veces que el dispositivo tuvo que solicitar que
se reenviaran paquetes desde el representante de la subred. De este modo se puede medir,
por ejemplo, que tan ocupado esta el dispositivo al manejar otros procesos durante la
distribucion.
• Solicitudes de ralentizacion: muestra el numero de veces que el dispositivo ha tenido que
solicitar al representante de subred que reduzca la velocidad de la transferencia de paquetes.
En este caso, un valor elevado suele indicar que el equipo tiene algun problema de hardware
que esta ralentizando la distribucion. Si hay un gran numero de equipos con una gran
cantidad de solicitudes de ralentizacion, compruebe el numero de Retraso/Paquete en el
representante de subred. Suele haber una correspondencia entre este valoryel numero de
solicitudes de ralentizacion.
Esta ventana se cierra de forma automatica una vez han transcurrido 10 segundos. Si desea que la
ventana permanezca abierta durante toda la distribucion, haga clic en Mantener el cuadro de dialogo
abierto para que la ventana permanezca abierta hasta que la cierre manualmente. Si el cuadro de
dialogo se mantiene abierto, se detendra la ejecucion del archivo de comandos. Portanto, asegurese
de cerrarlo cuando haya finalizado.
Si desea crear una secuencia de comando personalizada desde una plantilla generica, puede utilizar
la opcion Crear secuencia de comando personalizada.
346
GUÍA DE USUARIO
Asegurese de guardar el archivo antes de cerrar el editor de texto si lo utilizo para modificar
la secuencia de comandos.
5. En la pagina Seleccionar los archivos a implementar, elija los archivos seleccionado una
Ruta Web o una Ruta de archivo compartido, introduciendo esa ruta y agregando los
archivos que desee al cuadro de lista. Haga clic en Siguiente.
Las secciones siguientes describen las paginas y opciones del asistente Crear secuencia de
comandos de implementacion de archivos.
Acerca de la pagina Informacion general
Utilice esta pagina para configurar la informacion general de las secuencias de comandos para
transferir archivos.
Esta pagina permite configurar el lfmite de ancho de banda y los retrasos de paquete.
• Descarga punto a punto (instalar solo desde la memoria cache o un par): solo se permite la
descarga de paquetes si se encuentran en el cache local o en un par del mismo dominio de
347
IVANTI ENDPOINT MANAGER
multidifusion. Esta opcion permite conservar el ancho de banda de red. No obstante, para
que la instalacion del paquete se realice correctamente, el paquete se debe encontrar en uno
de estos dos lugares. Una forma de utilizar esta opcion consiste en copiar primero el paquete
en un dispositivo en cada subred con la opcion Solo archivo(s) de cache en el equipo con
multidifusion al principio del asistente.
• Limite dinamico de ancho de banda: especifica que el trafico de red que crea un dispositivo
tiene prioridad con respecto al trafico de distribucion. Si selecciona esta opcion y deja el
Porcentaje de ancho de banda mmimo disponible en 0, cuando el dispositivo inicia el trafico
de red, la distribucion se reduce a aproximadamente un paquete por segundo hasta que se
detenga el trafico. Esta opcion obliga una descarga completa del archivo en la cache del
dispositivo, que tambien habilita el reinicio de punto de control a nivel de byte, donde las
descargas se reanudan en el punto en el que se interrumpieron. Al reinstalar o reparar un
paquete ESWD o MSI, puede que no se desee utilizar la opcion Limite dinamico de ancho de
banda, ya que estos tipos de paquetes normalmente solo descargan los archivos que
necesitan.
• Porcentaje mmimo de ancho de banda disponible para utilizar en un equipo cliente:
especifica el lfmite dinamico de ancho de banda que se va a aplicar. Puede escribir valores
de hasta el 50 por ciento del ancho de banda de red total disponible para el dispositivo. Por
ejemplo, si hubiera otra aplicacion consumiendo ancho de banda de red en el dispositivo
durante una distribucion yse define el porcentaje de ancho de banda en 50, la tarea de
distribucion tomana el 50 % y la aplicacion del dispositivo el otro 50 %. En la practica, este
porcentaje es variable porque el sistema operativo asigna automaticamente gran parte del
ancho de banda de red segun la cantidad de aplicaciones que necesiten el ancho de banda y
su prioridad.
• Retraso entre paquetes (par): Esta opcion especifica el retraso entre paquetes de los pares
de la misma subred. Este retraso se puede utilizar para acelerar o ralentizar las
distribuciones. El aumento del retraso entre paquetes hace que la distribucion sea mas lenta
y utiliza menos ancho de banda. Puede utilizar esta opcion con Ltaite dinamico de ancho de
banda, pero si estas opciones se utilizan de forma conjunta, el retraso de paquete tiene
bastante repercusion.
• Retraso entre paquetes (origen): Especifica el retraso entre el origen del paquete y el destino
del dispositivo. El aumento del retraso entre paquetes hace que la distribucion sea mas lenta
y utiliza menos ancho de banda. Puede utilizar esta opcion con Ltaite dinamico de ancho de
banda, pero si estas opciones se utilizan de forma conjunta, el retraso de paquete tiene
bastante repercusion.
Acerca de la pagina Opciones de tarea
Esta pagina permite configurar la implementacion de esta distribucion. Si distribuye un archivo MSI
o un ejecutable generico, se puede introducir cualquier opcion de lmea de comandos que sea
necesario transmitir al archivo tras la multidifusion.
• La secuencia de comandos utiliza el Kmite de distribucion predeterminado: Se puede limitar
el numero de equipos en los que la multidifusion dirigida realiza la distribucion de forma
simultanea. Esta opcion utiliza el valor predeterminado que se establecio en la pestana
348
GUÍA DE USUARIO
Esta pagina solo se muestra si se ha seleccionado la multidifusion como tipo de distribucion. Esta
pagina permite configurar las opciones de multidifusion.
• Usar deteccion de dominio de multidifusion: esta opcion permite a la multidifusion dirigida
realizar una deteccion de dominio para esta tarea. Esta opcion no guarda el resultado de la
deteccion de dominio para utilizarla en un futuro.
• Usar deteccion de dominio de multidifusion y guardar los resultados: esta opcion permite a
la multidifusion dirigida realizar una deteccion de dominio para esta tarea y guardar el
resultado para utilizarlo en un futuro, lo que permite ahorrartiempo en las consiguientes
multidifusiones.
• Usar los resultados de la ultima deteccion de dominio de multidifusion: utilice esta opcion
despues de que la multidifusion dirigida haya realizado una deteccion de dominio y haya
guardado el resultado.
• Equipos de reactivation de representantes de dominio: esta opcion permite hacer que los
equipos que admiten la tecnologfa Wake On LAN se activen para que puedan recibir la
multidifusion. Puede utilizar el cuadro de dialogo Opciones de multidifusion para configurar
cuanto tiempo esperan los representantes de dominio para realizar la multidifusion una vez
se ha enviado el paquete Wake On LAN. El intervalo de tiempo predeterminado es de 120
segundos.
349
IVANTI ENDPOINT MANAGER
• Opciones avanzadas de multidifusion: esta opcion permite definir opciones avanzadas. Los
valores predeterminados son adecuados para la mayona de las tareas.
Descubrimiento de dominios
La deteccion de dominios solo es necesaria en redes con subredes cuyo trafico de multidifusion
puede verse de unas a otras. Si las subredes conocen el trafico las unas de las otras, puede
ahorrartiempo guardando en primer lugar los resultados de una deteccion de dominio y, a
continuacion, seleccionando Utilizar resultados de la ultima deteccion de dominio de multidifusion
de modo que la multidifusion dirigida no realiza una deteccion de dominio antes de cada tarea.
Si las subredes de la red no pueden ver el trafico del resto, la multidifusion dirigida funcionara mas
rapidamente realizando una deteccion previa de los dominios mediante el archivo de secuencia de
comandos multicast_domain_discovery.ini incluido en la carpeta ..\ManagementSuite\scripts. Esta
secuencia de comandos no realiza ninguna operacion en los equipos destino. Ejecute esta
secuencia de comandos desde la ventana Tareas programadas en una lista de destino que se
extienda a lo largo de la red. De esta forma se guarda el resultado de la deteccion de dominios para
utilizarlo en un futuro. Quizas desee ejecutar esta secuencia de comandos periodicamente si existen
grandes conjuntos de distribuciones de multidifusion.
Si selecciono Usar archivo en cache en Configurar > Servicios de Endpoint Manager > Multidifusion,
la multidifusion dirigida continuara con el de deteccion aunque haya seleccionado Utilizar el
resultado de la ultima deteccion de dominio de multidifusion. La multidifusion dirigida requiere
realizar esta operacion para determinar los representantes de dominio de multidifusion que incluye
potencialmente el archivo en la cache.
Acerca del cuadro de dialogo Opciones de multidifusion
350
GUÍA DE USUARIO
que puede permanecer el archivo de multidifusion en la cache de los equipos del cliente.
Transcurrido este penodo de tiempo, el archivo se purgara automaticamente.
* Numero de d^as que permaneceran los archivos en la cache del representante de dominio de
multidifusion: cantidad de tiempo que puede permanecer el archivo de multidifusion en la
cache del representante de dominio de multidifusion. Transcurrido este penodo de tiempo, el
archivo se purgara automaticamente.
* Numero mmimo de milisegundos entre las transmisiones de paquetes (WAN o Local):
cantidad de tiempo mfnima que debe transcurrir entre el envfo de diferentes paquetes de
multidifusion. Este valor solo se utiliza cuando el representante no transfiere el archivo
desde su propia cache. Si no se especifica este parametro, se utilizara el tiempo de espera
mfnimo predeterminado almacenado en el equipo representante de dominio/subred. Puede
utilizar este parametro para limitar el uso de ancho de banda en la red WAN.
* Numero maximo de milisegundos entre las transmisiones de paquetes (WAN o Local):
cantidad de tiempo maxima que debe transcurrir entre el envfo de diferentes paquetes de
multidifusion. Para obtener mas informacion, consulte Numero mfnimo de milisegundos
entre transmisiones de paquetes.
* Numero de segundos que se esperara tras la funcion Wake On LAN: expresa la cantidad de
tiempo que esperan los representantes de dominio para realizar la multidifusion tras enviar el
paquete Wake On LAN. El intervalo de tiempo predeterminado es de 120 segundos. Si
algunos equipos de la red tardan mas de 120 segundos en iniciar, se recomienda aumentar
este valor. El valor maximo permitido es 3600 segundos (una hora).
Acerca de la pagina Seleccionar archivos para implementar
• Ruta Web: haga clic en esta opcion para acceder a los paquetes almacenados en un servidor
Web. Es necesario incluir http://en la direccion URL.
• Examinar: haga clic en Examinar para desplazarse hasta la ubicacion que desee. Si se
selecciona Ruta Web, se abrira una ventana pequena de exploracion. Si se selecciona Ruta
de la carpeta compartida de archivos, se abre un cuadro de dialogo estandar de exploracion.
Para explorar el directorio de un servidor Web en la ventana del explorador Seleccionar la
ubicacion del paquete, es necesario incluir una barra oblicua final en la URL (/), ya que, de lo
contrario, la ventana del explorador dara un error.
• Agregar: haga clic en Agregar para anadir directamente un programa desde el cuadro de
edicion de ruta una vez introducida el nombre del archivo y la ruta completa.
• Quitar: seleccione un archivo que haya anadido y haga clic en Quitar para eliminar un
archivo de la lista.
351
IVANTI ENDPOINT MANAGER
Esta pagina resume las opciones seleccionadas para implementar el paquete. Antes de continuar,
asegurese de que los dispositivos administrados cumplen todos los requisitos enumerados en la
seccion de advertencia.
352
GUÍA DE USUARIO
Portal Manager
Acerca del Administrador del portal
El Administrador del portal de IVANTI pone aplicaciones, documentos y enlaces a disposicion de
los usuarios finales para que puedan instalar elementos cuyo uso ha autorizado la organizacion o
son necesarios para el hardware del usuario.
Cuando un usuario final inicia el Administrador del portal, se sincroniza con el servidor de polfticas.
Si alguna tarea de polfticas obligatoria no se ha ejecutado nunca en el dispositivo del usuario, se
inicia sin intervencion de este.
El usuario final tambien puede elegir entre las tareas de polfticas recomendadas y opcionales que
se hayan agregado al LaunchPad.
Cuando un usuario final abre el Administrador del portal el siguiente dialogo muestra las opciones
disponibles.
353
IVANTI ENDPOINT MANAGER
NOTE: Para implementar el Administrador del portal en un dispositivo administrado, este debe tener
instalado Microsoft .NET 4.0. Puede instalarlo como parte del proceso de despliegue del agente. Si no
desea que se instale, utilice el Desktop Manager heredado, que no tiene este requisito.
Temas relacionados
"Configuracion del Administrador del portal" (354)
"Agregar aplicaciones al Administrador del portal" (355)
El Administrador del portal genera una lista de las aplicaciones, documentos y enlaces disponibles.
Se puede cambiar como aparecen en los dispositivos administrados cambiando la Configuracion de
agentes del Administrador del portal.
De forma predeterminada, se selecciona el Desktop Manager heredado como la funcion de portal del
usuario. Si desea utilizar la nueva version, debera seleccionar el Administrador del portal y
configurarlo.
354
GUÍA DE USUARIO
Temas relacionados
355
IVANTI ENDPOINT MANAGER
356
GUÍA DE USUARIO
• Un paquete SWD, MSI, archivo ejecutable, archivo de proceso por lotes o paquete Macintosh
creado por usted.
• Un metodo de entrega que admita polfticas, ya sea la instalacion automatica por polfticas o
basada en polfticas.
• Los destinos de las polfticas para los paquetes de distribucion como, por ejemplo, el
resultado de una consulta de base de datos central o directorio LDAP.
La administracion basada en polfticas ejecuta de forma periodica las consultas que ha configurado
como parte de la polftica y aplica las polfticas a los dispositivos administrados nuevos. Por ejemplo,
es posible que disponga de un contenedor denominado Departamento en el directorio LDAP que
contenga objetos de usuario. Los usuarios cuyo objeto de Departamento sea el "Mercadeo" utilizan
un conjunto estandar de aplicaciones. Despues de configurar una polftica para los usuarios de
Mercadeo, se instalara el conjunto de aplicaciones correspondiente en los equipos de los usuarios
nuevos que se agreguen a este grupo.
Utilice la consola para configurar las polfticas de las aplicaciones, las cuales se encuentran en la
base de datos central.
• MSI
• Ejecutable
• Archivo por lotes
• Macintosh
• Linux RPM
• Virtualizacion de aplicaciones de IVANTI
• Windows Script Host Package (.wsf)
• Paquete de legado SWD
357
IVANTI ENDPOINT MANAGER
Configuracion de politicas
La administracion basada en polfticas requiere el uso de un tipo de paquete de distribucion
compatible en cualquier polftica que usted cree. Los paquetes se pueden crear con anterioridad o al
crear la polftica. Se recomienda crear los paquetes con anterioridad para probarlos y garantizar su
funcionamiento antes de utilizarlos en una polftica.
Las distribuciones y polfticas normales pueden utilizar el mismo paquete de distribucion. La
diferencia radica en la implementacion y no en la creacion de los paquetes. Existen dos metodos de
entrega que admiten la distribucion basada en polfticas:
• Metodos de entrega basados en polfticas: Se trata del modelo de distribucion solamente con
358
GUÍA DE USUARIO
polfticas. Solo los dispositivos que satisfacen los criterios de la poiftica reciben el paquete.
• Metodos de entrega por envfo basados en polfticas: Se trata del modelo de distribucion y
polftica por envfo. Primero, la distribucion de software intenta instalar el paquete en todos
los dispositivos de la lista de destino. De este modo, se puede realizar una implementacion
inicial mediante la multidifusion dirigida. Segundo, los dispositivos que no recibieron el
paquete o que se agregan posteriormente a la lista de destino (en el caso de las listas de
destino dinamicas), reciben el paquete cuando lo solicite el agente de administracion basada
en polfticas del dispositivo.
La principal diferencia entre los metodos de entrega estandares y el metodo de entrega basado en
polfticas es que el cuadro de dialogo basado en polfticas Metodos de entrega tiene la pagina Tipo y
frecuencia del trabajo.
Las opciones de tipo y frecuencia del trabajo afectan la forma en que actuan los dispositivos
cuando reciben las polfticas:
• Recomendado: los usuarios pueden seleccionar cuando instalar las polfticas recomendadas.
Estas se seleccionan de forma predeterminada en la interfaz de usuario del dispositivo.
• Opcional: los usuarios pueden seleccionar cuando instalar las polfticas opcionales. Estas no
se seleccionan de forma predeterminada en la interfaz de usuario del dispositivo.
• Ejecutar una vez: una vez se ejecuta correctamente una polftica en un dispositivo, este no la
volvera a ejecutar de nuevo.
359
IVANTI ENDPOINT MANAGER
envfos con soporte en polfticas, luego haga clic en Nuevo metodo de entrega.
3. Configure las opciones del metodo de entrega que desee. Haga clic en Ayuda para obtener
mas informacion sobre cada una de las paginas.
Los destinos dinamicos pueden incluir la vista de red de grupos de dispositivos, objetos LDAP,
consultas LDAPy consultas de inventario.
Para que los dispositivos reciban polrticas dirigidas a traves de Active Directory, estos deben estar
configurados para iniciar sesion en el directorio. Esto supone que deben contar con el
correspondiente software de agente instalado y que sea necesario iniciar sesion en el directorio
correspondiente de modo que su nombre exclusivo coincida con el nombre de destino especificado
mediante el Administrador de directorios y el Administrador de poifticas de aplicacion de tareas
programadas.
360
GUÍA DE USUARIO
Para definir un dispositivo como destino en LDAP, cada dispositivo de Windows NT/2000/2003/XP
debe tener una cuenta de equipo en el controlador de dominio de Active directory. Esto significa
que el equipo que se utiliza como dispositivo debe conectarse al dominio en el que se encuentre
Active Directory. No basta con asignar una unidad de red utilizando un nombre de dominio completo
de Windows. Esta polftica no se aplicara de este modo.
Si la tarea de polftica se incluye en Tareas comunes y el usuario de Endpoint Manager con otro
ambito observa el panel de detalles de destino de la tarea (llamemos a esta segunda persona el
"editor" de la lista de destino), este panel de detalles de destino se filtra segun el ambito del editor.
En este caso, puede que el editor no vea todos los destinos en los que se aplicara la polftica en el
panel de detalles de destino, ya que su ambito puede no permitirle ver todos los destinos en el
ambito del creador.
361
IVANTI ENDPOINT MANAGER
Como administrador de TI o de los activos de software, puede suponer un reto hacer seguimiento
de los productos instalados en los numerosos dispositivos de las redes. Corre el riesgo de instalar
mas productos que licencias compradas, sino tambien el de adquirir demasiadas licencias. Se
pueden evitar este tipo de problemas mediante el uso de la consola del SLM para monitorizar e
informar sobre las licencias de productos y su uso en la organizacion.
Las paginas de Tablero de resultados muestran graficos de resumen de informacion clave sobre
productos y licencias. Estos datos son utiles para planificar auditonas y optimizar el uso de las
licencias.
362
GUÍA DE USUARIO
Las paginas de Productos muestran informacion detallada de los productos que se han instalado
en los dispositivos administrados. Estas paginas incluyen informacion de licencias que se utiliza
para calcular el cumplimiento de los terminos de las licencias, asf como de la recuperacion y la
asignacion. La informacion sobre recuperaciones muestra las tareas configuradas para devolver las
licencias de productos no utilizadas y reasignarlas a los dispositivos que las necesitan. La
informacion sobre las asignaciones hace seguimiento del coste del servicio de soporte de TI
prestado a los grupos de las organizaciones.
363
IVANTI ENDPOINT MANAGER
La pagina Productos > Monitorizados de la consola del SLM, donde aparecen los productos que se
van a monitorizar de forma activa, es la mas utilizada. Despues de mover productos relevantes a
esta vista, podra buscar los nuevos productos que necesiten mayor atencion en la vista
Detectados. Los productos que no se van a monitorizar se pueden mover a la vista Ignorados para
que no estorben.
Si no esta seguro de donde se encuentra un producto, puede buscarlo en la pagina Productos >
Todos los productos instalados. A continuacion, puede mover el producto a la vista
correspondiente (Monitorizados o Ignorados).
NOTE: El agente de Windows de IVANTI Endpoint Manager 2017 puede detectar y registrar el uso de las
aplicaciones de estilo metro de Microsoft (tambien conocidas como aplicaciones de Windows Store). Esto
resulta en la capacidad de seguiry monitorizar la utilizacion en SLM.
Utilice la pagina Informes para generar informes predefinidos o personalizados con los datos de las
licencias y los productos de los dispositivos de las redes.
Apertura de la consola
Los usuarios que tengan una definition de rol que incluya la monitorizacion de licencias de
software pueden ver y modificar datos en la consola del SLM. A los usuarios administrativos se les
asigna este rol de manera predeterminada. A otros usuarios se les puede asignar permisos para ver
y editar el rol de monitor de licencias de software.
Para obtener mas informacion acerca de como cambiar los permisos de usuario, consulte "Roles y
derechos" (60)
364
GUÍA DE USUARIO
IMPORTANT: El navegador que utilice para ver la consola del SLM debe tener desactivado el bloqueo de
ventanas emergentes. Si esta activado, puede que no se vean los cuadros de dialogo que se abren desde la
consola del SLM. Si tiene problemas para ver elementos, compruebe que el bloqueador de ventanas
emergentes este desactivado.
Funciones
Primeros pasos
Antes de utilizar la consola del SLM para monitorizar la instalacion de productos y el uso de
licencias, realice las siguientes tareas:
Compruebe que el servicio de inventario este configurado y funcionando
El monitor de licencias de software requiere que el agente de IVANTI se ejecute en los dispositivos
que desee administrar. El agente recopila los datos de inventario de los dispositivos administrados
en cuanto a que productos estan instalados y con que frecuencia se ejecutan. Estos datos se
envfan al servidor central cada vez que se realiza un inventario de software. De forma
predeterminada, se hace una vez al d^a.
365
IVANTI ENDPOINT MANAGER
Para controlar el cumplimiento de la organizacion con los terminos de las licencias de productos,
se debe tener acceso a informacion exacta de las licencias. Puede agregar estos datos
manualmente o importarlos desde otra fuente, como IVANTI Data Analytics. Una vez que haya
agregado la informacion sobre las licencias, tal como cuantos puestos ha comprado, fechas de
compra y caducidad, tipo de licencia y como se consumen las licencias, vera estadfstica de
cumplimiento e informes que comparan la informacion de las licencias con la utilizacion real de los
productos.
Al abrir por primera vez la consola del SLM, todos los productos detectados recientemente en el
inventario apareceran en la pagina Productos > Detectados. Seleccione los productos de esa lista
que desee monitorizar y muevalos a la vista Monitorizados. Los productos monitorizados se
pueden vincular a los datos de la licencia. Tambien se les puede hacer seguimiento en los informes
que muestran si las licencias coinciden con la utilizacion real de los productos. Algunos productos
pueden no ser importantes para usted, por lo que puede moverlos a la vista Ignorados,
excluyendolos de los calculos de cumplimiento de los terminos de las licencias.
Cree informes
Cuando revisa la informacion asociada a los productos yal cumplimiento de las licencias, puede
generar un informe con los datos que aparecen en pantalla. Los informes se pueden guardar como
CSV, HTML, PDF, XML, DOC, XLS o archivos de imagen. Cuando haya establecido la informacion de
las licencias y los productos en la base de datos, tambien puede utilizar la herramienta de
generacion de informes de Endpoint Manager para obtener informes predefinidos que contengan
informacion de utilizacion y licencias.
366
GUÍA DE USUARIO
Las paginas del tablero de resultados muestran informe de resumen con graficos y datos del
Asesor. En el siguiente ejemplo, el grafico muestra las cinco mejores oportunidades para recuperar
(o "cosechar") licencias que no se utilizan. El cuadro Asesor en la parte inferior de la consola
muestra la cantidad total de productos instalados que nunca se han utilizado.
La seccion del Asesor proporciona un resumen rapido de los datos. Los graficos muestran mas
detalles y se puede hacer clic en las diferentes secciones de un grafico para ver detalles de
productos espedficos.
Cuando se apunta a una seccion de un grafico, un cuadro muestra los datos de esa seccion.
367
IVANTI ENDPOINT MANAGER
Haga clic en alguna seccion del grafico para ver una lista de datos relacionados. Por ejemplo,
cuando se hace clic en la barra de producto del grafico de oportunidades para recuperar licencias,
aparecera una lista de los dispositivos quetienen instalado ese producto.
368
GUÍA DE USUARIO
Cuando el cuadro del Asesor contiene datos, haga clic en el numero para abrir un informe completo
de la fuente de datos. En el ejemplo anterior, el Asesor informa de la cantidad de instalaciones que
nunca se han utilizado. Haga clic en el numero en verde para abrir el informe que muestra que
productos se cuentan en ese total.
369
IVANTI ENDPOINT MANAGER
370
GUÍA DE USUARIO
Cuando se hace clic en un grafico para ver los datos detallados, o cuando se encuentre en la pagina
de detalles del producto, se pueden exportar los datos a un archivo CSV o crear un informe.
a
3. Haga clic en el boton Exportar .
4. Especifique la ubicacion en la cual va a guardar el archivo CSVy luego haga clic en Guardar.
3. Haga clic en el boton Informe En la barra de herramientas del visor de informes, seleccione el
4. formato con el cual va a guardar el informe y luego haga clic en el boton Exportar
Especifique la ubicacion en la cual va a guardar el informe y luego haga clic en Guardar.
La pagina Tablero de resultados > Auditorias incluye informes que son utiles cuando se esta
preparando una auditona sobre la utilizacion de las licencias de productos.
Este informe muestra los cinco productos con mayor cantidad de instalaciones en los equipos de la
organizacion. Incluye las instalaciones actuales, no la cantidad de dispositivos, ya que puede haber
mas de una instalacion en un dispositivo.
Este informe le informa de problemas que se pueden indicar durante una auditona de licencia del
producto, como problemas con la documentacion de la licencia y los productos que no se han
ubicado (trasladados a las vistas de producto Monitoreado o Ignorado). El Asesor cuenta los
elementos como los siguientes:
371
IVANTI ENDPOINT MANAGER
Haga clic en el numero de cualquier elemento para ver un informe completo sobre ese punto.
O NOTE: Tambien encontrara informes predefinidos de los elementos individuales con indicadores de
auditoria en la pagina de informes del Monitor de licencias de software.
La pagina Tablero de resultados > Cumplimiento incluye informes que le muestran los productos
que no cumplen con la licencia, ademas de una estimacion del coste para garantizar que los
productos instalados tienen licencias validas.
Este grafico muestra hasta cinco productos que tienen el mayor numero de instalaciones sin
licencia.
Informe: Principales elementos que no cumplen con la directiva por costes reales
Este grafico muestra los productos cuyo cumplimiento supone los costes mas altos, segun el
numero de instalaciones sin licencias multiplicado por el coste unitario asociado con el producto.
Este grafico agrupa los productos por fabricante y muestra que productos tienen mas
instalaciones sin licencia. Utilice este informe durante una auditoria cuando necesite verificar que
las instalaciones coincidan con los terminos de cumplimiento de licencias de un fabricante.
El coste estimado total de hacer que los productos instalados cumplan con los requisitos de las
licencias, determinado por el numero de productos sin licencia multiplicados por el coste unitario
asociado con cada producto.
La cantidad de productos que no estan en conformidad con las licencias correspondientes. Haga
clic en el numero para ver una lista completa de los productos que estan fuera de cumplimiento.
La pagina Tablero de resultados > Optimizacion de licencias incluye informes que estiman los
ahorros que se pueden obtener si se elimina de los dispositivos el software que no se utiliza. Estos
informes se centran en los productos instalados que nunca se han utilizado o no se han utilizado
durante un periodo de tiempo especifico.
NOTE: Se considera que un producto no se ha utilizado nunca cuando se devuelve un valor 0 en los datos de
inventario de la cantidad de veces que el producto se ha ejecutado. Sin embargo, es posible que un producto
este instalado y la persona que lo utilizo solo inicio la aplicacion una vezy luego la cerro en menos de un minuto.
En este caso, el producto de todas formas aparecera en el tablero y en los informes como "nunca se ha
utilizado."
372
GUÍA DE USUARIO
Este informe muestra los cinco productos que le ahorranan a la organizacion la maxima cantidad si
se retiraran de los dispositivos. Este informe se basa en la cantidad de instalaciones de productos
que nunca se han utilizado multiplicada por el coste unitario asociado con el producto.
Informe: Los 5 primeros programas de software con oportunidades para recuperar licencias
Este informe muestra una lista de los cinco productos con la mayor cantidad de instalaciones que
nunca se han utilizado o que raramente se usan. No estima los costes, sino que indica la cantidad
de equipos que tiene cada producto que nunca se ha utilizado dentro de una cierta cantidad de dfas
(de 31 a 60, de 61 a 90, mas de 90y nunca se ha utilizado).
Este informe proporciona una lista de cada producto con el numero total de instalaciones que no se
han usado.
El analisis del monitor de software de IVANTI Endpoint Manager se ejecuta cuando se programan
analisis de inventario regulares. Monitoriza los archivos ejecutables que se estan ejecutando y
compara la informacion de los productos de cada dispositivo con los nombres y tamanos de los
archivos ejecutables guardados en la base de datos.
Otros dos analisis de inventario ayudan a completar la descripcion mediante el aporte de mas datos
de los productos. Para identificar productos, estos analisis miran el registro de Windows, las claves
de desinstalacion, los archivos .msi, los accesos directos y las GUID. Todos los datos de los
analisis se comparan despues para dar un panorama tan completo como sea posible sobre que
productos estan instalados en cada dispositivo administrado.
La consola del Monitor de licencias de software (SLM) muestra este resumen de datos en la vista
Productos. Incluso si no hay datos de licencia disponibles, puede utilizar estos datos de productos
para saber en cuantos dispositivos administrados se ha detectado algun producto.
NOTE: El agente de Windows de IVANTI Endpoint Manager 2017 puede detectar y registrar el uso de las
aplicaciones de estilo metro de Microsoft (tambien conocidas como aplicaciones de Windows Store). Esto
resulta en la capacidad de seguiry monitorizar la utilizacion en SLM.
373
IVANTI ENDPOINT MANAGER
Al abrir por primera vez la consola del SLM, todos los productos que se acaban de detectar
apareceran en la pagina Productos > Detectados. Cuando administre la utilizacion de productos y
licencias, puede elegir que productos es importante monitorizar. Los productos de los que desea
hacer seguimiento se pueden mover a la vista Monitorizados. Algunos productos pueden no ser
importantes para usted, por lo que puede moverlos a la vista Ignorados, lo cual los deja fuera de los
calculos de cumplimiento de los terminos de las licencias.
Los dispositivos administrados envfan, por defecto, datos de uso a todas las aplicaciones que
monitorizan. Si solo quiere datos de uso de archivos espedficos, siga los pasos que se indican a
continuacion.
1. En la consola de Endpoint Manager, haga clicen Herramientas > Informes/Monitor > Lista de
manejo de software.
2. En el arbol Inventario, haga clic en Configuration y doble clic en Archivos de utilizacion de la
lista de ajustes.
3. Haga clic en Nuevoy escriba el nombre de archivo que desee. Al finalizar, pulse la tecla Intro.
Repita hasta que termine de anadir archivos.
4. Haga clic en el boton de la barra de herramientas Poner a disposition de los clientes para poner
los cambios mas recientes a disposicion de los dispositivos la proxima vez que estos realicen
un rastreo de inventario.
Si la lista de Archivos de utilization esta vada, los datos de uso se enviaran a todos los productos
374
GUÍA DE USUARIO
Buscar productos
En cualquiera de las vistas de productos hay un cuadro de busqueda que ayuda a localizar productos
rapidamente. Se puede buscar con un mmimo de dos caracteres y ver los resultados que coincidan
con la cadena en las columnas de Producto o Fabricante.
Para utilizar el cuadro de busqueda para encontrar un producto
1. Haga clicen Productos yabra una de las vistas de producto (Monitorizados, Detectados,
Ignorados o Todos).
2. En el cuadro Busqueda, escriba al menos dos caracteres y pulse Intro. La lista contendra todos
los productos o fabricantes que coincidan con la cadena que se introdujo.
3. Seleccione uno o mas elementos de la lista y haga clic en un boton de la barra de herramientas
o haga clic con el boton derecho en los elementos para actuar sobre ellos. Para mover
elementos, puede arrastrarlos a otra vista.
4. Para ver todos los productos de la lista otra vez, haga clic en la X de la casilla de busqueda y
borrar la busqueda.
Busqueda avanzada de productos
Puede filtrar la lista de productos mediante la seleccion de un fabricante, producto o grupo de equipos
como filtro. Se pueden utilizar uno o mas de estos filtros para mostrar menos productos en una lista.
Estos filtros se encuentran en la columna de la izquierda de la lista de productos.
• Seleccione un fabricante (o fabricante normalizado) para que aparezcan solo los productos que
estan asociados s ese fabricante.
• Seleccione un producto (o producto normalizado) para que aparezcan solo los productos que
estan asociados a un nombre de producto.
• Seleccione un grupo de equipos para que aparezcan solo los productos que se han instalado
375
IVANTI ENDPOINT MANAGER
en los equipos de ese grupo. Es muy util para encontrar productos cuando se sabe que estan
instalados en un determinado grupo de dispositivos.
Para filtrar la busqueda de productos por fabricante
1. Haga clicen Productos yabra una de las vistas de producto (Monitorizados, Detectados,
Ignorados o Todos).
2. En la columna de la izquierda de la lista, haga clic en Seleccionar fabricantes.
3. Escriba por lo menos tres caracteres en el cuadro Nombre del fabricante. Los nombres
coincidentes apareceran en el cuadro Resultados de busqueda.
4. Seleccione los nombres de fabricante que desee utilizar como filtros y luego haga clic en
Aceptar.
Para filtrar una busqueda de productos por nombre de producto
1. Haga clicen Productos yabra una de las vistas de producto (Monitorizados, Detectados,
Ignorados o Todos).
2. En la columna de la izquierda de la lista, haga clic en Seleccionar productos.
3. Escriba por lo menos tres caracteres en el cuadro Nombre del producto. Los nombres
coincidentes apareceran en el cuadro Resultados de busqueda. Tambien puede especificar las
376
GUÍA DE USUARIO
cadenas que desee excluir de los resultados de la busqueda. Para ello, escriba una o mas
cadenas de caracteres separadas por un espacio en el cuadro El nombre del producto no
contiene. Esto ayuda a reducir la cantidad de resultados de la busqueda.
4. Seleccione los nombres de producto que desee utilizar como filtros y a continuacion, haga clic
en Aceptar.
1. Haga clicen Productos yabra una de las vistas de producto (Monitorizados, Detectados,
Ignorados o Todos).
377
IVANTI ENDPOINT MANAGER
3. La lista cambiara para mostrar solo los productos instalados en los equipos del grupo que
selecciono.
BEJ ▼
Despues de que haya separado los productos en las categonas Monitorizados e Ignorados, es
posible que necesite encontrar un producto pero no recuerde en que grupo esta. Puede buscar
en todos los productos que se han detectado utilizando la vista Todos los productos instalados.
Cuando se mira alguna de las vistas de productos o los graficos del tablero de resultados, se
puede ver una lista de todos los dispositivos que tienen un producto instalado. Se puede crear
un informe imprimible de esta lista o exportar los datos a un archivo CSV.
378
GUÍA DE USUARIO
1. Haga clicen Productos yluego haga clicen una de las vistas de productos (Monitorizados,
Detectados, Ignorados o Todos los productos instalados).
1. Haga clic en Tablero de resultados yluego seleccione una de las opciones del tablero de
resultados (Auditonas, Cumplimiento u Optimizacion de licencias).
2. Haga clic en un segmento del grafico que representa a un producto. Se abrira otra ventana
con una lista de dispositivos.
3. Para exportar una lista de dispositivos en formato CSV, seleccione los dispositivos y haga
clic en
el boton Exportar
El cuadro de dialogo Modificar detalles del producto se abre; algunos elementos son de
solo lectura y otros se pueden editar.
5. Haga clic en Deteccion de instalaciones. Observe que todas las opciones son de solo lectura.
6. Haga clic en Deteccion de la utilization. Puede agregar archivos que indiquen que el producto
se esta utilizando.
379
IVANTI ENDPOINT MANAGER
7. Haga clic en el boton Agregar (+). En el cuadro de dialogo Agregar archivos, puede
seleccionar un nombre de archivo existente (que exista en la base de datos de inventario), o
puede hacer clic en Definir nuevo archivo y especificar el nombre, el tamanoy numero de
version del archivo del producto. Repita este procedimiento para cada archivo de producto
que desee utilizar para determinar cuando se usa el producto. Cuando haya finalizado, haga
clic en Aceptar.
8. Haga clic en Precio por unidad. Si pueden editarse las opciones, seleccione un metodo de
calculo del precio por unidad:
* Seleccione Utilizar automaticamente el precio por unidad calculado si hay varias
licencias del producto con precios por unidad diferentes. Si selecciona esta opcion, el
precio por unidad es el promedio de todos los precios unitarios de las diferentes
licencias.
• Seleccione Especificar un precio por unidad si desea utilizar el mismo precio por
unidad para todos los calculos. Por ejemplo, si hay dos licencias con precios por
unidad diferentes para el mismo producto y desea utilizar el precio mas alto en los
calculos, puede especificar ese precio por unidad aqrn.
9. Si se agrega informacion del producto que va a afectar a los calculos de licencias y
utilizacion, como cuando un producto esta asociado con una licencia que se esta
monitorizando activamente, seleccione la casilla de verificacion Calcular cumplimiento
despues de guardar para iniciar un nuevo calculo de manera que el cumplimiento este
actualizado.
10. Cuando toda la informacion este completa, haga clic en Guardar.
Despues de que un producto aparezca en alguna de las vistas Producto (Monitorizados, Detectados,
Ignorados o Todos), puede editar su informacion. Normalmente, querra editar solo los detalles de
los productos que este monitorizando activamente y cuya licencia este utilizando de acuerdo con
los calculos. Estos productos aparecen en la pagina Productos > Monitorizados.
La informacion de productos es una mezcla de datos de solo lectura o datos introducidos
manualmente que incluyen lo siguiente:
• Definition: el nombre, la version y el fabricante (solo lectura) del producto, asf como el
estado del producto que puede cambiarse (monitorizado, detectado o ignorado).
• Detection de instalaciones: los archivos asociados a la deteccion de productos en
dispositivos (solo lectura). Si ha creado productos personalizados, se pueden editar estas
opciones. Para obtener mas informacion, consulte "Especificar archivos para detectar la
instalacion y utilizacion de productos" (382)
• Detection de la utilization: archivos adicionales que pueden agregarse e indican que el
producto se esta utilizando en dispositivos. Para obtener mas informacion, consulte
"Especificar archivos para detectar la instalacion y utilizacion de productos" (382)
380
GUÍA DE USUARIO
• Precio por unidad: el coste de las licencias de productos utilizados en los calculos del
Monitor de licencias de software. Si el precio por unidad se calcula automaticamente, es un
promedio de todos los precios por unidad de distintas licencias. Si se especifica un precio
por unidad, el Monitor de licencias de software utilizara ese precio para todas las licencias de
un producto. Para obtener mas informacion, consulte "Especificar el precio por unidad de
productos monitorizados" (381).
El Monitor de licencias de software incluye varios calculos relacionados con el uso de las licencias
en la organizacion. Por ejemplo, el tablero de resultados de cumplimiento incluye una estimacion de
los costes para que los productos instalados cumplan con los terminos de las licencias.
Para cada producto que se monitoriza, se puede especificar el coste unitario que se utiliza en estos
calculos. El coste que se especifique puede ser diferente del que se calcula automaticamente.
En las situaciones en las cuales hay una licencia para un producto, puede utilizar el calculo
automatico que toma el precio total de la licencia y lo divide por la cantidad de licencias.
En las situaciones en las que hay mas de una licencia para un producto, se pueden usar costes
unitarios diferentes basados en los terminos de la licencia. Por ejemplo, si ha adquirido una licencia
para una version de un producto y luego compra una nueva licencia para obtener una version mas
reciente, el nuevo producto puede costar mas. Si puede utilizar estas licencias tanto con la version
mas antigua como con la mas reciente, tendra que determinar que precio representa el coste real
que desea utilizar en los calculos.
• Utilizar automaticamente precio por unidad calculado en todos los calculos: Si selecciona
esta opcion, los calculos se basan en los datos de la licencia de ese producto. Si hay una
licencia, el precio por unidad se calcula dividiendo el coste total por la cantidad de licencias.
Si hay varias licencias para un producto, el precio por unidad es el promedio del coste
unitario de todas las licencias del producto (todos los costes totales divididos por la
cantidad total de licencias).
381
IVANTI ENDPOINT MANAGER
* Especificar un precio por unidad para usar en todos los calculos: Si selecciona esta opcion, el
precio que se introduzca sustituye cualquier calculo automatico del producto. Por ejemplo, si
hay varias licencias diferentes para un producto, puede especificar el precio actual de cada
licencia porque ese es el precio que se pagana para agregar licencias nuevas.
Si encuentra calculos en el tablero de resultados que parecen ser incorrectos, debe verificar que se
haya introducido el coste correcto de cada licencia del producto. Despues puede decidir si desea
cambiar el precio por unidad del producto para representar con exactitud el coste de las licencias
de ese producto.
NOTE: If you're using the French-language version of SLM, Microsoft has a bug in their regional settings that
affects French-language digit groupings. For numbers of one thousand and over, Microsoft has a default setting of a
space character instead of a period forthe digit-grouping symbol (for example, 1 234 567,00). Because of this bug, when
entering numbers in the French-language version, SLM will not allow the period character to be used.
To fix this problem, you must change the setting in the Control Panel > Region and Language applet. Click the
Additional settings button, and change the Digit grouping symbol from a space to a period (or whatever other
character you want).
1. Haga clic en Productos > Monitorizados y seleccione el producto (utilice el cuadro Busqueda
si es necesario buscarlo).
Tenga en cuenta que si selecciona un producto normalizado, debe estar seguro de que el coste
unitario representa todas las versiones del producto que se encuentran en el producto normalizado.
Los archivos se definen por el nombre de archivo, numero de version y tamano (en bytes). Los
productos que se detectan automaticamente tambien se identifican de manera unica con el GUID
asociado con el producto, razon por la cual puede parecer de son duplicados de un producto. Dos
productos pueden compartir el mismo nombrey la misma version, pero tener identificadores GUID
distintos.
382
GUÍA DE USUARIO
Cuando cree o modifique un producto, puede modificar las definiciones que se utilizan para detectar
archivos. Las instrucciones que aparecen a continuacion son para editar un producto existente.
NOTE: If you're using the French-language version of SLM, Microsoft has a bug in their regional settings that
affects French-language digit groupings. For numbers of one thousand and over, Microsoft has a default setting of a
space character instead of a period forthe digit-grouping symbol (for example, 1 234 567,00). Because of this bug, when
entering numbers in the French-language version, SLM will not allow the period character to be used.
To fix this problem, you must change the setting in the Control Panel > Region and Language applet. Click the
Additional settings button, and change the Digit grouping symbol from a space to a period (or whatever other
character you want).
1. Haga clic en Productos > Monitorizados. Haga clic en un nombre de producto individual (que
no sea un producto normalizado).
2. En la barra de herramientas, haga clic en Editar. Se abre el cuadro de dialogo con la
informacion del producto; algunos elementos son de solo lectura yotros se pueden editar.
3. En Estado, seleccione Monitorizados o Ignorados para que el nuevo producto aparezca en
una de las vistas de productos.
4. Haga clic en Deteccion de instalaciones. Observe que todas las opciones son de solo lectura.
5. Haga clic en Deteccion de la utilizacion. Puede agregar archivos que indiquen que el
producto se esta utilizando.
6. Haga clic en el boton Agregar (+). En el cuadro de dialogo Agregar archivos, puede
seleccionar un nombre de archivo existente (que exista en la base de datos de inventario), o
puede hacer clic en Definir nuevo archivo y especificar el nombre, el tamanoy numero de
version del archivo del producto. Repita este procedimiento para cada archivo de producto
que desee utilizar para determinar cuando se usa el producto. Cuando haya finalizado, haga
clic en Aceptar.
7. Cuando toda la informacion este completa, haga clic en Guardar.
383
IVANTI ENDPOINT MANAGER
Por ejemplo, si un producto tiene la licencia en una llave electronica que debe estar conectada al
dispositivo para poder utilizar el producto, puede crear una consulta que identifique la llave
electronica como un elemento de inventario de hardware. Cuando un dispositivo tenga una llave
electronica conectada, el analizador de inventario identificara esa llave. La consola del Monitor de
licencias de software comparara esos datos con el producto cuando se asocia dicha consulta con el
producto. En los calculos de SLM, la existencia de la llave electronica indica que el producto se
utiliza.
Otro ejemplo es cuando hay instalado un tipo de fuente que tiene una licencia por cada dispositivo.
Se puede crear una consulta con el nombre del tipo de letra y la version, y luego asociar la consulta
con la definicion del producto del tipo de letra. El analizador de inventario encontrara el uso del tipo
de letra y se pasaran esos datos a la consola del SLM.
IMPORTANT: Cualquier consulta que cree para identificar el producto debe contener Equipo.ID como uno j de
los componentes de la consulta; si no se incluye, la consulta no devolvera ninguna informacion. Agregue el
componente a la consulta, y tambien seleccionela como una de las columnas a mostrar.
1. En la consola Endpoint Manager, abra la vista de red y haga clic con el boton derecho en Mis
consultas. Seleccione Nueva consulta. Defina la consulta con los elementos que identifican el
producto que desea monitorizar, e incluya Equipo.ID como uno de los componentes. Guarde
la consulta.
2. Haga clic en Herramientas > Informes / Monitor > Monitor de licencia de software para abrir la
consola del SLM.
3. Haga clic en Productos > Monitorizados. En la barra de herramientas, haga clic en Nuevo >
Producto personalizado.
4. Introduzca el nombre del producto, la version y el nombre del fabricante.
5. Haga clic en Deteccion de la instalacion y seleccione Utilizar deteccion con consulta.
6. Haga clic en Examinar. En Mis consultas, busque la consulta que se creo. Seleccionela y
haga clic en Aceptar.
7. Agregue cualquier otra informacion del producto en las paginas de Deteccion de la
utilization, Precio por unidad, Asignaciones y Recuperation. Cuando toda la informacion este
completa, haga clic en Guardar.
384
GUÍA DE USUARIO
Un producto normalizado se muestra con un signo mas (+) antes del nombre del producto. Haga clic
en el signo mas para expandir el producto yvertodas las variaciones que se han incluido.
1. Haga clicen Productos ya continuacion, haga clicen una de las vistas de producto
(Monitorizados, Detectados, Ignorados o Todos los productos instalados).
2. Localice los nombres de los productos que desee combinar utilizando el cuadro Busqueda.
3. Seleccione los nombres de los productos y a continuacion, haga clic en Acciones > Grupo.
4. Edite el nombre que se va a utilizar como nombre del producto normalizado.
5. Seleccione la vista en la que desea que aparezca el producto (Monitorizados o Ignorados).
6. Haga clic en Guardar.
El nombre seleccionado aparecera en la vista de producto que se selecciono. Un signo mas (+) junto
al nombre indica se trata de un producto normalizado. Al expandir el nombre (haciendo clic en +),
podra ver todos los nombres que se agrupan con ese nombre normalizado.
1. Haga clicen Productos ya continuacion, haga clicen una de las vistas de producto
(Monitorizados, Ignorados o Todos los productos instalados).
2. En la barra de herramientas, haga clic en Nuevo > Producto normalizado. (Si desea agregar
productos a un producto normalizado existente, seleccione el producto y haga clic en Editar
en la barra de herramientas.)
385
IVANTI ENDPOINT MANAGER
3. Introduzca el nombre que se va a utilizar como nombre del producto normalizado, as^como
la version y el fabricante.
Los nombres de los productos existentes en la base de datos que coincidan con las reglas
apareceran en el cuadro Productos coincidentes. A medida que se agreguen nuevos datos de
inventario y otros nombres de producto a la base de datos, dichos nombres se incluiran
automaticamente en el producto normalizado.
NOTE: Con algunos productos normalizados se puede especificar un solo nombre de fabricante en la pagina
Definicion. Sin embargo, otros nombres normalizados incluyen productos con diferentes variaciones del nombre
del fabricante. Si este es el caso, utilice una cadena de coincidencia parcial con un comodm para que se
incluyan todas las variaciones. Por ejemplo, escriba Adobe* en el cuadro del fabricante para incluir todas las
variaciones de "Adobe Systems".
Si se elimina un producto normalizado, las licencias asociadas a ese producto dejaran de estar
asociadas a el, y los informes de cumplimiento no mostraran el producto normalizado con licencias
que se estan consumiendo. Cuando esto sucede, se deben modificar las licencias y revisar las
asociaciones de producto de cada licencia.
A medida que agregue datos de inventario a la consola del monitor de licencias de software, es
posible que encuentre que el mismo fabricante esta representado por varias versiones del nombre
de la empresa. Puede crear un nombre de fabricante normalizado para utilizarlo en lugar de todas
las variaciones.
Los nombres de los fabricantes normalizados estan precedidos por un signo mas (+) en la lista. Por
ejemplo, en la siguiente lista hay cuatro variaciones del fabricante Alchemy Software:
386
GUÍA DE USUARIO
Se pueden seleccionar esos nombres y agruparlos de modo que se utilice un nombre normalizado
para todas ellas. Ese nombre normalizado aparecera en la lista.
La consola del SLM incluye fabricantes normalizados. La primera vez que se abre la lista de
fabricantes, vera que la lista incluye nombres de fabricantes comunes que se han normalizado.
387
IVANTI ENDPOINT MANAGER
2. Localice los nombres de los fabricantes que desee combinar (mediante el cuadro Busqueda
si es necesario).
Se pueden crear reglas que agregaran automaticamente los nombres de fabricante a un nombre
normalizado. Por ejemplo, se podna especificar que cualquier nombre de fabricante que comience
con "Adobe Sys*" se agregue automaticamente al nombre normalizado "Adobe Systems
Incorporated".
Los nombres de fabricante existentes en la base de datos que coincidan con las reglas apareceran
en el cuadro de Fabricantes coincidentes. A medida que se agreguen nuevos datos de inventario y
otros nombres de fabricantes a la base de datos, se incluiran automaticamente dichos nombres en
el nombre de fabricante normalizado.
Si ha creado un fabricante normalizado y despues encuentra otro nombre de fabricante que desee
incluir con los otros nombres, puede agregarlo al nombre normalizado.
2. Seleccione el nombre del fabricante que desee agregar al nombre del fabricante normalizado.
3. Haga clic en Acciones > Mover a fabricante normalizado.
4. Seleccione un fabricante normalizado y haga clic en Aceptar.
388
GUÍA DE USUARIO
Cuando cree un producto web en la consola del SLM, especifique la URL asociada con el producto.
Esta URL se agrega a la lista de elementos que el analizador de inventario busca en los dispositivos
administrados. Solo es necesario especificar un dominio de primer nivel, pero no se puede
especificar una ruta de acceso, un numero de puerto o un nombre de pagina de dominio. Se pueden
agregar subdominios. Por ejemplo, si se utiliza Salesforce para hacer seguimiento de las ventas y el
servicio de atencion al cliente, se debe definir un producto llamado "Salesforce" yasociarlo con la
direccion URL a la cual se accede para iniciar sesion.
Despues de crear un producto web, la informacion de deteccion del producto no esta disponible
inmediatamente para el analizador de inventario de Endpoint Manager. Es necesario esperar a la
accion de publicacion programada (que suele ocurrir una vez al dfa) o puede publicarla
inmediatamente en la pagina Administration > Calculos y haciendo clic en el boton Publicar. El
analizador de inventario puede entonces buscar que dispositivos tienen acceso a la URLy durante
cuanto tiempo. Estos datos se incluyen en los informes y calculos del SLM.
389
IVANTI ENDPOINT MANAGER
5. En Estado, seleccione Monitorizados o Ignorados para que el nuevo producto aparezca en una
de las vistas de productos.
390
GUÍA DE USUARIO
para todos los calculos. Por ejemplo, si hay dos licencias con precios por unidad
diferentes para el mismo productoy desea utilizar el precio mas alto en los calculos,
puede especificar ese precio por unidad aqm.
9. Cuando toda la informacion este completa, haga clic en Guardar. Podra ver la informacion del
inventario recopilada para el producto web despues de que la informacion de deteccion se
publique. Puede esperar a la accion de publicacion programada (que suele ocurrir una vez al
dfa) o puede publicarla inmediatamente.
10. Para publicar inmediatamente la informacion de deteccion del producto web que se utiliza en
los analisis de inventario, haga clic en Administration > Calculos y a continuation, haga clic en
el boton Publicar.
Tambien puede establecer asignaciones de licencias para productos web. Para obtener mas
informacion, consulte "Asignar licencias y cargos internos a un grupo de equipos" (413).
Puede especificar que archivos indican que el producto se instalo, y que archivos de utilization
indican cuando se ejecuta el producto en un equipo.
En algunos casos, es posible que desee utilizar una consulta de Endpoint Manager para buscar
productos instalados. Esto se hace cuando un producto no se identifica correctamente a partir de
archivos ejecutables, pero se puede identificar sobre la base de datos de inventario que se agregar a
una consulta.
1. Haga clicen Productos y, a continuacion, haga clicen una de las vistas de producto
(Monitorizados, Detectados, Ignorados o Todos).
391
IVANTI ENDPOINT MANAGER
6. En Estado, seleccione Monitorizados o Ignorados para que el nuevo producto aparezca en una
de las vistas de productos. (De manera predeterminada, un producto personalizado se traslada a
la vista Monitorizados.)
9. Seleccione Utilizar la deteccion de archivos para detectar los productos mediante archivos
instalados. Los nombres de archivo que agregue aqrn determinan como se detectara el
producto durante los analisis de inventario.
10. Haga clic en el boton Agregar (+). En el cuadro de dialogo Agregar archivos, puede
seleccionar un nombre de archivo existente (que exista en la base de datos de inventario), o
392
GUÍA DE USUARIO
puede hacer clic en Definir nuevo archivo y especificar el nombre, el tamanoy numero de
version del archivo del producto. Repita este procedimiento por cada archivo de producto
que desee utilizar. Cuando haya finalizado, haga clic en Aceptar.
11. Seleccione Encontrar alguno o Encontrar todos para especificar si debe encontrarse un
mfnimo de un archivo o deben encontrarse todos los archivos.
12. Haga clic en Deteccion de la utilization. Utilice esta opcion para incluir los archivos que
indican que el producto se esta utilizando.
13. Haga clic en el boton Agregar (+). En el cuadro de dialogo Agregar archivo, puede seleccionar
un nombre de archivo existente (que exista en la base de datos de inventario), o puede hacer
clic en Definir nuevo archivo y especificar el nombre, el tamano y numero de version del
archivo del producto. Repita este procedimiento por cada archivo de producto que desee
utilizar. Cuando haya finalizado, haga clic en Aceptar.
14. Haga clic en Precio por unidad. Seleccione un metodo para calcular el precio por unidad:
* Seleccione Utilizar automaticamente el precio por unidad calculado si hay varias
licencias del producto con precios por unidad diferentes. Si selecciona esta
opcion, el precio por unidad es el promedio de todos los precios unitarios de las
diferentes licencias.
• Seleccione Especificar un precio por unidad si desea utilizar el mismo precio por
unidad para todos los calculos. Por ejemplo, si hay dos licencias con precios por
unidad diferentes para el mismo producto y desea utilizar el precio mas alto en los
calculos, puede especificar ese precio por unidad aqrn.
15. Si se agrega informacion del producto que va a afectar a los calculos de licencias y
utilizacion, como cuando un producto esta asociado con una licencia que se esta
monitorizando activamente, seleccione la casilla de verification Calcular cumplimiento
despues de guardar para iniciar un nuevo calculo de manera que el cumplimiento este
actualizado.
16. Cuando toda la informacion este completa, haga clic en Guardar.
IMPORTANT: Los dos tipos de archivos de deteccion, instalacion y utilizacion, son necesarios para recopilar
datos de los productos durante las exploraciones de inventario. Los archivos de instalacion indican que un
archivo ha sido instalado y se requieren para determinar que un producto existe en algun equipo. Los archivos
de utilizacion indican que el producto se ha ejecutado y se requieren para determinar si el producto instalado se
ha utilizado.
Si el inventario de un dispositivo muestra alguna coincidencia con los archivos de instalacion, el Monitor de
licencias de software (SLM) indicara que el producto esta instalado. Sin embargo, si no hay archivos de
393
IVANTI ENDPOINT MANAGER
utilizacion del producto especificado, SLM siempre informara que el producto nunca se ha utilizado.
' Cuando se crea un producto personalizado, se debe definir al menos un archivo de utilizacion para que SLM
informe con exactitud si el producto se ha utilizado alguna vez.
Data Analytics utiliza reglas de licencias para evaluar el software instalado e informar de cuantas
instalaciones necesitan una licencia (al contrario que otros productos detectados en SLM que no
tienen en cuenta reglas de licencias y muestran la cantidad real de licencias instaladas en los
dispositivos.). Se pueden tener 100 instalaciones de un producto, pero las reglas de licencias que
utiliza Data Analytics podnan mostrar que solo son necesarias 50.
Por ejemplo, si un dispositivo tiene instalados Microsoft Office 2012 Professional y Office 2010
Professional:
• Mediante las reglas de licencias, los productos de Data Analytics muestran 1 instalacion de
Microsoft Office 2012 Professional y 0 instalaciones de Office 2010 Professional. Se debe a
que la licencia de Office 2012 Professional cubre varias versiones de esta edicion de Office
en un mismo dispositivo. Tenga en cuenta que un dispositivo con diferentes ediciones de un
producto, tales como Office Pro y Office Pro Plus, requeriran una licencia instalada para cada
edicion para cumplir los terminos de la licencia.
• Si no se utilizan reglas de licencia, los otros productos detectados automaticamente
mostraran 1 instalacion de Office 2012 Professional y 1 instalacion de Office 2010
Professional en el mismo dispositivo.
Cuando Data Analytics esta instalado, pueden aparecer aproximadamente unos 600 productos de
Data Analytics en la pagina Productos > Monitorizados. Dichos productos aparecen en la misma
lista que los detectados automaticamente, por lo que un mismo producto podna aparecer como dos
tipos: producto de Data Analytics y producto detectado por SLM como es habitual.
La columna Instaladas muestra el numero de licencias instaladas que necesita un producto de Data
Analytics para que cumpla con los terminos de la licencia (en comparacion con la cantidad de
licencias instaladas en los dispositivos) y la columna Tipo identifica el producto como del tipo de
Data Analytics.
Monitorizados 1.051 elementos (1 seleccionados) Buscarmonitorizados Q.
Producto Version Instalado Sin licencia Nunca se he Noventi Recuperation Fabricante Esta do Tipo
FI
(Q) FreeHand MX 4 0 0 0 Adobe Monitorizados Data Analytics 1
(Q) Fusion 3 4 0 0 0 VMware Monitorizados Data Analytics
394
GUÍA DE USUARIO
1. Haga clicen Productos ya continuacion, haga clicen una de las vistas de producto
(Monitorizados, Detectados, Ignorados o Todos).
2. Localice el producto utilizando el cuadro Busqueda o el filtro Seleccionar productos.
3. Seleccione el producto. En la barra de herramientas, haga clic en Editar. Se abre el cuadro de
dialogo Editar information de productos.
4. En Estado, seleccione Monitorizados o Ignorados para enumerar este producto en una de
las vistas de productos. (De manera predeterminada, un producto de Data Analytics se
mueve a la vista Monitorizados.)
5. Haga clic en Detection de instalaciones.
6. Si desea detectar productos mediante una consulta de Endpoint Manager, seleccione Usar
deteccion mediante consultas. Haga clic en Examinary seleccione una de las consultas que
se crearon en la vista de red de Endpoint Manager. Todos los dispositivos que se ajusten a la
consulta se devolveran como coincidencia con este producto.
7. Seleccione Utilizar la deteccion de archivos para detectar los productos mediante archivos
instalados. Los nombres de archivo que agregue aqrn determinan como se detectara el
producto durante los analisis de inventario.
8. Haga clic en el boton Agregar (+). En el cuadro de dialogo Agregar archivos, puede
seleccionar un nombre de archivo existente (que exista en la base de datos de inventario), o
puede hacer clic en Definir nuevo archivo y especificar el nombre, el numero de version y el
tamano. Repita este procedimiento por cada archivo de producto que desee utilizar. Cuando
haya finalizado, haga clic en Aceptar.
9. Seleccione Encontrar alguno o Encontrar todos para especificar si debe encontrarse un
mfnimo de un archivo o deben encontrarse todos los archivos.
10. Haga clic en Deteccion de la utilization. Puede agregar archivos que indiquen que el producto
se esta utilizando.
11. Haga clic en el boton Agregar (+). En el cuadro de dialogo Agregar archivos, puede
seleccionar un nombre de archivo existente (que exista en la base de datos de inventario), o
puede hacer clic en Definir nuevo archivo y especificar el nombre, el numero de version y el
tamano. Repita este procedimiento para cada archivo de producto que desee utilizar para
determinar cuando se usa el producto. Cuando haya finalizado, haga clic en Aceptar.
12. Haga clic en Precio por unidad. Si pueden editarse las opciones, seleccione un metodo de
calculo del precio por unidad:
* Seleccione Utilizar automaticamente el precio por unidad calculado si hay varias
licencias del producto con precios por unidad diferentes. Si selecciona esta
opcion, el precio por unidad es el promedio de todos los precios unitarios de las
diferentes licencias.
• Seleccione Especificar un precio por unidad si desea utilizar el mismo precio por
unidad para todos los calculos. Por ejemplo, si hay dos licencias con precios por
395
IVANTI ENDPOINT MANAGER
unidad diferentes para el mismo productoy desea utilizar el precio mas alto en los
calculos, puede especificar ese precio por unidad aqm.
13. Si se agrega informacion del producto que va a afectar a los calculos de licencias y
utilizacion, como cuando un producto esta asociado con una licencia que se esta
monitorizando activamente, seleccione la casilla de verificacion Calcular cumplimiento
despues de guardar para iniciar un nuevo calculo de manera que el cumplimiento este
actualizado.
14. Cuando toda la informacion este completa, haga clic en Guardar.
1. Haga clicen Productos ya continuacion, haga clicen una de las vistas de producto
(Monitorizados, Detectados o Todos los productos instalados).
2. Ubique el producto utilizando el cuadro de Busqueda o el enlace de Seleccionar productos.
3. Haga clic con el boton derecho en el producto y seleccione Restablecer la utilizacion del
producto.
4. Haga clic en Aceptar para confirmar que desea eliminar la informacion.
396
GUÍA DE USUARIO
El cumplimiento de los terminos de las licencias de productos de una organizacion depende de:
* Analisis de inventario precisos que contengan datos sobre que productos se detectan y se
utilizan: IVANTI Endpoint Manager ejecuta analisis de inventario de los dispositivos
administrados de la red. Estos incluyen un analisis del monitor de software que guarda la
informacion de productos en la base de datos.
* Datos exactos de los terminos de las licencias de software que se han comprado: esta
informacion se agrega a la base de datos a partir de los registros de licencia que su
organizacion mantenga. Introduzca cada licencia de forma individual o importe datos desde
ongenes diferentes. Para ello, en primer lugar exportelos desde una hoja de calculo Excel a
un archivo .csvy a continuacion, exportelos a la consola del Monitor de licencias de software
(SLM).
* La asociacion correcta de licencias con productos y grupos de equipos: las asociaciones de
productos se producen cuando se agrega o edita una licencia. Si importa datos de licencias,
compruebe cada licencia para asegurarse de que esta asociada con los productos cubiertos
por los terminos de la licencia. Ademas, si las licencias estan limitadas a ciertos
departamentos dentro de la organizacion, debe asociar las licencias con grupos de equipos
definidos para esos departamentos.
* La reconciliation de datos de licencia con datos del inventario: SLM reconcilia todos los
datos necesarios que estan en la base de datos. El cumplimiento se calcula todos los dfas
cuando se ejecuta el mantenimiento de inventario regular de la base de datos. El exito de la
monitorizacion de licencias depende de la exactitud de los datos de las licencia de productos
y de lo completos que sean los analisis de inventario que cubren los dispositivos de su
organizacion. Los resultados del cumplimiento tambien dependen de tener definidos los
grupos de equipos correctos y de tenerlos asociados con las licencias.
Temas relacionados
397
IVANTI ENDPOINT MANAGER
Es aconsejable comenzar con un pequeno numero de licencias, como con aquellas que se
necesiten monitorizar para alguna auditona. Puede agregar esos datos de licencia de forma manual
o importarlos usando la consola del SLM. Los datos se utilizaran para generar estadfsticas e
informes, lo cual le ayudara a determinar si las licencias de producto se encuentran en conformidad
con base en las instalaciones reales del producto.
Despues de agregar los datos de licencia, debera revisar la informacion de los productos
relacionados con cada una de las licencias. Localice los productos de una licencia en la pagina
Productos > Detectados y muevalos a la vista Monitorizados. Si procede, combine diferentes
versiones de un producto en un producto normalizado de modo que sea mas facil administrar en la
consola del SLM.
Las siguientes tareas se pueden utilizar para mantener datos de licencia precisos en la
organizacion:
O NOTE: If you're using the French-language version of SLM, Microsoft has a bug in their regional settings that
affects French-language digit groupings. For numbers of one thousand and over, Microsoft
398
GUÍA DE USUARIO
has a default setting of a space character instead of a period forthe digit-grouping symbol (for example, 1 234 567,00).
Because of this bug, when entering numbers in the French-language version, SLM will not allow the period character to
be used.
To fix this problem, you must change the setting in the Control Panel > Region and Language applet. Click the
Additional settings button, and change the Digit grouping symbol from a space to a period (or whatever other
character you want).
Haga clic aqu para ver las descripciones de los campos del cuadro de dialogo Crear licencia.
Pagina Definiciones
• Nombre de la licencia: el nombre de la licencia, el cual puede ser el mismo nombre del
producto.
• Cantidad de compra: el numero original de licencias compradas para utilizarlas como parte
de una cadena de actualizacion, solo de aplicacion si utiliza conectores B2B con Data
Analytics. Si crea licencias manualmente, mediante SLM, este campo no se puede editar y
permanece en "0".
399
IVANTI ENDPOINT MANAGER
• Fecha de caducidad: la fecha en la cual vence la licencia. Esta fecha es importante cuando
desea rastrear licencias que se deben renovar. Haga clic en el icono de calendario para
seleccionar la fecha, o escriba la fecha en el cuadro detexto (sera puesta en su formato
numerico predeterminado, como d^a/mes/ano).
• Consumo: el metodo que se utilizo para calcular la utilizacion de las licencias. la utilizacion
se cuenta una vez por cada dispositivo que tenga instalado el producto, sin tener en cuenta
cuantas instalaciones adicionales pueda haber en dicho equipo.
Esta pagina enumera los productos asociados con la licencia. Presenta una lista detodos los
productos que se pueden utilizar de acuerdo con los terminos de la licencia.
Enumera los productos en el orden en el cual se desea que se consuman las licencias. El primer
producto consume primero las licencias disponibles. Si hay mas licencias disponibles, el segundo
producto consume las licencias disponibles. Esto continua hacia abajo en la lista hasta que no haya
mas licencias disponibles.
Se puede asociar cualquier producto con una licencia. Si el producto no esta monitorizado
actualmente, aparecera en la pagina Productos > Monitorizados cuando se asocie con alguna
licencia.
3. Para filtrar los resultados de la lista, puede escribir una cadena en el cuadro Nombre del
producto no contiene. Los productos que contengan esa cadena se eliminaran de la lista. Se
pueden utilizar cadenas multiples, separadas por un espacio.
4. Para limitar los resultados a los productos de la vista Productos > Monitorizados, seleccione
Mostrar los productos monitorizados solamente.
Temas relacionados
400
GUÍA DE USUARIO
Pagina Registros
Esta pagina contiene datos y anotaciones que documentan la licencia en terminos de compras o
practicas contables de la empresa. Esta informacion no se utiliza en la monitorizacion de licencias,
pero es util para poder mantener registros precisos para las auditonas.
. Numero de referencia del fabricante: el numero de referencia expedido por el fabricante del
producto. Es util para rastrear el producto dentro de los procesos de compras.
• Numero de factura del fabricante: el numero de la factura expedida por el fabricante del
producto. Es util para rastrear el producto dentro de los procesos de compras.
• Description del producto: la anotacion que describe el tipo de producto.
• Clave de licencia: la clave que le proporciono el fabricante para activar la licencia.
• Numero de serie: El numero de serie del fabricante asociado con la licencia.
• Ubicacion: una notacion que le ayuda a identificar donde se estan utilizando las licencias en
su organizacion.
• Documentos de soporte: una notacion que describe donde se encuentran los documentos de
soporte de sus activos de licencia. Puede indicar una ubicacion de red , una URL o cualquier
descripcion que desee usar.
• Notas: escriba alguna nota adicional relacionada con la licencia. Estas notas se guardan en
la base de datos.
Pagina Compras
Utilice esta pagina para introducirtoda la informacion relacionada con la compra de licencias. Esta
informacion no se utiliza en la monitorizacion de licencias, pero es util para poder mantener
registros precisos para las auditonas.
• Numero de orden de compra: El numero de orden de compra que su organizacion utilizo para
comprar el producto. Es util para rastrear el producto dentro de los procesos de compras.
• Comprado por: el nombre del departamento que compro el producto.
• Numero de lmea del pedido: el numero de la lfnea de la orden de compra relacionada con un
producto espedfico.
• Fecha del inicio de la cobertura: la fecha de comienzo del contrato de mantenimiento
adquirido independientementey asociado a la licencia. Haga clic en el icono de calendario
para seleccionar la fecha, o escriba la fecha en el cuadro de texto (sera puesta en su formato
numerico predeterminado, como dfa/mes/ano).
• Fecha de finalization de la cobertura: la fecha de termino del contrato de mantenimiento
adquirido independientementey asociado a la licencia. Haga clic en el icono de calendario
para seleccionar la fecha, o escriba la fecha en el cuadro de texto (sera puesta en su formato
numerico predeterminado, como dfa/mes/ano).
• Coste de la cobertura por licencia: el coste del contrato de mantenimiento por licencia
adquirida.
Pagina Envfo
Utilice esta pagina para introducirtoda la informacion asociada con la direccion de entrega del
401
IVANTI ENDPOINT MANAGER
1. Prepare un archivo .csvcon los datos de las licencias que desee importar. Para ello, utilice
las directrices que se indicaron anteriormente.
402
GUÍA DE USUARIO
3. Vaya a la ubicacion del archivo CSVy luego haga clic en Abrir. Los datos de las licencias se
agregan a la base de datos y apareceran en la vista Productos > Licencias.
Al agregar o editar una licencia, es necesario asociar esa licencia con uno o mas productos con el
fin de calcular el cumplimiento del uso del producto y la licencia. Puede seleccionar uno o mas
productos, incluidos productos normalizados que representen varios productos individuales. Si
algun producto no esta monitorizado actualmente, el Monitor de licencias de software (SLM) movera
el producto a la pagina Productos > Monitorizados cuando se asocie con alguna licencia.
Cuando seleccione productos asociados, enumere los productos en el orden en el cual desee que
se consuman las licencias. El primer producto de la lista consume primero las licencias disponibles.
Si hay mas licencias adicionales, el segundo producto consumira las licencias adicionales. Esto
continua hacia abajo en la lista hasta que no haya mas licencias disponibles.
• Se ha adquirido una licencia del producto ABC que permite 30 instalaciones (o puestos de
licencia).
403
IVANTI ENDPOINT MANAGER
Los informes de cumplimiento de licencia de este producto mostraran que 15 usos del producto no
estan cubiertos por la licencia. Entonces se debe determinar si se deben comprar licencias
adicionales. Tambien se puede revisar el uso real de los productos en la organizacion. Si algunos
usuarios con el producto instalado no han utilizado el producto por un largo penodo de tiempo,
puede verificar con ellos para ver si necesitan el software. Si no lo necesitan, pueden desinstalar el
producto y aplicar las licencias a otros usuarios.
NOTE: Las licencias se asocian con los productos para calcular el cumplimiento. Si se elimina un producto, la
licencia asociada a ese producto ya no estara asociada a el, y los informes de cumplimiento ya no mostraran el
producto con licencias para consumir.
Abra la pagina Productos > Monitorizados para obtener informacion sobre los productos instalados
en los dispositivos de la organizacion. El producto se debe mover a la vista Monitorizados para
poder encontrar mas informacion sobre la utilizacion y las licencias.
• Instalaciones de productos: haga doble clic en el nombre del producto para ver la lista de
dispositivos que tienen instalado el producto.
• Si se esta usando actualmente un producto: mire las columnas Nunca utilizadoy Noventa
d^as desde la ultima utilizacion para ver los usuarios que no utilizan el producto o rara vez lo
utilizan.
404
GUÍA DE USUARIO
• Si un producto tiene la licencia apropiada: permite comparar las columnas Instalados y Sin
licencia para ver si hay mas copias instaladas que licencias validas.
• Licencias asociadas con el producto: haga clic con el boton derecho en un producto y
seleccione Ver las licencias que corresponden al producto seleccionado para ver la lista de
las licencias que estan asociadas con el producto.
NOTE: Aunque notara que las vistas de productos Detectados e Ignorados tienen las mismas columnas y
aparentemente muestran datos sobre cumplimiento, dichos datos no representan las licencias con exactitud en
comparacion con las instalaciones reales de productos. Solo los productos de la vista de productos
Monitorizados que estan asociados con licencias mostraran datos utiles y precisos.
Los informes de SLM reunen datos completos sobre muchos aspectos del cumplimiento de los
terminos de las licencias ysu utilizacion. Utilice los informes para buscartoda la informacion sobre
algun problema o necesidad en particular, y luego exportar los datos o enviar el informe por correo
electronico a otros para que actuen.
• Informes de auditona: estos informes son utiles cuando se esta preparando una auditona
sobre el uso de las licencias. Incluyen indicadores de auditona, tales como los productos
monitorizados que no tienen licencias asociadas y licencias que no tienen informacion, tales
como numeros de factura u orden de compra.
• Informes de cumplimiento: estos informes incluyen informacion sobre todos los productos
y licencias que no cumplen con los terminos. Incluyen informacion general sobre el
consumo de licencias de todos los productos, los costes totales para lograr que los
productos cumplan, etc.
• Informes sobre la optimizacion de licencias: estos informes proporcionan informacion que
puede ayudar a optimizar el uso de los productos de la organizacion. Incluyen listas de las
licencias que no se utilizan, los productos que no se utilizan o se utilizan raramente y otros
datos relacionados.
405
IVANTI ENDPOINT MANAGER
En muchas de las tareas relacionadas con los productos y las licencias, se hace un calculo nuevo
cuando se guardan datos que han cambiado. Si aparece una casilla de verificacion denominada
Calcular el cumplimiento despues guardar, indica que cuando se guarda el trabajo se volvera a
calcular el cumplimiento de los terminos de las licencias.
Pagina Calculos
En la pagina Calculos hay una casilla de verificacion que permite al Monitor de licencias de software
(SLM) calcular la instalacion y utilizacion de los productos inmediatamente siempre que se hacen
cambios en la informacion de los productos. Ademas, si ha agregado datos de licencia o ha
realizado otros cambios y desea recalcular el cumplimiento sin esperar al siguiente mantenimiento
programado, puede iniciar un nuevo calculo de la utilizacion de productos y el cumplimiento de los
terminos de las licencias.
Una tercera opcion permite ejecutar el proceso de recuperacion de licencias que busca las licencias
de productos no utilizadas y ejecuta una tarea para desinstalar el producto, de forma que puedan
reasignarse a otros usuarios finales. Si un producto instalado no se ha utilizado durante un cierto
periodo de tiempo, puede desinstalarse de un dispositivo y liberar la licencia para utilizarla en un
dispositivo diferente.
406
GUÍA DE USUARIO
2. Para calcular la instalacion y la utilizacion siempre que se hagan cambios, marque la opcion
Calcular la instalacion y utilizacion inmediatamente despues de guardar un producto y
haga clic en Guardar. Para actualizar la utilizacion y el cumplimiento de los terminos de las
licencias, haga clic en el boton Recalcular.
3. Para publicar nueva informacion de deteccion de productos que se utiliza en los analisis del
inventario de los clientes, haga clic en el boton de Publicar.
4. Para ejecutar la recuperacion de licencias de productos no utilizados, haga clic en el boton
Recuperar. Durante este proceso, se ejecutaran todas las tareas de recuperacion que se hayan
definido en la consola del SLM.
407
IVANTI ENDPOINT MANAGER
Su empresa podna tener licencias de productos que no se usan y pueden recuperarseydarse a los
usuarios que necesitan instalar esos productos. La recuperacion de licencias es una funcion de la
monitorizacion de licencias de software que encuentra las instalaciones de productos que no se han
utilizado durante un cierto penodo de tiempo. Si un producto de un dispositivo cumple los criterios de
recuperacion, se desinstala de ese dispositivo y la licencia se libera la para asignarla a otro usuario.
Los metodos de entrega ydesinstalacion de paquetes que utilice para recuperar las licencias deben
estar creados en la consola de Endpoint Manager. Despues podran seleccionarse en la consola del
SLM.
Los usuarios que trabajaran con la recuperacion de licencias deben tener los siguientes derechos de
distribucion de software:
Para obtener mas informacion sobre la asignacion de derechos a los usuarios, consulte "Roles y
derechos" (60).
Primeros pasos
• Ver la lista de licencias de producto que se han recuperado. ("Ver el estado de la recuperacion
de licencias" (415)). Utilice esta lista para determinar que productos pueden instalarse en otros
dispositivos.
NOTE: If you're using the French-language version of SLM, Microsoft has a bug in their regional settings that affects
French-language digit groupings. For numbers of one thousand and over, Microsoft has a default setting of a space
character instead of a period forthe digit-grouping symbol (for example, 1 234 567,00). Because of this bug, when
entering numbers in the French-language version, SLM will not allow the period character to be used.
To fix this problem, you must change the setting in the Control Panel > Region and Language applet. Click the
Additional settings button, and change the Digit grouping symbol from a space to a period
408
GUÍA DE USUARIO
Debido a que el servidor principal de Endpoint Manager 9.6 puede administrartanto los clientes
del 9.5 como del 9.6, debera especificar esta configuracion, ademas de la configuracion de
distribucion/parche y reinicio, que solo son para clientes de Endpoint Manager 9.6.
10. Para clientes de Endpoint Manager 9.6, compruebe que la configuracion de distribucion y
parche es correcta. Esta configuracion combina la entrega tanto para software de distribucion
como de parches.
11. Para clientes de Endpoint Manager 9.6, compruebe que la configuracion de reinicio es correcta.
Esta configuracion controla que el servicio se reinicie y como se reiniciara.
12. Marque la casilla de verificacion Iniciar tareas programadas inmediatamente despues de
crearlas para ejecutar la recuperacion de la licencia del producto despues de guardar los datos.
409
IVANTI ENDPOINT MANAGER
Las opciones de este cuadro de dialogo suelen ser las mismas que las de la pagina Administracion >
Recuperacion predeterminada. Para obtener las descripciones de estas opciones, consulte
"Configurar las opciones predeterminadas de la recuperacion de licencias" (411).
NOTE: Despues de establecer las opciones de recuperacion de un producto, aparecera como propietario de la
recuperacion en la pagina Recuperacion del cuadro de dialogo de informacion del producto. Si otra persona
cambia las opciones posteriormente, se convertira en el propietario de la recuperacion. Es importante saber quien
es el propietario, dado que durante la recuperacion se utilizan sus ambitos. Solo se recuperan las licencias de los
dispositivos que estan dentro del ambito del propietario de la recuperacion.
410
GUÍA DE USUARIO
2. Haga clic en Recalcular para asegurarse de que los calculos de uso y cumplimiento de
normativas esten actualizados.
3. Haga clic en Recuperar para iniciar el proceso.
411
IVANTI ENDPOINT MANAGER
412
GUÍA DE USUARIO
seleccione, se aplicaran de forma predeterminada a todos los valores de la reclamacion. Dado que se crean
valores de recuperacion para productos individuales, personalizados o normalizados, es posible cambiar
cualquiera de estos elementos.
En la pagina Administracion > Configuracion de correo electronico, puede especificar que cuenta de
correo se utilizara para enviar notificaciones cuando se recuperen licencias de productos.
Habitualmente, los correos electronicos se envfan a los administradores o a otros usuarios que
necesitan saber cuando se ha recuperado el software.
Antes de poder asignar licencias de productos a un grupo de equipos, es necesario definir ese grupo
como unidad de asignacion. Seleccione un grupo de equipos existente o defina uno nuevo que
represente un departamento, oficina o localidad de su organizacion. Recuerde que cuando define un
grupo en la consola del Monitor de licencias de software, simplemente esta eligiendo un nombre para
asociarlo con un grupo de dispositivos existente o una consulta creada previamente en la vista de red
de Endpoint Manager. Para obtener mas informacion, consulte "Definicion de grupos de equipos"
(420).
413
IVANTI ENDPOINT MANAGER
Despues de definir un grupo de equipos como unidad de asignacion, puede asignar licencias y cargos
internos.
NOTE: If you're using the French-language version of SLM, Microsoft has a bug in their regional settings that affects
French-language digit groupings. For numbers of one thousand and over, Microsoft has a default setting of a space
character instead of a period forthe digit-grouping symbol (for example, 1 234 567,00). Because of this bug, when
entering numbers in the French-language version, SLM will not allow the period character to be used.
To fix this problem, you must change the setting in the Control Panel > Region and Language applet. Click the
Additional settings button, and change the Digit grouping symbol from a space to a period (or whatever other
character you want).
NOTE: Antes de poder ver el informe exacto para imprimir sobre la informacion de esta asignacion, debe
guardar los cambios. Despues de hacer clic en Guardar, vuelva a este cuadro de dialogo y haga clic en el
icono de impresion para ver los cambios en un informe.
414
GUÍA DE USUARIO
Puede ver el estado de la recuperacion y exportar los datos a un archivo .csv para hacer seguimiento
de las licencias que quedan disponibles mediante la recuperacion. Tambien puede ver las tareas de
cada producto en la herramienta Tareas programadas. Sin embargo, es mas facil ver el estado de las
tareas de recuperacion en la pagina Productos > Recuperacion, donde tambien puede crear informes
en formato CSV de los productos que se han desinstalado.
3. Seleccione un producto y haga clic en Editar para cambiar sus valores. Haga clic en Guardar.
Para guardar los datos en archivo de valores separados por comas o como informe para imprimir
• Producto: el nombre del producto. Puede ser un nombre normalizado que incluye variaciones
del nombre del producto.
• Fecha de inicio de la tarea: la fecha en que comienza la tarea de recuperacion. Las tareas no se
inician automaticamente si no selecciona la opcion Iniciar tareas programadas inmediatamente
despues de crearlas.
415
IVANTI ENDPOINT MANAGER
Utilice la pagina Productos > Asignaciones para hacer seguimiento de los costes del soporte de TI a
los grupos de la organizacion. Algunos grupos requieren mas ayuda que otros para administrar las
licencias de sus productos. Al establecer el cargo interno del nivel de soporte proporcionado, es
posible facturar esa cantidad a cada grupo, yjustificar el trabajo de TI y controlar los costes de la
gestion de activos.
Para establecer las asignaciones de licencias, en primer lugar es necesario seleccionar grupos de
equipos existentes o nuevos como "unidades de asignacion" que representan oficinas,
departamentos o localidades a los que se va a facturar el soporte de TI. A continuacion, se asignan las
licencias, producto por producto, a dichos grupos. Las licencias asignadas son simplemente una
estimacion de la cantidad de licencias que cree que un grupo va a necesitar habitualmente,
probablemente en funcion del servicio de soporte prestado en el pasado. Despues, los cargos
internos se pueden relacionar con las licencias asignadas. Estos cargos son una estimacion
monetaria del tiempo y el esfuerzo empleados en dar soporte a los productos de los dispositivos
yvanan segun el grupo. Utilice esta informacion como referencia y para informar.
La pagina Asignaciones tambien muestra la cantidad real de instalaciones de productos en los
dispositivos de un grupo, la cantidad de licencias adquiridas por un grupo y el uso excedido. El uso
excedido se produce cuando existen mas productos instalados en los dispositivos de un grupo que
licencias asignadas. El uso excedido es util para ver si un grupo tiene mas instalaciones de un
producto de las que debe, por lo que requerina adquirir mas licencias o un aumento del numero de
licencias asignadas.
416
GUÍA DE USUARIO
• Vaya a Administration > Grupos de equipos para seleccionar un grupo de equipos existente o
definir uno nuevo como unidad de asignacion. Es posible que desee que el grupo represente
una oficina, un departamento o una localidad de la organizacion. Recuerde que cuando define
un grupo en la consola del Monitor de licencias de software, simplemente esta eligiendo un
nombre para asociarlo con un grupo de dispositivos existente o una consulta creada
previamente en la vista de red de Endpoint Manager. Para obtener mas informacion, consulte
"Definicion de grupos de equipos" (420).
• Vaya a Productos > Monitorizados para editar los productos asociados al grupo. Cuando
edite un producto, puede asignar las licencias y los precios por unidad de los cargos internos
a cada grupo definido como unidad de asignacion.
Ver el estado de la asignacion de licencias
1. Haga clicen Productos > Asignaciones. En la lista apareceran los grupos definidos como
unidades de asignacion.
2. Para buscar un producto o grupo en la lista, escriba al menos tres caracteres del nombre en
el cuadro Busqueda.
La informacion de la asignacion de licencias aparece por grupo de equipos. Expanda el nombre del
grupo para ver la informacion de los productos en las siguientes columnas:
417
IVANTI ENDPOINT MANAGER
418
GUÍA DE USUARIO
419
IVANTI ENDPOINT MANAGER
Cuando se crea un informe de la vista actual, contienetodos los elementos actuales de la lista. Los
datos se organizan en las mismas columnas que aparecen en la vista actual. Puede guardar el
informe en seis formatos diferentes.
Tambien puede ejecutar los informes predefinidos que se suministran con la funcion de informes.
Estos informes se muestran en la pagina de Informes de la consola del SLM.
IMPORTANT: Si esta utilizando Internet Explorer 9 en la consola del SLM, debe tener activada la Vista de
compatibilidad para poder ver los informes de Endpoint Manager. Para activar la Vista de compatibilidad,
* abra Internet Explorer 9. Presione la tecla Alt para ver el menu, haga clic en Herramientas > Configuracion de
la Vista de compatibilidad. Seleccione la casilla de verificacion Mostrar todos los sitios web de la Vista de
compatibilidad y haga clic en Cerrar.
4. Para guardar una copia del informe, haga clic en el boton de la barra de
Exportar herramientas.
5. Haga clic en Explorary seleccione la ubicacion para guardar el archivo. Haga clic en
Guardary luego en Exportar para guardar el informe.
En algunas paginas hay un boton de , en la cual puede hacer clic en lugar de utilizar
informes barra de herramientas en el paso 2. la
5. Para guardar una copia del informe, haga clic en el boton de la barra de
Exportar herramientas.
6. Haga clic en Explorary seleccione la ubicacion para guardar el archivo. Haga clic en
Guardary luego en Exportar para guardar el informe.
420
GUÍA DE USUARIO
• Grupo dinamico: un grupo de dispositivos definidos mediante una consulta en la vista de red
de Endpoint Manager. A medida que se agregan o eliminan dispositivos monitorizados, el
contenido del grupo cambiara para que coincida con los parametros de la consulta.
Solo se pueden crear grupos en la vista de red de Endpoint Manager. Cuando define un grupo en la
consola del Monitor de licencias de software (SLM), simplemente esta eligiendo un nombre para
asociarlo con un grupo de dispositivos existente o una consulta.
NOTE: Si se elimina un grupo de equipos, las licencias asociadas ya no se relacionaran con esos dispositivos,
asf que los informes de cumplimiento ya no corresponderan al grupo. Si hace esto, es necesario decidir que
dispositivos asociar con la licencia y definir otro grupo. Si no hay ningun grupo asociado, la licencia se asocia
con todos los dispositivos.
421
IVANTI ENDPOINT MANAGER
Para ver un grupo aun mas reducido de registros de productos, puede utilizar grupos de equipos.
Recuerde que solo se pueden crear grupos en la vista de red de Endpoint Manager. Cuando define
un grupo de equipos en la consola de seguimiento de licencias de software (SLM), simplemente
esta eligiendo un nombre para asociarlo con un grupo de dispositivos existente o una consulta.
Para obtener mas informacion, consulte "Definicion de grupos de equipos" (420).
1. Haga clicen Productos yluego haga clicen una de las vistas de productos (Monitorizados,
Detectados, Ignorados o Todos los productos instalados).
La lista de productos cambiara para mostrar solo los productos que se encuentran instalados en
los dispositivos del grupo que se selecciono.
422
GUÍA DE USUARIO
• Rastreo de red: busca equipos realizando un barrido de ping ICMP. Se trata de la busqueda
mas minuciosa, aunque tambien es la mas lenta. La busqueda se puede limitar a ciertos
intervalos IPy de subred. De forma predeterminada, esta opcion utiliza NetBIOS para
intentarlo y recopilar informacion sobre el dispositivo.
• Huella digital de SO de IP: Use nmap para probar ydetectar mas sobre un dispositivo,
tal como que sistema operativo ejecuta.
• SNMP: UDD utiliza SNMP para detectar los dispositivos. Haga clic en Configurar para
especificar la informacion sobre SNMP en la red.
• Agente de IVANTI estandar: busca el agente de IVANTI estandar (CBA) en los equipos. Esta
opcion descubre equipos que tienen productos de IVANTI instalados.
• Dominio NT: busca dispositivos en un dominio especificado. Detecta miembros cuando el
equipo esta conectado o desconectado.
• LDAP: busca dispositivos en un directorio especificado. Detecta miembros cuando el equipo
esta conectado o desconectado.
• IPMI: Busca servidores habilitados con la Interfaz de administracion de plataforma inteligente
(IPMI), lo que permite el acceso a muchas funciones sin importar que el servidor este
encendido o no, o en que estado se encuentre el SO.
• Hosts virtuales: Busca servidores que esten ejecutando VMware* ESX Server. Estos
servidores figuran en la carpeta de Hosts virtuales.
423
IVANTI ENDPOINT MANAGER
Si se programa una deteccion, el servidor central la lleva a cabo. Las detecciones no programadas
se producen en la consola que las inicia.
La herramienta UDD admite tambien rastreos de deteccion extendida de dispositivos (XDD). XDD
depende de un agente de dispositivo (implementado por medio de una configuracion de agente) que
escucha las difusiones ARPy senales de WAP en la red de IVANTI. Despues, el agente XDD en un
dispositivo configurado verifica si el dispositivo de difusion tiene el agente de IVANTI estandar
instalado. Si el agente de IVANTI estandar no responde, se muestra un dispositivo detectado ARP en
el grupo Equipos, con la informacion transmitida en la vista de lista del elemento, y se muestra un
dispositivo WAP en el grupo Puntos de acceso inalambrico con la informacion transmitida en la
vista de lista.
NOTE: Utilice la deteccion extendida de dispositivos para detectar dispositivos protegidos por una
barrera de seguridad
Tenga en cuenta que la deteccion normal de dispositivos no administrados por lo general no funciona con
dispositivos que utilizan una barrera de seguridad, tal como la barrera de seguridad que viene con Windows
(Windows firewall). Por lo regular, el servidor de seguridad evita que el dispositivo responda a los metodos de
deteccion que utiliza la deteccion de dispositivos no administrados. La deteccion extendida de dispositivos ayuda
a resolver este problema mediante el uso del trafico ARP de red para detectar dispositivos.
Temas relacionados
"Despliegue de agentes de IVANTI en dispositivos no administrados" (423) "Detectar dispositivos no
424
GUÍA DE USUARIO
1. Haga clicen Herramientas > Configuracion > Configuracion de agentes ycree una nueva
configuracion o utilice una existente. En el menu contextual de la configuracion, haga clic en
Programar.
2. Haga clicen Herramientas > Configuracion > Detection de dispositivos no administradosy
seleccione los dispositivos que desee implementar. Arrastre los dispositivos a la ventana
Tareas programadas. Si la ventana Tareas programadas es una pestana minimizada, puede
arrastrar los dispositivos a la pestana Tareas programadas para abrir la ventana Tareas
programadas.
3. Si los dispositivos no disponen de los agentes estandar de IVANTI, haga clic en Configurar >
Servicios yen la pestana de Programador. Asegurese de que la cuenta del programador
disponga de privilegios administrativos en los dispositivos que se esten implementando.
4. Haga doble clic en la secuencia de comandos de implementacion yestablezca una hora de
inicio. Haga clic en Aceptar cuando haya terminado.
5. Consulte la ventana Tareas programadas para ver las actualizaciones.
425
IVANTI ENDPOINT MANAGER
426
GUÍA DE USUARIO
1. Utilice UDD para detectar los dispositivos no administrados, como se explica anteriormente.
427
IVANTI ENDPOINT MANAGER
4. Haga clic en Restaurar registros de cliente y, desde su menu contextual, haga clic en
Programar.
5. Desde el arbol de UDD Buscar resultados, arrastre los equipos que desee restaurar en la
tarea
Restaurar registros de cliente en la ventana de Tareas programadas.
6. En Restaurar registros de cliente en el menu contextual de la tarea, haga clic en Propiedades
para configurarla.
Para deshabilitar esta funcion debe agregar la siguiente clave de registro DWORD al servidor central
y establecer su valor a 0:
. HKEY_LOCAL_MACHINE\SOFTWARE\IVANTI\ManagementSuite\XDD\Filter
Puede ajustar los rangos de monitoreo del primery el segundo octeto. Para ello debe agregar las
claves de registro DWORD al servidor central y establecer sus valores en el rango numerico que
desee monitorear (el valor predeterminado es de 10 para el primero y el segundo octeto):
. HKEY_LOCAL_MACHINE\SOFTWARE\IVANTI\ManagementSuite\XDD\FilterThreshold1 .
HKEY_LOCAL_MACHINE\SOFTWARE\IVANTI\ManagementSuite\XDD\FilterThreshold2
FilterThresholdl contiene el rango para el primer octeto y FilterThreshold2 para el segundo.
428
GUÍA DE USUARIO
Los dispositivos administrados configurados con el agente de deteccion XDD para la deteccion ARP
escuchan difusiones ARP (Protocolo de resolucion de direcciones) y mantienen una memoria cache
(en la memoria yen un archivo de la unidad local) de los dispositivos que las emiten. Los
dispositivos en red utilizan el ARPapara asociar una direccion TCP/IP con una direccion MAC de
hardware de red de un dispositivo espedfico. Esta comunicacion se realiza a un nivel muy bajo y no
depende de que los dispositivos respondan a los ping o a la comunicacion del agente en puertos de
red espedficos. Incluso los dispositivos protegidos con servidores de seguridad dependen del ARP.
Debido a ello, la deteccion extendida de dispositivos puede ayudar a encontrar los dispositivos que
los rastreos de deteccion normales no encuentran.
Las tablas ARP que almacena el agente de deteccion extendida de dispositivos expiran luego de 48
horas de forma predeterminada. Esto significa que se hara ping en todos los dispositivos de red una
vez por penodo de tiempo de espera. Incluso los dispositivos que generan mucho trafico ARP
reciben un solo ping por cada penodo de tiempo de espera.
Se supone que los dispositivos que tienen agentes IVANTI se encuentran administrados y por lo
tanto no se envfan informes al servidor central. Los dispositivos que no tienen agentes IVANTI se
informan al servidor central como dispositivos no administrados. Estos dispositivos aparecen en la
lista Equipos de la ventana Deteccion de equipos no administrados. Los dispositivos detectados por
ARP indican Verdadero en la columna Detectado por ARP. Para dispositivos no administrados
detectados por ARP, XDD informa la siguiente informacion en las columnas de vista de lista:
• Direccion IP
• Direccion MAC
429
IVANTI ENDPOINT MANAGER
Para dispositivos WAP detectados, XDD informa la siguiente informacion en las columnas de vista
de lista:
• Nombre de dispositivo
• Direccion MAC
• Primera exploracion
• Ultima exploracion
• Numero de exploraciones
• Estado de WAP (permitido, no autorizado, excepcion activa)
• Fuerza de la senal (usar para determinar la ubicacion aproximada del dispositivo WAP)
• Nivel de cifrado (esquema de cifrado utilizado por el dispositivo WAP)
• Fabricante
Para implementar el agente de deteccion extendida de dispositivos para la deteccion ARP y/o WAP
430
GUÍA DE USUARIO
431
IVANTI ENDPOINT MANAGER
Estos grupos ayudan a mantener una organizacion en la lista de UDD, por lo que resulta mas
sencillo localizar los dispositivos de interes. Las listas de dispositivos se pueden organizar por
cualquier encabezado de columna al hacer clic en uno de ellos.
UDD intenta detectary reportar la informacion basica sobre cada dispositivo, incluso los datos
siguientes que aparecen en la vista de lista de elementos en el panel derecho de la ventana de
herramientas:
432
GUÍA DE USUARIO
• Todos los usuarios: usuarios registrados en el dispositivo que se esta explorando, si esta
disponible.
Dependiendo del dispositivo, puede que UDD no disponga de la informacion para todas las
columnas. Cuando UDD encuentra un dispositivo por primera vez, consulta la base de datos central
para ver si la direccion de IP del dispositivo y el nombre ya estan en la base de datos. Si hay una
coincidencia, UDD ignora el dispositivo. Si no hay ninguna coincidencia, UDD incorpora el
dispositivo a la tabla de dispositivos no administrados. Los dispositivos de esta tabla no utilizan
ninguna licencia de IVANTI. Un dispositivo se considera administrado una vez que envfa un rastreo
de inventario a la base de datos central. Los dispositivos no se pueden arrastrar desde UDD a la
vista de red de la consola principal. Una vez que los dispositivos no administrados envfan un
rastreo de inventario, se eliminaran de UDD y se agregaran a la vista de red de forma automatica.
Se pueden crear grupos personalizados para clasificar de forma mas amplia a los dispositivos no
administrados. Si un dispositivo se desplaza a otro grupo, UDD lo dejara en el mismo si mas
adelante vuelve a detectarlo. Teniendo organizado el grupo principal Equipos ydesplazando los
dispositivos que no se administraran con IVANTI a subgrupos u otras categories, los nuevos
dispositivos se pueden ver facilmente en el grupo de Equipos. Si se elimina un grupo que incluye
dispositivos, UDD los desplaza al grupo Otros.
Si desea eliminartodos los dispositivos de multiples grupos en un solo paso, haga clic en el boton
Eliminar elementos en grupos de la barra de herramientas y seleccione los grupos que desea
eliminar de todos los dispositivos.
Se pueden localizar rapidamente dispositivos que coincidan con los criterios de busqueda
especificados utilizando el campo de la barra de herramientas Buscar. Se puede buscar informacion
en una columna determinada o en todas las columnas. Los resultados de la busqueda aparecen en
la categoria Buscar resultados. Por ejemplo, utilice la opcion Buscar para agrupar los equipos no
administrados que disponen de CBA buscando por "Y" en el campo Agente de IVANTI estandar.
Tambien puede crear una alerta cuando UDD encuentre dispositivos no administrados. En Alertas
(Herramientas > Configuration > Alertas, haga clic en Reglamento de alertas central), el nombre de
alerta a configurar es Detection de dispositivos no administrados - Localizado dispositivo no
administrado.
433
IVANTI ENDPOINT MANAGER
Desde estas listas puede realizar las opciones UDD normales, como por ejemplo moverlos a otros
grupos. Haga clic con el boton derecho en un dispositivo para acceder a su menu contextual y use
las opciones disponibles.
Estas excepciones se encuentran en un formato de archivo CSVformado por direcciones IPy MAC
separadas por comas, en ese orden, un par por lfnea. La exportacion de excepciones incluye todas
las excepciones almacenadas en la base de datos. La importacion de excepciones reemplaza todas
las excepciones almacenadas en la base de datos con las que se incluyeron en el archivo de
importacion.
1. Cree o actualice el archivo CSV separado con comas que contenga todas las excepciones
que desee.
434
GUÍA DE USUARIO
1. Agregue una cuenta a los hosts ESXi. Compruebe que todos los hosts comparten el mismo
nombre de usuarioycontrasena de esa cuenta.
4. Los hosts ESXi detectados aparecen en el elemento UDD del arbol Hosts virtuales.
5. Seleccione los hosts detectados, haga clic con el boton derecho en ellos y haga clic en
Copiar a base de datos de inventario.
6. Administre los hosts detectados haciendo clic en Vista de red > Hosts con SO virtuales >
Todos los hosts con SO virtuales. Para mostrar las opciones disponibles, haga clic con el
boton derecho en uno de ellos.
Problemas de deteccion con los hosts VMWare ESXi mediante certificados autofirmados predeterminados
Al instalar ESXI, existe la opcion de utilizar el certificado autofirmado incorporado. El problema de
este certificado es que el nombre de host ESXi predeterminado es "localhost" y este nombre no es
exclusivo en la red ni en UDD. UDDtrata a todos los hosts quetienen el mismo nombre de host como
uno solo, por lo que hay una unica entrada en la base de datos de inventario para todos los hosts
que compartan ese nombre.
• http://kb.vmware.com/kb/2034833
• http://blogs.vmware.com/vsphere/2012/11/automating-ca-self-signed-certificates-for-esxi-5-1 -
for-use-with-resxtop.html
Resolucion de resultados inexactos de la version del SO
En algunos entornos, una asignacion de nmap sobre una direccion IPque no este en uso devolvera
una respuesta en puertos espedficos, lo cual confundira a nmap. Los puertos que responden o no
435
IVANTI ENDPOINT MANAGER
3. Examine los resultados y observe si hay algun puerto que responda constantemente en
direcciones IP que no estan en uso.
Este capftulo contiene los siguientes temas de ayuda en lmea que describen los cuadros de dialogo
de la herramienta de Deteccion de dispositivos no administrados. En la interfaz de la consola, puede
acceder a estos temas de ayuda haciendo clic en el boton Ayuda de los cuadros de dialogo
respectivos.
Utilice este cuadro de dialogo para personalizary ejecutar los rastreos de los dispositivos no
administrados. Para acceder a este cuadro de dialogo, en la ventana de la herramienta Deteccion de
dispositivos no administrados, haga clic en el boton Rastrear red de la barra de herramientas.
• Configuraciones guardadas: muestra las configuraciones guardadas del rastreador. Para
guardar una configuracion, cambie los valores que desee, luego haga clic en Nuevo, asigne
un nombre a la configuracion y, una vez seleccionada la nueva, haga clic en Guardar.
• Mas >>: amplfa el cuadro de dialogo para mostrar las opciones de deteccion.
436
GUÍA DE USUARIO
• Rastreo de red: detecta dispositivos utilizando un barrido de ping ICMP. Este es el metodo de
deteccion mas minucioso y el que se recomienda.
• Huella digital de SO de IP: un nivel adicional de deteccion que usa respuestas de
paquete para probary determinar el SO instalado en un dispositivo detectado.
• Usar SNMP: un nivel adicional de deteccion que usa SNMP para detectar dispositivos.
• Detectar dispositivos con IVANTI CBA instalado: detecta los dispositivos con el agente CBA
en ejecucion. Si los dispositivos disponen de CBA, este es el metodo de deteccion mas
rapido.
• Detectar dispositivos con IVANTI PDS2 instalado: detecta dispositivos utilizando el
antiguo agente PDS2 de IVANTI. Solo se puede optar por esta opcion si se
selecciona la CBA en primer lugar.
• Detectar dispositivos utilizando el dominio de NT: detecta dispositivos en un dominio de
Windows NT. Esta opcion utiliza la informacion de la cuenta de dominio de NT y no necesita
ningun intervalo de direccion IP, aunque se puede especificar uno. Seleccione esta opcion y
haga clic en Configurar para mostrar el cuadro de dialogo Configuracion de dominio NT en el
cual se puede personalizar la configuracion de la deteccion de dominio NT.
• Filtrar por intervalo IP (para dominios NT y LDAP): filtra la deteccion de LDAPy el dominio NT
en funcion de los intervalos IPespecificados en IP inicial e IP final.
• Detectar dispositivos utilizando LDAP: detecta dispositivos en un directorio LDAP.
Seleccione esta opcion y haga clic en Configurar para mostrar el cuadro de dialogo
Configuracion de LDAPen el cual se puede personalizar la configuracion de la deteccion de
LDAP.
• Detectar dispositivos que tienen IPMI: Busca servidores habilitados para la Interfaz de
administracion de plataforma inteligente (IPMI), lo que permite el acceso a muchas funciones
sin importar que el servidor este encendido o no, o en que estado se encuentre el SO.
• Deteccion de hosts virtuales: busca servidores que ejecuten VMware ESX Server.
• IP de inicio: especifique la direccion IP de inicio del intervalo de direcciones que desee
rastrear.
• IP final: especifique la direccion IP final del intervalo de direcciones que desee rastrear. UDD
actualiza este campo automaticamente a medida que se indica la direccion IP de inicio; la
direccion IP de finalizacion se puede modificar de forma manual. La IP de finalizacion se
calcula utilizando el valor de la mascara de subred + el valor indicado en la IP de inicio.
• Mascara de subred: introduzca la mascara de subred para el intervalo de direccion IP que se
esta explorando.
• Agregary Quitar: agrega o elimina los intervalos de direccion IP de la cola de trabajo en la
parte inferior del cuadro de dialogo.
• Programar tarea: programa el rastreo en funcion de la configuracion establecida. En la
ventana Tareas programadas se puede personalizar la hora de inicio. Los rastreos
programados se inician en el servidor central.
• Rastrear ahora: inicia el rastreo inmediatamente en funcion de la configuracion establecida.
437
IVANTI ENDPOINT MANAGER
Las exploraciones que aqm se inician se originan en la consola en la que se esta. Una vez
que comience el rastreo, aparecera el cuadro de dialogo Estado del rastreo donde se muestra
el numero total de dispositivos localizados, cuantos de los existentes se han actualizado y
cuantos nuevos dispositivos que no se administraban se agregaron.
Acerca del cuadro de dialogo Configuracion de dominio NT
Este cuadro de dialogo se utiliza para configurar el modo de conexion al dominio que se desea
explorar.
Este cuadro se utiliza para configurar como conectarse al directorio LDAP que se desea explorar.
438
GUÍA DE USUARIO
Use este cuadro de dialogo para administrar la configuracion de ARPy WAPque se utiliza para la
deteccion extendida de dispositivos. Una vez configurado, puede aplicar la configuracion XDD a las
tareas de rastreo.
439
IVANTI ENDPOINT MANAGER
esa configuracion la conservaran y seguiran utilizandola hasta que se implemente una nueva
tarea de configuracion de agente; las tareas programadas con esa configuracion seguiran
ejecutandose en los dispositivos de destino, al igual que las tareas del programador local
con esa configuracion, hasta que se despliegue una configuracion nueva.
• Cerrar: cierra el cuadro de dialogo sin aplicar ninguna configuracion a la tarea.
Utilice este cuadro de dialogo (boton de la barra de herramientas Configurar la deteccion ampliada
de dispositivos > Configurar las opciones de deteccion ARP) para personalizar las opciones del
rastreo de deteccion ampliada de dispositivos con base en ARP.
440
GUÍA DE USUARIO
Utilice este cuadro de dialogo (boton de la barra de herramientas Configurar la deteccion ampliada
de dispositivos > Configurar las opciones de deteccion WAP) para configurar las opciones del
rastreo de deteccion extendido con base en WAP.
Utilice este cuadro de dialogo (boton de Configurar historial de descubrimiento ARP de la barra de
herramientas) para configurar la forma en que el servidor central mantiene el historial de
detecciones de ARP. Esta informacion historica se utiliza para generar informes sobre la deteccion
extendida de dispositivos. Las opciones de este cuadro de dialogo no afectan a los dispositivos
detectados que se visualizan en la ventana principal de la deteccion de dispositivos no
administrados. Este historial solo se aplica a los dispositivos detectados a traves de ARP que
notienen agentes IVANTI.
• Mantener historial por este penodo de d^as: Al seleccionar esta opcion se puede especificar
la cantidad de dfas del historial de detecciones de ARP que se desean guardar en la base de
datos. La informacion del historial de detecciones de ARP cuyos dfas superen a los
especificados se eliminaran de la base de datos durante el mantenimiento.
• Borrar manualmente: esta es la opcion predeterminada. El historial de la deteccion de ARP
no se eliminara durante el mantenimiento.
• Borrar todas las entradas ahora: Haga clic en este boton para eliminar inmediatamente el
historial de detecciones de ARP de la base de datos.
441
IVANTI ENDPOINT MANAGER
Provisioning
Provisioning overview
IVANTI provisioning lets you define all the attributes and features of new devices before they are
introduced into your environment. Provisioning uses automation to apply this set of attributes and
features to the devices. With provisioning, you can reduce downtime and make sure new devices are
reliable and predictable when they go into your production environment. You can access the
provisioning history of each device to find out when and with what it was provisioned, and, if
necessary, return it to a previous state. Provisioning runs on both Windows and Linux; there is no
difference in the way you create templates for either operating system.
Provisioning consists of a series of actions to be executed on a target device. Actions are the
fundamental unit of provisioning. A template is a collection of actions that are executed in a pre-
defined order. IVANTI provides pre-built provisioning templates to get you started. You can combine
these provisioning templates with your own master templates. You can split the provisioning tasks
the wayyou split the work when setting up a system manually.
Provisioning works equally well on new devices or dynamic devices. You can provision new devices
with the precise configuration you require, setting up the configuration before the new device has
even arrived. You can use provisioning to reconfigure a device from one purpose to another,
changing a device's base function to handle your organization's changing demands.
Provisioning is also very useful for OS migration. You can capture a profile from a previous OS and
then deploy a new OS with the same profile and previously installed software applications. You
could even automatically do the same from an older computer to a newer computer as well as
upgrading application versions on the fly.
You can use alerting to let you know when provisioning events occur.
Provisioning agent
The center of provisioning is the agent ldprovision, located in the core server's ldlogon/provisioning
folder. This agent consists of small applications for each action. The agent resides on the target
device. It is placed there through a PXE server, virtual booting (vboot), or a physical boot media
such as a USB drive or a CD.
442
GUÍA DE USUARIO
The agent spans any reboots required, immediately moving to the next action after the reboot.
Most provisioning work can be done before you receive a new device. You can create a template
and create the task for the template to run on the new device. The task will not run until the
provisioning agent runs on the new device.
To fully use provisioning, users require the provisioning role in User management. These rights are
automatically enabled for any users with Administrator rights, and can be enabled for any users.
Preboot tools
Provisioning requires the ability to boot the device prior to putting an operating system on it. This
can be accomplished through a PXE server or through a physical boot media (CD or USB drive). PXE
is the most convenient way to boot many computers at a time into the same preboot environment.
CD or USB drives are highly portable and guarantee that the computer running the preboot
environment is the one the administrator intended to provision.
The preboot environment (PE) includes an operating system complete with video, networking, a
small Inventario scanner, and an agent capable of receiving files and executing commands. This
agent executes an imaging tool or scripted install tool to install the OS on the device. The agent
initiates the provisioning process. Provisioning supports the Windows preboot environment.
You don't need unique boot media for each client system; you can re-use the boot media for other
devices.
In the tree structure, available templates are organized in the following folders:
• My templates: Templates that you have created. Only you and administrative users can access
these templates
• Public: Both your templates and templates marked as public.
• Other users (administrative users only): A list of users and their templates.
443
IVANTI ENDPOINT MANAGER
Public templates are created by users with Administrator rights and are viewable by all users.
Templates in the My templates folder are visible to others but can only be edited by the template's
creator or users with Administrator rights. Each time you use a template not marked public, the
instance of the template is locked. This instance can't be deleted, but it can be hidden.
The right pane displays the selected folder's templates, with columns that show the template
properties. Double-click a template to view its complete properties, including a list of other
templates that include the selected template.
The toolbar includes buttons for creating, modifying, and managing provisioning templates.
If you double-click a template, the Template view opens. From this view, you can modify the action
list (add or delete actions, modify the action order, and so forth). You can modify variables that
apply specifically to this template, view and modifythe list of templates included bythis template, or
view and modifythe list of templates that include the template. You can also make a template public,
view its history (when the template was executed), and view or modifythe template's XML code.
You can open multiple templates at once and use copy and paste (CTRL+C and CTRL+V) to copy
actions you've configured between open templates. The template window is also resizeable.
The New template toolbar dropdown is the starting point for creating a new template. Preconfigured
Capture and Deploy wizard templates are available that only take a minute to configure. These
preconfigured templates automatically support normal and UEFI BIOS booting and device
provisioning. Default actions are automatically added to support basic image capture or
deployment.
If necessary, you can further customize capture and deploy templates on your own.
To modify a template, right-click the template and select Edit. To remove a template, select it and
click the Delete button. You can only delete templates that have never been used.
You can use provisioning groups to organize your templates in ways to suit your needs. For
example, you could create groups based on specific vendors and additional subgroups based on
device models. You can create subgroups up to six layers deep.
Once you use a template you can't change it directly. However, you can clone and change it. For this
reason, we recommend that templates be smaller in nature so that if any changes are required, you
can change that one component of the provisioning configuration.
The Clone option makes a copy of the selected template. You can modifythe copy, making minor
changes to the copy rather than taking the time create an entirely new template.
If you clone a public template, the copy is placed in the My templates folder and acquires the
properties of a private template.
1. Click the Public or My templates folder to display templates in the right pane.
444
GUÍA DE USUARIO
A copy of the template is created in the folder, with the name of the original template and the
date and time the clone was created.
3. To change the name, description, boot environment, or target OS of the cloned template,
right- click the clone, click Properties, modify the settings, and click OK.
4. To modifythe actions, included templates, user variables, orthe XMLofthe cloned template,
double-click the clone to open the Template view.
Condensing a template
Use the Condense right-click menu option to combine multiple templates into one template. If there
are other templates included with the current template, their XML code will be saved within the XML
code of the template to create a single XML file. Once you condense a template, it can't be expanded
into separate templates again.
To provision a device, create a template. A template is an XML document with a series of building
blocks to be applied to the device. They build upon each other and can consist of actions, attributes,
constraints, and so forth. A template can have one or many actions.
You can chain multiple templates together in a provisioning task so that they run in a particular
sequence. You can also change the action order in a template. The order can be changed where
applicable (for example, you can't place a post-OS task before the installation of the OS). There are
numerous pre-configured templates for various vendors (HP, Dell, and so forth).
Once you create the template, you must configure it by adding actions to it. Template actions are
sorted into five sections. You can only select actions in each section that can apply to the section
(for example, you can't select Software distribution as an action for the Pre-installation section). You
can add any available action to any section, but be aware that some actions will break the template
or may render your system unusable if completed in the wrong order.
445
IVANTI ENDPOINT MANAGER
The Scheduled tasks tool shows the scheduled task status while the task is running and upon
completion. The scheduler service has two ways of communicating with devices: Through the
standard management agent (which must already be installed on devices), or through a domain-level
system account. The account you choose must have the login as a service privilege and you must
have specified credentials in the Configure Services utility.
Creating templates
Use the New template toolbar button to create a capture image template.
A template is a series of actions or building blocks to be applied to the server in a particular order. A
template can have one or many actions. You can change the task order in a template. The action
sequence can be changed where the action makes sense, but can't be changed where it does not
make sense (for example, you can't place a post-OS-specific action before the installation of the OS).
Templates that you create through the Capture template and Deploy template toolbar options are
pre-populated with default actions the template needs to work. No additional customization is
necessary and you can immediately use a template after you create it. Of course, you can still
customize these templates for your environment and needs, if necessary.
446
GUÍA DE USUARIO
8. Click Create.
447
IVANTI ENDPOINT MANAGER
6. Select the Image type that you will use for deployment.
7. Specify the UNC file path on a Endpoint Manager preferred server where the image will be stored.
The preferred server credentials must allow read/write.
8. Select the Agent configuration name that you want installed on the destination device.
9. Select the unattended installation Script name you want used during the OS installation and the
target path and filename for the script on the destination device.
10. If you want to use hardware independent imaging for driver installation, select that option.
11. Click Create.
448
GUÍA DE USUARIO
To change template properties, double-click the template or right-click the template and select
Properties.
5. Type a description in the Template description box. The Name and Description are displayed in
columns in the list of templates.
6. Enter the smb:// or afp:// path for the Mac image file. UNC paths aren't supported with Macs.
7. If you want to also include a Bootcamp Windows image file with the deployment, select Include
Windows image.
449
IVANTI ENDPOINT MANAGER
450
GUÍA DE USUARIO
• System migration: Features and components that need to be saved before modifying the
system or when migrating a device to other hardware or virtual machine. For example,
this section can include an action to capture profile information when migrating to
Windows Vista.
• Pre-OS installation: Actions that are performed when the device boots into a pre-
installation environment (Windows PE). For example, on a server you would add RAID
configuration in this section.
• OS Install: Actions that are performed in the pre-installation environment (Windows PE)
when the OS is installed.
• Post-OS Installation: Actions that are performed in the target operating system after it
has been installed, such as running a patch management task.
• System configuration: Additional application installation/execution and system
configuration in the installed OS. For example, add driver installation tasks in this
section.
4. Click Add.
5. Type a specific name for the action in the Name field.
6. Type a detailed description of the action in the Description field.
7. In the Type list, select an action type.
8. Under Action variables, click Add to add a variable that applies to this action only. Specify the
values in the text boxes, select the variable type, and click OK.
9. Under Selected action properties, complete the data required for the action type. This data
varies depending on the action type you selected.
10. When the action is defined, click Apply to save it and continue editing the template. When you
have finished defining the template, click OK.
1. In the Operating system provisioning tool, select a template from one of the Provisioning
templates folders.
2. Click the Schedule template button on the toolbar.
The Scheduled tasks tool opens with a task for the provisioning template.
3. In the network view, select the devices to which you will deploy the provisioning task. Drag the
devices to the Scheduled tasks tool and drop them on the provisioning task.
4. Right-click the provisioning task and select Properties. Select a schedule option and click Save.
When you click Schedule template, a task is created: it has no targeted devices, and it is unscheduled.
If you don't add target devices or schedule the task, be aware that the task remains in the task list until
you schedule it or delete it.
451
IVANTI ENDPOINT MANAGER
In the Scheduled tasks tool, tasks are grouped in the following folders:
• My tasks: Tasks that you have scheduled. Onlyyou and Endpoint Manager administrative users
can see these tasks.
• Public tasks: Tasks that users have marked public. Anyone who schedules a task from this
category will become the owner of that task. The task remains in the Public tasks folder and will
also be visible in the User tasks group for that user.
When a provisioning task is running on a device and the provisioning actions include a reboot, the
task continues to run after the device reboots. The user is prompted to log in after the reboot, and
when the login is complete, a status message reports on the progress of the task.
If the user is not logged in when the provisioning task begins, the task runs without user input. If there
is a reboot action, the task will continue to run without the user logging in.
If the user logs in to the device while the provisioning task is in process, a status message reports that
a task is in process and gives the progress of the task. Note that status messages are updated only
between actions. If a task is working on a long action, such as installing a large application, it may
appear that the progress bar is not moving. However, when the action is completed, the status will be
updated.
The list of applications that can be detected comes from the software license monitoring tool's
monitored products list. When the Inventario scanner runs on a device, it gives the core server a list of
applications from the list that it found on the device. Only products that you've added to the monitored
products list are available for product-to-package mapping.
The customize mapped software action lets technicians customize mappings while a device is being
provisioned. For more information, see "Customize mapped software (all sections)" (480).
The Install mapped software action takes a snapshot of the currently installed products from
Inventario when the scheduled task is started. This allows the Inventarioto persist afterthe device is
imaged and a new agent is installed. The snapshot of Inventario is cleared once the scheduled task is
deleted. The task can be restarted or reran as long as the task is not removed. For more information,
see "Install mapped software (System configuration section only)" (485).
You can map any software distribution package to an item in the monitored products list. For example,
452
GUÍA DE USUARIO
if Office 2003 is a monitored product, in smart migration, you could map it to an Office 2013
distribution package.
• Disable: Product will not be installed on new devices and won't be available in the Customize
mapped software action.
• Critical: If a mapping is critical and the package fails to install for some reason, the whole
provisioning job will fail and quit. Ifyou don't make a mapping critical, OS provisioning will tryto
install the application and then it will keep going even if the install fails.
5. Click Assign.
453
IVANTI ENDPOINT MANAGER
3. To manually enter data for individual devices, click Add. Type a name for the devices that you
will add (you can type a name describing a group of devices or just one device). Select a type
from the Identifier type list. Type the identifier for each device and click Add to add it to the list.
4. To import device data from a CSV file, select a type from the Identifier type list. Type the drive,
path, and filename of the import file or browse to select it. Click Import.
• Days Valid: Sets the number of days the machine mapping will be assigned.
The use case forthis setting is to create a safety feature. If a machine mapping is used, the Last
Used field populates with the date and time the OS Provisioning template used the machine
mapping. With the field populated, the Days Valid field is put into effect. If an OS Provisioning
task tries to use the mapping beyond the setting in the Days Valid field, the mapping is ignored.
You likely do not want the mapping to be valid months from now when the task might run
unexpectedly on a device, overwriting its hard drive.
454
GUÍA DE USUARIO
• Refresh: Refreshes the Machine Mapping tool view. This will update the view to include
showing mappings that have been used by OS Provisioning templates being run.
• Search: Allows searching for a device to place it in the Source and Destination columns.
• Source: The machine that is being replaced with another device. (This would be the old device.)
• Destination: The machine that is replacing another device. (This would be the new device.)
• Last Used: The date and time the machine mapping assignment was last used. (Populating this
field activates the Days Valid setting, so the machine mapping assignment will be ignored if the
number of days set in the Days Valid field have passed.)
When using a disconnected provisioning template, any template actions that require a core server will
still fail if the device can't see the core server. This includes software distribution and patch actions.
1. Connect a USB drive with enough space to hold your image and the provisioning files.
2. Click Tools > Distribution > OS Provisioning.
3. In the Provisioning templates tree, right-click the provisioning template you want and click
Create disconnected template.
4. Select the drive letter your USB drive is using.
5. Click Create and wait for the file copying to finish.
Sharing templates
Use the Import templates toolbar button to import templates in XML format. When you import a
template, a copy of the template is saved in the My templates folder. You can then edit the template's
XMLto make changes to it.
You can also export a template to save it as a new file and then share that template file with others.
To import a template
4. Click Import. This imports the template into the My templates folder.
The file is saved as an .xtp (XMLtemplate page) file. In the My templates folder, the imported template
455
IVANTI ENDPOINT MANAGER
is listed with the original filename, followed bythe date and time of import.
To export a template
The file is saved as an .xtp (XMLtemplate page) file. If you are exporting a template containing UTF-only
characters, the title will not display correctly in Internet Explorer. The non-displayable characters in the
template title will appear as underscores. You can change the template title through the Save As dialog box.
456
GUÍA DE USUARIO
Provisioning templates are structured using the following general XML format.
<description></description>
<description></description>
<action></action>
</section>
<description></description>
<action></action>
</section>
</template>
457
IVANTI ENDPOINT MANAGER
The Deploy image, Scripted install, and Inject script actions use scripts like sysprep.inf or unattend.txt.
Install scripts can also insert variables into your scripts; for example, a device name can be inserted
into a sysprep.inf file.
Using variables
Install scripts supports many key value pairs, such as:
Variable Description
If there is a key value pair in the win.inf file that already exists as a user-defined variable, Install scripts
replace it with the user-defined variable.
To pass variables through an installation script as a variable (not to be replaced by the provisioning
process) encapsulate the variable in double percent signs (for example, %%variable%%).
458
GUÍA DE USUARIO
The best way to do this is to copy the boot images from each CD to the PXE and rename them. You
should copy them to\Ivanti\PXE\System\images\x86pc\undi\provlinux. For example, for Red Hat 4,
rename the files to initrd.rh4as and vmlinuz.rh4as, and for Sles10, rename the files to initrd.sles10 and
linux.sles10. Then, when you create a scripted install action, use the correct initrd.xxx and
xxxlinux.xxx in the Scripted install template.
Linux install scripts support many key value pairs, such as:
Variable Description
4. Type a name for the script in the Script name box. This name will display in the Install scripts
list in this dialog box. The name is also displayed in the Installation scripts list when you add a
Scripted install action to a provisioning template.
1. In the Install scripts dialog box, select the script in the Install scripts list.
2. Click Export. Specify a file name and location and click Save.
459
IVANTI ENDPOINT MANAGER
The Template field shows the template you are building. Customize a variable or number sequence and
click Insert to add that item to the Template field. You can also type custom elements or make other
adjustments directly in the Template field.
In the example above, the naming template uses the beginning 5 characters of the %ldHostname%
value, with a hardcoded location of _slc_, followed by a 3-digit zero-padded number sequence that will
increment automatically.
460
GUÍA DE USUARIO
The core tracks the number used in each name template and automatically increments that number
(starting at 1) each time a device is named.
Provisioning history
The provisioning history option lets you view the history of a provisioning template. You can check on
the status of a particular task, determine how a particular server was provisioned, or find out which
servers were provisioned with a particular template. When a system is provisioned, all the actions are
recorded in the provisioning history.
If you want to put a system back into a known state, you can replay the template that lets you return to
that known state. If you want to replay a template, keep in mind that some actions are external to
provisioning. Save any software distribution packages, agent configurations, and programs that you
download and execute in conjunction with a template. Otherwise you won't be able to replay them.
O NOTE: If the template has never been executed, there will be no history.
1. In the network view, click My devices or Public devices and find the device.
2. Right-click the device and select Provisioning history.
3. Click a task name and click Select to view details of the provisioning task.
4. Click Properties to view the provisioning template properties.
5. Expand a template section and click an action to view details of the action's deployment.
461
IVANTI ENDPOINT MANAGER
NOTE: To get the current status of a template that is in the process of executing, click the Refresh button to
update the history status.
To delete a group
462
GUÍA DE USUARIO
NOTE: A group can be deleted even if it is not empty. Make sure than any subgroups or templates in the
group can be deleted before you confirm the deletion.
O
Define the image store location and tool
The image location is specified in the template under OS installation > Capture image or Deploy image.
This location must be on a Endpoint Manager preferred server and the preferred server must be
configured with credentials that allow read/write access. For more information, see "Servidores
preferidos" (1129).
4. Click Next. Wait for provisioning to process the image file you selected.
5. Click Add.
6. Give the driver a name and browse for the driver's .inf file.
7. Click OK and then Finish.
To change the Windows PE wallpaper (visible while devices are being imaged)
463
IVANTI ENDPOINT MANAGER
• Banner image: Appears at the top of all provisioning windows on provisioned devices.
• Title: Appears on the main provisioning user interface window.
• Interface colors: Background changes the window background. Foreground changes the
interface text color.
This re-branding only affects provisioning dialog boxes. Other Endpoint Manager windows and dialog
boxes won't be affected.
You can re-brand the provisioning interface globally or you can re-brand it on the individual template
level. Re-branding done at the template level overrides the global re-branding.
To re-brand a template
There are four types of variables. They are (in order of precedence):
Related topics
464
GUÍA DE USUARIO
1. In the All devices list, right-click a device and select Manage variables.
2. Type the name of the item (such as IP address) in the Name box.
3. Type the value to replace in the Value box.
4. Select the type.
• String: Enter a string value
• Database value: Enter a database ID string, such as Computer.Network."NIC Address"
• Sensitive data: Enter the value to be encrypted in the database.
Use quotation marks around names with spaces. You can use most values from the Inventario
database.
5. Click Save.
Define a public (global) variable
Use the Public variables toolbar button to view and set global variables that apply to all provisioning
465
IVANTI ENDPOINT MANAGER
templates. Such variables are used to customize template file names to copy, paths to install to, or IP
addresses to export files from. User variables (variables that apply to only one template) take
precedence over public variables.
Use quotation marks around names with spaces. You can use most values from the Inventario
database.
466
GUÍA DE USUARIO
7. Click OK.
Database lookups are handled by adding a ldbnf: prefix to the Replace value. The database table
and key pair can then be used to look up a specific entry in the database. The ldDeviceID public
variable that is configured by default is an example of howto add a database lookup variable.
5. Click Add.
6. Type the variable you want to add in the Search value box.
7. Type the value you want to replace in the Replacement value box.
8. Select the type.
• String: Enter a string value
• Database value: Enter a database ID string, such as Computer.Network."NIC Address"
467
IVANTI ENDPOINT MANAGER
Use quotation marks around names with spaces. You can use most values from the Inventario
database.
9. Click OK.
468
GUÍA DE USUARIO
6. Type the variable you want to add in the Search value box.
7. Type the value you want to replace in the Replacement value box
8. Select the type.
• String: Enter a string value
• Database value: Enter a database ID string, such as Computer.Network."NIC address"
• Sensitive data: Enter the value to be encrypted in the database.
Use quotation marks around names with spaces. You can use most values from the Inventario
database.
9. Click OK.
469
IVANTI ENDPOINT MANAGER
Next, use the ComputerName variable in your sysprep.inf or unattend.txt files to uniquely identify the
new device, as shown in the following code sample:
[UserData]
ProductKey=% ProductKey%
FullName="Engineering"
OrgName="Ivanti"
ComputerName=%ComputerName%
Related topics
Provisioning supports conditional If/Else statements that can help you control template flow. The
result of an action determines whether the template branches or not. You can use any action with a
conditional. Branch nesting isn't allowed. Else conditionals require an If, but you don't have to use an
Else. You can add multiple actions to If and Else conditionals.
The Compare variable action is useful for conditionals. The example below shows a template that uses
conditionals to support both laptops and desktops. The variable comparison to check the device type
is system.chassisType=Laptop.
To add a conditional
1. Right-click the template stage you want and click Add condition > If. The If condition will be
added and selected.
2. With the If condition selected, click Add and select the action you want. The result of that action
determines if child actions will be executed.
3. If you want an Else, you can add and configure it the same way by right-clicking the template
stage and clicking Add condition > Else.
470
GUÍA DE USUARIO
Included templates
The Template view displays the templates that are included in the current template (included templates
are also known as child templates). You can view included templates and add templates to the current
template. Once a template is included with anothertemplate, it is part of the parent template. If you
change the included template in its original stand-alone form, it is changed in the parent template
package, too.
To include a template, its boot environment and target OS must match the template setting of the
parent template.
The Template information section displays details about the template that maybe useful in deciding
whether to include the template.
To delete a template from the list of included templates, click Remove to remove the selected template.
Parent templates
The Included by view displays a list of other templates that include the current template (templates
including the current template are also known as parent templates).
Actions are ordered in five sections. In each section, you can only select actions that apply to that
471
IVANTI ENDPOINT MANAGER
section (for example, you can't select Software distribution as an action for the Pre-installation
section). You can add any available action to a section, but be aware that some actions will break the
template or may render your system unusable if completed in the improper steps.
The Condense right-click menu option rewrites the current parent template to incorporate all included
templates, so that all actions from the included templates become part of the parent template. This
means that the parent template has no more dependencies. This is useful for exporting templates or
making templates public. Once a template is condensed, it is a new template. You can't expand a
condensed template.
472
GUÍA DE USUARIO
473
IVANTI ENDPOINT MANAGER
6. Click Add.
7. Type a specific name for the action in the Name box.
8. Type a detailed description of the action in the Description box.
9. Select an action type from the Type list. The type you select will determine what options
you'll need to specify forthe action.
10. If you want to add a variable that applies to this action only, under Action variables click Add.
Type the name and value of the variable in the text boxes, and then click Save.
11. Select Stop processing the template if this action fails if you want to define an action as
essential to the provisioning task. If the action can be ignored, clear this check box.
12. When finished, click OK.
Capture image X
Capture profile X
X X
Change agent
settings
Compare variable X X X X X
Configure agent X
X
Configure target
OS
Control service X
Copy file X X X X X
Create directory X X X X X
X X X X X
Customize mapped
software
474
GUÍA DE USUARIO
Delete file X X X X X
Deploy image X
Deploy profile X
X X X X X
Device name
prompter
Distribute software X
Download file X X X X X
X X X X X
Download from
preferred server
Execute file X X X X X
X X
Hardware-
independent
imaging
Inject script X X X X X
X
Install mapped
software
Install service X
Join domain X
Launch template X X X X X
Map/Unmap drive X X X X X
X X X X X
Map/Unmap drive to
preferred server
Partition X X X
Patch system X
Reboot/Shutdown X X X X X
Replace text X X X X X
Scripted install X
Uninstall service X
Unzip file X X X X X
Update registry X
475
IVANTI ENDPOINT MANAGER
Wait X X X X X
Windows refresh X X
The table below shows actions you can use with Mac OS X devices.
Action name OS installation
System Pre-OS Post-OS System
migration installation Installation configuration
Capture image X
Capture profile X
X X
Change agent
settings
Compare variable X X X X X
Configure agent X
X
Configure target
OS
Copy file X X X X X
Create directory X X X X X
X X X X X
Customize mapped
software
Delete file X X X X X
Deploy image X
Deploy profile X
X X X X X
Device name
prompter
Distribute software X
Download file X X X X X
Execute file X X X X X
X X
Hardware
Independent
Imaging
Inject script X X X X X
476
GUÍA DE USUARIO
Launch template X X X X X
Map/Unmap drive X X X X X
X X X X
Map/Unmap drive to
preferred server
Mount ISO X X X X X
Partition X X X
Reboot/Shutdown X X X X X
Replace text X X X X X
Scripted install X
Unzip file X X X X X
Wait X X X X X
The Capture image action lets you capture an image at the time of OS installation, through the use of the
imaging tool you specify. If the tool orthe Contenidos to be captured in an image are located on a share,
you must place the Map drive action priorto the Capture image action in orderto authenticate to the share.
• Select the image type: Select the type of image you want to capture. If you select Symantec
or Other, you will also need to provide a path to the application used for imaging.
• Specify the UNC path to the image file: Enter a UNC path to the image that is captured,
including the image file name. Configure your preferred server with valid credentials to the
share forthe image file path. This option is used only when you select Symantec or Other as
the image type.
• Specify the UNC path to the imaging tool: Enter a UNC path and file name forthe imaging
application. This option is used when you select Symantec or Other as the image type.
• Command-line parameters: Enter any command-line parameters that will customize the way
the image is captured.
• Validate: Click this button to generate a default command line forthe imaging tool and path
you specified. You can add other command-line parameters after you click Validate, but if
you have already entered any custom parameters they will be removed when you click
Validate.
477
IVANTI ENDPOINT MANAGER
Use this action to capture a Mac OS X image from a target device. The capture image action uses
preferred server credentials to authenticate to the shares. This is set in the Content replication /
Preferred servers tool. A Mac OS X server has to be set as a preferred server for this to work. The
User name and Password fields in the core server's preferred server properties are used to access
the shares. The options available forthis action include:
• Specify the path to save the image file, including the name of the image file: To enter the
location to capture and store the image file. Either smb://Server/SharePoint/ImageFile.dmg
OR afp://Server/SharePoint/ImageFile.dmg format can be entered into this field.
This action runs the user migration assistant to capture one or more profiles. To use this action, you need to
know where the user migration assistant command XML file is located on the core server and where saved
profiles are to be stored.
You can use unique identifiers to name profiles when they are saved, or you can specify a full filename for
the profile.
To use the user migration assistant, managed devices must have the standard IVANTI agent, which includes
the Inventario scanner, local scheduler, and software distribution agents. Profile migration uses the software
distribution agent to distribute files.
• Select user migration assistant command XML file: Specify the location of the user migration
assistant command file, which is an XML file saved on the core server (typically in the ldmain
share, in the ldlogon\uma\commandxml folder). You can specify the path and filename in UNC
or HTTP format. Click Browse to locate the command file you want to use. If you want to edit
an existing command file or create a new one, click Edit. Select a file and click Edit, or click
New to create a new one.
• UNC path for saved profiles: Specify where to save the profile files. Type a UNC path or click
Browse and select a path. Profiles can be saved on any available server/share, including on
the core server. Profiles are saved with a .sma extension.
• Specify full filename instead of using variables: Select this check box if you don't want to
name the profile using the unique identifiers.
• File name unique identifiers: Select any combination of the computer name, MAC address,
and serial number to create the filename of each profile. (For example, if you select Serial
number and the serial number of the machine is 123A567B, the profile name will be saved as
"123A567B.sma.") These profile file names are only used to make the file names more
readable. They aren't used by automatic naming to associate profiles between computers.
Capture Profile (Mac OS X, available only in the system migration section)
478
GUÍA DE USUARIO
Use this action to capture a profile on a target device. The capture profile action uses preferred
server credentials to authenticate to the shares. This is set in the Content replication / Preferred
servers tool. A Mac OS X server has to be set as a preferred server for this to work. The User name
and Password fields in the core server's preferred server properties are used to access the shares.
When saving profiles, you can specify a full filename, or you can use unique identifiers to create the
file name to store the profile.
• Core certificate
• Device name
• How network adapter interfaces are configured
• LDMS configuration
• Path for saved profile: Where to store the profile when it is captured. The format can be
smb://server/sharepoint or afp://server/sharepoint.
• Specify full filename instead of using variables: Select this if you want to disable the filename
unique identifiers options. Selecting this will require the filename to be specified in the Path
for saved profile field.
• File name unique identifiers: Select any combination of the Computer name, MAC address,
and Serial number to create the filename of each profile.
The change agent settings action lets you select specific IVANTI agent settings for agent
components. Agent settings only affect agent components that are installed on the device. Applying
an agent setting to an agent component that isn't installed won't install that component or have any
effect.
The default agent setting option is to Keep agent's current settings. Use the Edit button to modify an
existing agent setting and the Configure button to manage all settings for a component.
Evaluates the variable at the client and returns success or fail based on the comparison. There is no
case-sensitivity with string comparisons. This is useful for controlling the branching flow of If/Else
conditions. For more information on conditions, see "Provisioning template conditionals" (469).
The variables you can compare depend on what is available from the device Inventario and the
template. BNF database query syntax is also supported. Note that new devices may have no or
limited Inventario data available.
Configure agent (system configuration section only)
The configure agent action lets you select an agent configuration to install on the provisioned device. This
action should be the first thing done afterthe reboot that follows the OS install actions. Configurations are
added to the drop-down list as you create them in Agent configuration. This action can only be completed as
479
IVANTI ENDPOINT MANAGER
part of a template that includes either the Scripted install or Deploy image actions, or if the client machine
has already been configured with an agent.
• Configuration name: The name of the configuration. Select a configuration from the list of
valid agent configurations.
• Reboot if required: Select this check box to allow the device to reboot after agent
configuration, if a reboot is required.
When you install a new service pack, the agent configuration database IDs change. This means that the
templates referencing those configurations become outdated. As a result, any provisioning history
referencing those configurations will be unable to display the name of the configuration it once referenced,
and any template referencing the old configurations will need to be updated before it will run correctly. The
configuration name is not displayed in the History page, and if you try to re-schedule this template, it will fail
on the Agent Configuration action because of this problem. To fix it, you must clone the template, open the
cloned template, open the Agent Configuration action, and assign the configuration you want to use. Then
the task will run successfully.
The configure agent action lets you select an agent configuration to install on the provisioned
device. This action should be the first thing done afterthe reboot that follows the OS install actions.
Configurations are added to the drop-down list as you create them in Agent configuration.
The configure agent action uses preferred server credentials to authenticate to the shares. This is
set in the Content replication / Preferred servers tool. A Mac OS X server has to be set as a preferred
server for this to work. The User name and Password fields in the core server's preferred server
properties are used to access the shares.
This action inserts the provisioning agent (ldprovision) into an image so that the agent can be installed after
reboot. It is required for continued provisioning afterthe new OS starts. Forthis action to work, the following
conditions must be met:
This action should be performed as the last action in the post-OS installation section because it includes a
reboot operation.
480
GUÍA DE USUARIO
The Control service action starts, stops, or restarts a specified service. The target OS must be Windows for
this action.
The Copy file action copies files to specific locations on the target device. Both the source and
destination can be located on a share. If this is so, you must include a Map drive action prior to the
Copy file action. The Copy file action can be recursive, meaning that all files/folders below the
source path can be copied, maintaining their original structure. Wildcard characters are supported
(such as *.exe or ld*.*).
• Source path and file name: The server/share path and file name location of the file to be
copied. If you want to copy all files and folders below the source path, no file name is
necessary.
• Destination path and file name: The server/share path and file name location to copy the file
to.
• Copy subdirectories: Copies all subfolders and files below the source.
Create directory (all sections)
The Create directory action creates a directory in the specified location and can create the parent directory,
if needed.
This action allows the technician at the device being provisioned to select and install software that
was marked "customizable" in the Product to package mappings dialog box. You can access this
dialog box from the OS Provisioning toolbar by clicking Tools > Product to package mapping.
When using this action, generally add it nearthe template beginning. Once it's added, you can
configure a timeout for how long the customize mapped software prompt will appear on the device.
The default is 300 seconds. If a technician isn't thereto customize mapped software, the action will
eventually time out and whatever customizable software that was installed on the source device will
be installed on the new device.
The template must include the Install mapped software action for the changes made hereto take
effect.
Delete file (all sections)
The Delete file action removes files in specific locations on the target server. The path can be located on a
share. If this is so, you must include a Map drive action priortothe Delete file action. The Delete file action
can be recursive, meaning that all files/folders below the source path can be deleted. Wildcard characters
are supported (such as *.exe or ld*.*).
481
IVANTI ENDPOINT MANAGER
• Path and file name: Enter the full path and name of the file to be deleted.
• Delete subdirectories: Deletes all subfolders and files below the source.
Deploy image (OS installation section only)
This action deploys the selected image to the target serverthrough the use of the imaging tool you specify. If
the tool orthe image to be deployed are located on a share, you must place the Map drive action priorto the
Deploy image action in orderto authenticate to the share.
Use this action to deploy an image from a target device. This action uses preferred server
credentials to authenticate to the shares. This is set in the Content replication / Preferred servers
tool. A Mac OS X server has to be set as a preferred server for this to work. The User name and
Password fields in the core server's preferred server properties are used to access the shares.
This action runs the user migration assistant to deploy one or more profiles that have been captured and
saved. To use this action, you need to know where saved profiles have been stored.
482
GUÍA DE USUARIO
To use the user migration assistant, managed devices must have the standard IVANTI agent, which includes
the Inventario scanner, local scheduler, and software distribution agents. Profile migration uses the software
distribution agent to distribute files.
• UNC path where the profile was previously saved: Specify where the profile files are saved.
Type a UNC path or click Browse and select a path. Profiles can be saved on any available
server/share, including on the core server. Profiles are saved with a .sma extension.
• Specify full filename instead of using variables: Select this check box if you don't want to
name the profile using the unique identifiers.
• File name unique identifiers: Select any combination of the computer name, MAC address,
and serial number to create the filename of each profile. (For example, if you select Serial
number and the serial number of the machine is 123A567B, the profile name will be saved as
"123A567B.sma.")
Device name prompter (available in the PreOS installation, OS installation, and Post-OS installation sections)
Use this action to prompt for keyboard input to name the device running the OS Provisioning
Template. This is optional because without it, the name is assigned from the following two steps:
• Timeout (seconds): This sets the amount of time to allow the user at the device to input a
name for the device. If the name and typed and the "Enter" key is pressed, the timeout
continues without further waiting. If the name is not input before the time elapses, the action
defers to the variable "ldHostname" in the "ComputerName" field of the unattend script.
This action distributes a software distribution package to the target. You can choose from any distribution
package that you have saved in the Distribution packages tool. This action can only be completed afterthe
agent configuration action, or after agents have been installed on the device.
• Software distribution package: Select the package you want to distribute.
Download file (all sections)
The Download file action downloads the selected file using an anonymous user (anonymous HTTP login) to
a destination you specify. If the files to be downloaded orthe destination are located on a share, you must
place the Map drive action priorto the Download file action in orderto authenticate to the share.
• Source path and file name: The current server/share path and name of the file to be
downloaded. Downloading files from a UNC path is not supported. If you want to download a
483
IVANTI ENDPOINT MANAGER
file from a UNC path, you should use the Map drive action to map to the UNC path, then use
the Copyfile action.
• Destination path and file name: The location the file is to be downloaded to.
• Use proxy server: Enables the proxy server option to download a file. By default, this option
is disabled. If you enable a proxy server, you must fill in the address and port fields below.
• Address: Identifies the IPaddress of your proxy server.
• Port: Identifies the port number of your proxy server.
• Requires login: Allows you to enter a username and password if the proxy server is
credentialed instead of a transparent proxy server.
• User name: Enter a valid user name with authentication credentials to the proxy server.
• Use a variable for the password: Select this check box to use a variable for the
password. This variable is set in Template variables under Sensitive data type. Enter
the variable name in the Password box enclosed in percent signs (%variablename%).
For more information, see "Define a template variable" (466).
• Password: Enter the user's password. Confirm the password in the Confirm password
box.
This action uses content replication to download data from a preferred server to the target device.
The download can be a single file orthe Contenidos of a folder (including subfolders) on the source
server. To use this action, you must have configured at least one preferred server using the Content
replication tool. The choice of which preferred server is used depends on the settings you made
when you set up preferred servers in the Content replication tool.
• Source: Specify the path to the file or folder you want to download. This path must exist on all
shares that are used for preferred server downloads.
• Download directory: Select this check box to download the entire folder specified in the
Source box. If this is cleared, only the file you specify will be downloaded.
• Destination: Specify the path on the target device to which you want to copy the file or folder.
• Preferred download locations: The three check boxes let you specify which download
sources you want to use. They are listed in the order of priority: if all three boxes are
selected, a peer download is attempted first, followed by a preferred server, and finally a
source download.
• Attempt peer: Select this check box to first attempt a peer download. The replicator will
first check local peers for source files that it is replicating. If the replicator can't find
the files on a peer, it will then attempt to get the file from a preferred server or the
source server. This option can reduce the traffic load on preferred and source servers.
• Attempt preferred server: Select this check box to download from a preferred server. If
the replicator can't find the file on a preferred server, it will then attempt to get the file
from the source server.
• Allow source: Select this check box to download from the file source. This is
recommended only as a secondary option if a peer download or preferred server
download can't be completed.
484
GUÍA DE USUARIO
• Bandwidth used from core or preferred server: Adjusts the priority of this specific task over
other network traffic. The higher the percentage slider is set, the greater the amount of
bandwidth being used by this task over any other traffic. WAN connections are usually
slower, so it is most often recommended to set this slider at a lower percentage.
• Bandwidth used peer-to-peer: Adjusts the priority of this specific task over other network
traffic. The higher the percentage slider is set, the greater the amount of bandwidth being
used by this task over any other traffic. LAN connections are usually fasterthan WAN
connections, so it is most often recommended to set this slider at a higher percentage than
that of the WAN.
Execute file (all sections)
The Execute file action executes the selected file on the targeted server, along with any command-
line parameters or return codes you specify.
• Target path and file name: The location of the file you want to execute.
• Command-line parameters: Enter any command-line parameters that customize the way the
file is executed.
• Working directory: The program will be executed with reference to this directory. Any
supporting files of the program should reside in this directory. Command-line parameters
start from this reference point.
• Expected return value: The value expected to be returned by the application upon execution.
Can be Any, equals (=), less than (<), greater than (>), or Between. If the value is to be
anything other than Any, enter the values to be expected in the boxes provided.
• Insert: Opens the Environment variable dialog box, where you can add an environment
variable and its value.
• Name: Type the name of the environment variable of the file. Use double percent signs
to specify environment variables (for example, %%windir%%\system32\calc.exe).
• Value: Enterthevalueofthevariable.
• Modify: Modify the selected variable.
• Capture command output: When this check box is selected, output from the executable is
written to a log file. Clear the check box to avoid capturing the output.
Hardware-independent imaging (Post-OS installation only)
This action is only included in the System configuration or the Post-OS installation section for
templates based on the Windows preboot environment. After the OS is installed, but before the
device reboots, the HII tool detects the device model and retrieves drivers for that model. The drivers
are installed onto the device and their information is included in the registry. After a reboot, when
485
IVANTI ENDPOINT MANAGER
You can also use HII to associate SWD packages with drivers. This works well with drivers that are
only in an executable (.EXE) format.
• Using UNC to download driver files: select this check box to specify that only UNC is used to
access the HII repository.
If you use this action, include a Reboot action after it in the Post-OS installation section.
This action injects a script into the target OS filesystem. For example, you can inject sysprep.inf into the
Deploy image action or unattend.txt into a Scripted install action. The scripts that you can select are those in
the Install scripts list (accessed from the Install scripts button on the Provisioning toolbar) that can be
applied to the current template.
Injecting a script copies the file to the local machine and also replaces any variables within the file. This
action is useful when you want to replace variables in any text file, such as a Windows Sysprep answer file.
This action installs software detected on a target device which is monitored in the Software License
Monitoring tool (for more information, see "Informacion general sobre la monitorizacion de licencias
de software" (362)).
Use this action to install software using the rapid software deployment feature as configured in the
Product to Package Mapping tool, which can be launched by clicking the Product to Package
Mapping icon "lion the OS provisioning toolbar.
In the Product to Package Mappings tool, you can assign SLM Products to distribution packages.
This assignment sets which software will be installed on the newly provisioned device. The ability to
make these assignments enables upgrading an older version of software to a newer version, as part
486
GUÍA DE USUARIO
of an OS Provisioning task.
• SLM Products: Populates with all software applications in the SLM tool's Monitored section.
• SWD Packages: Shows all distribution packages that are created and available to be installed.
• Remove Assignment: Allows removing the assignment so the software will NOT be deployed
as part of the Install Mapped Software action.
• Critical: Selecting this checkbox is analogous to selecting the Stop processing the template if
this action fails checkbox for a template action. When selected, if the particular software fails
to install, the action fails and will NOT continue to install other software associated as a part
of the Install Mapped Software action. When unchecked, even if the particular software
package fails to install, the task will continue to install other distribution packages assigned
to SLM products. (All software which is attempted to be installed by the action is logged in
the OS Provisioning Template History.)
• Disable: Selecting this checkbox means that although a product may be assigned, it will NOT
be installed as a part of the Install Mapped Software action. The use case scenario for
selecting this is fortesting purposes. While testing, do not install the software which has the
Disable box selected, while you test other software as a part of this action, then, after all
testing is complete, you can clear the Disable box and have the action install all assigned
software.
Use this action to have the device join a domain orworkgroup. For domains, you will also need to provide
credentials for an account that has rights to add devices to domains.
487
IVANTI ENDPOINT MANAGER
• Password: Enter the corresponding password to the username above. Confirm the password
in the Confirm password box.
Use this action to launch another template as the next action, by clicking Select New Template. This
action will start a new template targeting the device matched in the Machine Mappings tool. If no
device is matched, the device will target itself, allowing templates to be chained.
The use case for this is when a user has a device that is being replaced with a new device. The OS
Provisioning template can capture a profile and other information from the original device, and then
the Launch Template action can deploy the desired operating system and the profile (captured from
the original device) onto the new device, as well as continue installing desired software on the new
device.
For more information on machine mapping, see "About the Machine Mapping tool" (453).
Use this action to map or unmap (disconnect) a drive on Windows devices, or for Linux devices,
connect or disconnect to a resource. Note that some systems do not accept drive mappings below
drive H.
• Map/Unmap a drive: Select whether this action is to map or unmap (disconnect) a drive, or to
connect or disconnect a resource (Linux devices).
• UNC path: Enter the server and share you want to map to.
• Resource path to disconnect: When disconnecting a resource, specify the path to be
disconnected.
• Drive letter/Mount point: Enter the drive letter you to map the path to. If you chose to unmap a
drive, type the name of the drive you want to disconnect. For Linux, specify the mount point
on which the resource or filesystem is mounted.
• User name: Enter the name of the user credential to log on to the drive.
• Use variable for the password: Select this check box to use a variable for the password. This
variable is set in Template variables under Sensitive data type. Enter the variable name in the
Password box enclosed in percent signs (%variablename%). For more information, see
"Define a template variable" (466).
• Password: Enter the corresponding password to the username above. Confirm the password
in
the Confirm password box.
488
GUÍA DE USUARIO
This action maps a drive on the target device to a path on a preferred server (or the source server).
The drive mapping stays in effect until the drive is explicitly unmapped (disconnected), so you
should include an Unmap action in a template after an action that downloads data from a preferred
server. To use this action, you must have configured at least one preferred server using the Content
replication tool. The choice of which preferred server is used depends on the settings you made
when you set up preferred servers in the Content replication tool.
• Drive letter: Enter the drive letter you want to map the path to. If you chose to unmap a drive,
type the name of the drive you want to disconnect.
• Unmap drive: Select this check box if the action is to unmap a drive. The action will simply
unmap (disconnect) the drive you specified in Drive letter.
• Path: Enter the path to the drive in UNC format (\\sharename\path). This path must exist on
the source server and all shares that are used for preferred server downloads.
• Attempt preferred server: Select this check box to first attempt to map the drive to the nearest
preferred server that contains the specified folder structure. If no preferred server is found
with the folder structure, an attempt will then be made to map the drive to the path on the
source server.
• Require preferred server: Select this check box to map the drive to the nearest preferred
server that contains the specified folder structure. If no preferred server is found with the
folder structure, the task fails (rather than map to the source server).
• Don't allow preferred server: Select this check box to map the drive to the path on the source
server, without mapping to a preferred server.
Mount ISO (Mac OS X, all sections)
489
IVANTI ENDPOINT MANAGER
The Partition action lets you complete a variety of actions relating to partitions on the target server.
Select partition actions from the Action type list. The actions are listed below.
NOTE: The boot environment and target OS must be set prior to executing this action.
O
Create partition: Create a partition on the specified disk.
• Disk: Type the disk ID. On Windows, it is the disk number. On Linux, it is the name of the disk.
• Partition type: Select the partition type. This can be Primary, Extended, or Logical.
• Size: The size of the partition to be created, in MB.
• Offset: A number (in 8-bit byte format) indicating how far into the disk you want to create the
partition.
• Start: The start position of the partition (cylinder number).
• Remove from disk: Type the disk ID. On Windows, it is the disk number. On Linux, it is the
name of the disk.
• Partition ID: The partition number to be removed.
• Remove from disk: Type the disk ID. On Windows, it is the disk number. On Linux, it is the
name of the disk.
• Logical disk drive letter: The drive letter of the partition to be formatted (Windows).
• File system: For Windows, the file systems are FAT, FAT32, and NTFS. For Linux, the file
systems are ext2, ext3, reiserfs, and linux-swap.
• Quick format: Select this check box to perform a quick format on the partition.
490
GUÍA DE USUARIO
• File path to mount: The name of the partition to be mounted. The mount point must exist
(Linux).
• Logical disk drive letter to create: The drive letter of the partition to be mounted (Windows).
Unmount partition: Unmount a partition.
The Partition action lets you complete a variety of actions relating to partitions on the target server.
• Action type: Use this field to select a partition action. Option include: create a partition,
remove all partitions, format a partition, mount a partition, unmount a partition, or resize a
partition. NOTE: The Boot environment and target OS must be set prior to executing this
action.
• Disk ID: Type the disk ID (Windows: disk number) or (Linux: name of the disk).
• Partitions: Use this field to select and name partitions.
You can specify a size in MB or a percentage of the disk. Be sure the amount of disk space exists.
This action will overwrite anything that currently exists. If you do not specify a size on a partition,
(this can only be left empty on the last partition) the remainder of the disk will be assigned the last
partition.
491
IVANTI ENDPOINT MANAGER
The Patch system action scans the target device for vulnerabilities and remediates them. This action
can only run after a Configuration action that installs the Software updates agent is run.
• Scan and remediate group: Scans the machine for vulnerabilities and fixes the vulnerabilities
included in the group.
• Vulnerability ID: A valid vulnerability ID from Patch Manager. If the ID is not valid, the action
will fail.
• Group ID: A valid group ID from Patch Manager. If the ID is not valid, the action will fail. You
can click the Group ID list button to select a vulnerability group that you have created.
The core vulnerability definitions should be updated prior to executing this action. All patches to be
remediated must be downloaded on the core before executing either remediation option in this
action.
Reboot or shut down the server. A reboot must immediately follow the OS install action. Upon
reboot, the provisioning agent restarts the template to continue the progression of provisioning
tasks. Use the Reboot action to move from System migration section to OS sections or OS sections
to System configuration section. Multiple reboots are supported.
• Boot to managed WinPE (virtual boot): Boot the client machine into a managed WinPE
environment. Actions will be executed as instructed by the core server. This option is for use
when there is no PXE server in the network for provisioning.
• Confirmation message timeout: Specify the number of seconds that a confirmation message
is displayed before it times out.
• Source path and filename: The path and filename of the file to have text replaced.
• Find what: The existing text that is to be replaced.
• Replace with: The text that is to take the place of the existing text.
• Replace first occurrence, Replace all occurrences: Replace the new text either the first time it
is encountered or every time it is encountered.
Scripted install (OS installation section only)
Install an operating system through the use of custom scripts. There can only be one action that installs an
OS.
492
GUÍA DE USUARIO
Windows
• UNC path to installation source: This is a path where the executable file is found within the
installation source. This must have been mounted within the Pre-OS Install section (Map drive
action).
• Domain and user name: Enter a domain and user name to log on to the device on which the
executable file resides.
• Use variable for the password: Select this check box to use a variable for the password. This
variable is set in Template variables under Sensitive data type. Enter the variable name in the
Password box enclosed in percent signs (%variablename%). For more information, see
"Define a template variable" (466).
• Password: Enter the password to log on to the device. Confirm the password in the Confirm
password box.
• Additional parameters passed to setup: Parameters to be passed to the install file when it is
executed. For Winnt32, the Provisioning handler automatically fills in the unattend (/unattend)
and the source arguments (/s). These are generated from the path that was given in the
Winnt32 path, and from the script that has been selected.
• Installation script: The unattend file used when installing the operating system.
• Force reboot: Select this check box to require a reboot after the OS has been installed.
Linux
• Location of the initrd: The location of the Initial RAMdisk file. The default is
/x86pc/undi/provlinux/initrd.img.
• Kernel location: The location of the Linux kernel.
• Additional parameters passed on boot: Parameters to be passed to initrd when it is executed.
• Installation script: The unattend file used when installing the operating system.
• Source path and file name: The path and file name of the package to be unzipped.
• Target path: The location where the package is to be unzipped. If this is an existing
directory/folder, any duplicate filenames will be overwritten.
• Create target directory if it doesn't already exist: If the target does not exist, select this check
box to create it automatically.
This action adds or removes keys or values to the registry, or imports a registry (.reg) file. Editing the
registry incorrectly may damage your system, potentially rendering it inoperable. Before making changes
to the registry, you should back up any valued data on your computer.
493
IVANTI ENDPOINT MANAGER
Pause the template execution for a specified time or until a required file has been created.
• Time: Pause the template execution for a period of time.
• Number of seconds to wait: Type the number of seconds for which to pause the template.
• File: Pause the template execution until a file has been created.
• Wait for file to exist: Pause the action until the specified path and file exists. This is useful
when an action requires an application to install a file. When the file is created, the next
action in the template is executed.
• Maximum number of seconds to wait: Type the number of seconds to wait for the file to be
created. If the time passes and the file isn't created, the template continues with the next
action.
Act upon a target device with a Windows 8 or later OS. These options call the Windows actions for
Update and recovery.
• Reset: If you want to recycle your PC or start over completely, you can reset it to its factory
settings. Select this option to remove everything and reinstall Windows. This will use the
.wim file included in a default image without reformatting the drive.
• Fully clean the drive: Select this checkbox to format the drive prior to overwriting the
drive with the .wim file.
• Use default local WIM: Select this checkbox to use the .wim file included in the default
OS.
• UNC path including WIM filename to use: Type the UNC path and file name of the .wim
file to use. The Use default local WIM checkbox must be cleared to enable this option.
• Refresh: Select to refresh the target PC without affecting the user profile items, such as My
494
GUÍA DE USUARIO
Documents, My Music, My Pictures, and so on. This uses a .wim file to overwrite the drive
without affecting the user profile items.
• Use default local WIM: Select this checkboxto use the .WIM file included in the default
OS.
• UNC path including WIM filename to use: Type the UNC path and file name of the WIM
file to use. The Use default local WIM checkbox must be cleared to enable this option.
• Create and assign local WIM: Select to refresh the image with the .wim file included in the
default OS.
• UNC path including WIM filename to use: Type the UNC path and file name of the .wim
file to use and replace as the local .wim file for future use.
• Assign specified image as local WIM: Select to refresh the image with the .wim file designated
in the UNC path including WIM filename to use field.
• UNC path including WIM filename to use: Type the path and file name of the .wim to
use to refresh the image.
Template properties
Use the template Properties view to display the template information from the time the template was
created.
Templates in the My templates folder are visible to others but can only be edited by the template's
creator or users with Administrator rights.
495
IVANTI ENDPOINT MANAGER
PXE-based deployment is a useful way to image devices in a variety of situations, such as:
IVANTI Endpoint Manager offers several options for using PXE to deploy OS images:
• IVANTI managed boot, which lets you pre-target devices for imaging
• A PXE boot menu, which lets you interactively select an option for a device
• A PXE holding queue, which automatically adds devices to a queue when they PXE boot
496
GUÍA DE USUARIO
When a PXE-enabled device boots up, it sends out a DHCP discovery request. If a DHCP server
implementing PXE is found, the server assigns an IP address to the device and sends information
about available PXE boot servers. After completing the DHCP discovery process, the device
contacts the PXE server and downloads an image file through TFTP. The imaging script is then
executed, loading the OS image from the imaging server onto the device. The image file is
referenced by an provisioning script.
To learn more about PXE and its underlying technologies and functionality, read the PXE
Specification v2.1 located at
http://download.intel.com/design/archives/wfm/downloads/pxespec.pdf.
Devices on each subnet use normal PXE query and file transfer methods to communicate with their
resident PXE representative, which communicates with the core server using Web services (HTTP).
You need to deploy one PXE representative on each subnet where you want to provide PXE boot
support. Set up a PXE representative by running the PXE Representative Deployment script on the
selected device. This predefined script is available in the Distribution packages tool (click Tools >
Distribution > Distribution packages, then click the All packages folder).
You can have multiple PXE representatives on a subnet to help with load-balancing. When this is
the case, the first PXE representative to respond to a device's request is the one that will be used to
communicate with the core server.
NOTE: We recommend that you do not deploy a PXE representative on your core server.
There are no special hardware requirements for the device you select to be a PXE representative,
but it must be running Windows and have the standard Ivanti agent on it.
497
IVANTI ENDPOINT MANAGER
When you modify a Windows PE image in anyway, the changes you make must be transferred to all
PXE representatives. Normally this is done by re-deploying the PXE representatives, which can take
up bandwidth andtime. For information about scripts you can usethat simply copythe updated
Windows PE image to all PXE representatives, see the following document at the IVANTI User
Community:
https://community.Ivanti.com/support/docs/DOC-7619
498
GUÍA DE USUARIO
When a PXE-enabled device boots up, a DHCP request attempts to initiate a PXE session by looking
for a server (or proxy) running PXE services software (PXE and MTFTP) services. If the device
discovers a PXE server, the PXE boot prompt displays on the device for a specified number of
seconds. Press the F8 function key during this countdown to access the PXE boot menu and select
an OS image to deploy on the device.
4. Type a message in the Message box. The default message is "Press F8 to view menu." The
maximum number of characters you can type is 75 characters.
Changes to PXE boot options immediately take effect on all PXE representatives.
499
IVANTI ENDPOINT MANAGER
Hardware-independent imaging helps resolve common problems with imaging managed devices.
For example, the hardware abstraction layer (HAL) .dll files need to be accurately chosen or the
device may reboot to a black screen after imaging. Operating systems typically don't have the ability
to recognize mass storage devices correctly, so it's important to have the right drivers when
imaging. Also, manufacturers often have hardware-specific plug-and-play device drivers or they
build driver dependencies into their applications, so it's possible to create new problems when
imaging a device with the wrong drivers. With the hardware-independent imaging tool in IVANTI
Endpoint Manager you can avoid these types of problems and have greater control over the use of
drivers in your managed devices.
You can use hardware-independent imaging with images from any imaging tool. You can define the
images with the tool you prefer then create imaging scripts in Endpoint Manager that incorporate
the HII tool. If you already have images created with another tool, you'll be able to re-use them rather
than create new scripts.
A simplified description of the HII process is as follows. Details about the specific steps you'll need
to follow and considerations for different types of images are described in the related help topics
listed at the end of this topic.
1. When you deploy an image created using HI I, the imaging script boots the device to
the Windows preboot environment. In the preboot environment, the HII tool will
select the appropriate HAL .dll file and load it.
2. The OS is installed on the device, but before the OS boots, the HII imaging script determines
which drivers are required by the device and copies the driver files to the device's hard disk.
3. The drivers are added to the device's registry, so that when the OS boots, the Windows setup
detects the new drivers, installs them, and configures the device with the drivers.
4. Windows then restarts with the drivers running and the IVANTI agent is installed.
500
GUÍA DE USUARIO
Store the drivers in one location on a preferred server and ensure that the path is accessible by both
UNC and HTTP methods.
If HII isn't assigning the right drivers in some cases, manually assign the drivers you want in the HII
Assign dialog box.
When the hardware-independent imaging tool runs it will detect the device manufacturer and model
and then download the associated drivers and install them on the device during the imaging
process.
Related topics
This location needs to be available as a UNC path and also as an HTTP location (URL) because HI I
relies on both methods to download drivers.
Your HII driver repository must be located on a preferred server, which you can define in Tools >
Provisioning > Content Replication/Preferred Servers.
To create a repository, you need to save the driver files in a folder. You must include a .inf file for
each driver. The HII tool scans the folder and creates a drivers.db3 file that is used to match device
hardware with the appropriate drivers.
6. Each time you add driver files to the repository folder, repeat steps 1-5 to update the
drivers.db3 file with the new data.
501
IVANTI ENDPOINT MANAGER
When you install Endpoint Manager agents on a computer, the agents send that computer's HII
driver detection information to the core server. That computer model is then available in the HII
Driver Management dialog box, where you can preview and customize HII driver detection for that
model.
When manually assigning HII drivers, you can usea mix of manually-assigned and auto-detected
drivers.
There are three ways you can customize HI I driver detection and installation:
• .inf File: Select specific driver .inf files found in your driver library.
• Driver Package: Select software distribution packages that can install drivers.
• Auto Detection: Select a device and preview HII driver detection for it. You can then assign
new drivers manually from your library if necessary.
502
GUÍA DE USUARIO
5. To specify that only UNC is used to access the HII repository, select the Using UNC to
download driver files check box.
6. If you want to allow unsigned drivers, select Force unsigned drivers to install.
7. Click Apply to save the HII action with the template, then add any other actions to the
template. Note that you should include a Reboot action in the Post-OS installation section
after the HII action.
8. Modify any other variables, included templates, or other settings for the template, and click
OK when you have finished.
503
IVANTI ENDPOINT MANAGER
IVANTI SmartVue
Bienvenido a IVANTI SmartVue
Utilice IVANTI® SmartVue para ver la informacion clave de los procesos de TI que tengan impacto
sobre la productividad del usuario, el rendimiento del sistema y la seguridad extrema. SmartVue
muestra el valor de TI de la organizacion y es ideal para GO,jefes de departamento, y directores de
TI que necesiten informacion oportuna para la toma de decisiones y las conversaciones
empresariales. De forma predeterminada, SmartVue se instala en cada servidor central.
SmartVue le ofrece datos para compartir sobre exitos, retos o necesidades del departamento de
TI. Tambien se puede utilizar para realizar un seguimiento de objetivos, acuerdos a nivel de
servicios o indicadores de rendimiento clave.
Con SmartVue, vera graficos visuales y organigramas en su iPhone o iPad, que se generan a partir
de datos de administracion y de seguridad almacenados en el servidor central de IVANTI, como:
• Dispositivos administrados
• Sistemas operativos
• Procesos de revision
• Administracion de energfa
• Aprovisionamiento
• Control remoto
• Seguridad
• Software
• Distribucion de software
• Actualizaciones de Windows
En el Tablero de resultados puede ver los graficos de SmartVue que muestran los datos del
servidor central. No obstante, para ver los datos agregados de todos los servidores, debe verlos
en la aplicacion de SmartVue.
504
GUÍA DE USUARIO
Cada widget de la aplicacion iOS SmartVue funciona mediante una serie de consultas a la base de
datos. Estas consultas se deben ejecutar con regularidad, entonces la aplicacion mostrara los datos
basandose en la ultima vez que se ejecutaron dichas consultas. Para obtener mas informacion,
consulte "Modificar los widgets de SmartVue" (509).
Cuando ejecute SmartVue por primera vez en el servidor central, debena iniciar inmediatamente un
ciclo de recopilacion de datos para que disponga de datos que visualizar en la aplicacion.
505
IVANTI ENDPOINT MANAGER
Herramientas > Distribution > Tareas programadas, y haga clicen Todas las tareas >
SmartVue.
Si se va a conectar a una fuente de datos personalizada, puede introducir su propio nombre. Tenga
en cuenta que el nombre de Fuente de datos, que distingue mayusculas y minusculas, tambien se
debe introducir en el archivo de configuracion del widget .XML que hace referencia a la misma. El
atributo que debe coincidir es <DataDefinition datasource="">.
2. Haga clic en Agregar o seleccione una fuente de datos existentey haga clic en Editar.
3. Introduzca la informacion de la fuente de datos y las credenciales de la base de datos.
4. Haga clic en Aceptar.
506
GUÍA DE USUARIO
En la pagina Ubicacion del dialogo Configuration de SmartVue, seleccione LDAP. La pagina muestra
una muestra de la ruta de ubicacion que ha encontrado el rastreo del inventario. El cuadro de texto
que aparece bajo la ruta de muestra lista los elementos de la ruta basandose en el delimitador que
haya especificado (por defecto, /). Seleccione el elemento de la ruta que contenga el texto de
ubicacion que desee que utilice SmartVue.
507
IVANTI ENDPOINT MANAGER
Una vez completados estos prerrequisitos, podra iniciar sesion en el servidor central.
Una vez la aplicacion se haya conectado, podra navegar los datos que haya recopilado la utilidad de
recopilacion de datos. Consulte la pantalla de ayuda si tiene dudas sobre como utilizar la aplicacion:
76% K>
Favorrtos
Seleccione de la lista de
categories
Presion
e y
manten Seleccione un fittro de
ga un ubicacidn
grafico para anadir a favorites
Seleccione un filtro de
tiempo
Renovar vista actual
Configurar la aplicacibn
508
GUÍA DE USUARIO
La aplicacion iOS se conecta al servidor central para obtener datos del widget cuando muestra por
primera vez una categona y cuando cambia las categonas. Navegar dentro de una categona no
iniciara las actualizaciones de datos del widget.
509
IVANTI ENDPOINT MANAGER
Cuando SmartVue esta configurada, se puede acceder a la aplicacion web desde aqm:
• http://<corename>/smartvueweb
Si se utiliza el dispositivo IVANTI Cloud Services y desea acceder a SmartVue desde Internet, utilice
URL con los siguientes formatos:
• https://<CSA_public_name>/rtc/<corename>/smartvueweb
Para otros navegadores (tenga en cuenta la barra diagonal [/] que aparece al final de la URL):
• https://<CSA_public_name>/rtc/<corename>/smartvueweb/
Arquitectura de SmartVue
Los servidores centrales disponen de tres servicios web. Los servicios web utilizan el servicio de
token STS existente en el servidor central para la autenticacion/seguridad.
• SmartVueData
• SmartVueLocationData
• SmartVueQueryLocations
• SmartVueWidgets
• SmartVueUserWidgets
• SmartVueConnections
• SmartVueSettings
510
GUÍA DE USUARIO
Con enlaces lentos, se instala LDGatherData.exe a nivel local. Entonces podra programarlo para que
se ejecute cuando desee. Cuando se ejecuta, obtiene los archivos XML mas recientes desde el
punto del servidor central y publica los datos en el punto de los servidores centrales del servicio
web de SmartVueData.
• C:\Program Files\IVANTI\ManagementSuite\SmartVueDef.
NOTE: Cuando se ejecuta el programa LDGatherData.exe de SmartVue, este crea una carpeta .\SmartVue que
tambien contiene archivos XML. No edite estos archivos. Si modifica un archivo .\SmartVueDef XML, el archivo
correspondiente de .\SmartVue quedara sobrescrito cuando se ejecute LDGatherData.exe.
Asegurese de que crea una copia de seguridad de todos los archivos XML que planee editar antes
de realizar cualquier cambio.
Las secciones siguientes ofrecen mas informacion sobre los atributos del elemento XML.
511
IVANTI ENDPOINT MANAGER
</DataDefinition>
• id: La Id. unica para esta definicion. Esta Id. se utiliza en la cadena de consultas del
navegador. No puede contener espacios o caracteres como &.
• datasource: El tipo de fuente de datos de la base de datos. Distingue entre mayusculas y
minusculas y debe coincidir exactamente con la Fuente de datos que especifico en el cuadro
de dialogo Agregar base de datos (Configurar > Configuration de SmartVue > Base de datos,
haga clic en Agregar o Editar).
</Definition>
• name: El tftulo del widget. Este nombre se utiliza en la condicion DONDE de la seccion
<TotalSQL>.
• seriesData: Especifique "bymonth" si es para datos de widget basados en tiempo.. Puede ver
ejemplos en Remotecontrol.xml. Esto funciona bien con plantillas basadas en barras.
<SQL>
<TotalSQL>
512
GUÍA DE USUARIO
La orden y los nombres de las columnas son importantes. El nombre de la columna debe aparecer
en primer lugar. Si quiere al diferente a "Data Count" o "Count", debera nombrar la primera columna
DataName (seleccionar a.columname DataName, ...). El recuento debe aparecer en la segunda
columna, en la lista de seleccion, y debe denominarse DataCount. Si cuenta con datos de fila, debe
ser una SUM. (seleccionar a.columnname DataName, SUM(a.DataCount) DataCount,...).
Si desea que los datos se muestren por fecha (en el eje y), la ultima columna de la clausula SELECT
debe ser ReportDate (seleccionar a.columnname DataName, SUM(a.DataCount) DataCount,
a.ReportDate FROM...).
#SVTABLE# es un lugar de marcador que se utiliza para determinar si las consultas buscan datos
espedficos por ubicacion o no. Este marcador se sustituye de manera dinamica.
<LocationSQL>
Ajuste las ubicacion del servidor de referencia haciendo clic en Configurar > Configuration de
SmartVue > ubicacion. Puede definir las ubicaciones basandose en un directorio LDAP, en una
cadena de prefijos del nombre de dispositivo del equipo o en una consulta publica de LDMS. Solo
puede escoger una.
<Controls>, <Control>
Define los datos de la fila o la columna y los tftulos que debera mostrar el widget. Actualmente,
SmartVue no utiliza esta seccion.
Activar widgets
Cuando se anaden o se modifican archivos XML de la carpeta C:\Program
Files\IVANTI\ManagementSuite\SmartVueDef, los cambios no seran visibles en la aplicacion movil
de SmartVue hasta que se ejecute el programa de recopilacion de datos:
• C:\Program Files\IVANTI\ManagementSuite\LDGatherData.exe
513
IVANTI ENDPOINT MANAGER
• Nombre en pantalla: Nombre descriptivo para la fuente de datos. Este nombre aparece en la
lista principal de la base de datos de configuracion de SmartVue.
• Servidor: Nombre del equipo que aloja la base de datos a la que va a anadir una conexion.
• Base de datos: Nombre de la base de datos del servidor que especifico.
• Nombre de usuario y contrasena: Credenciales de la base de datos que dan acceso a la
misma.
Cuando haga clic en Aceptar, SmartVue utilizara la informacion que haya proporcionado para
conectarse a la base de datos. Si la conexion falla, vera un mensaje de error con informacion
adicional.
514
GUÍA DE USUARIO
515
IVANTI ENDPOINT MANAGER
Local accounts
Informacion general sobre cuentas locales
Las cuentas locales constituyen una herramienta administrativa que se utiliza para administrar los
usuarios y grupos en los equipos locales de la red. En la consola puede agregary eliminar usuarios
y grupos, agregary eliminar usuarios de los grupos, definiry cambiar contrasenas, modificar las
configuraciones de usuarioy de grupo, y creartareas para restablecer contrasenas en varios
dispositivos. Para que funcione la administracion de cuentas local, el Agente de IVANTI estandar se
debe instalar. Si un dispositivo se encuentra apagado o desconectado de la red, no podra utilizar las
cuentas locales para administrar el dispositivo.
O NOTE: al utilizar las cuentas locales, el servidor central se comunica con otros dispositivos casi en tiempo
real.
1. En la Vista de red de la consola haga clic en Dispositivos > Todos los dispositivos.
2. Haga clic con el boton derecho en el dispositivo que desee administrar y seleccione
Administrar usuarios y grupos locales.
3. En el cuadro de dialogo Usuarios y grupos locales, haga clic con el boton derecho en Grupos
y haga clic en Agregar.
1. En la Vista de red de la consola haga clic en Dispositivos > Todos los dispositivos.
2. Haga clic con el boton derecho en el dispositivo que desee administrar y seleccione
Administrar usuarios y grupos locales.
516
GUÍA DE USUARIO
1. En la Vista de red de la consola haga clic en Dispositivos > Todos los dispositivos.
2. Haga clic con el boton derecho en el dispositivo que desee administrar y seleccione
Administrar usuarios y grupos locales.
1. En la Vista de red de la consola haga clic en Dispositivos > Todos los dispositivos.
2. Haga clic con el boton derecho en el dispositivo que desee administrar y seleccione
Administrar usuarios y grupos locales.
3. En el cuadro de dialogo Usuarios y grupos locales, haga clic con el boton derecho en
Usuarios y haga clic en Agregar.
1. En la Vista de red de la consola haga clic en Dispositivos > Todos los dispositivos.
2. Haga clic con el boton derecho en el dispositivo que desee administrar y seleccione
Administrar usuarios y grupos locales.
1. En la Vista de red de la consola haga clic en Dispositivos > Todos los dispositivos.
2. Haga clic con el boton derecho en el dispositivo que desee administrar y seleccione
Administrar usuarios y grupos locales.
517
IVANTI ENDPOINT MANAGER
1. En la Vista de red de la consola haga clic en Dispositivos > Todos los dispositivos.
2. Haga clic con el boton derecho en el dispositivo que desee administrar y seleccione
Administrar usuarios y grupos locales.
1. En la Vista de red de la consola haga clic en Dispositivos > Todos los dispositivos.
2. Haga clic con el boton derecho en el dispositivo que desee administrar y seleccione
Administrar usuarios y grupos locales.
1. En la Vista de red de la consola haga clic en Dispositivos > Todos los dispositivos.
2. Haga clic con el boton derecho en el dispositivo que desee administrar y seleccione
Administrar usuarios y grupos locales.
518
GUÍA DE USUARIO
1. En la Vista de red de la consola haga clic en Dispositivos > Todos los dispositivos.
2. Haga clic con el boton derecho en el dispositivo que desee administrar y seleccione
Administrar usuarios y grupos locales.
1. En la Vista de red de la consola haga clic en Dispositivos > Todos los dispositivos.
2. Haga clic con el boton derecho en el dispositivo que desee administrar y seleccione
Administrar usuarios y grupos locales.
1. En la Vista de red de la consola haga clic en Dispositivos > Todos los dispositivos.
519
IVANTI ENDPOINT MANAGER
2. Haga clic con el boton derecho en el dispositivo que desee administrar y seleccione
Administrar usuarios y grupos locales.
Si lo prefiere, aun puede utilizar el sistema de administracion de cuentas locales nativo para
administrar las cuentas locales. Puede tener acceso a los dispositivos de forma directa, controlar
los equipos desde la consola de forma remota o utilizar una herramienta de terceros para el acceso
a los dispositivos y la realizacion de tareas administrativas.
Para obtener mas informacion sobre el uso de la consola para realizar la administracion de cuentas
locales, consulte "Informacion general sobre la administracion basada en roles" (54).
Utilice este cuadro de dialogo para crear un nuevo usuario. Para obtener mas informacion, consulte
"Administrar usuarios locales" (515).
520
GUÍA DE USUARIO
Utilice este cuadro de dialogo para modificar las propiedades del usuario. El cuadro de dialogo
consta
de tres pestanas de configuracion, General, Miembro dey Perfil.
Para obtener mas informacion, consulte "Administrar usuarios locales" (515).
Pestana de General
Utilice esta pagina de configuracion para especificar el nombre, el nombre completo y la descripcion
del usuario. Tambien se pueden cambiar algunas propiedades de cuenta.
• Nombre de usuario: especifica el nombre del usuario (si esta disponible).
• Nombre completo: especifica el nombre completo del usuario.
• Descripcion: especifica la descripcion del usuario
• El usuario debe cambiar contrasena en la siguiente sesion: especifica si el usuario tiene que
cambiar la contrasena durante el inicio de sesion en la consola.
• El usuario no puede cambiar la contrasena: especifica si el usuario puede cambiar la
contrasena.
• La contrasena nunca vence: especifica si la contrasena se vence.
• La cuenta esta desactivada: especifica si la cuenta esta desactivada.
• La cuenta esta bloqueada: si una cuenta esta bloqueada, esta opcion esta disponible. En
general, las cuentas se bloquean cuando el usuario ha tratado de iniciar sesion a su cuenta
sin exito mas de tres veces en una sesion. Esta opcion desbloquea la cuenta de manera que
el usuario pueda autenticarse en el sistema operativo.
Pestana de Miembro de
Utilice esta pagina de configuracion para especificar la informacion de cuenta del usuario.
• Ruta de acceso del perfil del usuario: especifica la ruta de red a la cuenta y al perfil
521
IVANTI ENDPOINT MANAGER
del usuario.
• Secuencia de comandos de inicio de sesion: especifica las secuencias de comandos de
inicio de sesion.
• Ruta de acceso local: especifica una ruta local como directorio inicial.
• Conectar: especifica un directorio de red como directorio inicial. Seleccione una unidad e
inserte la ruta de red.
Acerca del cuadro de dialogo de Propiedades de grupo
Utilice este cuadro de dialogo para configurar el grupo. Para obtener mas informacion, consulte
"Administrar grupos de usuarios locales" (514).
522
GUÍA DE USUARIO
• Gather and analyze detailed hardware and software Inventario data from each device
• Use the data to select targets for software distributions and to establish policies for
automated configuration management
• Manage software licenses to save costs and monitor compliance with license agreements
• Remote control devices to resolve problems or perform routine maintenance
• Protect your devices from a variety of prevalent security risks and exposures
• Keep track of your Inventario and produce informative reports.
This topic describes how to use IVANTI Endpoint Manager to manage Macintosh computers. It lists
specific information on Macintosh-related tasks, tools, features, and functionality. For more
information about using tools and features to manage your network, refer to the help topic for each
tool.
Supported OS versions
For information on supported Mac OS X versions, see this document on the Ivanti Community:
• https://community.Ivanti.com/support/docs/DOC-23848
The Default Mac Configuration package contains the required agent for controlling Macintosh
devices. In order to manage your Macintosh devices, you need to:
After the agents have been installed, your Macintosh devices become managed devices. Then you
can create custom configurations to have greater control of these devices. Custom agents are easily
implemented once your devices are managed.
523
IVANTI ENDPOINT MANAGER
To place agents on Macintosh devices that have Secure Shell (SSH) turned on, you must specify the
SSH login credentials for the unmanaged Mac devices by selecting Configure > Services > Scheduler
> Change Login from the Windows Consola. You can then use the same push-based agent
deployment you would use for Windows devices.
Deploying and installing agents on Macintosh devices that do not use Secure Shell (SSH)
To place agents on Macintosh devices that do not have Secure Shell (SSH) turned on, you will need
to decide on an alternate deployment method, such as:
• Accessing the agent from LDLogon/Mac using a Web browser and e-mailing the configuration
package to users.
• Putting the configuration package on a CD or other removable media and taking it to each
Macintosh device.
Use the Agent configuration tool to create and update (replace) custom configurations for your
Macintosh devices. You can create different configurations for your specific needs, such as
changing Inventario scanner settings, remote control permissions, or what network protocols the
agents use.
In orderto push a configuration to devices, you need to create or update an agent configuration and
then schedule the task.
Set up specific configurations for your devices. Don't use parentheses in your Macintosh agent
configuration names. Parentheses in the name will cause the deployment task to fail.
4. Click Save.
524
GUÍA DE USUARIO
You can push agent configurations to devices that have the standard IVANTI agent installed. Use the
Scheduled tasks tool to deploy your new or updated agent configuration.
4. Select the task, click the Properties button on the toolbar, and schedule a time to start the
task.
You can manually run agent configurations for Macintosh devices once they have been created or
updated. When you create an agent configuration, the following file is created in the LDLogon/Mac
folder on your core server:
The LDLogon/Mac folder is a Web share and should be accessible from any browser. Follow the
instructions for installing the agent (see "Manually running agent configurations for Macintosh
devices" (523)), but insert your agent configuration file name instead of the default file name.
This section describes the agent configuration dialog for Macintosh devices. The dialog includes the
following pages:
• Start
• Application policy management
• Inventario
• Remote control
• Standard IVANTI agent
• Patch and compliance scan
• Antivirus
• Tenant
• OSX profiles
About the Start page
• Configuration name: Type a unique name for the agent configuration.
• Default configuration: Select this check box to make this the default Macintosh agent
configuration
525
IVANTI ENDPOINT MANAGER
• Agent components to install: Standard IVANTI agent is selected by default. You can also
select IVANTI Antivirus.
• Do not run client status menu: Select this check box if you don't want end users to see the
status bar menu that lets them run installs and scans.
About the Application policy management page
Use this page to configure settings for the policy-based distribution agent.
• TCP port number: Specifies the port the policy-based distribution agent will use to
communicate with the core server. The default port is 12176. You'll need to make sure this
port is open on any firewalls between devices and the core server. If you change this port,
you'll also need to change it on the core server. You can change the port the QIP server
service uses by editing the following registry key: HKLM\Software\Intel\Ivanti\LDWM\QIPSrvr
• Run when IP address changes: If selected, a scan is triggered when the IP address changes.
• Change settings: Changes settings and configures a custom schedule based on time, day of
week or month, and whether a user is logged. The default schedule is to run a scan everyday
with a random delay of up to one hour.
About the Inventario page
• Send scan to LDMS core server: Sends the scan information to the core server database.
• Save scan in directory: The directory where the data from the scan is saved. If you select
both the core server option and this option, the scan information will go to both locations.
• Choose scan components: Select the components you want to scan. Not selecting all
components may slightly increase scanning speed.
• Force software scan: Forces the device to do a software scan with each Inventario scan,
regardless of whether the core server indicates one is due.
• Run when IP address changes: The IP address trigger sends only a mini scan to the core
server, which makes the Inventario much faster in IP address changes.
• Change settings: Changes settings and configures a custom schedule based on time, day of
week or month, and whether a user is logged in. The default schedule is to run a scan
everyday with a random delay of up to one hour.
About the Remote control page
• Local template: This is the most basic security, using whatever remote control settings are
specified on the device. This model doesn't require any other authentication or group
membership.
• Integrated security: This is the most secure option. Integrated security follows this
communication flow:
1. The remote control viewer connects to the managed device's remote control agent, but
526
GUÍA DE USUARIO
Use this page to configure agent security and management scope. For more information on agent
security, see "Seguridad del agente y certificados de confianza" (120). For more information on
scope, see "Informacion general sobre la administracion basada en roles" (54).
• Trusted certificates: Lists the certificates on the core server. The client must have a
certificate that matches the certificate on the core server for agent communication to be
authorized. These certificates are used to authenticate agent communication. You can enter a
domain name or IP address forthe client to use when communicating with the core server.
The remote control agent for Macintosh doesn't use a certificate.
• Path: Defines the device's computer location Inventario attribute. Scopes are used by role-
based administration to control user access to devices, and can be based on this custom
directory path. The path is optional.
About the Patch and compliance scan page
527
IVANTI ENDPOINT MANAGER
Use this page to configure scheduling for patch and compliance scans.
• Change settings: Changes settings and configures a custom schedule based on time, day of
week or month, and whether a user is logged in. The default schedule is to run a scan
everyday with a random delay of up to one hour.
• Use alternate update server: Specify a different core server to use for patch and compliance
updates if the main core server is not available.
• Scan and repair settings: Select the settings that you want to use for patch and compliance
scans.
• Configure: View all available scan and repair settings. Edit or create new settings and select
the settings that you want to use for patch and compliance scans.
About the Antivirus page
Use this page to specify which antivirus settings are included with the agent.
• IVANTI Antivirus settings: Select the settings that you want to use for antivirus scans.
• Configure: View all available antivirus settings. Edit or create new settings and select the
settings that you want to use for antivirus scans.
• Include Antivirus setup files: Antivirus setup files (which are 158 MB) are included when the
Macintosh agent is scheduled and downloaded to the Macintosh device.
• Exclude Antivirus setup files: When the Macintosh agent is deployed, the Antivirus setup files
are downloaded from the core server. This makes the agent package smaller.
About the Tenant page
Use this page if you have the Tenant management add-on for Endpoint Manager. You can assign an
agent configuration to a tenant within your organization.
• Assign a tenant to this configuration: Select this check box if this Macintosh agent
configuration is only used with a tenant in your organization.
• Choose a tenant: Select a tenant from the list of available tenants that have been defined in
the IVANTI Management Consola.
About the OSX profiles page
Use this page if you want to use an OSX profile with the Macintosh agent.
• Apply OSX profiles to this configuration: select this check box to use an OSX profile with this
Macintosh agent.
• Choose which OSX profiles to apply: Select the settings to use with this Macintosh agent.
• Configure: View all available OSX profile settings. Edit or create new settings and select the
settings that you want to use for this Macintosh agent.
528
GUÍA DE USUARIO
• Push the configuration to mobile devices while they are attached to the local network. This is
an easy way to configure mobile devices so they can connect through the IVANTI Cloud
Services Appliance after they are disconnected from the local network. This type of
configuration enables IVANTI Endpoint Manager functionality through the appliance without
the necessity of manually configuring individual managed devices.
• Manually configure each managed device to connect through the IVANTI Cloud Services
Appliance. This type of configuration enables IVANTI Endpoint Manager functionality through
the appliance. Manual configuration can only be done bya user with Administrator rights on
the client device.
After configuring the core for connection through the IVANTI Cloud Services Appliance, rebuild any
agents for Macintosh devices and push them to the devices. For more information, see
"Configuracion de IVANTI Cloud Services (Management Gateway)" (1144).
1. From the Utilities folder on the managed device, launch the IVANTI Cloud Services Appliance
application.
2. Specify the Domain name of the appliance.
3. Choose the best connection method to the IVANTI core.
4. Request a certificate by typing a IVANTI Consola user name and password, then clicking
Request.
5. Click Test to test the connection from the managed device to the IVANTI Cloud Services
Appliance.
6. If the test fails, check the information you entered and correct any mistakes, then click Test to
make sure the connection works.
7. If the managed device accesses the Internet through a proxy, specify the necessary proxy
settings.
529
IVANTI ENDPOINT MANAGER
The scanner executable for Mac OS X is called Idiscan (UNIX; it is case sensitive). Inventario scan
files are saved locally on the client and are compatible with the core. You can e-mail the file to the
core administrator and then drag and drop it into the ldiscan directory. You need to change the
extension of the file to .scn.
Macintosh devices can be configured to scan at boot-up, at log in, at wake from sleep, and at
network change. You can also use agent configuration to schedule the Inventario scan to occur at a
regular interval.
The Macintosh Inventario scanner encrypts scans. The Inventario scanner also uses delta scans so
that afterthe initial full Inventario scan, subsequent scans send onlythe changed data tothe core
server, reducing network bandwidth consumption.
The Macintosh Inventario scanner looks in the "Custom Data" folder under the agent installation
folder for XML files that contain additional information you want the Inventario scanner to pass to
the core server. This additional information appears in the Inventario tree under the Custom Data
node.
With the Inventario scanner, you can view summary or full Inventario data. You can print and export
the Inventario data. You can also use it to define queries, group devices together, and generate
specialized reports.
Software scanning
A software scan compiles an Inventario of software on managed devices. These scans take longer to
run than hardware scans. Software scans can take a few minutes to complete, depending on the
number of files on the managed device. You can configure the software scan interval in the
Configure > Services > Inventario tab.
All applications installed in the Applications folder are placed into the Software > Application Suites
node in the Inventario tree.
530
GUÍA DE USUARIO
NOTE: The/Library or/System directories are not scanned in a MacScanExtensions scan by default. This
reduces the size of the scan file. The directories can be placed in the Mac folder include section.
1. In the Network view, right-click the device you want to remote control, and then click Remote
control, Chat, File transfer, or Remote execute.
2. Once the viewer window appears and connects to the remote device, you can use any of the
remote control tools available from the Tools menu, such as chat, file transfer, reboot,
Inventario, or remote control.
3. To end a remote control session, click File > Stop connection.
531
IVANTI ENDPOINT MANAGER
NOTE: Clipboard sharing and draw features are not supported on Macintosh devices.
Inactivity timeout
The inactivity timeout specifies a period of time (10 minutes by default), after which, if the client
hasn't received mouse or key moves, the session is terminated. Similar to a screen saver, it prevents
others from using the remote computer if it is left unattended.
You can distribute single-file executable packages to Mac OS X devices. Each distributed package
consists of only one file, and the agent will try to install the file once the device receives it. Any file
can be downloaded. Install packages (.pkg) can also contain directories, but they must be
compressed. If the file downloaded has a suffix of .dmg, .pkg, .mpkg, .sit, .sitx, .zip, .tar, .gz, .sea,
.app, .sh, .hqx, or for Automator/workflow packages, Endpoint Manager will decompress the file
before returning.
NOTE: Make sure that Stuffit Expander has its "check for new versions" option disabled; otherwise a dialog box
may interrupt the software distribution execution.
Software distribution also lets you distribute shell scripts as jobs. This lets you take even greater
control over the Mac operating environment and perform nearly any configuration or information
gathering task on a Mac OS X device.
You can schedule Mac OS X distributions in the Scheduled tasks window and drag Mac OS X
devices into the Scheduled tasks window as distribution targets.
NOTE: You must install the IVANTI Mac OS X agent on the target devices before you can distribute files to
them.
532
GUÍA DE USUARIO
A distribution package consists of the package files you want to send and distribution details, which
describe the package components and behavior. You must create the package before it can be
delivered and run. The following instructions explain how to perform software distribution. For
successful distribution, the package must exist on either a network or Web server and the recipient
devices must have the software distribution agent installed.
4. In the Macintosh properties dialog box, enterthe package information and set the options. For
more information on each page, click Help.
5. Click Save when you're done. Your package appears under the tree item for the package type
you selected.
3. In the Delivery method dialog box, enterthe delivery information and change the options you
want. For more information on each page, click Help.
4. Click Save when you're done. Your method appears under the tree item for the delivery
method you selected.
NOTE: If a package requires a reboot, it will reboot the target device regardless of the option you select on the
Reboot page of the Delivery method dialog box. The Never reboot option is not supported for Macintosh
package distribution, because the target device could become unstable or not bootable if a package doesn't
initiate a reboot as expected.
533
IVANTI ENDPOINT MANAGER
3. On the Overview page, enter the task name and the task schedule. Review other options and
click Change to makes changes to any of them.
The distribution begins immediately. View the task progress in the Scheduled tasks window.
REMEXEC0=http://...
A download command won't autorun any files. After downloading the file to devices, you can follow
up with a shell command to execute the file. Files are downloaded to/Library/Application
Support/Ivanti/sdcache/, which you need to be aware of in your shell commands.
NOTE: If you're hosting files on a Windows 2003 server, you need to create MIME types for the Macintosh file
extensions, such as .sit, otherwise the 2003 server won't let you access the files. The MIME type doesn't have
to be valid, it just needs to exist.
Policy-based management does the following with Macintosh application policy packages:
534
GUÍA DE USUARIO
4. If the download is an Apple Package Installer file, policy-based management will run it
silently. Also, policy-based management does support .dmg files with EULAs.
NOTE: Some package types don't work well with software distribution. (Installer Vise and Installer Maker
installers don't work well with policy-based management. They almost always require user interaction and can be
canceled.)
1. In the IVANTI agent application on the Macintosh device, clickthe Delivery icon.
2. Click Check now for application policy management.
You have the option of showing or hiding the UI to the client when distributing a software package. If
the IVANTI administrator is pushing out a package that requires the user to select a license
agreement, the package needs to be installed using a user-controlled type delivery method because
the package will not install if the license agreement is not accepted by the end user. You can expose
the UI for either a push- or policy-based delivery method.
1. Create a new software distribution delivery method or select an existing method to edit.
2. Select Feedback and timing from the tree.
3. Select Display progress to user from the Package progress UI list.
535
IVANTI ENDPOINT MANAGER
REMEXEC0=/Library/Application\ Support/Ivanti/bin/ldscan
The user can use the shell command "open" to launch files and applications, or "installer" to install
.pkg files. It's also possible for the download file to be a shell script written in Perl, Ruby, Python,
and so on.
When files are downloaded, they are saved to/Library/Application Support/Ivanti/sdcache/, which
you need to be aware of in order to execute some of your shell commands.
You can schedule Mac OS X managed scripts in the Scheduled tasks window and drag Mac OS X
devices into the Scheduled tasks window as script targets.
NOTE: Before you can schedule tasks for a device, it must have the standard IVANTI agent installed and be in
the Inventario database.
The following procedures require the use of the scheduled tasks tool:
536
GUÍA DE USUARIO
You can scan for files based on their extensions. The LdAppl3.ini file contains the list of extensions
to scan for. By default, .dmg and . pkg file types are scanned for. You can insert additional
extensions into the LdAppl3.ini file, which is located in the /Library/Applications/System/User
folders by default. The file location can be changed as well. You can also use the LdAppl3.ini file to
scan for multimedia files.
The IVANTI agent application can be used to show applications that have been launched and how
often they have been used.
You can launch the scanner from the Consola or manually on the client machine.
4. In the Scheduled tasks tool, select the task and click the Properties button on the toolbar.
5. Specify the scan options. On the Custom script page you'll specify the details of the
compliance scan.
537
IVANTI ENDPOINT MANAGER
For details on creating a compliance scan task, see "Crear una tarea de rastreo de parches y
cumplimiento" (647)
NOTE: When you define settings for a compliance scan, some functionality is not available for managed
Macintosh devices. Point to items in each page of the dialog box; a message indicates when an item is not
available for Macintosh scans.
1. Open the Mac OS X System Preferences on the target device and select the IVANTI Client
panel.
2. On the Overview tab, click Check Now in the Security and Patch Manager section.
You can block only .app files on managed Macintosh devices. In order to block specific applications,
you must create a custom definition for each blocked application. When creating the custom
definition, be sure to select Apply to Mac.
When you enable FileVault through Endpoint Manager, it creates a special encrypted core database
Inventario record that is saved even if you later delete the device in the Network view. This record
includes the FileVault recovery key that Endpoint Manageradministrators can use to disable
FileVault and restore access to the device.
1. If you haven't already, use the Patch and compliance tool to download Apple Mac
Vulnerabilities.
2. In the Patch and compliance tool, click All types > Scan. In the Find box type FileVault and
press enter. You'll see two FileVault vulnerabilities, one that only detects the FileVault
state (APPLE-FileVault_DetectOnly) and another that activates it (FileVaultActivation-xx).
Drag the activation vulnerability to an Autofix group or your preferred group.
3. When the vulnerability scanner runs and detects that FileVault needs to be enabled, a dialog
box on the managed device pops up and lets users know that FileVault has been enabled and
they need to reboot. Clicking OK closes the dialog, but the reboot isn't forced.
538
GUÍA DE USUARIO
4. When users reboot the standard OS X FileVault activation process begins. Users are
prompted to log in. A dialog box then appears and tells users that "Your administrator
requires that you enable FileVault". Users can only click Cancel or Enable Now. Clicking
Cancel returns them to the login prompt. Once they click Enable Now, the encryption process
begins. This takes a while.
The Client data storage tool (Tools > Configuration > Client data storage) lets you view encrypted
client data. Currently, this tool only shows data for Mac OS X devices that have FileVault enabled via
Endpoint Manager. Use this tool if you need to retrieve a device's FileVault recovery key.
• https://community.Ivanti.com/support/docs/DOC-33695
If you're provisioning devices running OS X El Capitan (10.11), there are changes to the NetBoot
process. Make sure you refer to the document above for more information.
Once you've taken control of a remote device, its screen appears in the viewer window. Because the
viewer window often isn't as big as the remote device's screen, you'll either need to use the scroll
bars to scroll up, down, and side to side, or use the Scale feature to rescale the remote screen
representation so it fits in the viewer window. Scaling reduces the image quality, and if the scaler
has to reduce the screen size too much you may have a hard time reading text.
You can also increase the viewer window displayable area by disabling items in the Session menu,
such as the chat and log panes or the toolbar. Use the Session menu's Full screen option to
539
IVANTI ENDPOINT MANAGER
completely remove the viewer window's controls. If the remote screen's resolution exceeds yours, it
will be scaled to fit your monitor.
If you want to speed up the viewing rate or change the viewer window settings, use the IVANTI
Remote Control menu's Preferences option to display the Options dialog.
• Connecting to devices
• Chatting with remote devices
• Sending special key sequences
• Using remote control without viewing the remote screen
• Customizing remote control
Connecting to devices
Before you can do any remote control tasks, you must connect to the target device. Only one viewer
can communicate with a device at a time, though you can open multiple viewer windows and control
different devices at the same time. When you connect to a device, you can see connection
messages and status in the log pane, if that is visible. If it isn't, you can display it by clicking
Session > Show log.
If you want to start a new session, click File > New. To stop a session, click File > Close. If the
Session menu options are dimmed, you aren't connected to a device.
You can save the messages from a chat session. Any text appearing in the gray area of the chat
session will be saved to a text file.
1. Once you're connected to a remote device, click Session > Show chat.
2. A chat frame appears on the right side of the viewing window. The top section shows sent
and received messages. The bottom section is where you can type your message. Press
Enter to send a message you've typed.
Your message will appear on the remote device's screen. A user can respond by typing a message
and clicking Send. The user also can click Close to exit out of a chat session.
To save messages from a chat session
540
GUÍA DE USUARIO
To stop observing a remote device but still maintain a remote control connection
1. Once you've connected to a remote device, click Session > Don't observe. You can still use
the chat feature with the device.
2. Click Session > Observe to restore the remote view.
Use the Options dialog box's Change settings tab (IVANTI Remote Control > Preferences) to
adjust the remote control settings.
• Lock out the remote keyboard and mouse: Locks the remote device's keyboard and mouse
so that only the user running the viewer can control the remote device. Note that special key
combinations in Windows such as "Ctrl-Alt-Del" or the "Windows key+L" aren't locked out.
• Hide the remote computer screen: Makes the remote device's screen blank so only the user
running the viewer can see the user interface display on the remote device.
• Write log entries to Remote.log: If you want to save a log of remote control actions in a log
file on the remote device, check this option. You can choose from three logging levels, with
level 1 being the least detailed and level 3 being the most detailed. Level 1 is the default level.
Optimizing remote control performance
Use the Options dialog box's Optimize performance tab (IVANTI Remote Control > Preferences)
to optimize remote control performance.
541
IVANTI ENDPOINT MANAGER
Changing the optimization setting dynamically adjusts color reduction, wallpaper visibility, and
remote windows appearance effects (the ones you can adjust in Windows Display Properties >
Appearance > Effects), such as transition effects for menus and tool tips.
Remote control always uses a highly efficient compression algorithm for remote control data.
However, even with compression, it requires a lot of data to send high color depth information. You
can substantially reduce the amount of remote control data required by reducing the color depth
displayed in the remote control viewer. When the viewer reduces the color depth, the viewer has to
map the full color palette from the remote desktop to a reduced color palette in the viewer. As a
result, you may notice colors in the remote control window that don't accurately reflect the remote
desktop. If that's a problem, select a higher-quality compression setting.
Another way you can optimize performance is to Suppress remote wallpaper. When you do this,
remote control doesn't have to send wallpaper updates as parts of the remote desktop are
uncovered. Wallpaper often includes bandwidth-intensive images, such as photographs. These don't
compress well and take time to transfer over slower connections.
You can customize which buttons appear on the remote control toolbar.
You can change the button size by clicking Use small size. You can also use the Show option to
show icons only, text only, or both icons and text.
542
GUÍA DE USUARIO
Once you use Profile Manager to create a configuration profile, you can use Endpoint Manager agent
configurations or agent settings to deploy that configuration profile to other managed Mac devices.
If your Mac configuration profile uses a self-signed trust certificate, make sure you deploy that
certificate before deploying other configuration profiles.
1. Use Profile Manager on a Mac OS X Server to create a .mobileconfig file that contains the Mac
configuration settings.
2. Copy the .mobileconfig file to a location you can access from a Endpoint Manager Consola.
3. Click Tools > Configuration > Agent settings.
4. In the Mac Configuration Profile group, create a new setting or double-click an existing one.
543
IVANTI ENDPOINT MANAGER
5. Click Import and browse for the .mobileconfig file you saved earlier. Give it a descriptive
Display name and click Import. At this point the .mobileconfig file Contenidos are imported
into the LDMS database. Notethat the LDMS Consola doesn't currently have an
XMLviewerforthis content, so you may want to keep a copy of the file for future reference,
even though the core server and Consola no longer need it.
6. Move one or more Available configurations to the Selected configurations list to select them
for this named setting.
7. Select whether you want to Append or Replace the configuration profile. Append preserves
existing profile settings. Replace removes all existing profile settings, including settings you
aren't modifying, and replaces them with the profile settings you specified.
8. Click Save.
Generally, this option is used if an Endpoint Manager agent hasn't been installed yet on a Mac
device.
3. On the OSX profiles page, select Apply OSX profiles to this configuration.
4. Select the configuration profile setting you want from the list.
This option can only be used if a Endpoint Manager agent has already been installed on targeted
Mac
devices.
544
GUÍA DE USUARIO
IVANTI Mac Antivirus allows you download and manage antivirus content (virus definition files),
configure antivirus scans, and customize antivirus scanner settings that determine how the scanner
appears and operates on target devices and which interactive options are available to end users.
You can also view antivirus-related information for scanned devices, enable antivirus alerts, and
generate antivirus reports.
The main section for IVANTI Mac Antivirus introduces this complementary security management
tool, which is a component of both IVANTI Endpoint Manager and IVANTI Security Suite. In that
section you'll find an overview, antivirus content subscription information, as well as step-by-step
instructions on how to use Antivirus features.
This section contains help topics that describe the IVANTI Mac Antivirus settings dialog box. From
the Consola interface, access these topics by clicking Help on each dialog box.
Use this page to configure IVANTI Mac Antivirus scanner settings on target devices.
545
IVANTI ENDPOINT MANAGER
Use this page to configure the way File Antivirus works with IVANTI Mac Antivirus on target devices.
Maximum protection: Provides the most complete scan of the files you open, save, or start.
Recommended: Contains the settings recommended by Ivanti, which provides for scan of:
programs and objects by content, only new objects and objects modified since the last scan,
and embedded OLE objects. This level is set by default.
Maximum speed: Allows you to comfortably work with applications requiring significant
system resources, since the range of files scanned is smaller.
546
GUÍA DE USUARIO
* General:
• File types: Specifies whether to scan all files, scan by content, or scan by
extension.
• Scan all files: Specifies which formats of objects should be scanned for
viruses when they are opened, run, or saved.
• Scan programs and documents (by content): Enables only the scan of
potentially infected objects, or files that a virus could penetrate. The
internal header of the file is scanned to identify its format (TXT, DOC,
EXE, etc.). If the scan reveals that a file of such format cannot be
infected, it does not scan it for viruses and immediately makes it
accessible to the user. If such format is susceptible to viruses, a scan is
performed.
• Scan programs and document (by extension): Enables only the scan of
potentially infected objects, but the file format is determined by its
extension. Files without extension are always scanned irrespective of the
file type selected.
NOTE: Do not forget that someone could send a virus to your computer with the .txt
extension, although in reality it could be an executable file renamed as a .txt file. If
you select the Scan programs and documents (by extension) option, such files will
be skipped by the scan. If you select the Scan programs and documents (by
content) option, IVANTI Mac Antivirus analyzes the file header, determines that the
file has the .exe format and scans it for viruses.
• Scan new and changed files only: Enables File Antivirus to scan only new files
and files that have been modified since the previous scan. This mode applies
both to simple and compound files.
• Scan archives: Enables File Antivirus to scan RAR, ARJ, ZIP, CAB, LHA, JAR,
and ICE archives.
• Scan installation packages: Enables File Antivirus to scan self-extracting
archives.
• Scan embedded objects: Enables File Antivirus to scan documents that are
embedded in another file, such as Excel spreadsheets, macros, and email
attachments.
• Postpone extracting if archive larger than: Sets a restriction on the scan of large
objects. Any compound file with a size exceeding the specified limit value will
be scanned as a single object (its header will be scanned). Objects contained in
it will be scanned later. If you do not select this option, access to files larger
than the size indicated will be blocked until they have been scanned. This
option is enabled by default with the value of 0 MB.
547
IVANTI ENDPOINT MANAGER
• Do not process archives larger than: Sets a restriction on large archives. Any
compound file with a size exceeding the specified limit value will be skipped
without being scanned for viruses. This option is enabled by default with the
value of 8 MB.
• Protection scope: Specifies whether to scan all removable drives, all hard drives, or all
network drives.
• Additional: Specifies the mode and technology File Antivirus will use and when it will
pause.
• Scan mode: In the default scan mode, Smart mode, File Antivirus scans files by
analyzing operations performed with a file by the user, an application, or the
operating system. In the On access and modification mode, File Antivirus scans
files when the user, an application, or the operating system attempts to open or
modify the files. In the On access mode, File Antivirus scans files only when the
user, an application, or the operating system attempts to open the files. In the
On execution mode, File Antivirus scans files only when the user, an
application, or the operating system attempts to run files.
• iSwift technology: Specifies the scan technology that File Antivirus uses when
scanning files. The iSwift technology allows File Antivirus to exclude certain
objects from scan using a special algorithm in order to increase the scan speed.
The algorithm takes into account the release date of the antivirus databases, the
date of the most recent scan of an object, and any changes to the scan settings.
This technique works with objects of any format, size, and type.
• Use heuristic analyzer: This setting defines the depth of heuristic analysis. Scan
level ensures the balance between the thoroughness of searches for new
threats, the load on the operating system's resources, and the scan time length.
To set a scan level, move the slider along the scale.
• Optimal protection level: Heuristic analyzer, emulating the operation of
the application being scanned, makes as many operations as required to
detect a threat with an acceptable probability value. While this process is
in progress, the CPU is not overloaded so that it does not impact the
performance of other applications. This scan level is set by default.
• High protection level: Heuristic analyzer, emulating the operation of the
application being scanned, makes as many operations as required to
detect a threat with a higher probability value. While this process is in
progress, load on the CPU increases, and the scan takes more time.
• Maximum protection level: Heuristic analyzer, emulating the operation of
the application being scanned, makes as many operations as required to
detect a threat with a maximum probability value. While this process is in
progress, the scan takes a lot of time and requires significant CPU
resources. The performance of other applications is significantly reduced.
548
GUÍA DE USUARIO
• Action: Specifies the action that File Antivirus performs if infected files are detected. Before
attempting to disinfect or delete an infected file, File Antivirus creates a backup copy for
subsequent restoration or disinfection.
• Prompt for action: File Antivirus displays a warning message with the information
about which malicious code has infected or potentially infected the file, and offers you
the selection of further actions. These actions may vary depending on the object's
status.
• Block access: File Antivirus blocks access to an infected or potentially infected object,
without moving it to another folder. Information about this is logged in the report
under the Detected tab. To gain access, process the objects in the report.
• Disinfect: Enables automatic disinfection of all infected objects that have been
detected. File Antivirus blocks access to the infected object and attempts to
disinfect it. A backup copy of the object is moved to Backup Storage. If it is
successfully disinfected, it is restored for regular use. File Antivirus does not
move the object if the attempt to cure it is unsuccessful. Information about this
is logged in the report under the Detected tab. To gain access, process the
objects in the report.
In addition to the protection of the file system provided by File Antivirus in real-time mode, it is
extremely important to scan your computer for viruses regularly. This is required to stop the spread
of malicious programs that have gone undetected by File Antivirus. For example, this would be
necessary if the selected level of protection was too low.
IVANTI Mac Antivirus comprises the following integrated virus scan tasks:
• Virus Scan: Scan individual items for viruses, such as files, folders, disks, plug-and-play
devices.
• Full Scan: Search for viruses on your computer with athorough scan ofall hard drives.
• Quick Scan: Scans only critical areas of the computer for viruses, including folders with
operating system files and system libraries.
If you want to schedule a full or quick client scan, change the Run mode on the Full Scan page orthe
Quick Scan page.
• Security Level: Specifies one of the three file security levels: Maximum protection,
Recommended, or Maximum speed.
549
IVANTI ENDPOINT MANAGER
Maximum protection: Security level that provides the most complete scan of the files you
open, save, or start.
Recommended: Default security level that provides for scan of the following categories of
objects: programs and objects by content, only new objects and objects modified since the
last scan, and ■ embedded OLE objects.
Maximum speed: Security level that allows you to comfortably work with applications
requiring significant resources. Range of files being scanned at this level is reduced.
• File types: Specifies whether to scan all files, scan by content, or scan by extension.
• All files: If you click this option, IVANTI Mac Antivirus scans absolutely all files
on your computer.
• Scan programs and documents (by content): IVANTI Mac Antivirus only scans
potentially infected objects, such as files that may turn out to have been
infected with a virus. First of all, the internal header of the file is scanned to
identify its format (txt, doc, exe, and so on.). If the scan reveals that a file of
such format cannot be infected, it does not scan it for viruses and immediately
makes it accessible to the user. If the file format allows a risk of infection, the
file will be scanned for viruses.
• Scan programs and document (by extension): IVANTI Mac Antivirus will only
scan potentially infected files, but the file format will be determined by
extension. Files without extension are always scanned irrespective of the file
type you select.
NOTE: Do not forget that someone could send a virus to your computer with the .txt extension,
although in reality it could be an executable file renamed as a .txt file. If you select the Scan
programs and documents (by extension) option, such files will be skipped by the scan. If you
select the Scan programs and documents (by content) option, IVANTI Mac Antivirus analyzes
the file header, determines that the file has the .exe format and scans it for viruses.
550
GUÍA DE USUARIO
• Optimization:
• Skip if scan takes longer than: Specifies in seconds the length of time to scan a
file before skipping it.
• Do not scan archives larger than: Excludes large archives from scan. By
default, the value is set to 100 MB.
• Scan only new and changed files: Enables IVANTI Mac Antivirus to scan only
new files and files that have been modified since the previous scan. This mode
applies both to simple and compound files.
• iSwift technology: Enables the use of the iSwift technology, which allows
IVANTI Mac Antivirus to exclude certain objects from scan using a special
algorithm in order to increase the scan speed. The algorithm takes into account
the release date of the antivirus databases, the date of the most recent scan of
an object, and any changes to the scan settings. This technique works with
objects of anyformat, size and type. There are limitations to iSwift: it is bound to
a specific file location in the file system and only applies to objects in HFS.
• Compound files:
• Scan archives: Enables IVANTI Mac Antivirus to scan RAR, ARJ, ZIP, CAB, LHA,
JAR, and ICE archives. On a full scan, this option is enabled by default. Certain
archive files (such as .ha, .uue, .tar archives) cannot be deleted automatically
since IVANTI Mac Antivirus does not support their disinfection, even if you
select the Disinfect and Delete if disinfection fails options. To delete such
archives, click the Delete archive button in the dangerous object detection
notification window. This notification is displayed on the screen after the
application starts processing the objects detected during the scan. You can
also delete infected archives manually.
• Scan embedded objects: Enables IVANTI Mac Antivirus to scan objects
embedded in a file, such as Excel spreadsheets, macros, email attachments,
and so on.
• Scan email format files: Enables the scan of email-format files and email
databases. IVANTI Mac Antivirus examines the email-format file and scans each
of its components (body, attachments) for viruses. If you clear this option,
IVANTI Mac Antivirus scans the email file as a single object.
• Scan password-protected archives: Enables the scanning of archives that are
protected with a password. Click this option to displaythe password request
window on the screen before scanning objects contained in the archive.
Otherwise, IVANTI Mac Antivirus will skip password-protected archives when
scanning.
• Heuristic analyzer: Defines the depth of heuristic analysis. Scan level ensures the
balance between the thoroughness of searches for new threats, the load on the
operating system's resources, and the scan time length. To set a scan level, move the
551
IVANTI ENDPOINT MANAGER
• Prompt for action when the scan is complete: After the scan is complete, IVANTI Mac
Antivirus displays a warning message with the information about which malicious
code has infected or potentially infected the file, and offers you the selection of further
actions. These actions may vary depending on the object's status.
• Prompt for action during scan: During the scan, File Antivirus displays a warning
message with the information about which malicious code has infected (potentially
infected) the file, and offers you the selection of further actions. These actions may
vary depending on the object's status.
About the IVANTI Mac Antivirus Virus Scan: Full Scan page
In addition to the protection of the file system provided by File Antivirus in real-time mode, it is
extremely important to scan your computer for viruses regularly. This is required to stop the spread
of malicious programs that have gone undetected by File Antivirus. For example, this would be
necessary if the selected level of protection was too low.
IVANTI Mac Antivirus comprises the following integrated virus scan tasks:
• Virus Scan: Scan individual items for viruses, such as files, folders, disks, plug-and-play
devices.
• Full Scan: Search for viruses on your computer with athorough scan ofall hard drives.
• Quick Scan: Scans only critical areas of the computer for viruses, including folders with
operating system files and system libraries.
Use this page to configure the way IVANTI Mac Antivirus performs full scans on target devices. If
you want to schedule a quick client scan, change the Run mode on the Quick Scan page.
552
GUÍA DE USUARIO
• Security Level: Specifies one of the three file security levels: Maximum protection,
Recommended, or Maximum speed.
Maximum protection: Security level that provides the most complete scan of the files you
open, save, or start.
Recommended: Default security level that provides for scan of the following categories of
objects: programs and objects by content, only new objects and objects modified since the
last scan, and ■ embedded OLE objects.
Maximum speed: Security level that allows you to comfortably work with applications
requiring significant resources. Range of files being scanned at this level is reduced.
• File types: Specifies whether to scan all files, scan by content, or scan by extension.
• All files: If you click this option, IVANTI Mac Antivirus scans absolutely all files
on your computer.
• Scan programs and documents (by content): IVANTI Mac Antivirus only scans
potentially infected objects, such as files that may turn out to have been infected
with a virus. First of all, the internal header of the file is scanned to identify its
format (txt, doc, exe, and so on.). If the scan reveals that a file of such format
cannot be infected, it does not scan it for viruses and immediately makes it
accessible to the user. If the file format allows a risk of infection, the file will be
scanned for viruses.
• Scan programs and document (by extension): IVANTI Mac Antivirus will only
scan potentially infected files, but the file format will be determined by
extension. Files without extension are always scanned irrespective of the file
type you select.
NOTE: Do not forget that someone could send a virus to your computer with the .txt extension,
although in reality it could be an executable file renamed as a .txt file. If you select the Scan
programs and documents (by extension) option, such files will be skipped by the scan. If you
select the Scan programs and documents (by content) option, IVANTI Mac Antivirus analyzes
the file header, determines that the file has the .exe format and scans it for viruses.
553
IVANTI ENDPOINT MANAGER
• Optimization:
• Skip if scan takes longer than: Specifies in seconds the length of time to scan a
file before skipping it.
• Do not scan archives larger than: Excludes large archives from scan. By default,
the value is set to 100 MB.
• Scan only new and changed files: Enables IVANTI Mac Antivirus to scan only
new files and files that have been modified since the previous scan. This mode
applies both to simple and compound files.
• iSwift technology: Enables the use of the iSwift technology, which allows File
Antivirus to exclude certain objects from scan using a special algorithm in order
to increase the scan speed. The algorithm takes into account the release date of
the antivirus databases, the date of the most recent scan of an object, and any
changes to the scan settings. This technique works with objects of any format,
size and type. There are limitations to iSwift: it is bound to a specific file
location in the file system and only applies to objects in HFS.
• Compound files:
• Scan archives: Enables IVANTI Mac Antivirus to scan RAR, ARJ, ZIP, CAB, LHA,
JAR, and ICE archives. On a full scan, this option is enabled by default. Certain
archive files (such as .ha, .uue, .tar archives) cannot be deleted automatically
since IVANTI Mac Antivirus does not support their disinfection, even if you
select the Disinfect and Delete if disinfection fails options. To delete such
archives, click the Delete archive button in the dangerous object detection
notification window. This notification is displayed on the screen after the
application starts processing the objects detected during the scan. You can also
delete infected archives manually.
• Scan embedded objects: Enables IVANTI Mac Antivirus to scan objects
embedded in a file, such as Excel spreadsheets, macros, email attachments,
and so on.
• Scan email format files: Enables the scan of email-format files and email
databases. IVANTI Mac Antivirus examines the email-format file and scans each
of its components (body, attachments) for viruses. If you clear this option,
IVANTI Mac Antivirus scans the email file as a single object.
• Scan password-protected archives: Enables the scanning of archives that are
protected with a password. Click this option to displaythe password request
window on the screen before scanning objects contained in the archive.
Otherwise, IVANTI Mac Antivirus will skip password-protected archives when
scanning.
• Heuristic analyzer: Defines the depth of heuristic analysis. Scan level ensures the
balance between the thoroughness of searches for new threats, the load on the
operating system's resources, and the scan time length. To set a scan level, move the
slider along the scale.
554
GUÍA DE USUARIO
• Action: Specifies the action that IVANTI Mac Antivirus performs if infected files are detected
when scanning. Before attempting to disinfect or delete an infected file, IVANTI Mac Antivirus
creates a backup copy for subsequent restoration or disinfection.
• Prompt for action when the scan is complete: After the scan is complete, IVANTI Mac
Antivirus displays a warning message with the information about which malicious
code has infected (potentially infected) the file, and offers you the selection of further
actions. These actions may vary depending on the object's status.
• Prompt for action during scan: During the scan, IVANTI Mac Antivirus displays a
warning message with the information about which malicious code has infected
(potentially infected) the file, and offers you the selection of further actions. These
actions may vary depending on the object's status.
• Run mode: By default, IVANTI Mac Antivirus scans once a day. To change the schedule, click
Edit... to open the Run mode dialog box. In the Frequency list, select how often IVANTI Mac
Antivirus will scan, then specify the additional details that apply to the selected frequency.
About the IVANTI Mac Antivirus Virus Scan: Quick Scan page
In addition to the protection of the file system provided by File Antivirus in real-time mode, it is
extremely important to scan your computer for viruses regularly. This is required to stop the spread
of malicious programs that have gone undetected by File Antivirus. For example, this would be
necessary if the selected level of protection was too low.
IVANTI Mac Antivirus comprises the following integrated virus scan tasks:
• Virus Scan: Scan individual items for viruses, such as files, folders, disks, plug-and-play
devices.
• Full Scan: Search for viruses on your computer with athorough scan ofall hard drives.
• Quick Scan: Scans only critical areas of the computer for viruses, including folders with
operating system files and system libraries.
Use this pageto configurethe way IVANTI MacAntivirus performs critical areas scans on target
devices. If you want to schedule a full client scan, change the Run mode on the Full Scan page.
555
IVANTI ENDPOINT MANAGER
Security Level: Specifies one of the three file security levels: Maximum protection,
Recommended, or Maximum speed.
Maximum protection: Security level that provides the most complete scan of the files you
open, save, or start.
Recommended: Default security level that provides for scan of the following categories of
objects: programs and objects by content, only new objects and objects modified since the
last scan, and ■ embedded OLE objects.
Maximum speed: Security level that allows you to comfortably work with applications
requiring significant resources. Range of files being scanned at this level is reduced.
• File types: Specifies whether to scan all files, scan by content, or scan by extension.
• All files: If you click this option, IVANTI Mac Antivirus scans absolutely all files
on your computer.
• Scan programs and documents (by content): IVANTI Mac Antivirus only scans
potentially infected objects, such as files that may turn out to have been infected
with a virus. First of all, the internal header of the file is scanned to identify its
format (txt, doc, exe, and so on.). If the scan reveals that a file of such format
cannot be infected, it does not scan it for viruses and immediately makes it
accessible to the user. If the file format allows a risk of infection, the file will be
scanned for viruses.
• Scan programs and document (by extension): IVANTI Mac Antivirus will only
scan potentially infected files, but the file format will be determined by
extension. Files without extension are always scanned irrespective of the file
type you select.
NOTE: Do not forget that someone could send a virus to your computer with the .txt extension,
although in reality it could be an executable file renamed as a .txt file. If you select the Scan
programs and documents (by extension) option, such files will be skipped by the scan. If you
select the Scan programs and documents (by content) option, IVANTI Mac Antivirus analyzes
the file header, determines that the file has the .exe format and scans it for viruses.
556
GUÍA DE USUARIO
• Optimization:
• Skip if scan takes longer than: Specifies in seconds the length of time to scan a
file before skipping it.
• Do not scan archives larger than: Excludes large archives from scan. By default,
the value is set to 100 MB.
• Scan only new and changed files: Enables IVANTI Mac Antivirus to scan only
new files and files that have been modified since the previous scan. This mode
applies both to simple and compound files.
• iSwift technology: Enables the use of the iSwift technology, which allows File
Antivirus to exclude certain objects from scan using a special algorithm in order
to increase the scan speed. The algorithm takes into account the release date of
the antivirus databases, the date of the most recent scan of an object, and any
changes to the scan settings. This technique works with objects of any format,
size and type. There are limitations to iSwift: it is bound to a specific file
location in the file system and only applies to objects in HFS.
• Compound files:
• Scan archives: Enables IVANTI Mac Antivirus to scan RAR, ARJ, ZIP, CAB, LHA,
JAR, and ICE archives. On a full scan, this option is enabled by default. Certain
archive files (such as .ha, .uue, .tar archives) cannot be deleted automatically
since IVANTI Mac Antivirus does not support their disinfection, even if you
select the Disinfect and Delete if disinfection fails options. To delete such
archives, click the Delete archive button in the dangerous object detection
notification window. This notification is displayed on the screen after the
application starts processing the objects detected during the scan. You can also
delete infected archives manually.
• Scan embedded objects: Enables IVANTI Mac Antivirus to scan objects
embedded in a file, such as Excel spreadsheets, macros, email attachments,
and so on.
• Scan email format files: Enables the scan of email-format files and email
databases. IVANTI Mac Antivirus examines the email-format file and scans each
of its components (body, attachments) for viruses. If you clear this option,
IVANTI Mac Antivirus scans the email file as a single object.
• Scan password-protected archives: Enables the scanning of archives that are
protected with a password. Click this option to displaythe password request
window on the screen before scanning objects contained in the archive.
Otherwise, IVANTI Mac Antivirus will skip password-protected archives when
scanning.
• Heuristic analyzer: Defines the depth of heuristic analysis. Scan level ensures the
balance between the thoroughness of searches for new threats, the load on the
operating system's resources, and the scan time length. To set a scan level, move the
slider along the scale.
• Action: Specifies the action that IVANTI Mac Antivirus performs if infected files are detected
557
IVANTI ENDPOINT MANAGER
when scanning. Before attempting to disinfect or delete an infected file, IVANTI Mac Antivirus
creates a backup copy for subsequent restoration or disinfection.
• Prompt for action when the scan is complete: After the scan is complete, IVANTI Mac
Antivirus displays a warning message with the information about which malicious
code has infected (potentially infected) the file, and offers you the selection of further
actions. These actions may vary depending on the object's status.
• Prompt for action during scan: During the scan, IVANTI Mac Antivirus displays a
warning message with the information about which malicious code has infected
(potentially infected) the file, and offers you the selection of further actions. These
actions may vary depending on the object's status.
• Do not prompt for action:
• Disinfect: IVANTI Mac Antivirus automatically attempts to disinfect all infected
files that are detected. IVANTI Mac Antivirus blocks access to the infected
object and attempts to disinfect it. A backup copy of the object is moved to
Backup Storage. If it is successfully disinfected, it is restored for regular use. It
does not move the object if the attempt to cure it is unsuccessful. Information
about this is logged in the report underthe Detected tab. To gain access,
process the objects in the report.
• Delete if disinfection fails: IVANTI Mac Antivirus automatically delete infected
objects if the recovery attempt for them failed.
• Run mode: By default, IVANTI Mac Antivirus scans once a day. To change the schedule, click
Edit... to open the Run mode dialog box. In the Frequency list, select how often IVANTI Mac
Antivirus will scan. In the Schedule section, specify the additional details that apply to the
selected frequency.
Use this page to configure the way IVANTI Mac Antivirus handles various types of malware.
• Malware categories: Allows you to create a list of threats to detect by enabling control of the
most dangerous types of malware.
• Virus, worms, Trojans, hack tools: This group includes the most common and
dangerous categories of malware. IVANTI Mac Antivirus always controls malware from
this group. This option is selected by default and cannot be cleared.
• Spyware and adware: Enables control of riskware. This option is selected by default.
• Auto-dialers: Enables control of programs that establish phone connections over a
modem in hidden mode. This option is selected by default.
• Other programs: Enables control of programs that are not malicious or dangerous
but under certain circumstances may be used to do harm to your computer.
• Trusted zone: Specifies the objects that IVANTI Mac Antivirus will exclude from the scan.
Click Add... to specify the object, threat type, and component for each trusted item.
558
GUÍA DE USUARIO
• Object: Specify all objects or enter the path to a trusted object. The name of a file,
folder, or a file mask can be specified as an object.
• Threat type: Specify all threats or enter a threat name. The box next to each element
of the list enables or clears the use of this exclusion rule. All boxes are checked by
default. The list of trusted zone objects is blank by default.
• Component: Specify whether to exclude the trusted item from File Antivirus, Virus
scan, or both.
Use this page to schedule client pattern file updates for Mac computers. Macs use the OS X
'launchd' service to download and install these updates, from either the core or Kaspersky's site. If
you want to schedule a full or quick client scan, change the Run mode on the Full Scan page or the
Quick Scan page.
• Scheduled tasks:
• Update: Specifies when to update virus definitions. Click Change schedule... to open
the
Schedule periodic virus definition updates window, where you can select the
frequency and time of an update.
Use this page to configure virus definition (pattern) file updates scheduling, user download options,
and access options for target devices with these antivirus settings. To schedule an update, click
Update on the Scheduled Tasks page.
• Download "pilot" version of virus definition files: Click this option to download virus
definition files from the pilot folder instead of from the default location on the core server.
Virus definitions in the pilot folder can be downloaded by a restricted set of users for the
purpose of testing the virus definitions before deploying them to the entire network. When
you create an antivirus scan task, you can also choose to download the latest virus
definitions updates, including those residing in the pilot test folder, then associate an
antivirus settings with this option enabled to ensure that the test devices receive the latest
known virus definition files. If this option is selected, virus definition files in the default folder
are not downloaded.
• Download virus definition updates from: Specifies the source site (core server or Kaspersky
content server) from which virus definition files are downloaded.
• Preferred server/Peer download options: Allows you to configure core server settings if
you've selected one of the download source site options that includes the core.
• Attempt preferred server: Prevents virus definition file downloads via a preferred
559
IVANTI ENDPOINT MANAGER
server. For more information about preferred servers, see "Acerca de la distribucion
de software" (299).
• Bandwidth used from core or preferred server (WAN): Specifies the bandwidth used. You can
move the slider or enter a value in the percentage box.
• Update application modules: Enables downloads of application module updates along with
antivirus database updates. If selected, IVANTI Mac Antivirus includes application module
updates in the update package when the application runs the update task. This option is
selected by default.
• Rescan Quarantine after update: Enables the scan of the content of Quarantine after each
update. Quarantine stores objects whose Contenidos include malware that was not properly
identified by File Antivirus or during a virus scan task. After the databases are updated,
IVANTI Mac Antivirus will most likely be able to clearly identify and eliminate the threat.
Use this page to configure IVANTI Mac Antivirus Reports settings on target devices.
• Reports:
• Log non-critical events: Enables the logging of information-type events. As a rule,
these events are not important for security.
• Keep only recent events: Enables the logging of important events only, which have
occurred at the last run of the task. If the box is checked, the information will be
updated every time the task is restarted. At that, important information (such as
entries of detected malicious objects) will be saved, while non-critical information will
be deleted.
• Delete reports after: Specifies the maximum report storage term in number of days.
The default maximum storage term for reports is 30 days. After that period oftime,
IVANTI Mac Antivirus automatically deletes the oldest entries from the report file.
• Quarantine and Backup storage: Allows you to configure quarantine and backup settings.
The data storage comprises a quarantine catalog and storage for backup copies of files.
• Delete objects after: Specifies the maximum storage term for files in quarantine and
copies of files in backup. The maximum file storage term is measured in days. The
default maximum storage term for files is 30 days. After expiration of the maximum
560
GUÍA DE USUARIO
Use this page to configure the Service settings that IVANTI Mac Antivirus will use on target devices.
Use this page to configure the Appearance settings that IVANTI Mac Antivirus will use on target
devices.
• In Menu Bar: Displays the IVANTI Mac Antivirus icon in the menu bar. This option is selected
by default.
• In Dock; Displays the IVANTI Mac Antivirus icon in the Dock. Any changes you make to the
location of the icon will appear after you restart the application.
• Nowhere: Clickthis option if you do not want the IVANTI Mac Antivirus icon to appear.
Use this page to configure how IVANTI Mac Antivirus will import Kaspersky settings on target
devices.
• Import settings file from a Kaspersky antivirus client: Lets you import settings from a client
device. To import the settings, specify Kaspersky settings on a client and save the settings
as a configuration file. From the Consola, browse to the configuration file. The options
listed in the file will be set first and then any IVANTI Antivirus settings will be set.
NOTE: IVANTI Antivirus won't look for a new configuration file and automatically update it. You must
O manually update the configuration file if you want to import different settings.
• Current configuration imported from: The Browse button [...] opens the Select a previously
saved Kaspersky configuration file window. Browse to the \ldlogon folder, click the
configuration file, then click Open.
• Clear password after import: Enables users to change Kaspersky settings without the
settings file password.
561
IVANTI ENDPOINT MANAGER
IVANTI Security Suite es compatible con entornos de red heterogeneos, que incluyen Windows,
Macintosh y Linux.
Security Suite se basa en la funcion primaria de IVANTI Endpoint Manager, lo cual le permite
configurary administrar los dispositivos de redes, para luego mejorary enfocar dicha funcion
mediante la adicion de herramientas espedficas relacionadas con la seguridad, tales como Parches
y cumplimiento, Seguridad de terminales, HIPS, IVANTI Firewall, Control de dispositivos, 802.1X
NAC (Network Access Control) Control de acceso a la red, Vigilante del agente, y otras; con lo cual
brinda una solucion de seguridad integral por niveles.
La herramienta fundamental de Parches y cumplimiento le permite rastreary reparar los tipos mas
frecuentes de exposiciones y riesgos a la seguridad que amenazan continuamente la integridad y el
desempeno de los dispositivos administrados, entre ellos: vulnerabilidades conocidas de sistemas
operativos y aplicaciones, spyware, virus, errores de configuracion del sistema, aplicaciones no
autorizadas o prohibidas y otras exposiciones potenciales de seguridad.
IVANTI Antivirus permite descargar las ultimas actualizaciones de archivos de definiciones de virus
y configurar los rastreos de virus que buscan virus en los dispositivos administrados y le proveen
al usuario final opciones para manejar los archivos infectados y en cuarentena. El Control de
dispositivos le permite monitorear y restringir el acceso a los dispositivos administrados a traves
de conexiones de red y dispositivos de E/S.
La tabla que aparece a continuacion muestra la forma en que las herramientas de Security Suite se
complementan entre sfy proporcionan una defensa integral yde gran alcance del sistem
562
GUÍA DE USUARIO
563
IVANTI ENDPOINT MANAGER
Una vez se instala IVANTI Security Suite yse activa el servidor central con la licencia de Security
Suite, puede consultartemas de ayuda espedficos para encontrar informacion sobre como iniciar la
consola y utilizar las herramientas disponibles, incluyendo las herramientas especficas de
seguridad y las funciones que se detallan a continuacion.
Puede navegar por los temas de ayuda IVANTI Endpoint Manager y IVANTI Security Suite del Centro
de ayuda de IVANTI o realizar una busqueda de una palabra clave especfica o una frase para ubicar
la informacion que desee.
Si tiene una cuenta con licencia de IVANTI Security Suite, podra visualizar las herramientas y
funciones que se describen en los temas de ayuda de IVANTI Security Suite cuando inicie sesion en
la consola.
564
GUÍA DE USUARIO
IVANTI mantienen una base de datos de archivos de definiciones de seguridad, que se denominan
contenido de Security Suite o contenido de seguridad y parches, que continuamente se actualizan,
verifican y ponen a disposicion mediante descargas de Internet. Para poder descargar los
contenidos de seguridad y revisiones, se debe tener una suscripcion al contenido de Security Suite.
Para obtener mas informacion sobre las suscripciones a los contenidos de Security Suite,
comurnquese con su distribuidor de IVANTI o visite el sitio web de IVANTI:
565
IVANTI ENDPOINT MANAGER
Temas relacionados
"Herramientas y funciones de Security Suite" (565)
Estos temas incluyen descripciones breves sobre las siguientes herramientas de administracion de
seguridad que proporciona IVANTI Security Suite, junto con vfnculos a temas de informacion
general de la herramienta:
• "Parchesycumplimiento" (565)
• "Cumplimiento de estandares de nombres CVE" (566)
• "Cumplimiento de las normas de Federal Desktop Core Configuration (FDCC)" (566)
• "Actividad de seguridad" (567)
• "Configuracion del agente" (567)
• "Seguridad de terminales" (567)
• "Control de aplicaciones" (903)
• "Configuracion del agente: IVANTI Firewall" (842)
• "Control de dispositivos" (920)
• "IVANTI Antivirus" (568)
• "IVANTI 802.1X NAC" (569)
• "IVANTI Data Protection con Credant" (569)
• "Herramientas comunes de IVANTI que se incluyen con Security Suite" (570)
• "Otras funciones de IVANTI Endpoint Manager incluidas con Security Suite" (572)
• "Fuentes de informacion adicionales" (572)
Parches y cumplimiento
Utilice Parches y cumplimiento para descargar las ultimas definiciones de vulnerabilidades
conocidas (y otras definiciones del tipo de contenido de seguridad) y sus parches asociados.
Rastree los dispositivos administrados, asf como los servidores y consolas, en busca de
actualizaciones de software IVANTI. Configure yejecute rastreos personalizados de evaluacion de
seguridad para aquellas vulnerabilidades conocidas espedficas a las plataformas, spyware,
amenazas de seguridad a la configuracion del sistema, rastreadores de antivirus y aplicaciones
bloqueadas o no autorizadas.
566
GUÍA DE USUARIO
• Crear sus propias definiciones personalizadas de seguridad para rastrear los dispositivos en
busca de condiciones especficas, potencialmente peligrosas.
Los productos de IVANTI Security Suite admiten el estandar de nombres de CVE (Vulnerabilidades y
Exposiciones Comunes). Con Parches y cumplimiento puede buscar vulnerabilidades por el nombre
de CVE y ver la informacion de CVE de las definiciones de vulnerabilidades descargadas.
Para obtener mas informacion sobre la convencion de nombres de CVE, la compatibilidad de IVANTI
con el estandar CVE, y la forma de usar la identificacion CVE para buscar definiciones de
vulnerabilidades de seguridad individuales en Parches y cumplimiento, consulte "Buscar
vulnerabilidades por nombre de CVE" (641).
IVANTI Security Suite proporciona ahora soporte ampliado de la Iniciativa de Federal Desktop Core
Configuration (FDCC). Los productos de IVANTI Software han sido certificados por el Instituto
Nacional de Estandares yTecnologfa (National Institute of Standards and Technology - NIST) como
conformes a las normas de Security Content Automation Protocol (SCAP), yfiguran como productos
validados en el sitio web de National Vulnerability Database.
Para efectuar las tareas de rastreo y reparacion de seguridad FDCC, debe tener una suscripcion de
contenido de IVANTI Security Suite que le permita descargar el contenido espedfico de FDCC, el
cual incluye: Deteccion e instalacion del rastreador FDCC, informes de estado y rastreo del
cumplimiento de FDCC, y rastreo y reparacion de vulnerabilidades certificados por FDCC por
componente.
Con el contenido de rastreo y seguridad certificado por FDCC, puede rastrear los dispositivos
567
IVANTI ENDPOINT MANAGER
administrados para asegurar que cumplen con las normas y requisitos de Federal Desktop Core
Configuration.
Para obtener mas informacion acerca de como utilizar el contenido de rastreo y seguridad de FDCC,
consulte "Security Content Automation Protocol (SCAP)" (652).
Actividad de seguridad
La herramienta de Actividad de seguridad le permite ver la actividad crftica y la informacion de
estado de los diferentes componentes y servicios de seguridad. La Actividad de seguridad
proporciona una sola ventana de herramientas en la cual puede ver facilmente los resultados de
rastreo de IVANTI Antivirus, las prevenciones de HIPS, las prevenciones de IVANTI Firewall, los
dispositivos bloqueados de Device Control y mucho mas.
Para obtener mas informacion, consulte "Informacion general sobre Actividad de seguridad" (890).
Para obtener mas informacion, consulte "Informacion general sobre la configuracion del agente"
(888).
Seguridad de terminales
La herramienta de Seguridad de terminales protege sus dispositivos administrados de ataques de
dfa cero, intrusiones en la barrera de seguridad, acciones y comportamientos prohibidos de
aplicaciones y procesos, y conexiones no autorizadas de red y de dispositivos.
IVANTI Host Intrusion Prevention System (HIPS) ofrece una capa adicional de proteccion que
568
GUÍA DE USUARIO
protege de forma activa los sistemas y aplicaciones de ataques de d^a cero (es dedr,
comportamiento danino no autorizado). Uso de reglas y certificaciones de archivo personalizadas,
HIPS supervisa continuamente los procesos, los archivos, las aplicaciones y las claves de registro
especificados, y bloquea acciones y comportamientos prohibidos. Con HIPS, puede controlar que
aplicaciones se ejecutan en los dispositivos y como se permite su ejecucion. HIPS le permite
proteger el sistema de archivos, el registro, el inicio del sistema e incluso detectar rootkits
sigilosos.
Debido a que HIPS es un sistema basado en reglas, en lugar de definiciones (es decir, basado en
firmas), tales como vulnerabilidades conocidas, spyware y rastreo de antivirus, no requiere
actualizaciones constantes de archivos. Puede configurary desplegar su propio nivel personalizado
de seguridad del sistema.
IVANTI Firewall
Para obtener mas informacion, consulte "Configuracion del agente: IVANTI Firewall" (842).
Control de dispositivos
El Control de dispositivos agrega otro nivel de seguridad a su red de IVANTIya que le permite
supervisary restringir el acceso a los dispositivos administrados a traves de dispositivos de E/S.
Con Control de dispositivos, puede restringir el uso de dispositivos que permiten el acceso de
datos en el dispositivo, tales como puertos, modems, unidades, dispositivos USB y conexiones
inalambricas.
IVANTI Antivirus
IVANTI Antivirus permite protegertodos los dispositivos administrados de los ultimos virus
conocidos y de las infecciones sospechadas. Los rastreos de antivirus tambien pueden chequear
software de riesgo (por medio de una base de datos ampliada). IVANTI Antivirus es una herramienta
de proteccion contra virus que puede configurarseyque se encuentra totalmente integrada tanto con
IVANTI Security Suite como con IVANTI Endpoint Manager.
569
GUÍA DE USUARIO
IVANTI Antivirus proporciona un rango amplio de funciones antivirus, entre ellas: rastreos
programados de antivirus, rastreos a peticion, rastreos de boton rojo, proteccion de archivos y
mensajes de correo electronico en tiempo real, descarga automatizada de las actualizaciones de
archivos de definiciones de virus (la base de datos de firmas de virus de IVANTI contiene las ultimas
definiciones de virus conocidas y se renueva varias veces al dfa), configuracion del
comportamiento del rastreo de antivirus y de las opciones del usuario final, exclusiones de rastreos
y alertas e informes de antivirus.
Ademas, puede visualizar informacion de antivirus en tiempo real sobre los dispositivos
rastreados en la consola principal yen el Tablero ejecutivo de la consola web para identificar
rapidamente brotes de virus yver el control de virus a lo largo de un penodo especificado de
tiempo.
Para obtener mas informacion, consulte "Informacion general de IVANTI Antivirus" (929).
Con IVANTI 802.1X NAC puede configurar las polfticas de cumplimiento personalizadas mediante la
herramienta de Revisiones y cumplimiento, e imponer dichas poifticas en los dispositivos que
intentan tener acceso a la red a traves del proceso de validacion de postura. Los dispositivos con
estado apropiado reciben acceso, mientras que los dispositivos con estado no apropiado se
colocan en cuarentena, donde pueden repararse para recibir acceso total o acceso limitado a la red.
Tambien puede creary configurar rastreos de seguridad espedficos del cumplimiento para buscar
en los dispositivos conectados actualmente el cumplimiento con respecto a la polftica de seguridad.
Un rastreo antivirus tambien puede iniciar los rastreos de seguridad de cumplimiento completos
cuando un virus no se puede eliminar o poner en cuarenta.
Para obtener mas informacion, consulte "Despliegue de la herramienta IVANTI 802.1X NAC" (582).
570
GUÍA DE USUARIO
Cuando se instala el software del agente de Credant (Proteccion de datos), configurado con una
polftica de seguridad, y se proporciona suficiente tiempo para aplicar dicha polftica en un
dispositivo de los que se gestionan, el dispositivo se considerara "protegido" por el servicio
integrado de Proteccion de datos de Credant. Los servidores de Credant utilizan un cifrado de datos
inteligente basado en la polftica para asegurar los datos en los dispositivos protegidos. IVANTI
simplemente recopila esta informacion y la pasa a la base de datos central, la cual les permite a los
Administradores de IVANTIver la informacion de Proteccion de datos en la vista de inventario de la
consola yen un informe predefinido de Proteccion de datos.
Para obtener mas informacion, consulte "Informacion general sobre IVANTI Data Protection" (1034).
IMPORTANT: Tenga en cuenta que algunas de estas herramientas comunes tienen ciertas restricciones en ■ la
activacion de licencias de IVANTI Security Suite.
Informes
Utilice la herramienta de informes para generary publicar una gran variedad de informes
especializados que ofrecen informacion util sobre los dispositivos administrados, incluyendo varios
informes predefinidos de Revisiones y cumplimiento, Antivirus y Cumplimiento de IVANTI NAC.
IVANTI ENDPOINT MANAGER
Tareas programadas
Utilice las Tareas programadas para crear tareas periodicas especificamente relacionadas con el
administrador de seguridad y revisiones, las reparaciones, la aplicacion de la seguridad de
cumplimiento, los rastreos de antivirus y mas. Puede configurar las opciones de los dispositivos
destinoytiempos programados de la tarea.
La deteccion extendida de dispositivos (XDD) funciona fuera de los metodos de deteccion normales
basados en rastreo que utiliza UDD. Los equipos administrados que tienen el agente de deteccion
extendida de dispositivos escuchan las difusiones ARP (Protocolo de resolucion de direcciones) y
mantienen una memoria cache (en la memoria y en un archivo de la unidad local) de los dispositivos
que las emiten. La deteccion de dispositivos ampliada tambien puede detectar dispositivos WAP
(punto de acceso inalambrico).
Con la administracion basada en roles, se asignan roles (con sus derechos asociados) para
determinar las tareas que los usuario pueden efectuary se asignan ambitos (basados en grupos de
dispositivo, consultas, directorios de LDAP o directorios personalizados) para determinar los
dispositivos que los usuarios pueden very administrar. Los roles que estan disponibles con
Security Suite incluyen: Parches y cumplimiento, Control de acceso a la red, Configuracion del
agente, Distribucion de software, Administracion de consultas publicas y Deteccion de dispositivos
no administrados.
572
IVANTI ENDPOINT MANAGER
Aprovisionamiento del SO, Control remoto, Configuracion de activos, Captura de activos y Supervision de
licencias de software.
Cuentas locales
Las cuentas locales constituyen una herramienta administrativa que se utiliza para administrar los
usuarios y grupos en los equipos locales de la red. En la consola puede agregary eliminar usuarios
y grupos, agregary eliminar usuarios de los grupos, definiry cambiar contrasenas, modificar las
configuraciones de usuarioy de grupo, y creartareas para restablecer contrasenas en varios
dispositivos.
Despues de los temas de ayuda de la herramienta de seguridad, el resto de los temas de ayuda con
enlaces se encuentran en las secciones de ayuda de IVANTI Endpoint Manager que cubren las
herramientas comunes de IVANTI que se mencionaron anteriormente (incluyendo informacion
acerca de la descripcion y el uso de la consola y la vista de red).
O
IVANTI ENDPOINT MANAGER
los productos y tecnologias de IVANTI. Para tener acceso a este valioso recurso, vaya a: Pagina principal de la
Comunidad de usuarios de IVANTI
Temas relacionados
"Bienvenido a IVANTI Security Suite" (561)
574
GUÍA DE USUARIO
IVANTI Security Suite ofrece una herramienta NAC 802.1X que esta disenada para soportary ampliar
la seguridad de cualquier implementacion existente del servidor de Radius 802.1X en la red. El
soporte de IVANTI 802.1X NAC agrega capacidades de autenticacion y conformidad al control de
acceso basico de Radius 802.1X.
El Control de acceso a la red (NAC) agrega un nivel adicional de proteccion a la red al facilitar que
se evite el acceso a la red de dispositivos vulnerables o danados, asf como proteger los recursos
cnticos de red de los sistemas conectados que resulten danados.
Con el Control de acceso a la red, puede definir poifticas de seguridad basicas personalizadas,
rastrear dispositivos (administrados y no administrados) para verificar su legalidad, verificar el
estado de integridad (o postura) de los dispositivos conectados y denegar o permitir el acceso a los
recursos cnticos de la red en funcion del cumplimiento del dispositivo de las polfticas de
seguridad. Se otorga acceso completo a la red a los dispositivos con un estado apropiado. Si se
determina que un dispositivo tiene un estado no apropiado, se bloqueara su acceso a la red y
permanecera en un area virtual de cuarentena donde podra repararse mediante las capacidades de
reparacion de Security Suite o se le permitira acceso limitado a la red.
Tambien, con el control de acceso de red, puede evaluar las credenciales de seguridad de cualquier
dispositivo tan pronto como este intente conectarse a la red mediante la comparacion del
dispositivo con las polfticas de seguridad personalizadas, puede supervisar el estado de seguridad
de los dispositivos que ya estan conectados, permitir o denegar el acceso a la red, colocar en
cuarentena los dispositivos que no satisfacen los requisitos de las polfticas de seguridad y reparar
los dispositivos vulnerables para que puedan volver a rastrearse a fin de determinar su
cumplimiento de las polfticas de seguridad y se le permita el acceso a la red una vez que se
575
IVANTI ENDPOINT MANAGER
Para obtener mas informacion sobre la definicion de una polftica de seguridad de cumplimiento en
la herramienta de Revisiones y cumplimiento de la consola, consulte "Definicion de los criterios de
seguridad de cumplimiento y publicacion de la configuracion de NAC" (605).
576
GUÍA DE USUARIO
A Dispositivos que han intentado el acceso a la red, B Dispositivo de control de acceso a la red, C Punto de decision del
acceso de red / servidorde pollticas, D Red corporativa, E VLAN de cuarentena
A: Dispositivos que Incluye los equipos moviles que se conectan de forma ocasional, contratistas visitantes y usuarios
han intentado el invitados, al igual que los usuarios normales de la red, que intentan el acceso a la red empresarial.
acceso a la red
Los dispositivos con un agente de confianza instalado pueden comunicarse con el servidor de
polfticas o el servidor de validacion de postura para enviar y recibir informacion sobre las
credenciales de integridad, y pueden ser reparados por el servidor de reparacion si las
vulnerabilidades se detectan durante el rastreo de seguridad.
Sin un agente de confianza, el dispositivo no se puede comunicarcon el servidorde validacion de
postura y no puede repararse. Si se rastrea por primera vez un dispositivo que no tiene un agente de
confianza, el dispositivo se dirige a una pagina web con vmculos para instalar el agente de confianza
apropiado.
El dispositivo de control de acceso de red funciona como el dispositivo de red "de primer salto"
B: Dispositivo de desde la perspectiva del dispositivo suplicante/solicitante y empieza el proceso de validacion de
control de acceso a postura y de autenticacion.
la red
C: Servidor de
Servidor dedicado de administracion y control tambien conocido como servidor de validacion de
polfticas / servidor
postura, el cual evalua las credenciales de postura (estado de los dispositivos que solicitan acceso)
de validacion de
en funcion de las reglas de cumplimiento (polfticas de seguridad provenientes del servidor central
postura (punto de
publicadas en el). Envfa una respuesta de validacion (estado apropiado, no apropiado, etc.) a traves
decision de acceso
del dispositivo de control de acceso de red.
de red)
577
GUÍA DE USUARIO
Componente Descripcion
D: Red Area y recursos de red cnticos que el NAC protege de dispositivos en mal estado,
empresarial infectados o vulnerables de algun modo.
E: VLAN de Area de red virtual segura donde los dispositivos que no cumplen con los requisitos
cuarentena pueden asegurarse, para repararlos, volver a rastrearlos, concederles el acceso
completo a la red u otorgarles acceso restringido a los recursos de red, tal como Internet.
Este derecho es necesario para configurar dispositivos con agentes de confianza para efectuar el
rastreo de cumplimiento y para configurar los servicios de NAC en la consola.
NOTE: Los derechos de administrador de IVANTI incluyen todos los demas derechos, incluso los derechos de
administracion de revisiones que se mencionaron arriba.
578
O
GUÍA DE USUARIO
Puede imprimir esta lista de tareas yconsultarla para llevar un seguimiento de cada uno de los
pasos durante el proceso de implementacion. Si esta visualizando esta lista de tareas en lfnea, haga
clic en el enlace Mas information para ver informacion detallada sobre una tarea particular.
579
IVANTI ENDPOINT MANAGER
580
GUÍA DE USUARIO
581
IVANTI ENDPOINT MANAGER
582
GUÍA DE USUARIO
583
IVANTI ENDPOINT MANAGER
IVANTI 802.1X NAC funciona con los principales proveedores de conmutacion compatibles con el
estandar 802.1X. Un proxy Radius 802.1X puede participar con una arquitectura de administracion
de identidad AAA (autenticacion, autorizacion y administracion) existente para autenticar usuarios o
puntos extremos o bien, funcionar como Radius independiente en entornos que solamente
requieren la validacion del cumplimiento de los puntos extremos. Radius Proxy aprovisiona el
acceso a puertos de conmutacion en funcion de los resultados de autenticacion de los puntos
extremos conectados.
Las secciones siguientes describen como planificar, instalar, configurary activar el soporte de
Control del acceso de red IVANTI 802.1X NAC en un entorno de NAC existente.
La herramienta IVANTI 802.1X NAC esta disenada para soportary ampliar la seguridad de cualquier
implementacion existente del servidor de Radius 802.1X en su red. El soporte de IVANTI 802.1X NAC
agrega capacidades de autenticacion y conformidad al control de acceso basico de Radius 802.1X.
IMPORTANT: Se requiere conocimiento tecnico y pericia para configurar el NAC Observe que el NAC requiere
una configuracion de hardware y software adicional mas alla de la instalacion basica del servidor central. Debido
a la naturaleza tecnica de tal trabajo de configuracion adicional, IVANTI supone que usted esta familiarizado con
la configuracion del servidor 802.1X Radius, autenticacion y validacion de postura de mantenimiento de 802.1X,
y con principios avanzados de diseno de infraestructura de red y su administracion.
Otras tareas de gestion de NAC en curso incluyen: garantizar los servicios de 802.1X NAC es
habilitado mediante el permitir o restringir el acceso a la opcion a todos, entender lo que ocurre
cuando los dispositivos de conexion tienen postura, actualizar las normas de seguridad y
cumplimiento de polrticas y publicar la configuracion NAC, agregar dispositivos no administrados a
la herramienta de Deteccion de dispositivos no administrados, ver los dispositivos afectados y
configurar los registros. Para obtener mas informacion, consulte "Administrar la seguridad de
cumplimiento del NAC 802.1X" (613).
584
GUÍA DE USUARIO
Para su comodidad, utilice esta lista de verificacion de tareas para llevar un seguimiento de los
pasos necesarios para configurar IVANTI 802.1X NAC. Ver la "Lista de tareas de inicio rapido de
IVANTI 802.1XNAC" (578).
802.1X es un protocolo de seguridad de IEEE que se utiliza para efectuar el control de acceso a la
red basado en puertos. 802.1X proporciona autenticacion a los dispositivos, ya sea mediante el
establecimiento de una conexion o mediante la prevencion del acceso si falla la autenticacion.
802.1X se basa en EAP (Protocolo de autenticacion ampliable) y mas recientemente PEAP
(Protocolo de autenticacion ampliable protegido). 802.1X es admitido en la mayona de los
conmutadores de red y se puede configurar para la autenticacion de clientes que tienen instalado
software de agente.
El NAC 802.1X es una tecnologfa de acceso a la red y de autenticacion proxy de Radius que
funciona con todos los proveedores de conmutacion mas importantes que admiten el estandar
802.1X. Con NAC 802.1X, un servidor Radius (bien sea un servidor Microsoft IAS con el
complemento EAP IAS o un servidor Radius con proxy 802.1X) realiza la validacion de postura, o en
otras palabras, verifica el cumplimiento de las polfticas de seguridad.
La autenticacion 802.1X estandar requiere un nombre de usuario y una contrasena para tener
acceso a la red. IVANTI NAC 802.1X de amplfa este modelo basico requiriendo que el agente
estandar (CBA) de IVANTI este instalado en los dispositivos administrados que soliciten acceso a la
red y requiriendo que se haya determinado que el dispositivo suplicante cumpla con las polfticas de
seguridad personalizadas. El NAC verifica la presencia del agente (CBA) por medio de la busqueda
de un ID de dispositivo unico creado por el mismo agente. (Nota: el EAP no intentara la
autenticacion a menos que pueda encontrar el Identificador del dispositivo.)
El NAC 802.1X con el complemento EAP IAS usa un agente NAC EAP de propiedad exclusiva que
reside tanto en el servidor IAS Radius como en los dispositivos administrados. El agente LTA EAP
se instala en los dispositivos administrados a traves de una configuracion de agente.
Ademas del componente de servidor Radius 802.1X espedfico, y la configuracion del interruptory
enrutador, tambien debe configurar un servidor de reparaciones para poder implementar el Control
de acceso a la red
Con el NAC 802.1X, el servidor Radius actua como el punto de decision de acceso a la red en
conjunto con el interruptor de red. El interruptor actua como el dispositivo de control de acceso a la
red y envfa las solicitudes de autenticacion de dispositivo al servidor Radius, el cual realiza la
autenticacion real. Segun los resultados devueltos al conmutador por el servidor Radius, el
conmutador permite o deniega el acceso a la red.
585
IVANTI ENDPOINT MANAGER
Componentes requeridos
586
GUÍA DE USUARIO
587
IVANTI ENDPOINT MANAGER
Usted debe tener en cuenta los siguientes aspectos durante la implementacion de soporte de
IVANTI 802.1X NAC en un entorno de servidor Radius 802.1X existente.
• La red de cuarentena del enrutador debe utilizar listas de control de acceso (ACL) para
restringir el acceso del dispositivo a solo el servidor de reparacion.
El flujo de trabajo a continuacion describe el flujo de comunicacion entre los diversos componentes
de un entorno NAC 802.1X cuando el dispositivo que intenta el acceso a la red tiene instalado el
agente de802.1Xde IVANTI.
Como se dijo anteriormente, IVANTI 802.1X NAC mejora un entorno de NAC 802.1X existente
mediante la adicion de funciones de autenticacion y cumplimiento. IVANTI 802.1X NAC requiere un
servidor Radius 802.1X o proxy Radius.
En primer lugar, elija uno de los metodos siguientes para implementar IVANTI 802.1X NAC.
588
GUÍA DE USUARIO
NOTE: Utilice el complemento del servidor Radius de IAS si se especifica el tipo de EAP como MD5. Utilice el
proxy Radius si se especifica el tipo de EAP como PEAP. (Tambien puede utilizar el proxy Radius si posee un
servidor Radius diferente a IAS).
Las secciones siguientes proporcionan instrucciones paso a paso para efectuar ambas
configuraciones.
Utilice el complemento de servidor IAS 802.1X si desea utilizar un servidor IAS existente (o
configure un servidor IAS nuevo) para efectuar la autenticacion 802.1X.
Los siguientes pasos describen la instalacion (si es necesaria) y la configuracion de un servidor IAS
con el complemento EAP. Realice todos los pasos antes de habilitar el NAC 802.1X en la consola.
NOTE: el nuevo tipo EAP se verifica en la pagina Propiedades de servidor remoto. Para ello, vaya a Panel de
control > Herramientas administrativas > Enrutamiento y acceso remoto. Haga clic con el boton derecho en el
servidor remoto, haga clic en Propiedades, en la pestana Seguridad, en Metodos de autenticacion y en
Metodos EAP. El tipo LTA EAP debe figurar en la lista de metodos. Si LTA EAP no se encuentra en la lista,
debe instalarlo a partir del servidor central.
589
IVANTI ENDPOINT MANAGER
1. Haga clic en Panel de control > Herramientas administrates > Enrutamiento y acceso remoto.
2. Haga clic con el boton derecho en el servidor y haga clic en Configurar y habilitar el
enrutamiento y acceso remoto. Se abre el Asistente para configuracion del servidor de
enrutamiento y acceso remoto.
3. Haga clic en Siguiente.
4. Seleccione Configuracion personalizada y a continuacion, haga clic en Siguiente.
Paso 3: Personalice el servicio de acceso remoto (configure EAP como el metodo de autenticacion
preferido para los dispositivos remotos)
Debe configurar una poiftica de acceso remoto que utilice el metodo EAP para efectuar la
autenticacion.
1. Bajo el nodo de servidor remoto, haga clic con el boton derecho en Polfticas de acceso
remoto y luego en Nuevo. Se abre el Asistente para polfticas de acceso remoto.
2. Haga clic en Siguiente.
3. Seleccione el tipo de polftica Tipica, escriba un nombre para la polftica y haga clic en
Siguiente. (Nota: escriba un nombre descriptivo que identifique las polfticas con facilidad.)
4. Seleccione el metodo de acceso Ethernet y haga clic en Siguiente.
5. Seleccione Usuario para otorgar acceso (no Grupo) y haga clic en Siguiente.
6. Seleccione el metodo de autenticacion LTA EAPy haga clic en Siguiente.
7. Haga clic en Finalizar para crear la polftica de acceso remoto.
590
GUÍA DE USUARIO
Paso 2: Configure la politica de acceso remoto para admitir tanto redes cableadas como
inalambricas
1. Haga clic con el boton derecho en la polftica de acceso remoto nueva que ha creado y luego
haga clic en Propiedades.
2. Seleccione la opcion Otorgar permiso de acceso remoto para habilitar la compatibilidad
inalambrica.
3. Haga clic en Aceptar.
Ahora debe agregar los conmutadores de red (como clientes de Radius) que desee utilizar con la
autenticacion 802.1X.
Al agregar un conmutador como cliente Radius, el servidor Radius podra reconocery procesar las
solicitudes de autenticacion a traves de dicho conmutador.
Ahora debe crear un usuario nuevo en el servidor Radius para establecer las credenciales de inicio
de sesion. El nombre y la contrasena del usuario determinan las credenciales de autenticacion de
los dispositivos administrados configurados con el NAC 802.1X que intenten tener acceso a la red.
Utilice la herramienta Administracion de equipos del servidor para realizar esta tarea.
1. En el servidor Radius, haga clicen Inicio > Programas > Herramientas administrates >
Administracion de equipos.
2. Abra Usuarios y grupos locales, haga clic con el boton derecho en Usuarios y luego haga
clic
en Usuario nuevo.
591
IVANTI ENDPOINT MANAGER
Ahora puede habilitar NAC 802.1X en la consola. (El otro metodo de implementacion de NAC 802.1X
es mediante la configuracion e instalacion de un proxy Radius. Para obtener mas informacion,
consulte "Usar el proxy Radius (para PEAP)" (590).)
Esto se hace desde la consola (Herramientas > Seguridad > Control de acceso a la red).
Esto en esencia activa los servicios de autenticacion de 802.1X en la red. Sin embargo, aun debe
configurar los dispositivos administrados con el agente de 802.1X antes de administrar e imponer el
acceso remoto en ellos a traves de la autenticacion de 802.1X. Para obtener mas informacion,
consulte "Implementar el agente de IVANTI 802.1X NAC en los dispositivos administrados" (594).
Para habilitar IVANTI 802.1X NAC con el complemento de servidor Radius IAS
1. En la herramienta Network Access Control, haga cliccon el boton derechoen 802.1X yluego
haga clic en Configurar 802.1X > Servidor Radius.
2. Seleccione la casilla Habilitar servidor Radius 802.1X. Esto activa la autenticacion 802.1X en
la red (para dispositivos con el agente 802.1X) mediante el servidor Radius IAS con el
complemento EAP que usted configuro.
3. Para el Tipo EAP, seleccione MD5.
4. Seleccione Utilizar el complemento LTA EAP IAS.
5. Haga clic en Guardar.
La seccion siguiente describe la configuracion de IVANTI 802.1X NAC utilizando el metodo de proxy
Radius.
El proxy de Radius 802.1Xse puede instalaren los siguientes tipos de servidores de Radius:
• Cisco ACS
• RedesA10
• CAMS (Comprehensive Access Management System)
• IAS (Internet Authentication Service)
592
GUÍA DE USUARIO
Para utilizar proxy Radius, debe habilitar IVANTI 802.1X NAC, configurar las opciones de un archivo
de instalacion de proxy Radius e instalar el proxy Radius en el servidor Radius.
Esto se hace desde la consola (Herramientas > Seguridad > Control de acceso a la red).
Esto en esencia activa los servicios de autenticacion de 802.1X en la red. Sin embargo, aun debe
configurar los dispositivos administrados con el agente de 802.1X antes de administrar e imponer el
acceso remoto en ellos a traves de la autenticacion de 802.1X. Para obtener mas informacion,
consulte "Implementar el agente de IVANTI 802.1X NAC en los dispositivos administrados" (594).
Para habilitar IVANTI 802.1X NAC y configurar un archivo de instalacion de proxy Radius
1. En la ventana Control de acceso a la red, haga clic con el boton derecho en el objeto 802.1X,
haga clic en Configurar 802.1Xy luego haga clic en Servidor Radius.
593
IVANTI ENDPOINT MANAGER
2. Seleccione la casilla Habilitar servidor Radius 802.1X. Esto activa la autenticacion 802.1X en la red
(para dispositivos con el agente 802.1X) tras la instalacion del proxy Radius que ha configurado.
3. Para el Tipo EAP, seleccione PEAP.
4. Si desea verificar el servidor central, seleccione la casilla de verificacion Habilitar la revision del
servidor central en el proxy.
5. Seleccione Utilizar proxy Radius LTA.
6. introduzca la informacion del servidor Radius principal. (Si desea utilizar un servidor Radius de
respaldo, introduzca los datos de algun servidor secundario tambien.)
7. Introduzca un nombre para el archivo de instalacion del proxy Radius (MSI). El archivo de
instalacion se crea en el directorio LDMAIN\Install\Radius. Puede haber varias instalaciones de
servidores de proxy Radius. (NOTA: El proxy Radius se admite en todas las plataformas de 32 bits
de Windows.)
8. Haga clic en Guardar.
594
GUÍA DE USUARIO
1. En el servidor que desee configurar con el proxy Radius 802.1X, conectese con el servidor
central y navegue hasta la carpeta donde haya guardado el archivo de instalacion de proxy.
La instalacion del proxy Radius agrega datos (tal como informacion de direccion y puerto) al registro
del servidor.
La seccion siguiente describe los cuadros de dialogo mencionados en las tareas anteriores.
Si utiliza el complemento del servidor Radius IAS, sencillamente habilite el servidor Radius y
especifique el tipo de EAP (MD5) y luego seleccione la opcion de complemento IAS.
Si utiliza proxy Radius, no solamente debe habilitar el servidor Radius y especificar el tipo de EAP
(PEAP), sino que tambien debe configurar un archivo de instalacion de proxy Radius y luego instalar
el proxy Radius en el servidor designado.
595
IVANTI ENDPOINT MANAGER
• Tipo EAP: identifica el tipo EAP que se utiliza en la autenticacion de 802.1X. Seleccione PEAP
para efectuar cualquier implementacion de proxy RADIUS. Seleccione MD5 para implementar
cualquier complemento del servidor RADIUS de IAS.
• Utilizar el complemento LTA EAP IAS: seleccione esta opcion si desea utilizar un servidor IAS
existente.
• Utilizar proxy Radius LTA: seleccione esta opcion si desea utilizar el tipo de EAP como PEAP.
Al seleccionar esta opcion, puede configurar un archivo de instalacion de proxy Radius 802.1X.
• Proxy Radius: introduzca la informacion del servidor Radius principal. (Si desea utilizar un
servidor Radius de respaldo, introduzca los datos de algun servidor secundario tambien.)
• Direction de servidor Radius: especifica la direccion IP del servidor Radius.
• Puerto de servidor Radius: especifica el numero de puerto del servidor Radius. El
numero de puerto predeterminado para la autenticacion Radius es el puerto UDP1812.
• Clave compartida: especifica la clave compartida (o secreto compartido) que
proporciona seguridad a la comunicacion entre el conmutadory el servidor Radius. La
clave compartida es una cadena de texto. La cadena que especifique aqrn debe coincidir
con la cadena de clave compartida configurada en el conmutadory en el servidor Radius.
• Puerto de proxy Radius: especifica el numero de puerto del proxy Radius. Este puerto se
comunica con el conmutador. Tenga en cuenta que este numero de puerto debe ser distinto del
puerto del servidor Radius (mencionado anteriormente) si se encuentran en el mismo equipo.
• Puerto de reenvfo de proxy Radius: especifica el numero de puerto de reenvfo del proxy
Radius. Este puerto reenvfa los datos al servidor Radius.
• Nombre del archivo de instalacion de proxy: identifica el archivo de instalacion del proxy
Radius. El archivo de instalacion se crea en el directorio LDMain, bajo Install\Radius\. Puede
crear varios archivos de instalacion de proxy Radius. El proxy Radius se admite en todas las
plataformas de 32 bits de Windows.
596
GUÍA DE USUARIO
NOTA: NAC 802.1X utiliza el tipo de EAPque se especifico en la herramienta NAC (PEAPo
MD5).. La configuracion del tipo EAP abarca todo el servidor central. En otras palabras,
todos los dispositivos configurados con esta configuracion de agente tendran el tipo EAP
especificado en la consola.
597
IVANTI ENDPOINT MANAGER
598
GUÍA DE USUARIO
cuarentena.
7. Especifique cualquier otra opcion de configuracion de agente de dispositivo que desee para
los dispositivos de destino que se esten configurando.
8. Haga clic en Guardar.
Ahora puede implementar la configuracion de agente en los dispositivos de destino en que desee
usar IVANTI 802.1X NAC, y despues creartareas de rastreo de cumplimiento que rastreen los
dispositivos habilitados por 802.1X en busca de conformidad con las polfticas de seguridad.
Este rastreo lo realiza una tarea de rastreo de conformidad por medio de una configuracion de
cumplimiento con la opcion Hacer cumplir el rastreo 802.1X habilitada en la pagina de
Cumplimiento.
599
IVANTI ENDPOINT MANAGER
600
GUÍA DE USUARIO
Como el hardware del enrutador e interruptor es unico en cada entorno de red, no es practico
proporcionar instrucciones espedficas para cada tipo de hardware. Sin embargo, como regla
general para configurar el interruptory enrutador de IVANTI 802.1X NAC, asegurese que cumplan los
requisitos de funcion y topolog^a que se describieron en los temas anteriores. Para obtener mas
informacion, consulte "Componentes, flujo de procesoytopologfa de red de NAC 802.1X" (584)
Tambien, puede ir al sitio de Soporte de IVANTI para ver recomendaciones espedficas sobre la
configuracion del interruptory enrutador, asf como obtener archivos de configuracion de muestra.
Los recursos de reparacion se publican en el servidor de reparaciones, dichos recursos son los
clientes de seguridad que rastrean en busca de vulnerabilidades y otros riesgos de seguridad en los
dispositivos, los archivos de las revisiones y las paginas HTML que aparecen en los dispositivos y
que proporcionan opciones de reparacion o de acceso limitado a la red.
• El servidor de reparaciones puede ser cualquier tipo de servidor web, tal como IIS en
Windows o Apache en Linux.
• Debe crear un recurso compartido de web en el servidor de reparaciones que tenga acceso
anonimo con los derechos de lectura y exploracion habilitados. Para obtener instrucciones
detalladas, consulte "Crear un recurso compartido de web en el servidor de reparaciones"
(600)
IMPORTANT: Crear un recurso compartido de Samba * Si utiliza un servidor web de Apache en Linux, el
recurso compartido que cree debe ser Samba.
601
IVANTI ENDPOINT MANAGER
• Si lo coloca en el lado opuesto del enrutador, existe un riesgo de seguridad debido a que los
equipos en cuarentena tienen acceso al equipo en la red, pero puede instalar
automaticamente los archivos de reparaciones en el equipo sin tener que llevarlos al mismo.
Puede ver los diagramas que muestran la ubicacion del componentey el flujo de trabajo del la
solucion de IVANTI 802.1X NAC en la seccion de descripcion.
El recurso compartido de web que crea en el servidor de reparaciones funciona como deposito para
los archivos ejecutables de parches que se utilizan para reparar las vulnerabilidades en los
dispositivos afectados. Cuando se publican archivos de infraestructura o recursos de reparaciones
(por ejemplo, el cliente de seguridad, los archivos de parches y las paginas HTML desde el servidor
central), dichos archivos se copian en el recurso compartido de web.
Tras ejecutar la secuencia de comandos para crear yconfigurar el recurso compartido de web, debe
agregar el servidor de reparaciones en la consola y especificar la ruta al recurso compartido (para
obtener instrucciones detalladas, consulte "Configurar (agregar) un servidor de reparaciones en la
consola" (601)). Esto asegura que el servidor central publique los recursos de reparacion en la
ubicacion correcta del servidor de reparaciones.
1. Desde el equipo que desee configurar como el servidor de reparaciones, asigne una unidad
en la carpeta LDMain\InstallTrusted Access\RemediationServer del servidor central.
602
GUÍA DE USUARIO
• Crear un recurso compartido de web con el nombre de LDLogon en: c:\i netpu
b\wwwroot\LDLogon.
• La activacion del acceso anonimo al recurso compartido LDLogon con derechos de lectura,
escritura y exploracion.
• La adicion de un tipo MIME nuevo para los archivos .lrd y la definicion del mismo en el flujo
de aplicaciones u octetos (aplicacion o binario).
NOTE: Puede utilizar la herramienta de Microsoft IIS para configurar de forma manual los permisos de acceso al
recurso compartido de LDLogon y los tipos MIME.
El servidor de reparacion se encuentra ahora listo para que se configure (es decir, agregue) en la
consola.
1. En la ventana de la herramienta de Control de acceso a la red, haga clic con el boton derecho
en 802.1X y luego haga clic en Configurar 802.1X.
603
IVANTI ENDPOINT MANAGER
604
GUÍA DE USUARIO
4. Introduzca la ruta al recurso compartido de web (en el servidor Web que esta configurando
como servidor de reparaciones), en la cual desea publicar los archivos de cumplimiento. El
recurso compartido debe llamarse LDLogon. Los archivos de cumplimiento son los archivos
de definiciones de seguridad que definen la polftica de seguridad de cumplimiento (por
ejemplo, el contenido del grupo Cumplimiento en Revisiones y cumplimiento), al igual que
los archivos de revision necesarios para reparar las vulnerabilidades detectadas.
Puede especificar una ruta UNC o una ruta de unidad asignada. La ruta UNC es el metodo
mas fiable debido a que las asignaciones de unidad podnan cambiar (vea la nota siguiente).
Puede hacer clic en el boton Examinar para navegar al recurso compartido en el cual desea
publicar los archivos de legalidad, en el servidor de reparaciones.
Importante: si especifica una ruta local o una unidad asignada en el campo Ubicacion para
copiar los archivos de legalidad, los archivos se publicaran ya sea en el equipo local o en la
unidad asignada especificada en el equipo donde se inicia la accion de publicacion. Para
asegurar que se publiquen los archivos de legalidad en la misma ubicacion de cada servidor
de reparaciones de la red, es recomendable que utilice una ruta UNC a un recurso
compartido de red.
Ahora puede publicar los archivos de infraestructura de reparacion en el servidor (mientras tambien
haya configurado un servidor de validacion de postura y las credenciales de usuario).
Acerca del cuadro de dialogo Nombre y credenciales del servidor de reparaciones
Utilice este cuadro de dialogo para identificar al servidor de reparaciones y la ruta al recurso Web
del servidor de reparaciones en la cual se publican los recursos de reparacion (clientes de
seguridad, archivos de revision y paginas HTML).
• Nombre del servidor central o la direccion IP: identifica el servidor de reparaciones mediante
la direccion IPo el nombre de host.
• Ubicacion para copiar los archivos de legalidad: Especifica la ruta completa del recurso Web
ubicado en el servidor de reparaciones donde se publican los archivos de cumplimiento
desde el servidor central. El nombre del recurso Web debe ser LDLogon. La ruta puede ser
una ruta UNC o una ruta de unidad asignada (o ruta local). Se recomienda una ruta UNC (vea
605
IVANTI ENDPOINT MANAGER
la nota
Importante mas arriba).
• Examinar: abre la ventana local del Explorador de Windows, en la cual puede navegar hasta
el recurso compartido LDLogon del servidor de reparaciones.
• Nombre de usuario: Identifica a un usuario valido con credenciales de acceso al recurso Web
del servidor de reparaciones.
• Generation de paquetes MSI de reparacion de clientes de roaming: Utilice esta opcion para
crear un paquete de instalacion (MSI) que se puede utilizar para configurar un servidor de
reparacion en otra red, es decir, en dispositivos portatiles que se trasladan a otras redes de
confianza.
• Cancelar: cierra el cuadro de dialogo sin guardar la configuracion y sin agregar nada a la
lista de servidores de reparaciones.
Para obtener informacion acerca de estas tareas, consulte "Definicion de los criterios de seguridad
de cumplimiento y publicacion de la configuracion de NAC" (605).
606
GUÍA DE USUARIO
Despues de configurar el soporte de IVANTI 802.1X NAC en el entorno, puede efectuar las siguientes
tareas de administracion de seguridad de cumplimiento.
Para obtener mas informacion sobre el rastreo de cumplimiento y otras tareas de administracion de
NAC, tales como actualizacion de reglas de seguridad y polfticas de cumplimiento en servidores de
validacion de postura, actualizacion de recursos de reparacion en los servidores de reparaciones,
adicion de dispositivos no administrados a la herramienta de Deteccion de dispositivos no
administrados, visualizacion de dispositivos afectados y configuracion de archivos historicos,
consulte "Administrar la seguridad de cumplimiento del NAC 802.1X" (613).
Consulte los procedimientos adecuados de cada una de las tareas a continuacion. Consulte
"Despliegue de la herramienta IVANTI 802.1X NAC" (582).
Debe contar con una suscripcion de contenido de IVANTI Security Suite para poder descargar los
diferentes tipos de contenido de seguridad, tales como las definiciones de vulnerabilidad de
aplicacion y de sistema operativo (y las revisiones necesarias), las definiciones de spyware, las
definiciones de aplicaciones bloqueadas, las definiciones de virus, amenazas de seguridad de la
configuracion del sistema, etc.
Sin una licencia de Security Suite, no se puede tener acceso a los servicios de Seguridad, y no se
puede definir la seguridad de cumplimiento mediante dichas definiciones de seguridad.
607
IVANTI ENDPOINT MANAGER
Los tipos de seguridad siguientes se pueden agregar al grupo Cumplimiento para definir una
polftica de seguridad de cumplimiento:
• Antivirus
• Aplicaciones bloqueadas
• Definiciones personalizadas
• Actualizaciones de controladores
• Actualizaciones de IVANTI
• Amenazas de seguridad (incluso definiciones de servidor de seguridad)
• Actualizaciones de software
• Spyware
• Vulnerabilidades (definiciones de vulnerabilidades de aplicacion ySO)
O NOTE: No se pueden agregar definiciones de aplicaciones bloqueadas al grupo Cumplimiento para definir
polfticas de seguridad de cumplimiento.
608
GUÍA DE USUARIO
2. O bien, haga clic con el boton derecho en una definicion individual o en el grupo
seleccionado de definiciones y haga clic en Agregar al grupo de legalidad.
3. Compruebe que se descarguen las revisiones asociadas que se requieren antes de publicar
el contenido del NAC en los servidores de validacion de postura y de reparacion. Haga clic
con el boton derecho en una definicion, en un grupo de definiciones seleccionado o en el
mismo grupo de Legalidad y haga clic en Descargar revisiones asociadas para descargar las
revisiones necesarias con el fin de reparar los dispositivos afectados.
Al publicar los ajustes del NAC se envfa informacion y recursos a los servidores de postura y
de reparaciones, los cuales se requieren para poder implementar el proceso de validacion de
postura y hacer efectivo el cumplimiento de la seguridad.
Para poder publicar los ajustes del NAC desde la consola, debe haber al menos un servidor de
reparacion y haber configurado las credenciales de usuario.
609
IVANTI ENDPOINT MANAGER
grupo Cumplimiento y luego en Publicar. Tambien puede buscar el boton Publicar en los
cuadro de dialogo Configurar NAC y en Configurar servidor de reparation. Ademas, puede
hacer clic en el boton Publicar la configuration del NAC de la barra de herramientas.
2. Para publicar todos los ajustes del NAC, incluso el contenido de NACy los archivos de
infraestructura en todos los servidores de validacion de postura y reparacion a la misma vez,
seleccione la casilla de verificacion Todos y haga clic en Aceptar.
3. Si desea publicar solo el contenido de NAC (definiciones de seguridad, ajustes de NAC o
reglas de legalidad y revisiones asociadas) en los servidores de validacion de postura yen
los servidores de reparacion, marque la casilla de verificacion Contenido del NAC y haga clic
en
Aceptar.
4. Si desea publicar solo los archivos de infraestructura (rastreador de seguridad del cliente,
instalaciones de agentes de confianza y en las paginas HTML para los servidores de
reparacion), seleccione la casilla de verificacion Infraestructura y luego haga clic en Aceptar.
(Generalmente solo tendra que publicar los archivos de infraestructura una sola vez en los
servidores de reparacion).
• Todos: publica los contenidos de NACy los archivos de infraestructura en los servidores
correspondientes.
• Contenidos de IVANTI NAC: publica el contenido del NACy las opciones de configuracion
que definio en la herramienta de Revisiones y cumplimiento en todos los servidores de
610
GUÍA DE USUARIO
Los archivos HTML estan localizados en la siguiente carpeta del servidor central:
ManagementSuite\InstallTrusted Access\RemediationServer
Las paginas HTML son plantillas que debe modificar para que se adapten a sus necesidades y
requisitos de seguridad de cumplimiento. Para obtener informacion sobre como personalizar las
paginas HTML, consulte "Personalizar las paginas de reparacion" (611).
611
IVANTI ENDPOINT MANAGER
Debe especificar la URL a esta pagina en el servidor de reparaciones, en el campo URL de Estado
apropiado cuando configure el servidor de reparacion.
612
GUÍA DE USUARIO
Esta pagina se utiliza para informar a un visitante de la red empresarial que su dispositivo esta
siendo rastreado, que no satisface una o mas credenciales de seguridad de cumplimiento, y que se
le ha negado el acceso a la red. Al igual que con la pagina de estado no apropiado de empleado, el
administrador de red puede personalizar esta pagina HTML para que muestre las vulnerabilidades u
otras exposiciones de seguridad que se detectaron en el dispositivo y proporcionar instrucciones
espedficas para su reparacion. Una vez que se haya reparado el dispositivo, el visitante debe hacer
clic en el icono Rastreo de seguridad para el acceso a la red que ahora aparece en el escritorio.
Puede utilizar cualquier editor de HTML para modificar los archivos HTML. Puede modificar el texto
existente a fin de proporcionar informacion util adicional especfica a su red empresarial, y agregue
secciones HTML DIV para las definiciones de seguridad incluidas en su polftica de seguridad de
cumplimiento (por ejemplo, las definiciones contenidas en el grupo Cumplimiento de la herramienta
de Revisiones y cumplimiento).
Recuerde que si cambia un archivo HTML en el servidor central despues de que ha sido publicado
en los servidores de reparaciones, debe volver a publicar los archivos en dichos servidores para
que puedan ser presentados en los dispositivos que establecen conexion (seleccione paginas HTML
bajo el grupo Infraestructura del cuadro de dialogo Publicar los ajustes del NAC).
Adicion de secciones DIV para mostrar de forma dinamica las definiciones de seguridad cuya
reparacion fallo
Podna resultar particularmente util para los usuarios empresariales finales, al igual que para los
visitantes de la red, si personalizan las paginas con estado de "error" (no apropiado) para que ellos
puedan saber con exactitud la causa de los problemas de seguridad en sus equipos y los pasos
especficos que deben realizar para reparar el problema a fin de que el dispositivo pueda volver a
rastrearse, evaluarse como apropiado y se les permita el acceso completo a la red.
613
IVANTI ENDPOINT MANAGER
Estas paginas se han disenado para que muestren el contenido de forma dinamica cuando la
herramienta de reparacion del rastreador de seguridad no logra reparar una vulnerabilidad
detectada. En otras palabras, si se rastrea el dispositivo del usuario final y se detectan
vulnerabilidades u otras exposiciones de seguridad (tales como amenazas de seguridad de la
configuracion del sistema, spyware, etc.) yfalla la tarea de reparacion, la pagina HTMLde estado no
apropiado puede mostrar las definiciones de seguridad espedficas con sus numeros de ID unicos,
junto con otra informacion adicional que indique al usuario como reparar el problema, siempre y
cuando el administrador de sistemas haya agregado una seccion DIV para dichas definiciones de
seguridad (vease un ejemplo de seccion DIV mas adelante). Si falla la reparacion de una definicion
de seguridad y esta no tiene una seccion DIV correspondiente en el archivo HTML, no se mostrara
informacion especfica para esa definicion en el explorador del dispositivo del usuario final.
3. En las paginas HTML de estado no apropiado, agregue nuevas secciones DIV en el codigo
HTML (utilice las secciones DIV de ejemplo como modelo) para las definiciones de seguridad
que ha definido en el grupo Cumplimiento que define la polftica de seguridad de
cumplimiento.
No es necesario agregar secciones DIV para cada una de las definiciones de seguridad,
solamente las definiciones que contengan secciones DIV en el archivo HTML apareceran si
se detecta dicha exposicion de seguridad yademas el rastreador de seguridad no logro
repararla. Vease la seccion DIV de ejemplo mas adelante.
Puede agregar los pasos necesarios para reparar el problema de seguridad, agregar vrnculos
a los sitios de descarga de software ycualquier informacion que ayude a los usuarios finales
en la resolucion del problema.
614
GUÍA DE USUARIO
No posee software antivirus (AV-100): Haga clic aqm para instalar el cliente antivirus de Symantec Y
El soporte de IVANTI 802.1X NAC se habilita cuando existen Todas las condiciones siguientes:
• Dispositivo decontrol de red: debeestarinstaladoyconfiguradoadecuadamentecon los
servicios necesarios en ejecucion. Para NAC 802.1X, este es el interruptor de red y el
servidor Radius 802.1X.
• Herramienta de Revisiones y cumplimiento: los usuario con los derechos necesarios puede
615
IVANTI ENDPOINT MANAGER
tener acceso desde la consola. (Tambien debe tener una suscripcion a Security Suite que le
permita descargar el contenido de seguridad.)
• Grupo de cumplimiento: contiene al menos una definicion de contenido de seguridad. El
contenido del grupo de Cumplimiento es el factor principal que define la poiftica de
seguridad de legalidad y puede incluirvulnerabilidades de SOyde aplicacion, spyware,
antivirus, actualizaciones de software, definiciones personalizadas y amenazas a la
seguridad de la configuracion del sistema. Si el grupo Legalidad esta vado, no existen
credenciales de seguridad que verificar, no se puede realizar la validacion de postura y no
funciona el NAC.
• Servidor de reparaciones: al menos un servidor de reparaciones esta instaladoyconfigurado
correctamente, con recursos provenientes del servidor central publicados en el. (Los
recursos de Reparacion incluyen el cliente de seguridad o la herramienta de rastreador de
vulnerabilidades, las revisiones asociadas con las vulnerabilidades del grupo de
Cumplimiento y las paginas de HTML que proporcionan vfnculos a la instalacion de agentes
de confianza, la realizacion de rastreos de seguridad de cumplimiento, la reparacion de
vulnerabilidades detectadas y otros riesgos.)
616
GUÍA DE USUARIO
IMPORTANT: IVANTI 802.1X NAC ampKa la seguridad de un entorno de servidor Radius 802.1X
existente
Recuerde que la herramienta IVANTI 802.1X NAC esta disenada para soportary ampliar la seguridad de
cualquier implementacion existente del servidor de Radius 802.1X en su red. El soporte de IVANTI 802.1X
NAC agrega capacidades de autenticacion y conformidad al control de acceso basico de Radius 802.1X.
617
IVANTI ENDPOINT MANAGER
Por supuesto, el servicio brinda flexibilidad y puede personalizar la forma en que el NAC maneja los
dispositivos con opciones tales como la Lista de exclusion y Permitir a todos. Tambien puede
controlar el nivel de seguridad mediante la cantidad y el tipo de definicion de contenido de
seguridad que coloque en el grupo Legalidad, al igual que la cantidad de horas que especifique
antes de que se ejecute un rastreo de seguridad de legalidad de forma automatica en los
dispositivos conectados.
Al ajustar estas opciones y el criterio de las polfticas, puede definir polfticas de seguridad muy
estrictas, polfticas de seguridad complejas o sencillas, polfticas de seguridad benevolas o de
cualquier nivel. En otras palabras, tiene la capacidad para personalizar el grado de dificultad o de
facilidad, con el cual un dispositivo conectado puede cumplir con el criterio de seguridad que
especifique.
A continuacion, debe volver a publicar el contenido del NAC en los servidores de validacion de
postura y en los servidores de reparacion. Recuerde que la publicacion de contenido del NAC envfa
configuracion del NACy reglas de cumplimiento a los servidores de validacion de postura y a
cualquier revision asociada a los servidores de reparacion, mientras que la publicacion de los
archivos de infraestructura configura y comparte los archivos (incluyendo el rastreador de cliente
de seguridad, las instalaciones de agentes confiables y las paginas de plantillas de HTML) en los
servidores de reparacion. (NOTA: por lo general, los archivos de infraestructura solo necesitan
publicarse una vez en los servidores de reparaciones. A diferencia del contenido del NAC, no
necesita publicar estos archivos cada vez que cambie la polftica de seguridad de cumplimiento).
Para obtener mas informacion, consulte "Publicar la configuracion de NAC en los servidores" (607).
618
GUÍA DE USUARIO
3. Las credenciales se envfan al servidor Radius 802.1X (junto con los datos EAP) para iniciar el
rastreo de seguridad de cumplimiento en el dispositivo de usuario final.
4. El rastreo de seguridad de cumplimiento determina si el dispositivo es apropiado o no
apropiado, de acuerdo con las polfticas de seguridad personalizadas.
OR
Si el dispositivo rastreado no es apropiado (no cumple con los requisitos), se coloca en la red
de cuarentena para que se pueda reparar (a traves del acceso directo de Reparacion del
escritorio de dispositivo) y rastrear nuevamente para obtener acceso a la red empresarial.
Para ver una descripcion mas detallada del flujo de trabajo del proceso de autenticacion y
cumplimiento ycomo interactuan los diferentes componentes, consulte "Componentes, flujo de
proceso y topologfa de red de NAC 802.1X" (584).
Cuando ejecute la opcion de restablecimiento de 802.1X, asegurese de cerrar antes todos los cuadros de
dialogo abiertos de ventanas emergentes de Windows, ya que de lo contrario no se mostrara el cuadro de
dialogo de inicio de sesion. Si el de dialogo de inicio de sesion desaparece con demasiada rapidez, es probable
que la causa sea que el estado LINK-3-UPDOWN ha agotado el tiempo de espera, y todo lo que debe hacer es
intentar nuevamente la funcion de restablecimiento de 802.1X.
3. Seleccione un dispositivo de la lista para ver las definiciones de seguridad con las cuales el
dispositivo es vulnerable o las cuales no cumple.
619
IVANTI ENDPOINT MANAGER
Con un conmutador de Huawei, aparecen varias pantallas de solicitud de inicio de sesion en 802.1X
Cuando se utiliza un conmutado Layer 2 Huawei (Serie H3C S3900), si un dispositivo muestra mas
de una solicitud de inicio de sesion en 802.1Xy el usuario final cancela o cierra una de ellas sin
introducir las credenciales correctas, el proceso de autenticacion de 802.1X se cancela. En este
caso, los usuarios deben introducir las credenciales correctas en cada solicitud de inicio de sesion.
Si se cancela la autenticacion, use la opcion Restablecer 802.1x del menu para reiniciar el proceso
de autenticacion.
En un dispositivo con Windows XP SP2, la autenticacion inicial falla despues de una reparacion
Si repara un dispositivo de usuario final que ejecuta Windows XP SP2 y falla el intento de
autenticacion siguiente, puede usar la opcion de restablecer 802.1x del menu para reiniciar el
proceso de autenticacion y lograr tener acceso a la red corporativa.
620
GUÍA DE USUARIO
Utilice las tareas de rastreo de seguridad y polfticas para evaluar dispositivos evaluados para
vulnerabilidades espedficas de las plataformas. Descargue y organice los archivos ejecutables de
parches, a continuacion, repare las vulnerabilidades detectadas desplegando e instalando los
archivos de parches necesarios. Tambien puede crear sus propias definiciones personalizadas para
rastrear y reparar los dispositivos en busca de condiciones especficas, potencialmente peligrosas.
Ademas, en todo momento se puede ver informacion detallada de la seguridad de los dispositivos
rastreados y generar informes especializados sobre parches y cumplimiento.
• Utilizar una definicion de aplicacion bloqueada para negar las aplicaciones no autorizadas o
prohibidas en los dispositivos.
• Utilice las variables personalizadas que se incluyen con otras definiciones de ataques de
seguridad para personalizary cambiar las configuraciones especficas del sistema local y
establecer poifticas de configuracion del sistema en toda la empresa.
IMPORTANT: El rastreo de los servidores y las consolas centrales es compatible con las actualizaciones
de software de IVANTI
Tambien puede rastrear servidores y consolas centrales de IVANTI en busca de actualizaciones de
software de IVANTI, pero primero deben tener el agente de IVANTI estandar implementado, el cual
incluye al agente rastreador de seguridad que se requiere para efectuar tareas de rastreo de seguridad.
• Para utilizar Autofix para solucionar automaticamente estos tipos de seguridad detectados,
vulnerabiliades, spyware, actualizaciones de software de IVANTI ydefiniciones
621
IVANTI ENDPOINT MANAGER
• Para purgar las definiciones de tipos de seguridad no utilizados (debe ser administrador de
IVANTI)
• Para generar una serie de informes espedficos de seguridad, tambien debe disponer de
roles de informacion.
Los Administradores asignan dichos roles a los demas usuarios mediante la herramienta Usuarios
de la consola.
Escoja uno de los temas siguientes para obtener mas informacion acerca de Parches y
cumplimiento:
opuesta
3. Cree una tarea de rastreo y rastree los dispositivos. Para obtener informacion sobre como
rastrear dispositivos, consulte "Rastreo de vulnerabilidades en dispositivos" (646).
4. Utilice los resultados de rastreo para decidir que hacery como va a realizar la revision.
Organice el contenido de seguridad en funcion de esto. Para obtener mas informacion,
consulte "Administracion del contenido de seguridad" (633). Para obtener instrucciones
sobre como ver las vulnerabilidades que se han detectado en el entorno, consulte "Ver
vulnerabilidades detectadas" (650).
5. Descargue parches (que se utilizan para reparar las vulnerabilidades detectadas). Para
obtener informacion sobre como descargar parches, consulte "Descargar contenido de
seguridad" (634).
622
GUÍA DE USUARIO
7. Ver informes que proporcionen informacion sobre el estado del parche y el historial de
reparaciones. Para obtener informacion sobre los informes de parches, consulte "Generar
informes de Parches y cumplimiento" (681).
Si es nuevo en los Parches y cumplimiento, los siguientes temas pueden ayudarle a comprender
como funcionan los parches en su entorno.
La tabla a continuacion describe como Parches y cumplimiento busca cada tipo de riesgo a la
seguridad y los pasos que se han llevado a cabo para la reparacion:
Cuando busca... y remedios por...
Rastreo de Parches y cumplimiento
por...
Actualizaciones de Instalacion de la actualizacion de software de
software de IVANTI Se estan utilizando definiciones de actualizacion IVANTI adecuada.
de software publicadas por IVANTI para buscar
las ultimas versiones de software de IVANTI.
Vulnerabilidades de
Windows y Uso de las definiciones de vulnerabilidades Como utilizar una tarea programada o un
Mac publicadas por IVANTI (basadas en boletines de autofix para implementar e instalar los archivos
seguridad oficiales) para encontrar de parches necesarios. Los archivos de
vulnerabilidades conocidas de sistema parches ya deben estar descargados en el
operativo o de aplicacion. repositorio de parches local.
623
IVANTI ENDPOINT MANAGER
Definiciones
personalizadas
Uso de las vulnerabilidades definidas por el Como implementar un parche o una cadena de
usuario creadas por los administradores de comandos personalizados que se encargue de
IVANTI para buscar condiciones de plataformas la situacion. Puede hacer que el remedio forme
definidas por el usuario, aplicaciones, archivos parte de la definicion inicial o que sea un
o configuracion del registro. parche separado.
624
GUÍA DE USUARIO
Para abrir la herramienta de Parches y cumplimiento, haga clic en Herramientas > Seguridad >
Parches y cumplimiento.
El panel de la izquierda muestra una vista de arbol de grupos de reglas de tipo de definicion de
seguridad y reparacion.
El panel de la derecha muestra la informacion asociada con lo que este seleccionado en la vista de
arbol. Cuando selecciona Parches y cumplimiento, puede ver un tablero de informes. Cuando se
seleccionan otros elementos, se muestra una lista de informacion de definicion de los grupos
seleccionados y una funcion Buscar para localizar la lista de elementos largos.
En el cuadro Buscar no se admiten los caracteres ampliados siguientes: < > '"!
• Todos los tipos: muestra el tipo de contenido que desee ver. Cuando se selecciona Antivirus,
aparece solo la lista descargada de definiciones de deteccion de rastreo. No lista los
archivos espedficos de definiciones de virus de IVANTI Antivirus.
• Global (todos los dispositivos): Limita los elementos mostrados a un alcance espedfico.
625
IVANTI ENDPOINT MANAGER
• Todos los elementos: filtra los elementos mostrados basandose en un filtro personalizado.
Para obtener informacion sobre como creary usar un filtro personalizado, consulte "Listas
de elementos personalizados con filtros" (643).
• Cree una tarea: Incluye un lista desplegable donde puede seleccionar que tipo de tarea
desea crear:
• Reparar: le permite crear una tarea de reparacion de seguridad que repara los riesgos
de seguridad en los dispositivos rastreados. Puede configurar la reparacion como una
tarea programada, como una polftica o como ambas, dividir la tarea de reparacion en
fases y etapas de reparacion distintas, seleccionar una configuracion de rastreo y
reparacion y descargar revisiones. Tenga en cuenta que para crear una tarea de
reparacion, deben seleccionarse primero una o mas definiciones de seguridad
reparables.
• Recopilar informacion historica: le permite crear una tarea que recopile los conteos
rastreados y detectados (durante una cantidad especificada de d^as) que pueden
626
GUÍA DE USUARIO
utilizarse para generar informes. Tambien puede crear yconfigurar una tarea
programada que realice la misma accion.
• Configurar ajustes: Incluye una lista desplegable donde puede seleccionar el tipo de ajustes
que desea configurar, cambiar o actualizar:
• Mostrar tablero en una ventana distinta: Abre el tablero de Parches ycumplimiento, lo que le
permite ver y organizar los graficos que muestran la informacion de parches.
• Exportar definiciones: permite exportar una definicion personalizada como archivo XML.
• Equipos que no cumplen: enumera los dispositivos que se rastrearon para comprobar el
cumplimiento con la polftica predefinida de seguridad de cumplimiento (segun el contenido
del grupo Cumplimiento) y que se determino que no estan en buen estado o que no
cumplen.
627
IVANTI ENDPOINT MANAGER
• Desactivar regla reemplazada: Le permite seleccionar como desea manejar las reglas
reemplazadas. Las reglas reemplazadas son reglas que se sustituyen por otras definiciones
del entorno.
• Rastrear: (para el tipo Aplicaciones bloqueadas, este grupo se llama Bloquear). enumera
todas las definiciones de seguridad que se buscan cuando el rastreador de seguridad se
ejecuta en los dispositivos administrados. En otras palabras, si una definicion se incluye en
este grupo, formara parte de la siguiente operacion de rastreo; de lo contrario, no formara
parte del rastreo.
Rastrear es uno de los tres estados posibles para una definicion de seguridad,junto con No
rastreary No asignada. Como tal, una definicion solo puede residir en uno de esos tres
grupos a la vez. La definicion puede ser Rastrear, No rastrear o No asignada y se identifica
con un icono unico para cada estado (icono de signo de interrogacion [?] para No asignada,
icono deXroja para No rastreary el icono de vulnerabilidad normal para Rastrear. Al mover
una definicion de un grupo a otro se cambia su estado automaticamente.
Al mover definiciones al grupo Rastrear (haciendo clicy arrastrando una o mas definiciones
desde otro grupo, exceptuando el grupo Detectadas), puede controlar la naturaleza y el
tamano espedficos de la siguiente exploracion de seguridad en dispositivos de destino.
628
GUÍA DE USUARIO
• Detectada: enumera todas las definiciones detectadas en todos los dispositivos incluidos
en el ultimo rastreo de seguridad. El contenido de este grupo se acumula basandose en
todos los rastreos de seguridad que se ejecutan en su red. Las definiciones se eliminan del
grupo solo al repararlas correctamente, al eliminarlas del grupo de Rastreo ejecutando
luego un nuevo rastreo, o al eliminarlas realmente del dispositivo afectado.
La lista Detectadas esta compuesta de todas las definiciones de seguridad detectadas que
se han encontrado en la exploracion mas reciente. Las columnas Rastreado y Detectada
son utiles a la hora de mostrar cuantos dispositivos se rastrearon y en cuantos de esos
dispositivos se detecto la definicion. Para ver espedficamente que dispositivos presentan
una definicion detectada, haga clic con el boton derecho del raton en el elemento y
seleccione Equipos afectados.
Solo puede mover definiciones del grupo Detectadas a los grupos No asignadas o No
rastrear.
Observe que ademas de tener activadas la reglas de deteccion de una definicion, el archivo
ejecutable de revision que le correspondiera debe descargarse tambien a un deposito local
de revisiones en la red (normalmente el servidor central) para poder efectuar la reparacion.
El atributo Descargado indica si se ha descargado la revision asociada a la regla.
• No asignadas: enumera todas las definiciones que no pertenecen a los grupos Rastrear o
No rastrear. El grupo No asignadas es esencialmente un area de espera para definiciones
recopiladas hasta que decida si desea buscarlas o no.
Para mover las definiciones, arrastre una o mas desde el grupo No asignadas al grupo
Rastrear o al grupo No rastrear.
629
IVANTI ENDPOINT MANAGER
• Ver por producto: enumera todas las definiciones organizadas en subgrupos de productos
espedficos. Estos subgrupos le ayudan a identificar las definiciones por su categona de
producto pertinente.
• Ver por proveedor: enumera todas las definiciones organizadas en subgrupos de productos
especficos. Estos subgrupos le ayudan a identificar las definiciones por su categona de
proveedor pertinente.
Puede utilizar estos subgrupos de producto para copiar definiciones en el grupo de Rastrear para
explorar productos especficos o copiarlas en un grupo personalizado (ver a continuacion a fin de
realizar una reparacion en un grupo de productos de una sola vez).
Grupos
Un grupo le permite llevar a cabo acciones, como un rastreo dirigido, una tarea de reparacion o una
consulta, para un grupo de definiciones especfico. Por ejemplo, puede escoger establecer un grupo
Listo para reparar que contenga parches que se hayan probado y esten listos para aplicarse.
Una definicion puede pertenecer a mas de un grupo simultaneamente. Cuando se agrega una
definicion a un grupo, no se cambia el estado en la carpeta Rastrear o No rastrear. No obstante,
puede llevar a cabo acciones para ese grupo, que moveran la definicion.
Para crear un grupo personalizado, haga clic con el boton derecho en Mis grupos
personalizados (o en un subgrupo) y, a continuacion, haga clic en Grupo nuevo.
Para agregar definiciones a un grupo personalizado, haga clicy arrastre una o mas de
ellas desde cualquiera de los otros grupos de definiciones. O bien, puede hacer clic con
el boton derecho en un grupo personalizado y luego seleccionar Agregar Definicion.
630
GUÍA DE USUARIO
• Alerta: muestra una lista de todas las definiciones que generaran un mensaje de alerta la
proxima vez que se ejecute el rastreador de seguridad en los dispositivos.
• Cumplimiento: muestra una lista de todas las definiciones que se utilizan para determinar si
un dispositivo tiene un estado apropiado o no. Este grupo es utilizado por el Control de
acceso a la red (NAC) de IVANTI para denegar o permitir el acceso a la red principal. Las
definiciones y los archivos de revisiones asociados que contiene el grupo Cumplimiento se
copian en un servidor de reparaciones particular, el cual rastrea dispositivos, determina el
cumplimiento o la falta de este y puede reparar los dispositivos que no cumplen para que
obtengan acceso completo a la red empresarial. Cuando se ejecuta un rastreo de
cumplimiento con el boton Crear una tarea, esta utiliza las definiciones de este grupo.
Etiquetas
Las etiquetas son una manera de organizar definiciones. Una definicion puede tener varias etiquetas
asociadas. Cree un filtro o consulta para ver los detalles de las definiciones que se han etiquetado.
No se llevan a cabo acciones segun las etiquetas. Si desea organizar las definiciones y luego llevar
a cabo acciones segun los grupos, utilice un grupo en lugar de una etiqueta. Un proyecto de
resumen puede editar las etiquetas asociadas con una definicion, pero no lleva a cabo acciones
segun el estado de la etiqueta.
Gestione las etiquetas haciendo clic en Configurar ajustes > Administrar etiquetas.
Reglas de deteccion
El objeto Reglas de deteccion solo aparece en el arbol cuando ha seleccionado Vulnerabilidad o
Definicion personalizada como tipo. Este objeto muestra las reglas de deteccion asociadas con las
definiciones.
• No rastrear: enumera todas las reglas de deteccion que estan desactivadas para el rastreo
de seguridad en los dispositivos. Algunas definiciones tienen mas de una regla de
deteccion. Desactivando una regla de deteccion, puede asegurarse de que no se utilizara
para rastrear. Esto puede simplificar un rastreo de seguridad sin volver a definir la
vulnerabilidad.
631
IVANTI ENDPOINT MANAGER
• Ver por producto: enumera las reglas detectadas de las vulnerabilidades conocidas,
organizadas en subgrupos de productos especficos. Estos subgrupos le ayudan a
identificar las reglas de deteccion por su categona de producto pertinente.
5. Una vez configurada, puede utilizar la configuracion para tareas de rastreo de seguridad,
reparacion, desinstalacion, reinicio y cambio de configuracion.
632
GUÍA DE USUARIO
2. Proporcione un nombre unico para la tarea, indicar si se trata de una tarea o de una polftica
programada, yya sea seleccionar una configuracion de rastreo y reparacion existente como
predeterminada o utilizar el boton Modificar para crear una nueva configuracion de rastreo y
reparacion predeterminada en los dispositivos de destino.
Cuando se crea o edita una configuracion de agente, puede especificar alguna de las opciones del
rastreo de seguridad, como cuando y como ejecutar el rastreador de forma automatica en los
dispositivos administrados, que el rastreador muestre o no el progreso, o muestre pantallas de
mensajes en el dispositivo del usuario final, asf como la configuracion global para las operaciones
de reparacion, como el reinicio del dispositivo y la reparacion automatica. Para obtener mas
informacion sobre la personalizacion del comportamiento del agente de rastreo de seguridad como
parte de la creacion e implementacion de las configuraciones de agente en los dispositivos de
Windows administrados, consulte "Configuracion del agente: Distribucion y revision"
(821):"Configuracion del agente: Distribucion y revision" (821).
NOTE: para que se pueda ejecutar el rastreador de seguridad es necesario instalar WinSock2 en los dispositivos
con Windows 9x.
Al definir una configuracion del agente del dispositivo (para los dispositivos Windows), tambien
puede habilitaryconfigurarfunciones de seguridad complementarias, tales como:
• Compatibilidad NAC 802.1X que amplfa el control de acceso de red (NAC) con autenticacion
y cumplimiento
633
IVANTI ENDPOINT MANAGER
estan disponibles en la consola de administracion de IVANTI. Puede llevar a cabo tareas de remedio
de vulnerabilidades en plataformas de Linux, pero, actualmente, Linux no es compatible con la
funcion de Reparacion automatica. El remedio es un proceso manual para UNIX.
Para obtener mas informacion acerca de Linuxy UNIX, consulte esta pagina de la comunidad de LAN
DESK: http://community.Ivanti.com/support/community/systems/nix.
Ademas, puede creary configurar la configuracion del agente para sus dispositivos Macintosh con
la Herramienta de configuracion de agentes. La configuracion del agente para la administracion de
parches, las descargas de contenido, los rastreos de programaciones y los resultados de rastreo
estan disponibles mediante la consola de administracion de IVANTI. No obstante, el remedio es un
proceso manual.
Para obtener mas informacion sobre la creacion e implementacion de una configuracion de agente
para Macintosh que admita al rastreador de seguridad, consulte "Macintosh device management
overview" (521).
1. Abra las preferences de sistema de Mac OS Xy seleccione la pagina del cliente de IVANTI
2. En la pestana de Introduction, haga clic en Comprobar ahora en la seccion Seguridad.
• Aplicaciones bloqueadas (consulte "Aviso legal para los tipos de aplicaciones bloqueadas"
(645))
• Actualizaciones de controladores
634
GUÍA DE USUARIO
• Actualizaciones de software
• Spyware
• Vulnerabilidades
Las funciones de rastreo y reparacion no son iguales para los diferentes tipos de contenidos. Para
obtener mas informacion sobre la forma en que Parches ycumplimiento busca y repara los
diferentes tipos de riesgos a la seguridad que se detecten en los dispositivos administrados,
consulte las secciones apropiadas en "Como llevar a cabo rastreos de soluciones de Parches
ycumplimiento" (621).
Para obtener mas informacion sobre las suscripciones a los contenidos de Security Suite,
comurnquese con su distribuidor de IVANTI o visite el sitio web de IVANTI:
Para otros temas, la Comunidad de usuarios de IVANTItiene foros de usuarios y los metodos mejor
conocidos de todos los productos ytecnologfas de IVANTI.
Temas relacionados
"Descargar contenido de seguridad" abajo "Very organizar los contenidos de seguridad" (639)
personalizados con filtros" En la pagina 643 "Purgar las definiciones de contenido de seguridad" En
la pagina 643 "Desinstalar revisiones (regresar a la original)" En la pagina 644 Descargar contenido
de seguridad
La herramienta de Parches ycumplimiento lleva a cabo de forma rapida y sencilla el proceso de
recopilacion de las definiciones mas reciente sobre las definiciones y seguridad de los tipos de
seguridad, lo que permite la descarga de contenido a traves de una base de datos alojada por
IVANTI. Los servicios de IVANTI Security Suite consolidan las definiciones y parches conocidos
provenientes de fuentes de confianza, de la empresa y le envfa informacion de confianza
directamente a usted.
635
IVANTI ENDPOINT MANAGER
CAUTION: Solo un usuario de IVANTI en un servidor central concreto (incluyendo consolas adicionales) puede
actualizar los contenidos de seguridad a la vez. Si un usuario intenta realizar la actualizacion mientras el
proceso ya se esta ejecutando, aparecera un mensaje que indicara la presencia de un conflicto.
Antes de poder implementar las revisiones de seguridad en los dispositivos afectados, en primer
lugar debe descargar el archivo ejecutable de la revision en un deposito de revisiones local de la
red.
636
GUÍA DE USUARIO
637
IVANTI ENDPOINT MANAGER
5. Seleccione los idiomas cuyo contenido desee actualizar en los tipos especificados.
Algunas vulnerabilidades y otros tipos de definiciones son independientes del idioma, lo
que significa que son compatibles con cualquier version de idioma del SO o de la
aplicacion. Es dedr, no es necesario disponer de una revision espedfica de idioma unico
para reparar las vulnerabilidades, ya que la revision engloba todos los idiomas admitidos.
6. Si desea colocar automaticamente nuevo contenido en el grupo Sin asignar, en lugar del
grupo Rastreo predeterminado, marque la casilla Poner las nuevas definiciones en el grupo
"Sin Asignar"
• Solo para definiciones detectadas: descarga unicamente las revisiones asociadas con
vulnerabilidades, amenazas de seguridad o actualizaciones de IVANTI detectadas por el
ultimo rastreo de seguridad (p. ej., definiciones que residen actualmente en el grupo
Detectadas).
• Para todas las definiciones descargadas: descarga TODAS las revisiones asociadas
con la vulnerabilidad, las amenazas de seguridad y las actualizaciones de IVANTI que
estan en el grupo Rastrear.
8. Si dispone de un servidor proxy en la red que se utilice para accesos externos de Internet,
haga clicen Configuration del Proxyyespecifique la direccion del servidor, el numero de
puertoy las credenciales de autenticacion si se requiere un inicio de sesion para acceder al
servidor proxy.
9. Para descargar contenido ahora, haga clic en Actualizar ahora. El cuadro de dialogo
Actualization de definiciones muestra el estado y la operacion actual. Si hace clic en
Cancelar o cierra la consola antes de que finalice la actualizacion, solamente se descargara
en la base de datos central el contenido de seguridad que se haya procesado hasta ese
momento.
638
GUÍA DE USUARIO
/> Actualize ndo vu I n e ra t>i lida des urauii yai «JU ic vun ICICUM JCJ
-O-
(Para crear una tarea programada haga clic en Programar actualization.) El cuadro de dialogo
Information de actualizacion programada muestra la configuracion espedfica de la tarea.
Haga clic en Aceptar para crear una tarea Descargar contenido de seguridad en la ventana de
Tareas programadas, en la cual puede especificar las opciones de programacion.
639
IVANTI ENDPOINT MANAGER
1. Haga clic con el boton derecho en la definicion y luego haga clic en Descargar revisiones
asociadas.
2. Seleccione si hay que descargar todas las revisiones asociadas o solo las revisiones
actuales. Si escoge todas las revisiones asociadas, esto incluira las que se hayan
reemplazado.
NOTE: Tambien puede descargar revisiones desde un cuadro de dialogo de propiedades de la definicion. En la
pagina Genera, haga clic en Propiedades > Information de revision > Descargar)
Para obtener mas informacion sobre el estado de descarga de los archivos de revisiones, consulte
"Abrir y utilizar la herramienta de Parches y cumplimiento" (624).
2. Indique una ruta UNC donde desee que se copien los archivos de revision. La ubicacion
predeterminada es el directorio \LDLogon\Patch del servidor central.
3. Si la ruta introducida se indica en una ubicacion distinta del servidor central, introduzca una
contrasena y nombre de usuario validos para realizar la autenticacion en dicha ubicacion.
4. Introduzca una direccion URL en la cual los dispositivos puedan tener acceso a los parches
descargados para su implementacion. Esta direccion URL debe coincidir con la ruta UNC
indicada anteriormente.
5. Puede hacer clic en Comprobar configuration para comprobar si se puede realizar una
conexion con la direccion web que se especifico arriba.
6. Si desea restaurar la ruta UNCy la direccion URLen sus ubicaciones predeterminadas, haga
clic en Restaurar a predeterminadas. Nuevamente, la ubicacion predeterminada es el
directorio \LDLogon\Patch del servidor central.
Utilice la lista Tipo para visualizar el contenido de un tipo espedfico de definicion o de todos los
tipos de definicion. Tambien puede utilizar el control de Filtro para personalizar aun mas el
contenido que desee mostrar.
640
GUÍA DE USUARIO
Una vez descargados los contenidos de seguridad, puede mover elementos a diferentes grupos de
estados, o copiarlos en sus propios grupos personalizados.
Asimismo, puede ver los detalles de propiedad de cada una de las reglas de deteccion y
definiciones actualizadas haciendo clic con el boton derecho y seleccionando Propiedades. Utilice
esta informacion para determinar que definiciones son relevantes para las plataformas y
aplicaciones compatibles de la red, el modo en que las reglas de deteccion de vulnerabilidad
verifican la presencia de definiciones, que revisiones se encuentran disponibles para una
vulnerabilidad y como se desea configurary realizar la reparacion de los dispositivos afectados.
Para obtener informacion sobre como utilizar los diferentes grupos, consulte "Abrir y utilizar la
herramienta de Parches y cumplimiento" (624).
Este cuadro de dialogo permite ver la deteccion, instalacion e historial de reparaciones, y llevar a
cabo tareas de administracion de revisiones.
641
IVANTI ENDPOINT MANAGER
^Que es CVE?
Los productos IVANTI, inlcuidos Endpoint Manager, Security Suite y Patch Manager, son totalmente
compatibles con el estandar CVE.
642
GUÍA DE USUARIO
Parches ycumplimiento le permite buscar vulnerabilidades por sus nombres CVE over los detalles
de CVE de vulnerabilidades espedficas.
4. Haga clic con el boton derecho del raton en la vulnerabilidad y acceso a su menu de acceso
directo para encontrar las opciones disponibles.
Para encontrar los nombres CVE de las definiciones de vulnerabilidades de seguridad descargadas
1. En Parches y cumplimiento, seleccione Vulnerabilidades o Todos los tipos de la lista
desplegable de Tipo. Se muestra una lista de definiciones descargadas. (Si se selecciona la
columna de informacion de ID de CVE, se pueden ver los identificadores de CVE en la lista
de elementos. Para configurar las columnas, haga clic con el boton derecho sobre la barra
del trtulo de columna, seleccione Columnas, yasegurese de que las columnas ID de CVE se
encuentran en la lista Columnas seleccionadas.)
2. Haga doble clic en una definicion de vulnerabilidad (o clic con el boton derecho en la
definicion y seleccione Propiedades) para abrir el cuadro de dialogo Propiedades de este.
643
IVANTI ENDPOINT MANAGER
CVE. Algunas vulnerabilidades pueden tener mas de un nombre CVE, a los cuales puede
tener acceso deslizandose a traves de la lista.
5. Si desea acceder a la pagina web para encontrar una ID de CVE espedfica, haga clic en el
vfnculo Mas information de la ID de CVE. El sitio web de CVE provee informacion detallada
sobre cada vulnerabilidad con un nombre CVE, tal como su estado actual en la tarjeta de
CVE (Entrada aprobada o Candidato en revision).
La lista de Filtro permite crear y aplicar filtros de visualizacion personalizados para controlar los
elementos que se muestran en el marco derecho de la ventana de herramientas. Los filtros
permiten racionalizar una gran cantidad de contenido de seguridad. Puede filtrar el contenido por
sistema operativo o gravedad.
El control del Filtro puede utilizarsejunto con el control de Tipo para mostrar exactamente el
contenido de seguridad que le interesa visualizar.
Solo los usuarios con derechos de administrador de IVANTI pueden purgar el contenido.
Para purgar definiciones no utilizadas
644
GUÍA DE USUARIO
3. Seleccione las plataformas cuyas definiciones desee eliminar. Puede seleccionar una o varias
plataformas de la lista.
4. Seleccione los idiomas cuya definicion desee eliminar (asociada con la plataforma
seleccionada anteriormente). Si selecciona una plataforma de Windows o Macintosh, debe
especificar los idiomas cuya definicion desea eliminar. Si elige una plataforma UNIX o
Linux, es necesario seleccionar la opcion Idioma neutral para poder eliminar las
definiciones independientes de sus idiomas.
2. En la lista de Reglas de deteccion, haga clic en el boton derecho sobre una o mas reglas, y
luego haga clic en Desinstalar.
5. Si selecciono una tarea programada, especifique cuales son los dispositivos desde los
cuales desea instalar la revision.
6. Si la revision no puede desinstalarse sin acceder a su archivo ejecutable original (es decir,
utilizar parametros de lfnea de comandos), y desea implementar un ejecutable usando la
Multidifusion dirigida, habilite la casilla de verificacion Utilizar multidifusion. Para
configurar las opciones, haga clic en el boton Opciones de multidifusion. Para obtener mas
informacion, consulte "Acerca del cuadro de dialogo Opciones de multidifusion" (705).
7. Si selecciono una polftica, y desea crear una nueva consulta basada en esta tarea de
desinstalacion que pueda usarse mas adelante, active la casilla de verificacion Agregar una
consulta.
645
IVANTI ENDPOINT MANAGER
9. Haga clic en Aceptar. Para una tarea programada, ahora puede agregar dispositivos de
destino y configurar las opciones de programacion en la herramienta de Tareas
programadas. Para una polftica, la nueva aparece en la ventana Administrador de polfticas
de aplicacion con el nombre de tarea indicado en la parte superior. Desde alK puede
agregar destinos estaticos (usuarios o dispositivos) y dinamicos (resultados de consultas),
asf como configurar la frecuencia y el tipo de polftica.
Para eliminar los archivos de revision de forma permanente, debe borrarlos del deposito de
revisiones que suele situarse en el servidor central.
IMPORTANT: Para conveniencia de los usuarios finales, IVANTI proporciona acceso a la base de datos que
contiene cierta informacion sobre los archivos ejecutables que un usuario final puede utilizar en relacion con la
funcion del bloqueador de aplicaciones de IVANTI Security Suite. ESTA INFORMACION SE PROPORCIONA
"TAL CUAL", SIN NINGUNA GARANTIA EXPLICITA O IMPLICITA O DE CUALQUIER OTRA NATURALEZA,
QUE INCLUYE PERO QUE NO SE ENCUENTRA LIMITADA A LAS GARANTIAS IMPLICITAS DE
COMERCIALIZACION Y/O APTITUD PARA UN FIN DETERMINADO. Como tal, IVANTI no garantiza la
precision, integridad o actualidad de la informacion y el usuario final se hace responsable de EXAMINARy
confirmar esta informacion antes de utilizarla. Cualquier uso de esta informacion se realiza bajo el propio
riesgo del usuario.
Parte de la Informacion de resumen en las definiciones de las aplicaciones bloqueadas se proporciona en:
http://www.sysinfo.org, y es protegido por los derechos de autor como sigue: "Presentacion, formato y
comentarios Copyright © 2001-2005 Paul Collins; Portions Copyright © Peter Forrest, Denny Denham, Sylvain
Prevost, Tony Klein; Creacion de base de datos y asistencia de Patrick Kolla; Asistencia de software de John
Mayer; Reservados todos los derechos."
646
GUÍA DE USUARIO
Despues de descargar las definiciones, asegurese de que los agentes estan configurados con los
ajustes de rastreo correctos y luego cree una tarea programada para llevar a cabo un rastreo en
busca de vulnerabilidades.
Temas relacionados
"Como configurar lo que desee rastrear" (646)
"Reenviar los resultados del rastreo de seguridad al servidor central de resumen" En la pagina 657
Existen dos factores principales que afectan las definiciones que se rastreen:
Grupos de vulnerabilidades
Este grupo tiene varios grupos secundarios para ayudarle a organizar las definiciones que se
rastrean. Algunos de estos grupos secundarios, como el grupo Detectado, se rellenan
automaticamente cuando se detecta una vulnerabilidad. Otros grupos, como Reparacion
automatica (global), se rellenan cuando se llevan definiciones a dichos grupos.
647
IVANTI ENDPOINT MANAGER
Para obtener mas informacion sobre los grupos predeterminados para vulnerabilidades, consulte
"Abrir y utilizar la herramienta de Parches y cumplimiento" (624).
Cuando se crean ajustes del agente de Distribucion y parches, la pagina de opciones de rastreo le
permite configurar el tipo de definiciones que desee rastrear. De manera predeterminada, la
configuracion del agente busca vulnerabilidades, actualizaciones de IVANTIy definiciones
personalizadas.
Para obtener mas informacion acerca de la configuracion del agente, consulte "Configuracion del
agente: Distribucion y revision" En la pagina 821:"Configuracion del agente: Distribucion y
revision" En la pagina 821.
Despues de descargar las definiciones de seguridad yde configurar lo que desee rastrear, cree una
tarea de rastreo. Para obtener mas informacion, consulte "Crear una tarea de rastreo de parches y
cumplimiento" abajo.
El rastreador de seguridad se suele ejecutar como una tarea programada o una polftica
proveniente del servidor central. La tarea programada puede ser un envfo, una directiva o una
tarea de envfo compatible con la directiva.
Para llevar a cabo pruebas para necesidades espedficas, tambien puede ejecutar el rastreador de
seguridad inmediatamente desde la consola o desde el dispositivo que necesite ser rastreado.
4. Haga clic en el boton de la barra de herramientas Crear una tarea y luego haga clic en
Rastreo de seguridad. Aparece el cuadro de dialogo Crear tarea de rastreo de seguridad.
648
GUÍA DE USUARIO
8. Haga clic en Aceptar. Para una tarea de rastreo programada, ahora puede agregar
dispositivos de destinoyconfigurar las opciones de programacion en la herramienta de
Tareas programadas.
649
IVANTI ENDPOINT MANAGER
Con variables personalizadas, puede afinar el rastreo de amenazas de seguridad, modificando uno o
mas valores de configuracion para que el rastreador busque las condiciones que haya definido. A
continuacion, el rastreador determinara que un dispositivo es vulnerable solo si se cumple la
condicion, lo que quiere decir que se detecta el valor que ha especificado.
Cada definicion de seguridad con variables que se puedan personalizartiene un conjunto unico de
valores espedficos que pueden modificarse. En cada caso, sin embargo, la pagina Variables
personalizadas mostrara la siguiente informacion comun:
• Valor: indica el valor actual de la variable personalizada. A menos que la variable sea de
solo lectura, puede hacer doble clic en este campo para cambiar el valor.
• Description: provee informacion adicional util del fabricante de la definicion sobre las
variables personalizadas.
Para cambiar una variable personalizada, haga doble clic en el campo Valory seleccione un valor, si
hay una lista disponible, o modifique manualmente el valory luego haga clic en Aplicar. Observe que
algunas variables son de solo lectura y no se pueden modificar (esto generalmente se indica en la
descripcion).
650
GUÍA DE USUARIO
Utilice uno de los siguientes metodos para ver las vulnerabilidades detectadas tras la ejecucion del
rastreo:
Por dispositivo
Haga clic con el boton derecho en un dispositivo espedfico en la vista de red, y luego en
Informacion de seguridad y revisiones para ver los resultados del rastreo mas reciente y del estado
de despliegue de revisiones para el dispositivo.
651
IVANTI ENDPOINT MANAGER
Tambien puede seleccionar varios dispositivos en la vista de red, haga clic con el boton derecho en
el grupo y luego haga clic en Information de seguridad y revisiones para ver una lista de
definiciones detectadas en uno o varios de estos dispositivos. Al seleccionar una definicion de la
lista, los dispositivos en los que esta se ha detectado con el ultimo rastreo se muestran en el panel
inferior.
652
GUÍA DE USUARIO
Endpoint Manager puede importar la informacion de SCAPdesde muchas fuentes, incluido el NIST,
y a continuacion, utilizarla para analizar dispositivos administrados.
La licencia para operar con SCAP se adquiere por separado. Para obtener mas informacion,
pongase en contacto con el representante comercial de IVANTI.
653
IVANTI ENDPOINT MANAGER
• *-cpe-dictionary.xml
• *-cpe-oval.xml
• *-oval.xml
• *-xccdf.xml
Al importarlas por primera vez, compruebe que esta marcada la casilla de verificacion Descargar
explorador de SCAP. Solo es necesario hacerlo una vez. El servidor central reutilizara este
explorador para analizar otras listas de comprobacion.
654
GUÍA DE USUARIO
655
IVANTI ENDPOINT MANAGER
5. La importacion correcta muestra una barra de progreso verde. Una barra de progreso
roja indica que se ha producido un error. Puede ver el archivo de registro de la
importacion mas reciente en: %AppData%\Local\IVANTI\SCAPContent.log.
Cuando se importan datos de las listas de comprobacion de SCAP, la consola crea un grupo para
cada lista de comprobacion yagrega los siguientes tres elementos a ese grupo:
• 2 Vista de resultados
• 3 Puntuacion general
Los numeros que preceden a cada vulnerabilidad indican el orden en que se deben ejecutar.
La vulnerabilidad 1 Instalacion del explorador de SCAP, archivos de comparacion y exploracion de
grupos contiene tres elementos.
656
GUÍA DE USUARIO
Los tres pasos de 1 Instalacion del explorador de SCAP, archivos de comparacion y exploration de
grupos se pueden ejecutar a la vez. Para ello, haga doble clic en ese elemento del arbol situado en
el panel izquierdo de la ventana y haga clic en Reparar. Si ya ha ejecutado los tres pasos y vuelve a
comprobar que la vulnerabilidad esta corregida, ejecute el paso de exploracion de SCAP de la
comprobacion de vulnerabilidades seleccionando 1 Instalacion del explorador de SCAP, archivos de
comparacion y exploracion de grupos y, en el panel de la derecha, haciendo clic con el boton
derecho en el paso explorar y haciendo clic en Reparar. Puede hacerse de esta forma porque la
tarea original de SCAP para esa lista de comprobacion de vulnerabilidades instalo el explorador y la
lista de comprobacion de SCAP.
3. Bajo la lista de comprobacion de SCAP, haga clic con el boton derecho en 1 Instalacion del
explorador de SCAP, archivos de comparacion y exploracion de grupos y a continuacion,
haga clic en Reparar.
4. Filtre los resultados con las herramientas de filtrado situadas en la parte superior del panel
de resultados.
Tambien pueden verse los resultados individuales de los dispositivos haciendo clic con el boton
derecho en un dispositivo en Vista de red, a continuacion en Inventario yexpandiendo el elemento
del arbol Parches detectados y definiciones de cumplimiento.
Reenviar los resultados del rastreo de seguridad al servidor central de resumen
657
IVANTI ENDPOINT MANAGER
Si esta trabajando en una gran red corporativa distribuida, podna necesitar reenviar los resultados
del rastreo de seguridad mas reciente a un servidor central de resumenes ubicado en una region
espedfica. Al hace esto, se facilita el acceso a la informacion de vulnerabilidades en tiempo real
para todos los dispositivos administrados. Puede habilitar el reenvfo automatico de los resultados
del rastreo de seguridad definiendo la configuracion del servidor central de resumen en la
herramienta de Parches ycumplimiento.
Cada vez que el rastreador de seguridad se ejecuta, este escribe un archivo con los resultados del
rastreo en una carpeta denominada VulscanResults en el servidor central yavisa al servicio web de
IVANTI Security Suite, el cual agrega el archivo a la base de datos central. Si la configuracion del
servidor central de resumen esta habilitada y se identifica un servidor de resumen valido, este lee el
archivo de resultados del rastreo en su propia base de datos y proporciona un acceso mas rapido a
la informacion de vulnerabilidades crfticas.
Para habilitar el reenvfo inmediato de los resultados del rastreo de seguridad a un servidor central
de resumen
1. En la ventana de la herramienta de Parches y cumplimiento, haga clic en el boton Configurar
ajustes de la barra de herramientas y luego en Configuracion del servidor central.
Parches ycumplimiento solo instala los parches de las vulnerabilidades detectadas en cada
dispositivo. Si no se detecta la vulnerabilidad, el parche no se instalara aunque se incluya en la
tarea de reparacion.
Para obtener informacion sobre lo que sucede en un dispositivo durante la revision, consulte "^Que
sucede en un dispositivo durante la reparacion?" En la pagina 662.
658
GUÍA DE USUARIO
-O-
Para reparar una serie de definiciones juntas, cree un grupo que contenga las definiciones,
haga clic con el boton derecho sobre el grupo y haga clic en Reparar. Tambien puede
seleccionar las definiciones y hacer clic en Crear una tarea > Reparar.
659
IVANTI ENDPOINT MANAGER
3. Configure el tipo de tarea, los objetivos, la hora de inicio y otras opciones. Para obtener
informacion sobre las opciones generales de tareas programadas, consulte "Programar
una tarea" En la pagina 249.
4. Para ver o editar las definiciones que se incluyan en la tarea, haga clic en Definiciones.
660
GUÍA DE USUARIO
• Para eliminar una definicion de la tarea, haga clic sobre ella con el boton derecho y
seleccione Eliminar.
• Si las definiciones de la lista tienen requisitos previos, lo que significa que los parches
se deben instalar antes, puede agregar las definiciones de requisitos previos de la
tarea haciendo clic sobre Agregar requisitos previos.
• Si las definiciones de la lista tienen dependientes, lo que significa que los parches de
la tarea se deben instalar antes de que se puedan instalar otros parches, puede
agregar las definiciones dependientes de la tarea haciendo clic sobre Agregar
dependientes.
5. Para ver o descargar los parches asociados a la tarea, haga clic en Lista de parches. Para
cambiar un parche, para que utilice multidifusion, seleccione el parche y haga clic sobre el
boton Multidifusion. Elimine la multidifusion seleccionando el parche y haciendo clic en No
aplicar multidifusion.
La Reparacion automatica debe estar habilitado en la configuracion del agente yconfigurado para
cada definicion. Cuando se crea una tarea para descargar definiciones, puede utilizar un filtro para
activar Reparacion automatica cuando se descargue una definicion.
661
IVANTI ENDPOINT MANAGER
662
GUÍA DE USUARIO
Casi todos los archivos de revision se instalan sin notificacion, sin que sea necesaria la
interaccion con el usuario en el propio dispositivo. Algunas revisiones de Windows 9.xy de
idiomas distintos al ingles no se instalan de este modo. Se puede indicar si una revision se instala
sin notificacion o no activando la columna Instalacion en segundo plano en los detalles de la
definicion.
Sin embargo, aunque un archivo de revision se pueda instalar sin notificacion o no, puede
configurar la cantidad de rastreo de seguridad que se desee mostrary solicitar entrada por parte del
usuario final del dispositivo con la funcion de configuracion de rastreo y reparacion.
Si la instalacion de un archivo de revision requiere el reinicio y los ajustes para que la tarea
permita un reinicio, Parches ycumplimiento instalara primero todos los parches de la tarea del
dispositivo y luego lo reiniciara de una vez.
Las definiciones de vulnerabilidad consisten del ID unico, el tftulo, la fecha de publicacion, el idioma
y otra informacion de identificacion, al igual que las reglas de deteccion que indican al rastreador de
seguridad lo que debe buscar en los dispositivos de destino. Las reglas de deteccion definen las
condiciones espedficas de plataforma, aplicacion, archivo o registro que el rastreador de seguridad
comprueba a fin de detectar una vulnerabilidad en los clientes rastreados (o practicamente cualquier
condicion o estado del sistema).
663
IVANTI ENDPOINT MANAGER
• Existencia de aplicaciones
• Existencia de archivos
• Version de archivo
• Ubicacion de archivos
• Fecha de archivos
Para eliminar definiciones personalizadas, seleccione una o mas definiciones y haga clic en el boton
de la barra de herramientas Eliminar las definiciones personalizadas seleccionadas.
664
GUÍA DE USUARIO
version que se puede modificar del cuadro de dialogo Propiedades, el cual le permite
configurar las opciones de vulnerabilidad.
665
IVANTI ENDPOINT MANAGER
10. La configuracion del idioma de las vulnerabilidades definidas por el usuario se define
automaticamente en INTL (Internacional o Idioma neutral, lo cual significa que la
vulnerabilidad se puede aplicar a cualquier idioma del sistema operativo o aplicacion).
11. La lista Reglas de deteccion muestra todas las reglas utilizadas por la vulnerabilidad. Si va a
crear una vulnerabilidad personalizada nueva, configure al menos una regla de deteccion que
el rastreador de seguridad utilizara para rastrear los dispositivos en busca de la
vulnerabilidad. Para agregar reglas de deteccion, haga clic en Agregar. (Consulte el
procedimiento siguiente para obtener instrucciones detalladas.)
12. Si desea suministrar informacion adicional sobre esta vulnerabilidad, haga clic en
Description y escriba los comentarios en el cuadro de texto y/o escriba una direccion web
valida donde se encontrara mayor informacion.
14. Si desea crear o modificar sus propias variables personalizadas para esta definicion de
vulnerabilidad personalizada, haga clic en la pestana de Variables personalizadas y configure
las variables personalizadas.
15. Cuando termine de especificar los atributos para la vulnerabilidad personalizada, haga clic
en
Aceptar.
Como sucede con las vulnerabilidades del proveedor, las vulnerabilidades personalizadas deben
incluir una o mas reglas de deteccion que indiquen al rastreador de seguridad las condiciones que
debe buscar cuando rastree los dispositivos administrados. Realice los pasos siguientes para crear
una regla de deteccion para una vulnerabilidad personalizada.
Puede hacer lo mismo con una definicion de vulnerabilidad personalizada que con una
vulnerabilidad conocida de otra fuente de la industria. Puede definir el estado de la vulnerabilidad en
Rastrear o colocarla en el grupo Rastrear para incluirla en el proximo rastreo de seguridad, colocarla
en el grupo No rastrear o No asignadas, ver los equipos afectados, activar la Reparacion automatica,
crear una tarea de reparacion o borrar el estado del rastreo o la reparacion. Para elegir una opcion,
haga clic con el boton derecho en una definicion de vulnerabilidad personalizada para abrir el menu
de acceso directo.
1. Haga clic con el boton derecho en una definicion personalizada y haga clicen Propiedades.
(O haga doble clic en la definicion de vulnerabilidad).
2. Haga clic en el boton Agregar ubicado debajo de la lista Reglas de deteccion. En el cuadro
de dialogo Pagina de informacion general se abre una version del cuadro de dialogo
Propiedades de regla, el cual le permite configurar una regla de deteccion.
666
GUÍA DE USUARIO
4. Utilice las diversas paginas del cuadro de dialogo Propiedades de regla para definir la regla de
deteccion, como se describe en el resto de este procedimiento.
667
IVANTI ENDPOINT MANAGER
NOTE: Utilice el boton Utilizar editor para abrir la herramienta predeterminada de edicion de secuencias
de comandos asociada con este tipo de archivo. Al cerrar la herramienta, se le indicara que debe guardar
los cambios en la pagina Secuencia de comandos. Si desea utilizar otra herramienta debe cambiar la
asociacion del tipo de archivo.
668
GUÍA DE USUARIO
13. Si puede reparar por medio de la implementacion de una revision, introduzca la URL del
archivo de revision y especifique si puede descargarse de forma automatica. (Para intentar la
descarga del archivo de revision asociado en este momento, haga clic en Descargar o bien, lo
puede descargar posteriormente).
15. Para una regla que permita la reparacion, puede configurar los comandos adicionales que se
ejecutan durante el proceso de reparacion en los dispositivos afectados. Para configurar
comandos adicionales, haga clic en la pagina Comandos de instalacion de revisiones y luego
en Agregar para seleccionar un tipo de comando y hacer que se puedan modificar los campos
de argumento del comando. NO se necesitan comandos adicionales de instalacion de
revisiones.
Si no configura ningun comando particular, el archivo de revision se ejecuta normalmente.
Para obtener una descripcion detallada de esta opcion, consulte "Acerca de la pagina
Comandos de instalacion de parches" (699).
5. Escriba un Tftulo y la informacion de Resumen para la definicion. Estos campos son para su
uso en la organizacion de definiciones.
6. Para poner la definicion en una Categona, seleccione una categona existente de la lista
desplegable o escriba una nueva categona en el campo.
669
IVANTI ENDPOINT MANAGER
9. Haga clic en la pestana Bloquear estado para ajustar el estado para la definicion. Por defecto,
la definicion es Bloquear (global).
670
GUÍA DE USUARIO
NOTE: Para cambiar el estado despues de crear la definicion, arrastre la definicion desde la carpeta actual hasta
la nueva carpeta del arbol de aplicaciones bloqueadas.
Las definiciones personalizadas se exportan e importan como archivos en formato XML. No podra
importar ni exportar definiciones de vulnerabilidades conocidas del sector.
Tambien puede utilizar la caractenstica de exportacion e importacion para exportar una definicion,
modificar manualmente el archivo exportado como plantilla y guardar distintas variaciones de la
definicion para luego importar las nuevas definiciones de vulnerabilidad. Si la definicion es
compleja, este procedimiento puede ser mas rapido y facil que la creacion de varias definiciones en
la consola.
2. Haga clic en el boton de la barra de herramientas Exportar. (O bien, haga clic con el boton
derecho en las definiciones seleccionadas y luego en Exportar).
3. Escriba la ruta a la carpeta en la que desea exportar las definiciones como archivo XML
individual.
2. Ubique y seleccione una o mas definiciones (en el archivo XML que desee importar) y haga
clic en Abrir. Si la definicion ya existe en la base de datos central, se le solicitara que
confirme si desea sobrescribirla. Consulte la ventana de estado para ver si la definicion se
importo satisfactoriamente.
671
IVANTI ENDPOINT MANAGER
Una forma de ver la informacion del rastreo de seguridad es por dispositivo. Para hacer esto, haga
doble clic en un solo dispositivo o grupo de dispositivos seleccionados, y luego en Informacion de
seguridad y revisiones.
Esta pagina presenta muchas funciones utiles. Al seleccionar uno o mas dispositivos, podra:
Ver las fechas de los rastreos de seguridad mas recientes en el inventario de dispositivos
Para ver cuando se ejecuto el ultimo rastreo en un dispositivo, haga clic con el boton derecho en
dicho dispositivo, seleccione Inventario y, a continuacion, desplacese hasta las distintas Fechas de
ultimo rastreo en el panel de la derecha de la vista del inventario.
Tras realizar la reparacion en los dispositivos afectados, Parches y cumplimiento responde acerca
del estado de cada instalacion de revision. Puede comprobar el estado de la instalacion de revision
por vulnerabilidad/definicion o por dispositivo destino.
Para verificar la instalacion de una revision en un dispositivo
672
GUÍA DE USUARIO
Puede borrar la informacion de estado de rastreo o reparacion de todos los dispositivos afectados
por la vulnerabilidad mediante el dialogo Borrar estado de rastreo/reparacion. Como se explica
anteriormente, si se ha producido un error en la instalacion de la revision, el estado de la instalacion
(o reparacion) se debe borrar antes de intentar instalar de nuevo la revision.
Tambien puede utilizar este dialogo para eliminar la informacion de rastreo de vulnerabilidad de la
base de datos correspondiente a una o mas vulnerabilidades.
673
IVANTI ENDPOINT MANAGER
datos acerca de esos archivos. El servidor principal comprueba su base de datos para ver si hay
informacion sobre la reputacion de esos archivos. Si no hay, el servidor principal envfa una solicitud
al servidor de reputacion de archivos en la nube de IVANTI. Si los hash del archivo coinciden con los
resultados de este servidor, este devuelve la informacion sobre la reputacion de los archivos al
servidor principal yal cliente.
El sistema de reputacion de archivos utiliza la base de datos de informacion sobre archivos alojada
en la nube de IVANTI que contiene los hash de nombres, tamanos, metadatos y SHA-1. La base de
datos de reputacion de archivos esta poblada, mayormente, con datos de la National Software
Reference Library (NSRL). Para obtener mas informacion, visite su sitio web:
http://www.nsrl.nist.gov/new.html.
• Mala: el archivo no coincide con ninguna entrada de la base de datos de la NSRLo IVANTI ha
reunido suficiente informacion para pensar que el archivo no es seguro.
• Sin determinar: no hay coincidencias con el archivo o no hay suficientes coincidencias para
decidir si su reputacion es buena o mala.
Entre otros factores, el algoritmo de reputacion de archivos tiene en cuenta la frecuencia con la que
ser repiten las coincidencias de archivos y la antiguedad de esas coincidencias, asf como quien
firmo los archivos y con que frecuencia las repeticiones aparecen en las listas blancas o estan
bloqueadas en Endpoint Manager.
-O-
Incluir las definiciones de reputacion como parte de la lista de archivos de la aplicacion
674
GUÍA DE USUARIO
3. En la pagina Ajustes generales, seleccione Tratar archivos con buena reputacion como si
estuvieran en la lista de archivos de confianza asociada.
3. Active las opciones de la parte superior del cuadro de dialogo para que Incluyan
automaticamente los archivos de "buena reputacion" cuando envie la lista a los clientes o
Incluir automaticamente los archivos de "mala reputacion" cuando env^e la lista a los
clientes.
3. Haga doble clic sobre la lista de archivos de aplicaciones que desee modificar o cree una
nueva.
4. En la barra de herramientas Lista de archivos de aplicaciones haga clic en y en Agregar
archivo buscandolo o Agregar archivo bloqueado introduciendo un nombre.
5. Segun la opcion que escoja, busque el archivo que deseey haga clic en Guardar o introduzca
675
IVANTI ENDPOINT MANAGER
2. Seleccione una tarea programada o una polftica de acuerdo con sus preferencias para el tipo
de tarea de cambio de configuracion.
3. Seleccione los archivos cuya reputacion desee modificar y haga clic en el boton Reemplazar
reputacion.
4. Aplique los filtros, en caso necesario, y seleccione los archivos que desee importar. Haga
clic en
Siguiente.
5. Configure los comportamientos de aplicacion que desee para los archivos seleccionados y
haga clic en Aceptar.
6. Haga clic en Aceptar para guardar los cambios de la lista de archivos de aplicaciones.
Para importar las listas de archivos de un archivo .csv
676
GUÍA DE USUARIO
4. Seleccione los dispositivos que quiera y haga clic en Importar archivos desde dispositivos
especficos.
5. Si desea llevar a cabo un rastreo exhaustivo de archivos .exe desde esos dispositivos, haga
clic en SL
677
IVANTI ENDPOINT MANAGER
instalar revisiones sin reiniciar, en un proceso individual, y luego reiniciar los dispositivos
reparados en otra tarea independiente. Por ejemplo, puede ejecutar un rastreo o una instalacion de
una revision durante el dfa, y luego implementar una tarea de solo reiniciar en algun momento mas
conveniente para los usuarios finales.
5. Haga clic en Aceptar. Para una tarea programada, ahora puede agregar dispositivos de
destino y configurar las opciones de programacion en la herramienta de Tareas
programadas. Para una polftica, la nueva aparece en la venta de Administracion de poifticas
de aplicacion con el nombre de la tarea especificado mas arriba, donde se puede agregar
destinos estaticos (usuarios o dispositivos) y dinamicos (resultados de consultas), asf como
configurar la frecuencia y el tipo de polftica.
Esta seccion presenta informacion adicional acerca del uso del rastreador de seguridad de Parches
y cumplimiento.
678
GUÍA DE USUARIO
/Scan=Codigo de numero (0-8) Identifica que tipo de contenido de seguridad se rastrea. Los
codigos numericos para los distintos tipos de contenido de seguridad son:
0 - vulnerabilidad
1 - spyware
2 - amenaza de seguridad
3 - actualizaciones de IVANTI
4 - definicion personalizada
5 - aplicacion bloqueada
6 - actualizaciones de software
7 - actualizaciones de controladores
8 - antivirus
679
IVANTI ENDPOINT MANAGER
Nombre del
Nombre del parametro Descripcion
Descripcio
parametro n
100 -todos lostipos
/Group=GroupID
Especifica el grupo personalizado que se debe rastrear. Localice la Id.
del grupo personalizado seleccionando el grupo, haciendo clic y
seleccionando Info y localizando la Id. unica.
/Repair (Group=GroupID o Indica al rastreador que grupo o vulnerabilidad reparar. Puede especificar
Vulnerability=VulnerabilitylD o Vulnerabil All (Todas) para reparartodas las vulnerabilidades detectadas en lugar de
ity=Al l) una sola vulnerabilidad con su ID.
/RepairPrompt=MessageText
Permite visualizar un mensaje de texto que pregunta al usuario final que
desea hacer.
/AllowUserCancelRepair
Cadena que permite al usuario final cancelar la reparacion en caso de que
utilice un indicadorde reparacion.
/AutoRepairTimeout=Number
Valor del tiempo de espera del indicador de reparacion en segundos. Si se
establece en -1, la interfaz del usuario espera a que el usuario lo cierre de
forma manual.
/DefaultRepairTimeoutAction
Cadena que establece la accion predeterminada de vulscan si vence el
tiempo de espera del indicadorde reparaciones. Los valores aceptables
incluyen inicio y cierre.
/StageOnly
Una cadena de caracteres que permite recuperar las revisiones necesarias
para efectuar reparaciones, pero sin instalarlas.
/SadBandwidth=Number
Porcentaje maximo del ancho de banda que se utilizara para las descargas.
Parametros de reinicio
680
GUÍA DE USUARIO
Nombre del
Nombre del parametro Descripcion
Descripcio
parametro n
/RebootAction
Una cadena que determina el comportamiento de reinicio de vulscan
durante la reparacion. Valores posibles: siempre, nunca
/AutoRebootTimeout=Number
Valor del tiempo de espera del aviso de reinicio en segundos. Si se
establece en -1, la interfaz del usuario espera a que el usuario lo cierre de
forma manual.
/DefaultRebootTimeoutAction
Cadena que determina la accion que vulscan debe seguir si se supera el
valor del tiempo de espera del indicador de reinicio. Valores aceptables:
reiniciar, cerrar, aplazar.
/SnoozeCount=Number
Numero de aplazamientos. Vulscan se reduce cada vez que el usuario hace
clic en Aplazar en el reinicio del sistema.
/SnoozeInterval=Numero
Cantidad de segundos que vulscan debe esperar entre los aplazamientos.
Parametros MSI
/NoElevate Ejecuta vulscan con los permisos del usuario que ha iniciado
sesion actualmente.
681
IVANTI ENDPOINT MANAGER
Para que una definicion de vulnerabilidad genere una alerta cuando se detecta, en primer lugar
debe realizar una copia de la definicion en el grupo Alertas. Al colocar una vulnerabilidad en el
grupo de Alertas se realiza una copia ytambien reside en el grupo Rastrear. Tras colocar las
definiciones de vulnerabilidad deseadas en el grupo de Alertas (ya sea de forma manual o
mediante la especificacion del nivel de gravedad en el cual se colocaran automaticamente las
vulnerabilidades durante las descargas), puede configura el intervalo de alerta en el cuadro de
dialogo Configurar alertas.
682
GUÍA DE USUARIO
4. Para configurar las alertas de seguridad, seleccione las definiciones (por nivel de seguridad)
que desea colocar automaticamente en el grupo Alertas durante el proceso de descarga.
Puede seleccionar uno o varios niveles de gravedad de vulnerabilidad. Estas definiciones de
vulnerabilidad tambien se colocan de forma automatica en el grupo Rastrear.
5. Si desea configurar alertas de antivirus, seleccione los eventos de antivirus para los cuales
desea generar alertas.
Para acceder a la herramienta de Informes y poder generar y ver los mismos, los usuarios de deben
tener derechos de administrador de IVANTI (lo que implica derechos absolutos) o roles de Informes
espedficos.
Para obtener mas informacion sobre la utilizacion de la herramienta de Informes, consulte "Uso de
los informes" (212).
Esta seccion contiene los siguientes temas de ayuda que describen los cuadros de dialogo de
Parches y cumplimiento. Desde la interfaz de la consola, puede acceder a estos temas de ayuda
haciendo clic en el boton Ayuda del cuadro de dialogo respectivo.
683
IVANTI ENDPOINT MANAGER
684
GUÍA DE USUARIO
Si se agregan y quitan columnas de datos y se las desplaza hacia arriba y hacia abajo en la lista
(hacia la izquierda y hacia la derecha en la vista de la columna), garantiza que la informacion mas
importante se ubique al centro en el frente.
• Columnas disponibles: muestra una lista de las columnas de datos que actualmente no se
muestran en la ventana de la herramientas de Parches y cumplimiento, pero que se
encuentran disponibles para agregarlas a la lista de Columnas seleccionadas.
Utilice este cuadro de dialogo para administrar filtros que puede usar para personalizar el contenido
de seguridad que se muestra en la lista de elementos de la ventana de Parches y cumplimiento.
Puede utilizar los filtros para racionalizar una larga lista.
• Nuevo: abre el cuadro de dialogo Propiedades del filtro donde se pueden configurar las
opciones del nuevo filtro.
• Editar: abre el cuadro de dialogo Propiedades del filtro donde se puede modificar y guardar
el filtro seleccionado.
685
IVANTI ENDPOINT MANAGER
• Utilizar filtro: aplica el filtro seleccionado a la lista de elementos actuales. Los filtros
aplicados persisten aun cuando se hace clic en diversos grupos en la vista de arbol.
• Nombre del filtro: identifica el filtro con un nombre unico. Dicho nombre aparecera en la
lista desplegable del filtro.
• Filtrar sistemas operativos: especifica los sistemas operativos cuyas definiciones desee
mostrar en las listas de elementos. Solo se muestran los elementos asociados con los
sistemas operativos seleccionados.
• Filtrar gravedades: especifica las gravedades cuyas definiciones desee mostrar en las listas
de elementos. Solo se muestran los elementos que coinciden con las gravedades
seleccionadas.
Luego de especificar las actualizaciones de tipo de contenido que desee descargar y las otras
opciones en las paginas del cuadro de dialogo Descargar actualizaciones:
• Para realizar una descarga inmediata, haga clic en Descargar ahora. Si hace clic en
Aplicar, la configuracion que especifica se guardara y aparecera la proxima vez que abra
este cuadro de dialogo. Si hace clic en Cerrar, el sistema preguntara si desea guardar la
configuracion.
• Para programar una tarea de contenido de seguridad de descarga, haga clic en Programar
descarga. Introduzca un nombre para la tarea, verifique la informacion y haga clic en
Aceptar para agregar la tarea a Tareas programadas.
Para guardar los cambios en cualquier pagina de este cuadro de dialogo, haga clic en Aplicar.
El cuadro de dialogo Descargar actualizaciones contiene las siguientes paginas:
686
GUÍA DE USUARIO
Para obtener mas informacion sobre las suscripciones a los contenidos de Security Suite,
comurnquese con su distribuidor de IVANTI o visite el sitio web de IVANTI: Pagina de Inicio de
IVANTI
Sin embargo, la configuracion de las otras pestanas del cuadro de dialogo de Descargar
actualizaciones es global, lo cual significa que se aplican a todas las tareas de descarga de
contenido de seguridad posteriores. La configuracion general incluye: ubicacion de la descarga de
parches, servidor proxy, reparacion automatica de spyware, alertas de seguridad y antivirus.
Siempre que se cambia una configuracion global, dicho cambio se aplica a todas las tareas de
descarga del contenido de seguridad desde ese punto en adelante.
687
IVANTI ENDPOINT MANAGER
se actualizan.
Ciertas vulnerabilidades y otros tipos de definiciones, asf como cualquier revision asociada,
son de idioma neutral o independientes, lo que significa que son compatibles con cualquier
version de idioma del SO o aplicacion a la que se aplique dicha definicion. Es decir, no es
necesario disponer de una revision espedfica de idioma unico para reparar las
vulnerabilidades, ya que la revision engloba todos los idiomas admitidos. Por ejemplo, las
plataformas Linux utilizan solamente definiciones y revisiones neutras al idioma. Sin
embargo, las revisiones y definiciones de vulnerabilidad de las plataformas Microsoft
Windows y Apple Macintosh tienen casi siempre idiomas espedficos.
• Solo para definiciones detectadas: descarga unicamente las revisiones asociadas con
vulnerabilidades, amenazas de seguridad o actualizaciones de IVANTI detectadas por el
ultimo rastreo de seguridad (p. ej., definiciones que residen actualmente en el grupo
Detectadas).
• Para todas las definiciones descargadas: descarga TODAS las revisiones asociadas con
la vulnerabilidad, las amenazas de seguridad y las actualizaciones de software de
IVANTI que actualmente se encuentran en el grupo Rastrear.
688
GUÍA DE USUARIO
NOTE: las definiciones que tienen dependencia con otra definicion que ya existe en un grupo diferente, como los
grupos de Rastrear o No rastrear, se colocan automaticamente en tal grupo aunque se haya seleccionad esta
opcion. En otras palabras, la relacion de dependencia anula esta opcion de modo que la (nueva) definicion
descargada mas recientemente este en el mismo grupo que la definicion con la cual tiene la dependencia.
NOTE: Las definiciones queya ha seleccionado para colocarlas en el grupo de Alertas (en el cuadro de dialogo
Configurar Alertas), tambien se colocan automaticamente en el grupo de Rastreo, aun si esta opcion esta
seleccionada, de modo que se den las alertar apropiadas.
NOTE: en el tipo aplicacion bloqueada, la ubicacion de descarga predeterminada es diferente. Las definiciones
bloqueadas se descargan del grupo No asignadas de manera predeterminada, no del grupo Rastrear. Por lo
tanto, no es necesario seleccionar esta opcion si esta descargando solo definiciones de aplicaciones bloqueadas.
• Configuracion del grupo Definicion: abre el cuadro de dialogo de configuracion del grupo
Definicion en el cual puede crear, administrary seleccionar los grupos de definiciones.
Puede utilizar la configuracion de este grupo de definiciones para automatizar el estado de
rastreo, descargar la ubicacion y para el modo en que se descargan las definiciones de
seguridad (contenido) que coinciden con los criterios de tipo y gravedad que se han
especificado.
Si la red emplea un servidor proxy para transmisiones externas (por ejemplo, acceso a Internet),
utilice esta pagina para habilitary establecer los valores de configuracion del servidor proxy. El
acceso a Internet es necesario tanto para actualizar la informacion de vulnerabilidad como para la
descargar los archivos de parches de los servicios web adecuados.
• Utilizar servidor proxy: habilita la opcion de servidor proxy (de forma predeterminada, esta
opcion se encuentra desactivada). Si se habilita un servidor proxy, se deben llenar los
siguientes campos de direccion y puerto.
• Servidor: identifica la direccion IPy el numero del puerto del servidor proxy.
• Proxy basado en HTTP: habilita el servidor proxy, si se trata de un servidor proxy basado en
HTTP (como Squid), de modo que pueda establecer conexion para la descarga de parches
de sitios FTP. (Los parches alojados en algunos sitios FTP no se pueden descargar
mediante servidores proxy basados en HTTP, a menos que primero se habilite esta opcion).
• Inicio de sesion necesario: permite escribir un nombre de usuario y contrasena si el
servidor proxy dispone de credenciales en lugar de ser un servidor proxy transparente.
Utilice esta pagina para especificar el lugar donde se descargan los ejecutables de las revisiones.
• Ruta UNC donde se almacenan los parches: especifica el lugar donde se pueden descargar
689
IVANTI ENDPOINT MANAGER
• Direccion web de URL donde los clientes tienen acceso a los parches: especifica una
direccion web en la cual los dispositivos pueden acceder a los parches descargados para
realizar su despliegue. La ubicacion predeterminada es la carpeta \LDLogon\Patch del
servidor central. Normalmente esta ubicacion sera la misma que la ruta UNC especificada
anteriormente.
• Restablecer valores predeterminados: restaura tanto la ruta UNC como la direccion URL a la
ubicacion predeterminada, la cual es la carpeta \LDLogon\Patch del servidor central.
Utilice esta pagina para configurar las opciones de descarga de archivos de definiciones de
virus de IVANTI Antivirus. Recuerde que esta pagina se aplica solamente a los archivos de
definiciones de virus reales que utiliza IVANTI Antivirus; no se aplica al contenido de deteccion
del rastreador de antivirus (actualizaciones de antivirus) que estan disponibles en la lista de
definiciones de la pagina
Actualizaciones.
Para obtener informacion detallada, consulte "Acerca de la pagina de IVANTI Antivirus en el cuadro
de dialogo de Descargar actualizaciones" (789).
Utilice este cuadro de dialogo para ver las propiedades de los tipos de definiciones de contenido
que se descargaron, incluyendo vulnerabilidades, spyware, amenazas a la seguridad,
actualizaciones de software, etc.
Tambien puede utilizar esta pagina para crear las definiciones personalizadas.
Esta informacion es de solo lectura para las definiciones que se descargaron. En las definiciones
personalizadas, los campos de este dialogo se pueden modificar. Puede introducir informacion
detallada de las reglas de deteccion, identificacion y atributo (para una definicion personalizada)
usando los campos disponibles en este cuadro de dialogo yen el de Propiedades de las reglas de
deteccion.
690
GUÍA DE USUARIO
Utilice los botones de flecha derecha e izquierda (<, >) para ver la informacion de propiedades para
la anterior o la siguiente definicion en el orden en que se incluyen actualmente en la ventana
principal.
• id: identifica la definicion seleccionada como codigo alfanumerico unico, definido por el
proveedor (o por el usuario, en el caso de una definicion personalizada).
• Categona: indica una categona mas espedfica dentro de un tipo de contenido de seguridad
individual (consulte arriba).
691
IVANTI ENDPOINT MANAGER
Puede hacer clic con el boton derecho en una regla de deteccion para descargar su revision
asociada (o revisiones), habilitar o deshabilitar la regla de deteccion del rastreo de seguridad,
desinstalar sus revisiones asociadas o ver sus propiedades. Puede hacer doble clic en una regla de
deteccion para ver sus propiedades.
Si trabaja con una definicion personalizada, haga clic en Agregar para crear una nueva regla de
deteccion, en Modificar para modificar la regla seleccionada, o en Eliminar para quitar la regla
seleccionada.
• Mas informacion en: proporciona un vfnculo HTTP a una pagina web especfica de un
proveedor (o definida por el usuario); suele ser un sitio de asistencia tecnica con
informacion adicional sobre la definicion seleccionada.
• Mas informacion sobre la ID de CVE: (Se aplica solo a las vulnerabilidades) Proporciona la
ID de CVE (nombre) de la vulnerabilidad seleccionada y un vfnculo a la pagina web de CVE
de esa ID de CVE especfica. Para obtener mas informacion, consulte "Buscar
vulnerabilidades segun el nombre de CVE" (642).
Puede existir una relacion de dependencia solo para los siguientes tipos de definiciones de
seguridad:
• Requisitos previos: enumera todas las definiciones que tienen que ejecutarse ANTES de la
definicion seleccionada que pueden controlarse en dispositivos. Si alguna de las
definiciones en esta lista no se incluyen en su tarea de rastreo, el rastreador de seguridad
no detectara la definicion seleccionada.
692
GUÍA DE USUARIO
Esta pagina SOLO aparece si la definicion de seguridad seleccionada incluye la configuracion o los
valores que se pueden modificar. Algunas definiciones de amenaza a la seguridad de la
configuracion del sistema tienen valores variables que pueden cambiar antes de incluirlos en un
rastreo de seguridad. Generalmente, las definiciones de antivirus tambien tienen ajustes con
variables personalizadas.
Con las variables personalizadas puede ajustar el rastreo de las amenazas a la seguridad
modificando los valores de uno o mas ajustes para que el rastreador busque las condiciones que
defina y determine que un dispositivo es vulnerable solo si se cumple con esa condicion (por
ejemplo, si se detecta el valor especificado).
Cada definicion de seguridad con variables que se puedan personalizartiene un conjunto unico de
valores espedficos que pueden modificarse. En cada caso, sin embargo, la pagina Variables
personalizadas mostrara la siguiente informacion comun:
• Valor: indica el valor actual de la variable personalizada. A menos que la variable sea de
solo lectura, puede hacer doble clic en este campo para cambiar el valor.
• Agregar variable: abre un cuadro de dialogo en el cual puede crear su propia variable
personalizada. (NOTA: Antes de que se pueda crear una variable personalizada para una
definicion de vulnerabilidades, la definicion debe contener al menos una regla de
deteccion.)
693
IVANTI ENDPOINT MANAGER
• Descripcion: provee informacion adicional util del fabricante de la definicion sobre las
variables personalizadas.
Para cambiar una variable personalizada, haga doble clic en el campo Valory seleccione un valor, si
hay una lista desplegable disponible, o modifique manualmente el valory luego haga clic en Aplicar.
Observe que algunas variables son de solo lectura y no se pueden modificar (esto generalmente se
indica en la descripcion).
Utilice este dialogo para crear y modificar sus propias variables personalizadas que corresponden a
las definiciones de las vulnerabilidades personalizadas. Con las variables personalizadas puede
ajustar el rastreo de las amenazas a la seguridad mediante la modificacion de uno o mas valores de
ajuste para que el rastreador busque las condiciones que defina y determine que un dispositivo es
vulnerable solo si se cumple con esa condicion (por ejemplo, si se detecta el valor especificado).
IMPORTANT: Antes de que se pueda crear una variable personalizada para una definicion de vulnerabilidades,
la definicion debe contener primero al menos una regla de deteccion.
• Tipo: Identifica el tipo de recurso que se utiliza para definir la variable personalizada (los
tipos incluyen: cadena de caracteres, cadena cifrada, cadena de valor multiple, entero,
enumeracion, booleana).
694
GUÍA DE USUARIO
• Valores posibles: introduzca todos los valores posibles que se pueden considerar como
validos de la variable personalizada que esta creando (en funcion del tipo que se especifico
anteriormente).
Esta informacion es de solo lectura para las reglas de deteccion que pertenecen a definiciones
descargadas. En las definiciones personalizadas, los campos de este dialogo se pueden modificar.
Especifique la configuracion de la regla de deteccion yconfigurar las opciones en cada pagina para
crear reglas de deteccion personalizadas. Aun mas, si la regla de deteccion personalizada permite la
reparacion, puede agregar comandos especiales que se ejecuten durante la reparacion (instalacion
o desinstalacion de la revision).
Puede utilizar los botones de flecha derecha e izquierda (<, >) para ver la informacion de
propiedades para la anterior o la siguiente regla de deteccion en el orden en que se incluyen
actualmente en la ventana principal.
695
IVANTI ENDPOINT MANAGER
Las paginas siguientes hacen referencia a la logica de deteccion utilizada por la regla de deteccion
seleccionada para determinar si la vulnerabilidad (u otro tipo de definicion) existe en el servidor
rastreado.
Identifica los sistemas operativos en los que se ejecutara el rastreador de seguridad para verificar la
definicion asociada con esta regla. En otras palabras, solo los dispositivos que coinciden con las
plataformas seleccionadas intentaran procesar esta regla. Debe seleccionarse al menos una
plataforma. Si un dispositivo de destino utiliza un sistema operativo distinto, el rastreo de seguridad
se interrumpe.
• Productos: Enumera los productos que desea revisar con la regla de deteccion que
determine si la definicion asociada existe en los dispositivos rastreados. Seleccione un
producto en la lista para ver la informacion de nombre, proveedor y version. No necesita
tener un producto asociado a las reglas de deteccion. Los productos asociados actuan
como filtros durante el proceso de rastreo de seguridad. Si de los productos asociados
especificados se encuentra en el dispositivo, el rastreo de seguridad se interrumpe. No
obstante, si no se especifican productos, el rastreo continua con la verificacion de archivos.
Si esta creando o editando una regla de deteccion personalizada, haga clic en Configurar para abrir
un nuevo cuadro de dialogo que le permita agregary eliminar productos en la lista. La lista de
productos disponibles es determinada por el contenido de seguridad que actualizo mediante el
servicio web de IVANTI Security Suite.
696
GUÍA DE USUARIO
• Archivos: enumera las condiciones de archivo (existencia, version, fecha, tamano, etc.) que
se utilizan para determinar si la definicion asociada esta presente en los dispositivos
rastreados. Seleccione un archivo en la lista para ver el metodo de verificacion y los
parametros esperados. Si se cumplen todas las condiciones del archivo, el dispositivo no
se encuentra afectado. Lo que significa que si NO se cumple cualquiera de estas
condiciones de archivo, se determina que existe vulnerabilidad en el dispositivo. Si no
existen condicione de archivo en la lista, el rastreo continua con la verificacion del registro.
Si esta creando o editando una regla de deteccion personalizada, haga clic en Agregar para
hacer que los campos se puedan modificar, lo cual permite configurar una condicion de
archivo nueva y los valores o parametros esperados. Una regla puede incluir una o mas
condiciones de archivo, segun la complejidad que desee. Para guardar una condicion de
archivo, haga clic en Actualizar. Para eliminar una condicion de archivo de la lista,
seleccionela y haga clic en Eliminar.
• Verificar con: indica el metodo utilizado para verificar si la condicion de archivo prescrita se
satisface en los dispositivos rastreados. Por ejemplo, una regla de deteccion podna rastrear
la existencia del archivo, la version, la fecha, el tamano, etc. Los parametros esperados que
aparecen debajo del metodo de verificacion son determinados por el metodo mismo (vea la
lista siguiente).
Observe que la opcion Buscar archivo repetidamente aplica a todos los metodos de
verificacion excepto los MSI, y causa que el rastreo busque archivos en la ruta de ubicacion
espedfica y en todas las subcarpetas que existiesen.
• Solo existe el archivo: realiza la verificacion mediante el rastreo del archivo especificado.
Los parametros son: Ruta (ubicacion del archivo en la unidad del disco duro, incluye el
nombre de archivo) y Requisito (debe existir o no debe existir).
• Version del archivo: realiza la verificacion mediante el rastreo del archivo especificado y el
numero de version. Los parametros son: Ruta, Version mfnima y Requisito (debe existir, no
debe existir o podna existir).
Observe que para los parametros Version del archivo, Fecha y Tamano puede hacer clic en
el boton Recolectar datos, luego de especificar la ruta y nombre del archivo a fin de
completar los campos con los valores correspondientes.
• Fecha del archivo: realiza la verificacion mediante el rastreo del archivo especificado y la
fecha. Los parametros son: Ruta, Fecha mmima y Requisito (debe existir, no debe existir o
podna existir).
• Tamano y/o Suma de comprobacion: realiza la verificacion mediante el rastreo del archivo
especificado y el tamano o el valor de la suma de comprobacion. Los parametros son: Ruta,
697
IVANTI ENDPOINT MANAGER
Acerca de la Logica de deteccion: Configuracion del registro usado para la pagina de deteccion
• Registro: muestra una lista de las condiciones de clave de registro que se utilizan para
determinar si existe la vulnerabilidad asociada (u otro tipo) en un dispositivo rastreado.
Seleccione una clave de registro en la lista para ver los parametros esperados. Si NO se
cumple cualquiera de estas condiciones, se determina que existe la vulnerabilidad en el
dispositivo.
Si esta creando o editando una regla de deteccion personalizada, haga clic en Agregar para
configurar una condicion de clave de registro nueva y los parametros esperados. Una regla
puede incluir una o mas condiciones de registro. Para guardar una condicion de registro,
haga clic en Actualizar. Para eliminar una condicion de registro de la lista, seleccionela y
haga clic en Eliminar.
698
GUÍA DE USUARIO
Utilice estos cuadros de dialogo cuando cree una definicion de vulnerabilidad personalizada que
incluya un producto personalizado.
Puede escribir un nombre, proveedoryel numero de version, y luego definir la logica de deteccion
que determine las condiciones para que exista la vulnerabilidad.
Estos cuadros de dialogo son similares a los cuadros de dialogo de propiedades de las definiciones
de vulnerabilidad publicadas y descargadas. Consulte las secciones correspondientes mas arriba.
• Agregar: Abre el cuadro de dialogo Propiedades en el cual puede crear una definicion
personalizada de productos.
Las paginas siguientes hacen referencia a la logica de deteccion utilizada por la regla de deteccion
seleccionada para determinar si la vulnerabilidad (u otro tipo de definicion) existe en el servidor
rastreado.
Estos cuadros de dialogo son identicos a los cuadros de dialogo de la logica de deteccion para las
definiciones de vulnerabilidad descargadas yconocidas de las aplicaciones y SO publicadas por los
proveedores descritos anteriormente. Para obtener mas informacion acerca de las opciones,
consulte las secciones correspondientes mas arriba.
Consulte la Logica de deteccion: Configuracion del registro usado para la pagina de deteccion
anterior.
Acerca del productode la vulnerabilidad personalizada: Logica de deteccion: Pagina de Secuencia
personalizada de comandos de deteccion
Utilice esta pagina para definir y configurar el archivo de revision asociado a la regla (si se requiere
699
IVANTI ENDPOINT MANAGER
uno para la reparacion) y la logica utilizada para detectar si la revision ya existe. Tambien se pueden
configurar comandos adicionales de instalacion o desinstalacion del archivo de revision para
reparaciones personalizadas.
Esta pagina y las que se encuentran debajo de ella hacen referencia al archivo de revision necesario
para reparar una vulnerabilidad. Estas paginas se aplican solamente si la regla de deteccion
seleccionada permite la reparacion mediante la implementacion de un archivo de revision. Si la regla
de deteccion se limita solamente al rastreo, o si el tipo de contenido de seguridad no utiliza archivos
para la reparacion, como en el caso de las amenazas de seguridad, o el spyware, entonces estas
paginas no son importantes.
• Reparar solamente mediante revision o deteccion: Haga clic en alguna de estas opciones
para especificar si la regla de deteccion simplemente buscara la presencia de la definicion
asociada (solo deteccion), o si tambien puede reparar la definicion al implementar e instalar
la revision requerida.
• URL de la revision: muestra el nombre y ruta completa del archivo de revision necesario
para reparar la definicion seleccionada, si se detecta. La ubicacion de la cual se
descarga el archivo de revision.
• Nombre de archivo unico: identifica el nombre unico del archivo ejecutable de la revision.
700
GUÍA DE USUARIO
• Requiere reinicio: indica si el archivo de revision requiere que el dispositivo reinicie antes
de terminar sus procesos de instalacion y configuracion en el mismo.
IMPORTANT: Para detectar la instalacion del archivo de revision en un dispositivos, se deben satisfacer
todas las condiciones especificadas para la configuracion de ambos archivos y del registro.
Esta pagina especifica las condiciones de archivo que se utilizan para determinar si un archivo de
revision ya se encuentra instalado en un dispositivo. Las opciones de esta pagina son las mismas
que las de la pagina Archivos de la definicion de la logica de deteccion (vease mas arriba). Sin
embargo, la logica funciona al reves cuando se esta detectando una instalacion de revision. En
otras palabras, al verificar la instalacion de una revision, deben satisfacerse todas las condiciones
de archivo especificadas en esta pagina para determinar la instalacion.
Acerca de la Deteccion de la revision: Configuracion del registro usado para la pagina de deteccion
de revisiones instalada
Esta pagina especifica las condiciones de clave de registro que se utilizan para determinar si un
archivo de revision ya se encuentra instalado en un dispositivo. Las opciones de esta pagina son
las mismas que las de la pagina Configuracion del registro de la definicion de la logica de deteccion
(vease mas arriba). No obstante, la logica funciona de forma inversa en este caso. En otras palabras,
al verificar la instalacion de una revision, deben satisfacerse todas las condiciones de registro
especificadas en esta pagina para determinar la instalacion.
IMPORTANT: Para detectar la instalacion del archivo de revision en un dispositivos, se deben satisfacer todas
las condiciones especificadas para la configuracion de ambos archivos y del registro.
701
IVANTI ENDPOINT MANAGER
Las paginas siguientes le permiten configurar comandos adicionales que se ejecutan cuando el
parche se instala o desinstala de los dispositivos afectados.
Esta opcion esta disponible solo para las definiciones personalizadas que permiten la reparacion.
Estos comandos son utiles si necesita programar acciones espedficas en los dispositivos de
destino para asegurar una reparacion satisfactory. Los comandos adicionales no son requeridos. Si
no configura comandos adicionales, el archivo de revision se auto ejecuta de forma predeterminada.
Recuerde que si no configura uno o mas comandos adicionales, debera incluir un comando que
excluya el archivo de revision actual con el comando Ejecutar.
Utilice esta pagina para configurar comandos adicionales para cada tarea de instalacion de parches.
Los comandos disponibles son los mismos para la instalacion y desinstalacion de las revisiones.
• Agregar: abre un cuadro de dialogo que le permite seleccionar un tipo de comando para
agregara la lista Comandos.
• Copiar: copia un archivo del origen especificado al destino especificado en el disco duro
del dispositivo destino. Este comando se puede utilizar antes y/o despues de la ejecucion
del archivo de revision en sf mismo. Por ejemplo, luego de extraer el contenido de un
archivo comprimido con el comando Descomprimir, copie los archivos desde donde se
encuentran hasta otra ubicacion.
Los argumentos del comando Copiar son los siguientes: Dest (ruta completa de donde
desea copiar el archivo, no incluye el nombre de archivo) y Fuente (ruta completa y nombre
del archivo que desea copiar).
• Ejecutar: ejecuta el archivo de revision, o cualquier otro archivo ejecutable, en los
dispositivos de destino.
Los argumentos del comando Ejecutar son los siguientes: Ruta (la ruta completa y el
nombre de archivo, donde reside el archivo ejecutable; para el archivo de parche puede
702
GUÍA DE USUARIO
Los argumentos del comando ButtonClick son los siguientes: Requerido (valor verdadero o
falso que indica si se debe hacer clic en el boton antes de proceder, si selecciona verdadero
y no se puede hacer clic en el boton por alguna razon, se cancela la reparacion. Si se
selecciona falso, y no se puede hacer clic en el boton, la reparacion continuara),
ButtonIDorCaption (identifica el boton en que se desea hacer clic de acuerdo con su
etiqueta de texto o su Id. de control), Espera (numero de segundos que le toma al boton en
que se desea hacer clic para que aparezca cuando se ejecuta el ejecutable)
yWindowCaption (identifica la ventana o cuadro de dialogo donde se encuentra el boton en
que se desea hacer clic).
• ReplaceInFile: edita el archivo basado en texto en los dispositivos de destino. Utilice este
comando para realizar alguna modificacion a un archivo basado en texto, como por ejemplo
un valor especfico en un archivo .INI, antes o despues de la ejecucion de un archivo de
revision para asegurarse que se ejecute correctamente.
Los argumentos del comando ReplaceInFile son los siguientes: Filename (nombre y ruta
completa del archivo que desee modificar), ReplaceWith (cadena de texto exacta que desee
agregar al archivo) y Original Text (cadena de texto exacta que desee eliminar del archivo).
• StartService: inicia el servicio en los dispositivos de destino. Utilice esta opcion para
comenzar un servicio requerido a fin de que se ejecute la revision, o reinicie el servicio que
se requena detener para que se ejecute el archivo de revision.
Los argumentos del comando StartService son los siguientes: Service (nombre del
servicio).
• StopService: detiene el servicio en los dispositivos de destino. Utilice este comando si debe
detenerse en un dispositivo un servicio para que pueda instalarse el archivo de revision.
Los argumentos del comando StopService son los siguientes: Service (nombre del
servicio).
• Unzip: descomprime un archivo comprimido en el dispositivo de destino. Por ejemplo,
puede utilizar este comando si la reparacion requiere que se ejecute mas de un archivo o
703
IVANTI ENDPOINT MANAGER
Los argumentos del comando Descomprimir son los siguientes: Dest (ruta completa hacia
donde se desee extraer los contenidos de un archivo comprimido en el disco duro de un
dispositivo) y Fuente (ruta completa del archivo comprimido).
Para obtener mas informacion sobre los comandos, consulte "Acerca de la pagina Comandos de
instalacion de parches" (699).
Tambien puede ejecutar un rastreo de seguridad o cumplimiento inmediato a peticion en uno o mas
de los dispositivos de destino. Haga clic con boton derecho en el dispositivo seleccionado (o en
hasta 20 dispositivos multiples seleccionados) y haga clic en Rastreo de seguridad y revisiones y
seleccione una configuracion de rastreo y reparacion, o bien haga clic en Rastreo de cumplimiento y
luego en Aceptar. Un rastreo de cumplimiento busca en los dispositivos de destino en busca de
cumplimiento con la polftica de seguridad basada en los contenidos del Grupo de cumplimiento.
• Crear una polftica: agrega la tarea de rastreo de seguridad como poiftica en la ventana de
Tareas programadas, en la cual puede configurar las opciones de las polfticas.
704
GUÍA DE USUARIO
Con una tarea de cambio de configuracion usted puede cambiar de forma conveniente la
configuracion predeterminada (que se encuentra escrita en el registro local del dispositivo) de un
dispositivo administrado sin tener que implementar nuevamente una configuracion de agente
completa.
• Crear una tarea programada: agrega la tarea a la ventana Tareas programadas, donde puede
configurar sus opciones de programacion y recurrencia y asignarles dispositivos de
destino.
• Crear una polftica: agrega la tarea como una polftica a la ventana de Tareas programadas,
donde puede configurar las opciones de polftica.
705
IVANTI ENDPOINT MANAGER
Utilice este cuadro de dialogo para crear yconfigurar una tarea generica de reinicio.
Una tarea de reinicio del dispositivo puede resultar util cuando se desea instalar revisiones (sin
reiniciar) como un proceso individual y luego reiniciar los dispositivos reparados como otra tarea
independiente. Por ejemplo, puede ejecutar un rastreo o una instalacion de una revision durante el
dfa, y luego implementar una tarea de solo reiniciar en algun momento mas conveniente para los
usuarios finales.
• Crear una tarea programada: crea una tarea de reinicio en la ventana Tareas programadas
cuando hace clic en Aceptar.
• Crear una polftica: crea una polftica de reinicio cuando hace clic en Aceptar.
Utilice este dialogo para crear yconfigurar una tarea de reparacion (remedio) para los siguientes
tipos de definiciones: vulnerabilidades, spyware, actualizaciones de software de IVANTI,
definiciones personalizadas y amenazas de seguridad con una revision asociada. La opcion de
programar reparacion no se aplica a las aplicaciones bloqueadas.
Este cuadro de dialogo incluye las paginas siguientes:
706
GUÍA DE USUARIO
• Reparar como tarea programada: crea una tarea de reparacion de seguridad en la ventana
Tareas programadas cuando hace clic en Aceptar.
• Separar en tareas en fases y tareas de reparacion: (opcional) crea dos tareas separadas en
la herramienta Tareas programadas: una tarea de preparacion de los archivos de revision
necesarios en la memoria cache local del dispositivo de destino y una tarea para la
instalacion de dichas revisiones en los dispositivos afectados.
• Reparar como polftica: crea una poiftica de seguridad de reparacion cuando hace clic en
Aceptar.
• Agregar consulta representando los dispositivos afectados: crea una nueva consulta,
basada en la definicion seleccionada, yaplica la polftica. La polftica basada en
consultas buscara dispositivos afectados por la definicion seleccionada, e
implementara la revision asociada.
707
IVANTI ENDPOINT MANAGER
asociadas con la vulnerabilidad seleccionada. (NOTA: Los campos en esta pagina son identicos a
los de "Ayuda de Parches y cumplimiento" (681).)
• Hacer que los representantes de dominio reactiven los equipos: permite que los
dispositivos compatibles con la tecnologfa Wake On LAN se activen para recibir
la multidifusion.
• Numero de segundos que se esperara tras la funcion Wake On LAN: establece la cantidad
de tiempo que esperan los representantes de dominio para realizar la multidifusion tras
enviar el paquete Wake On LAN. El intervalo de tiempo predeterminado es de 120 segundos.
Si algunos dispositivos de la red tardan mas de 120 segundos en iniciar, se recomienda
aumentar este valor. El valor maximo permitido es 3600 segundos (una hora).
Las siguientes opciones permiten configurar los parametros de multidifusion dirigida espedficos de
la tarea. Los valores predeterminados deben ser adecuados para la mayona de multidifusiones.
• Numero maximo de representantes de dominio de multidifusion funcionando
simultaneamente: este valor senala el numero maximo de representantes que realizan
activamente una multidifusion al mismotiempo.
708
GUÍA DE USUARIO
• Numero de d^as que el archivo permanece en el cache: cantidad de tiempo que puede
permanecer el archivo de multidifusion en la cache de los dispositivos del cliente.
Transcurrido este penodo de tiempo, el archivo se purgara automaticamente.
• Numero de d^as que permaneceran los archivos en la cache del representante de dominio
de multidifusion: cantidad de tiempo que puede permanecer el archivo de multidifusion en
la cache del representante de dominio de multidifusion. Transcurrido este penodo de
tiempo, el archivo se purgara automaticamente.
Este valor solo se utiliza cuando el representante de dominio no transfiere el archivo desde su
propia cache. Si no se especifica este parametro, se utilizara el tiempo de espera mfnimo
predeterminado almacenado en el dispositivo representante de dominio/subred. Puede utilizar este
parametro para limitar el uso de ancho de banda en la red WAN.
709
IVANTI ENDPOINT MANAGER
• Agregar consulta representando los dispositivos afectados: crea una nueva consulta,
basada en la revision seleccionada,y aplica la polftica. Esta polftica basada en
consultas buscara los dispositivos que tengan instalada la ruta seleccionada y la
desinstalara.
Utilice este cuadro de dialogo para compilar datos sobre las vulnerabilidades rastreadas y
detectadas en los dispositivos administrados. Esta informacion se utiliza en los informes de
seguridad. Puede recopilar los datos inmediatamente o bien, crear una tarea para recopilar los datos
durante un lapso de tiempo especificado.
• Mantener datos historicos por: especifica la cantidad de tiempo (en dfas) durante los cuales
se recopilan los datos. Puede especificar de 1 a 3.000 dfas.
• Generar informe de datos de definiciones publicadas menos de: restringe el informe a los
datos sobre vulnerabilidades que se publicaron dentro del penodo de tiempo especificado.
710
GUÍA DE USUARIO
• Crear tarea: agrega la tarea a la ventana Tareas programadas, donde puede configurar sus
opciones de programacion y recurrencia yasignarles dispositivos de destino.
• Purgar: elimina por completo los datos sobre vulnerabilidades recopilados hasta este
punto.
• Nuevo: abre el cuadro de dialogo en el cual puede configurar las opciones pertinentes al
tipo de configuracion especificado.
NOTE: en este momento, la configuracion seleccionada puede estar asociada con una o mas tareas o
dispositivos administrados. Si elimina un ajuste, los dispositivos con dicho ajuste aun lo tendran y continuaran
usandolo hasta que se despliegue una nueva tarea de configuracion. Las tareas programadas y las tareas del
programador local con dicho ajuste seguiran ejecutandose en los dispositivos de destino hasta que se
despliegue una nueva tarea de configuracion.
711
IVANTI ENDPOINT MANAGER
• Crear una tarea programada: agrega la tarea a la ventana Tareas programadas, donde puede
configurar sus opciones de programacion y recurrencia y asignarles dispositivos de
destino.
• Crear una polftica: agrega la tarea como una polftica a la ventana de Tareas programadas,
donde puede configurar las opciones de polftica.
• Antivirus: especifica la configuracion del antivirus para las tareas de rastreo del antivirus.
La configuracion del antivirus determina si el icono de IVANTI Antivirus aparece en la
bandeja del sistema del dispositivo, la disponibilidad de las opciones interactivas para los
usuarios finales, la habilitacion del analisis de correo electronico y de la proteccion en
tiempo real, los tipos de archivo a analizar, los archivos y carpetas a excluir, la cuarentena y
la copia de seguridad de los archivos infectados, los analisis programados del antivirus y
las actualizaciones programadas de los archivos de definiciones de virus. Para obtener mas
informacion, consulte 'Acerca del cuadro de dialogo de Configuracion de IVANTI Antivirus"
(794).
Acerca del cuadro de dialogo Configurar los ajustes de reemplazo de variables personalizadas
Utilice este cuadro de dialogo para administrar su configuracion reemplazo de variable
personalizada. Una vez configurada, puede aplicar la configuracion de reemplazo de variable
personalizada a una tarea de cambio de configuracion e implementarla en los dispositivos de
destino para cambiar (o quitar) su configuracion predeterminada de reemplazo de variable
personalizada.
712
GUÍA DE USUARIO
713
IVANTI ENDPOINT MANAGER
NOTE: en este momento, la configuracion seleccionada puede estar asociada con una o mas tareas o
dispositivos administrados. Si eliminan los ajustes, los dispositivos con dichos ajustes aun los tendran y
continuaran usandolos hasta que se despliegue una nueva tarea de configuracion. Las tareas programadas y las
tareas del programador local con dichos ajustes seguiran ejecutandose en los dispositivos de destino hasta que
se despliegue una nueva tarea de configuracion.
Utilice este cuadro de dialogo para crear, modificar yseleccionar las configuraciones que controlan
la
forma y el lugar en que se descargan las definiciones de seguridad en funcion de su tipo y
gravedad.
• Estado: Muestra el estado (No Rastrear, Rastreo y No asignadas) para las definiciones que
coinciden con las configuraciones del grupo cuando se descargan. El estado corresponde a
los nodos de grupo en la vista de arbol. No asignadas es el estado predeterminado.
• Grupo(s): Muestra el grupo o grupos donde se colocan las definiciones de seguridad que
coinciden con los criterios de tipo y gravedad especificados anteriormente. Podra agregar y
eliminartantos grupos personalizados como desee.
714
GUÍA DE USUARIO
Use este cuadro de dialogo para definir la configuracion del grupo definicion. Esta configuracion
controla la forma y el lugar en que se descargan las definiciones basadas en el tipo y gravedad.
• Tipo de definicion: Seleccione el tipo de definicion que desea descargar con el estado y
la ubicacion deseados.
• Action: Define lo que desea hacer con las definiciones descargadas y el lugar en que desea
colocarlas.
• Establecer el estado: Seleccione el estado para las definiciones descargadas. Entre las
opciones se incluyen: No rastrear, Rastrear y No asignadas.
• Coloque la definicion en grupos personalizados: Seleccione uno o mas grupos con los
botones Agregary Eliminar. Puede seleccionar los grupos personalizados que creo, el
grupo de Alertas, el grupo Compatible y varios de los grupos del sector de seguridad
disponibles.
Utilice este cuadro de dialogo para configurar las alertas relacionadas con la seguridad de los
dispositivos rastreados, entre ellas las alertas de vulnerabilidad y antivirus.
Pagina de definiciones
Utilice esta pagina para configurar los avisos de seguridad. Si agrego definiciones de seguridad al
grupo de Alertas, entonces Parches ycumplimiento le avisara cuando alguna de estas definiciones
se detecte en los dispositivos rastreados.
• Intervalo minimo de alertas: especifica el intervalo de tiempo mas corto (en minutos u
horas) en el que se envfan avisos sobre vulnerabilidades detectadas. Es posible utilizar esta
configuracion si no desea recibir alertas con demasiada frecuencia. Establezca el valor en
cero si desea recibir alertas instantaneas y en tiempo real.
• Agregar a grupo de Alertas: indica que vulnerabilidades, por nivel de seguridad, se ubican
de manera automatica en el grupo de Alertas durante un proceso de descarga de
715
IVANTI ENDPOINT MANAGER
contenidos. Cada definicion que se ubica en el grupo de Alerta tambien se ubica de manera
predeterminada y automatica en el grupo Rastrear (para incluir aquellas definiciones en una
tarea de rastreo de seguridad).
Pagina de antivirus
• Nivel mmimo de alerta: especifica el intervalo de tiempo mas corto (en minutos u horas) en
el que se envfan alertas sobre virus detectados. Es posible utilizar esta configuracion si no
desea recibir alertas con demasiada frecuencia. Establezca el valor en cero si desea recibir
alertas instantaneas y en tiempo real.
Utilice este cuadro de dialogo para habilitary configurar el reenvfo automatico de los resultados del
rastreo de seguridad mas reciente a un servidor central de resumen en la red. El reenvfo de datos de
seguridad le permite ver el estado de las vulnerabilidades en tiempo real de todos los dispositivos
administrados en una gran red corporativa distribuida sin necesidad de recuperar manualmente
esos datos directamente desde el servidor central principal.
Cada vez que el rastreador de seguridad se ejecuta, este escribe un archivo con los resultados del
rastreo en una carpeta denominada VulscanResults en el servidor central yavisa al servicio web de
IVANTI Security Suite, el cual agrega el archivo a la base de datos central. Si la configuracion del
servidor central de resumen esta habilitada y se identifica un servidor de resumen valido, este lee el
archivo de resultados del rastreo en su propia base de datos y proporciona un acceso mas rapido a
la informacion de vulnerabilidades crfticas.
• Mantener los resultados del rastreo en la carpeta de resultados de vulscan despues del
procesamiento: guarda los archivos de resultados del rastreo de seguridad en la
carpeta de vulscan predeterminada.
716
GUÍA DE USUARIO
• Enviar resultados del rastreo a la base de datos central de resumen (Rollup core)
inmediatamente: habilita el reenvfo inmediato de los resultados del rastreo de
seguridad al servidor central especificado mediante el uso del metodo descrito
anteriormente.
• URL de resumen: especifica la direccion web del servidor central de resumen que
recibe los resultados del rastreo de seguridad y la carpeta de destino del archivo de los
resultados del rastreo en el servidor central de resumen. La direccion URL de resumen
se puede introducir marcando la casilla de verificacion Utilizar la URL de resumen
predeterminada o se puede modificar manualmente desmarcando la casilla de
verificacion e introduciendo la URL que desee.
Utilice este cuadro de dialogo para ver los permisos vigentes de la herramienta de Parches y
cumplimiento que corresponden al administrador que inicio sesion. Estas opciones de los permisos
se configuran con la herramienta de Administracion de usuarios. Tambien, un administrador de
IVANTI puede cambiar los permisos basados en roles que se necesitan para modificar e importar las
definiciones de vulnerabilidades personalizadas.
IMPORTANT: SOLO un administrador de IVANTI puede cambiar los permisos basados en roles. !
Usuario:
• Ver: indica que el usuario tiene la capacidad de ver el contenido de los parches de
seguridad.
• Editar: indica que el usuario tiene la capacidad de modificar el contenido de los parches de
seguridad.
717
IVANTI ENDPOINT MANAGER
• Modificar publico: indica que el usuario tiene la capacidad de modificar el contenido de las
vulnerabilidades personalizadas.
• Requerir el permiso de Modificar publico para importar las definiciones: Especifica que se
requiere tener el permiso de Modificar publico para que un usuario pueda importar las
definiciones de seguridad.
Utilice este cuadro de dialogo para eliminar revisiones de forma definitiva (y sus reglas de deteccion
asociadas) de la base de datos.
718
GUÍA DE USUARIO
• Umbral de no rastreado recientemente: Indica la cantidad maxima de dfas para verificar los
dispositivos en los que no se han rastreado para desplegar revisiones.
Utilice el boton Borrar para eliminar toda la informacion de rastreo de los dispositivos
seleccionados existente en la base de datos.
Tambien se puede hacer clic con el boton derecho en una vulnerabilidad (y otro tipo de contenidos
de seguridad) de esta vista ycrear directamente una tarea de reparacion, o bien, habilitar o
desactivar la opcion Reparacion automatica en los tipos de contenido de seguridad que aplique.
La informacion que se presenta tiene como base el tipo de contenido de seguridad seleccionado.
Los nombres de grupos y los campos de informacion que se muestran en esta pagina son
dinamicos y dependen del tipo de contenido de seguridad que se seleccione de la lista desplegable
Tipos. Por ejemplo, si selecciona vulnerabilidades, se muestra la siguiente informacion de campos:
719
IVANTI ENDPOINT MANAGER
• Informacion de vulnerabilidad:
• Esperado: muestra el numero de version del archivo o la clave de registro que busca el
rastreador de vulnerabilidad. Si el numero de version del archivo o la clave de registro
del dispositivo rastreado coincide con este numero, no existe vulnerabilidad.
• Informacion de revision:
• Requiere revision: muestra el nombre del archivo del ejecutable de revision necesario
para reparar la vulnerabilidad seleccionada.
720
GUÍA DE USUARIO
Rollout projects
Overview of rollout projects
Rollout projects are a simplified method for managing vulnerability patching or software
distribution. A rollout project is a set of steps to automate deployment. For each step, you can
perform actions (such as a scheduled task), set criteria for when the content should move to the
next step (such as an 80% success rate), and send notification emails.
When the patches or software packages have completed the actions in a step and pass the exit
criteria, they are moved to the next step in the project. A project can be completely automatic, or
you can require administrator intervention to make sure content doesn't progress until you approve
it. And since you can set up email notices when a step succeeds or fails, you may not need to
monitor the project as closely.
Use a rollout project for a distribution task that has multiple steps that can be automated. For
example, applying patches in phases, or distributing new software to a pilot group before general
distribution. Rollout projects are especially useful in situations where the task is frequently repeated
or requires minimal oversight.
• Create a scheduled task for the project processor. The rollout project processor applies the
actions on the content in the project, evaluates if the content meets exit criteria, and moves
content from step to step. For more information about how the project processor works, see
"How a rollout project works" (719).
• Create the rollout project. Choose whether you want the project to be for software packages
or patch definitions. For information about the options when creating a rollout project, see
"Creating and editing a rollout project" (721).
• Add steps to the project. Steps contain the information about the actions that you want
performed. For more information, see "Adding steps to a rollout project" (723).
• Add content to the project. Once you have the project created, add the definitions or
software packages to the project. You can copy and paste the content, or automatically add
definitions using a download definitions filter. For more information, see "Adding content to
a rollout project" (729).
Once the project is created and has content, make sure it is in the Play state. When the scheduled
task runs, the project processor applies the actions.
721
IVANTI ENDPOINT MANAGER
To perform a staged rollout for new software, you can set up a rollout project to deliver the software
to a small group first, and then after it has been installed on 80% or more of those devices, wait for a
week to make sure things are working as designed. If the software fails to install on a significant
percentage of devices within 2 weeks, set up the rollout project to send an email warning and don't
push the software to a larger group. However, if everything works as planned, push the software to a
larger group.
• Step One
• Action: A scheduled task that distributes the software package to a small group.
• Exit criteria: An 80% success rate, meaning that the package cannot move to Step Two
until the success rate has been matched or exceeded.
• Email: You get an email if the package is still in Step One after 2 weeks.
• Step Two
• Action: A scheduled task that distributes the software package to a larger group.
To create a rollout project to automate deploying IVANTI patches, set up the definition download
settings to always add IVANTI patches to the rollout project. Apply the patches to your pilot group,
send an email that the patches have been downloaded and applied, then wait until an administrator
confirms that the patches are working successfully. Deploy the patches to a larger group, and then
when the patches are installed on 85% of the devices, set the patches to Autofix and tag them with
an Autofix tag to make them easy to identify.
In this example, you change the definition download settings to add content automatically to a
rollout project. When you use this feature, the downloaded content is added to the project and
automatically begins to move through the project steps the next time the project processor runs.
Since this feature requires no administrative oversight after it is set up, you'll probably choose to do
this only in situations where you trust the content or you have an approval built into the project.
• Step One
• Action: A scheduled task that applies the patch to your pilot group.
• Exit criteria: An 85% success rate, meaning that the patch must be installed on 85% of
devices.
722
GUÍA DE USUARIO
• Email: After the success rate has been met, you get an email saying that the content is
waiting for approval.
• Step Two
• Action: A policy-supported push task that applies the patch to a larger group.
• Exit criteria: An 85% success rate, meaning that the patch must be installed on 85% of
devices.
• Step Three
The rollout project processor applies the actions on the content in the project, evaluates if the
content meets exit criteria, and moves content from step to step. Schedule the project processor to
run as frequently as you think content needs to move from step to step.
If you have actions in the project that are scheduled tasks, such as a software deployment, the
project processor uses a template to create the task. It creates a new task each time the action is
applied to content. The template it uses to create the scheduled task is specified when you create
the step. For more information about the options available when you're creating steps, see "Adding
steps to a rollout project" (723).
The action for a step is only applied to content once. After the action has been applied, the content
either moves to the next step or stays in the step until the exit criteria are met. If content stays in a
step, the project processor does not reapply the actions the next time it runs; it only re-evaluates if
the exit criteria have been met and if an email needs to be sent.
IMPORTANT: Content does not move to the next step as soon as it meets the exit criteria. It moves to the next
step after it has met the exit criteria AND the project processor runs as a scheduled task.
The steps in a rollout project must be linear. You cannot create branches or force content to skip
steps. If a step is paused, content may move into the paused step, but the actions for that step are
not applied to the content. Content does not skip a paused step.
723
IVANTI ENDPOINT MANAGER
If there are no exit criteria set for a step, the action for the step is applied and the content is
immediately moved to the next step. Content can progress through multiple steps each time the
project processor runs.
2. In the Rollout projects toolbar, click Create a task > Scheduled project processing.
3. Create a name for the task, and if you choose to, select the owner for the task. The scope
used is based on the owner for the task.
4. Click the Schedule task page on the left, and configure the options for when the task runs
and how frequently it runs.
5. Click Save.
IMPORTANT: If you try to process an item and the Process now option isn't available, make sure that the step
and the project are both set to Play and are not paused.
2. A prompt asks if you want to Re-apply actions even if they are already applied. When you re-
apply actions, the project processor runs just for that step and applies the actions to all
content currently in the step, even if they have already met the success criteria for the step.
Whether or not you choose re-apply actions, click OK to run the project processor.
• If actions are re-applied, the Applied actions timestamp is changed, the minimum
duration and post duration timers are reset, and if there are scheduled tasks in
the project or step, they are created again.
724
GUÍA DE USUARIO
• If actions are not re-applied, content is evaluated to see if exit criteria have been met or if
emails need to be sent. Only content that is newto a step has actions applied.
NOTE: Emails associated with a project step are not considered an action and may be sent regardless of whether
or not actions are re-applied.
To change the state of a project, step, or content, right-click it and select either Play or Pause.
NOTE: You must pause a rollout project or a step before you can edit it.
O
• When a project is paused: The project processor excludes the project. No actions for the
project are applied, no notifications are sent, no content moves from step to step.
• When a step is paused: The project processor does not process the content in the step.
Content can be moved into the step (either manually or by advancing from the previous
step) but actions are not applied. Content in a paused step does not advance to the
following step even if it meets all of the exit criteria. If the step is paused after an action is
applied, timers continue to run even while the step is paused. For content that does not
have actions applied, any minimum duration or other timers do not start until the actions are
applied.
• When content is paused: No actions are applied to the content, no notifications are sent
regarding the content, and the project processor does not move it from the step it is
currently in. If an action has been applied and a timer is associated with the current step,
the timer continues to run.
NOTE: You can use rollout projects if you have either the Software Distribution role or the
Patch Management role.
You must pause a rollout project or a step before you can edit it. When a project is first created, it
defaults to a paused state. If the project has already been created, right-click it and select Pause
(exclude project from processing). For more information on what happens when a project is paused,
see "How a rollout project works" (719).
725
IVANTI ENDPOINT MANAGER
When you create a rollout project, it has the following project options:
General
• Project type: Select the project type. You must select the project type and save the project
before you can add steps to it.
• State: Determine whether the content in the project is processed by the project processor. If
the project is set to Pause, the project processor ignores the project and content stays in
the step it is assigned to. When the project is set to Active, the project processor evaluates
the content in each step and determines which content needs to move to the next step.
• User scope when creating tasks: When you create tasks associated with the project, the
tasks are limited to the scope set for the project. Rollout projects use the same scopes that
are used in the rest of Endpoint Manager.
Email defaults
To edit the sender's address, email server address, username and password, click the Email send
options link at the bottom of the page.
NOTE: These email settings are independent of other SMTP server settings that may be configured in other
O places in the Endpoint Manager Consola.
• Sender's address: The address that appears in the From field. Generally, people use this
field to either indicate the purpose of the email, or an email address that the recipient can
respond to if there are questions about the email.
• Step duration exceeded: Configure the expected duration of the step, and send an email if
content stays in the step longer than expected.
• Exit criteria met: Send an email when content has met the exit criteria for the step.
• Approval: Send an email when content has met all the other criteria for the step, but needs
to be approved by an administrator before it can move to the next step.
726
GUÍA DE USUARIO
• Recipients: The email recipients for the emails sent out for the selected rollout project. This list
is onlyforthe rollout project that you are currently editing. When an email is sent out for the
project, it goes to the addresses on this list and the addresses on the global list (configured
on the Addresses page of the project properties).
Action history
The Action history page allows you to view what actions have been performed by the rollout project,
and what content was involved. Each time content enters a step, has actions applied, or is evaluated
against exit criteria, that information is tracked in the action history.
Use the Action history page to search actions, or sort actions based on date, success or failure, or if
they were performed for the entire project, a step, or content.
2. Click the New proj'ect or proj'ect step button in the Rollout projects toolbar.
3. Provide a name for the project, select the project type, and click Apply. The project defaults
to a Pause state, and is not processed by the project processor until you change the state.
NOTE: You must select the project type and save the project before you can add steps to the project. This is
because there are different steps available depending on the project type.
After you have selected the project type and saved the project, you can edit the project
settings, add steps, and change the state to Play. For information about adding steps to a
rollout project, see "Adding steps to a rollout project" (723).
You must select the project type and save the project before you can add steps to the project. This
is because there are different steps available depending on the project type.
The following options are available, depending on the type of rollout project you have created.
727
IVANTI ENDPOINT MANAGER
Patch
management
Actions
• Autofix settings: Changes the Autofix setting for the definition. This can enable or disable
either global or scoped autofix.
• Scan settings: Changes the scan status for the definitions. This may include changing that
status to scan, do not scan, unassigned, or approved for scoped scan, or it may change the
scopes that scan for the definitions.
• Patch task template: Selects the task template to use when creating tasks associated with
this step. Tasks created for a rollout project can be viewed in the task scheduler, located in
the Auto-generated rollout project tasks folder. The tasks are created when the step has
content in it and the project processor runs.
NOTE: This option refers to a scheduled patch task created by the project processor when the project runs. It is
not the same as the project processor scheduled task.
Exit criteria
All of the exit criteria for the step must be met AND the project processor (a scheduled task) must
run in order for content to move to the next step in the project. Content does not move to the next
step as soon as criteria are met; it remains in the current step until the project processor runs. For
information about how the project processor works, see "How a rollout project works" (719).
To see if a definition has met the exit criteria for the step it is currently in, find the definition in the
Rollout projects tool, right-click the definition, and select Properties.
728
GUÍA DE USUARIO
Summary
Content type: Vulnerability
Step name: timed task Last evaluated: 11/9/201510:06:27 AM
Step order: 5 Last applied actions: 11/6/20152:36:35 PM
Exit criteria
A Not met
Minimum duration A Not met 4 weeks. 0 days. 0 hours, 0 minutes 10%
Success criteria ✓ 11/ST2015 2:36:35 PM Target list type: Task 100%
Target list:
Verify by: Not vulnerable
Minimum success rate: 80%
Target sample size: 5 1/1
Success count: 1
Total count: 1
• Keep content together: On the Exit criteria page, the Keep content together when advancing
to next step option forces all content that enters the step simultaneously to leave the step
simultaneously. This option allows an administratorto keep similar or associated content all
in the same step, making it easier to track. When the Keep content together option is set for
a step, content cannot progress to the next step unless all of the content with the same
Applied actions timestamp is ready to move to the next step. If you want to keep content
together through the entire project, enable the Keep content together option for each step of
the project.
• Minimum duration: Determine the minimum length of time that content must remain in the
step.
• Success rate: Determine the percentage of target devices that must either have the patch
successfully installed, or are not vulnerable. To check the success rate, the project
processor examines the scan results for target devices. For tasks that are targeting large
groups, we recommend limiting the number of devices that are checked, and using the
success rate of the limited sample rather than trying to determine the success rate for all of
the targeted devices.
• Additional duration: Requires the content to remain in the step for the specified time after
the success rate has been met.
NOTE: If you configure both Minimum duration and Additional duration, the two timers can run
simultaneously. For example, if a step has a minimum duration of four weeks, but the definition meets the
success rate after one week, the Additional duration timer begins as soon as the success rate is met, even
though the Minimum duration timer is still running.
729
IVANTI ENDPOINT MANAGER
• Approval: Blocks the content from advancing to the next step until a IVANTI administrator
approves the content for advancement. To approve content, find the content in the rollout
projects tool, right-click it, and select Approve.
• Date time window: Restricts the date or time that content can leave this step and move to
the next step. Content does not automatically move to the next step during the date time
window. When you use a date time window, the content must meet all of the exit criteria
and the project processor must run during the date time window for content to advance to
the next step. Make sure that the project processor runs during the date time window that
you create, or else the content will never leave the step.
Email
There are two lists for email recipients: one for all rollout projects and one for individual
projects. When you add recipients to the address list from the step properties, you're adding
them to the project recipient list. You cannot create an email recipient list for a specific step.
When content is in a step that has email options set, the project processor sends an email when the
expected duration has been exceeded, the exit criteria have been met, or the content needs
approval.
• Duration exceeded: Sends an email to the addresses on the project email list when the
content has been in the step for longer than expected. Configure the amount of time you
expect the content to stay in the step. If content stays in the step past that time, recipients
receive an email each time the project processor runs and the content is still in the step.
You can restrict how frequently emails are sent by setting a minimum interval, but that
interval only applies to the current step.
• Exit criteria met: Sends an email to the addresses on the project email list when the
content has met the exit criteria for the step. The content progresses to the next step
without administrator action.
• Approval: For this option, you must enable the Approval exit criterion. When all other exit
criteria have been met but approval is still required, the project sends an email requesting
approval. If content stays in the step, recipients receive an email each time the project
processor runs and the content is still in the step. You can restrict how frequently emails
are sent by setting a minimum interval, but that interval only applies to the current step.
Action history
The action history displays the actions associated with the step and the content in it. You do not
configure anything on the Action history page.
730
GUÍA DE USUARIO
Software
distribution Actions
• Schedule distribution task template: Selects the task template to use when creating tasks
associated with this step. Tasks created for a rollout project can be viewed in the task
scheduler, located in the Auto-generated rollout project tasks folder. The tasks are created
when the step has content in it and the project processor runs.
NOTE: This option refers to a scheduled software distribution task created by the project processor when the
project runs. It is not the same as the project processor scheduled task.
To see if a definition has met the exit criteria for the step it is currently in, find the definition in the
Rollout projects tool, right-click the definition, and select Properties.
• Keep content together: On the Exit criteria page, the Keep content together when advancing
to next step option forces all content that enters the step simultaneously to leave the step
simultaneously. This option allows an administratorto keep similar or associated content all
in the same step, making it easier to track. When the Keep content together option is set for
a step, content cannot progress to the next step unless all of the content with the same
Applied actions timestamp is ready to move to the next step. If you want to keep content
together through the entire project, enable the Keep content together option for each step of
the project.
• Minimum duration: Determine the minimum length of time that content must remain in the
step.
• Success rate: Determine the percentage of target devices that must have the software
successfully installed.
• Additional duration: Requires the content to remain in the step for the specified time after
the success rate has been met.
NOTE: If you configure both Minimum duration and Additional duration, the two timers can run
simultaneously. For example, if a step has a minimum duration of four weeks, but the definition meets the
success rate after one week, the Additional duration timer begins as soon as the success rate is met, even
though the Minimum duration timer is still running.
731
IVANTI ENDPOINT MANAGER
• Approval: Blocks the content from advancing to the next step until a IVANTI administrator
approves the content for advancement. To approve content, find the content in the rollout
projects tool, right-click it, and select Approve.
• Date time window: Restricts the date or time that content can leave this step and move to
the next step. Content does not automatically move to the next step during the date time
window. When you use a date time window, the content must meet all of the exit criteria and
the project processor must run during the date time window for content to advance to the
next step. Make sure that the project processor runs during the date time window that you
create, or else the content will never leave the step.
Email
• Duration exceeded: Sends an email to the addresses on the project email list when the
content has been in the step for longer than expected. Configure the expected duration and
how often the email recipients receive emails for the rollout project. This reduces email
traffic when several definitions complete steps at the same time.
• Exit criteria met: Sends an email to the addresses on the project email list when the content
has met the exit criteria for the step.
• Approval: For this option, you must enable the Approval exit criterion. When all other exit
criteria have been met but approval is still required, the project sends an email requesting
approval. If content stays in the step, recipients receive an email each time the project
processor runs and the content is still in the step. You can restrict how frequently emails
are sent by setting a minimum interval, but that interval only applies to the current step.
Action history
The action history displays the actions associated with the step and the content in it. You do not
configure anything on the Action history page.
To create a new step in a rollout project
1. Select the rollout project, and make sure that the project is paused. You cannot add steps to
a project while it is active.
NOTE: By default, when a step is created, it becomes the first step in the project. To move the step to a different
position in the project, you can either change the Run order option at the top of the Project step properties dialog,
or save and close the step properties and drag the step into the correct position.
732
GUÍA DE USUARIO
5. Change the state of the project back to Play. If the project is paused, content will not be
processed the next time the project processor runs.
Add definitions or software packages to a rollout project by either dragging and dropping the
content, or copying and pasting it. If you add content to a specific step, the content will start
processing at the step where you put it. If you add content to the project, it will start processing in
the first step in the project.
Content can be in more than one rollout project at a time, and it can be in more than one step of a
project at a time. For example, if an administrator doesn't notice that a definition has already
progressed to step 6 and he adds it to step 1, the actions for both step 6 and step 1 are applied to
the definition.
However, if you try to add a definition or package to a step where it already exists, the project
detects it and ignores the duplicate. If you want to reapplythe actions in a step to content (usually
fortesting purposes), right-click the step and select Process now. In the dialog box that appears,
enable the Reapply actions even if they are already applied option and click OK. The project
processor will process just that step of the project and apply the actions to all the content in the
step.
To see a summary of the current state or action history for a definition or package, find the content
in the Rollout projects tool, right-click it, and select Properties. The Gantt chart page displays any
differences between the expected duration (how long content spent in a step) and the actual
duration. To configure the expected duration for a step, select the step, click Properties, and edit the
Expected step duration on the Exit criteria page.
For Patch and Compliance, you can also add content to a rollout project automatically using a
definition filter. When definitions are downloaded, the content matching the definition filter is
automatically added to the specified rollout projects.
733
IVANTI ENDPOINT MANAGER
When content is downloaded, all content that matches the filter is added to the rollout
project. If the rollout project is in an active state, the next time the project processor runs,
the content will have the actions for the first step applied.
Deferring content
When you copy or drag content into a project, you have an option to wait before processing the
content. A dialog asks if you want to defer the actions until a specified date and time. When actions
are deferred, the content does not progress through the project steps and no actions are applied to
the content until after the deferral time has passed. The deferral is only applied to the content you
just added. It is not a project setting.
If you decide you do not want the deferral prompt each time you add content, make sure the Prompt
to defer actions when dropping/pasting vulnerabilities or packages into a rollout project option is
not selected when you click OK. You will still be able to defer content or enable the option again.
To defer content after it has been added to a project, find the definition in the Rollout projects tool,
right-click it, and select Defer start.
734
GUÍA DE USUARIO
Security configurations
Informacion general sobre la configuracion del agente
La configuracion del agente controla la manera en que los servicios de IVANTI Endpoint Managery
otros componentes actuan sobre los dispositivos administrados. Estos componentes y las
configuraciones asociadas se pueden desplegar en los dispositivos administrados como parte de
la configuracion de agente inicial, de tareas de instalacion y actualizacion separadas y de tareas de
cambio de configuracion.
Utilice la configuracion del agente para desplegar por primera vez o modificar los componentes
instalados de Endpoint Manager. Utilice la configuracion del agente para modificar el
funcionamiento de los componentes instalados de Endpoint Manager.
735
IVANTI ENDPOINT MANAGER
736
GUÍA DE USUARIO
IVANTI Endpoint Manager 9.6 ha mejorado mucho esta funcion. Casi todas las preferencias de
componentes que se han almacenado en la configuracion del agente, se han trasladado a
Configuracion del agente. Utilice una configuracion del agente para el despliegue inicial del agente
y, a continuacion, utilice la Configuracion del agente para administrar los cambios de preferencias
de componentes futuros.
Tenga en cuenta que la Configuracion del agente solo funciona con los componentes incluidos en
la configuracion del agente de un dispositivo. Si desea agregar o eliminar componentes del agente,
debera desplegar una nueva configuracion del agente desde Herramientas > Configuracion >
Configuracion del agente.
0- 6 |Q & X O
Cambiar configuracion...
Rastreo de seguridad...
Rastreo de cumplimiento...
737
IVANTI ENDPOINT MANAGER
4. Junto al componente que desee cambiar, seleccione el ajuste que desee aplicar. Haga
clic en Editar para modificar el ajuste seleccionado. Haga clic en Configurar para
administrar los ajustes de ese componente.
5. Puede configurar inmediatamente las opciones de destino y programacion de tarea en el resto
de paginas del cuadro de dialogo, o puede hacer clic en Guardary hacerlo mas tarde en la
ventana Tareas programadas.
738
GUÍA DE USUARIO
m- c |o & x Q
Cambiar configuracion...
Rastreo de seguridad...
Rastreo de cumplimiento...
739
IVANTI ENDPOINT MANAGER
Componente Configuracion
Modificar... Configurar...
740
GUÍA DE USUARIO
configuracion nueva o modificar una existente, haga clic en Configurar. Recuerde que
solamente las opciones de reinicio especificadas en la configuracion de rastreo y reparacion
que ha seleccionado se utilizan en esta implementacion de agente de Seguridad de punto final
en los dispositivos de destino. Puede utilizar configuraciones de Rastreo y reparacion
existentes que ya incluyan la configuracion de reinicio que desee o bien, crear una nueva
configuracion de Rastreo y reparacion espedfica para la implementacion del agente.
741
IVANTI ENDPOINT MANAGER
06 Q
Cambiar configuracion...
Rastreo de seguridad,,,
Rastreo de cumplimiento...
742
GUÍA DE USUARIO
8. Puede configurar las opciones de destino y programacion de tarea en el resto de paginas del
cuadro de dialogo, o puede hacer clic en Guardary hacerlo mas tarde en la ventana Tareas
programadas.
743
IVANTI ENDPOINT MANAGER
Una vez configurada, se pueden desplegar los ajustes en los dispositivos de destino mediante
una tarea de actualizacion o instalacion, o una tarea de configuracion de cambios.
744
GUÍA DE USUARIO
Puede utilizar esta funcion para implementar una configuracion en Windows firewall en las
siguientes versiones de Windows:
• Windows 2003
• Windows XP (SP2 o superior)
• Windows Vista
Acerca de Windows Firewall (XP/2003): Pagina general
Utilice esta pagina para configurar los valores generales de la barrera de seguridad.
745
IVANTI ENDPOINT MANAGER
Acerca de Windows Firewall (Vista): Pagina de reglas generales Utilice esta pagina para configurar
Utilice esta pagina para configurar las reglas de entrada de la barrera de seguridad.
Utilice esta pagina para configurar las reglas de salida de la barrera de seguridad.
Por ejemplo, si un usuario intenta conectar un dispositivo USB que no esta permitido por la
configuracion de Control de Dispositivo, aparecera un mensaje en el dispositivo de usuario final
que incluye un codigo de operacion. El usuario le proporcionana dicho codigo de operacion al
administrador, quien lo usana para generar un codigo de autorizacion que se le regresa al usuario
final. Esto les permite realizar la accion de manera temporal.
746
GUÍA DE USUARIO
Ajustes adaptables
Los ajustes adaptables permiten que las configuraciones de agente cambien de forma dinamica en
los dispositivos en funcion de la ubicacion (geolimitacion) o de la direccion IP. Estan destinados
fundamentalmente a dispositivos moviles y ordenadores portatiles. Por ejemplo, puede haber un
conjunto de configuraciones de agente cuando los dispositivos estan conectados a la red
corporativa, pero otro conjunto mas restrictivo cuando se conectan a redes externas.
3. Ajustes adaptables: lista de reglas que se van a supervisar, ordenadas por prioridad. Se
despliegan en los dispositivos con la configuracion del agente.
1. Cree un desencadenador.
2. Cree una regla.
3. Cree un ajuste adaptable.
4. En una configuracion de agente, habilite los ajustes adaptables y seleccione uno de ellos.
5. Despliegue la configuracion de agente que ha modificado.
Las tareas de cambio de ajustes no se pueden utilizar en el despliegue inicial de los ajustes
adaptables. En primer lugar, debe desplegar los ajustes adaptables con una configuracion de
agente. Si despues desea cambiar el ajuste adaptable al que hace referencia una configuracion de
agente de un dispositivo, utilice una tarea de cambio de ajustes.
747
IVANTI ENDPOINT MANAGER
748
GUÍA DE USUARIO
La precision mfnima del dispositivo de geolimitacion determina la exactitud que debe tener la
lectura del GPS para que se active el desencadenador. Si la exactitud con la que informa el GPS
excede el valor especificado, el desencadenador no se activa.
La opcion Verificar si hay servidores centrales en la red del intervalo de direcciones IP puede
ayudar a impedir la falsificacion de la red ya que garantiza que el servidor central IVANTI Endpoint
Manager este visible para el dispositivo. No utilice esta opcion con intervalos de direcciones IP que
no tengan acceso al servidor central.
8. Ajuste el Radio y la Precision mmima del dispositivo. El drculo que rodea la cruz filar roja
indica el area cubierta.
Las reglas de ajustes adaptables asocian un desencadenador con uno o mas ajustes de agente que
se reemplazaran cuando se active el desencadenador, ademas de acciones puntuales tales como el
749
IVANTI ENDPOINT MANAGER
bloqueo de pantalla.
750
GUÍA DE USUARIO
cada tipo.
7. Seleccione las acciones puntuales que desee aplicar a esta regla. Para obtener mas
informacion, consulte "Acciones puntuales de los ajustes adaptables" (748).
En los ajustes adaptables se puede definir el intervalo Comprobar ubicacion del GPS cada. La
frecuencia predeterminada es dos minutos. Las comprobaciones frecuentes reducen la duracion de
la batena del dispositivo.
751
IVANTI ENDPOINT MANAGER
752
GUÍA DE USUARIO
• Aplicar configuracion de bloqueo de seguridad del BIOS recomendada por HP: solo funciona
en dispositivos HP. Es necesario proporcionar la contrasena del BIOS.
• Bloquear sesion de Windows: bloquea la sesion de forma que el usuario tenga que volver a
iniciar sesion. Ayuda a impedir los accesos no autorizados cuando el dispositivo abandona
un area segura.
• Ejecutar analisis de seguridad: ejecuta el analisis de seguridad seleccionado.
Un ajuste adaptable son una o mas reglas de ajustes adaptables ordenadas por prioridad. En la
configuracion del agente de ajustes adaptables, se pueden seleccionar varias reglas de la lista de
reglas disponibles. El agente del dispositivo administrado comprobara los desencadenadores de
cada regla de la lista de reglas seleccionada, comenzando por el principio. Se aplicara la primera
regla que el agente encuentre que tenga un desencadenador que coincida y el procesamiento de
reglas se detendra Solamente se puede activar una regla a la vez. Si no se desencadenan reglas, se
aplican los ajustes predeterminados indicados en la pagina de configuracion del agente.
753
IVANTI ENDPOINT MANAGER
Los ajustes adaptables permiten que las configuraciones de agente cambien de forma dinamica en
los dispositivos en funcion de la ubicacion (geolimitacion) o de la direccion IP. Estan destinados
fundamentalmente a dispositivos moviles y ordenadores portatiles. Por ejemplo, puede haber un
conjunto de configuraciones de agente cuando los dispositivos estan conectados a la red
corporativa, pero otro conjunto mas restrictivo cuando se conectan a redes externas.
NOTE: Al habilitar los ajustes adaptables, .NET 4.0 se instala con el agente.
O
El cuadro de dialogo Ajuste adaptable contiene las siguientes opciones:
• Nombre: Nombre de este ajuste adaptable.
• Reglas: Mueva las reglas que desee aplicar desde la lista Reglas disponibles a la lista Reglas
seleccionadas. Haga clic en Subiry Bajar para cambiar el orden. Haga clic en Nuevo... para
abrir el cuadro de dialogo Editar reglas de ajustes adaptables.
• Si no hay ninguna regla de aplicacion: Si no se aplica ninguna regla, se pueden utilizar los
ajustes predeterminados de la configuracion de agente (es decir, no cambiar nada) o
especificar que regla aplicar desde la lista de Aplicar la siguiente regla.
• Bloquear la sesion de Windows si los servicios de ubicacion estan deshabilitados: Haga clic
en el dispositivo cuando los servicios de ubicacion esten deshabilitados, como cuando
alguien se va del edificio de su empresa o si alguien activa el modo de avion.
• Comprobar la ubicacion GPS cada: La frecuencia predeterminada es dos minutos. Las
comprobaciones frecuentes reducen la duracion de la batena del dispositivo.
• Ajustar como predeterminado en la configuracion del agente: Convierte este ajuste adaptable
en el ajuste predeterminado para las nuevas configuraciones de agentes.
754
GUÍA DE USUARIO
El cuadro de dialogo Editar regla de ajustes adaptables contiene las siguientes opciones:
• Nombre de la regla: Nombre de esta regla.
• Seleccionar activador: Muestra los activadores disponibles. Utilice Nuevo si no hay
activadores o si desea crear uno nuevo. Los activadores pueden ser de intervalo
geolimitacion o de direccion IP.
• Nuevo... abre el cuadro de dialogo Editar activador, donde podra configurar un nuevo
activador.
• Editar... Edita el activador seleccionado.
• EliminarElimina el activador seleccionado.
755
IVANTI ENDPOINT MANAGER
• Geofence: Requiere Windows 8y un dispositivo con GPS. Haga clicy arrastre el mapa
hasta que la cruz filar roja este sobre la ubicacion que desea limitar geograficamente.
Utilice las barras de desplazamiento para acercarseyalejarse. El radio del drculo
objetivo predeterminado es de 10 metros. Aumente el radio si desea incorporar un
area corporativa, una ciudad, etc. La precision mmima del dispositivo determina la
exactitud que debe tener la lectura del GPS para que se active el desencadenador. Si
la exactitud con la que informa el GPS excede el valor especificado, el
desencadenador no se activa.
• Intervalo de la direction IP: Funciona con cualquier dispositivo de Windows. La opcion
Verificar si hay servidores centrales en la red puede ayudar a impedir la falsificacion
de la red ya que garantiza que el servidor central IVANTI Endpoint Manager este visible
para el dispositivo. No utilice esta opcion con intervalos de direcciones IP que
notengan acceso al servidor central.
Utilice el ajuste de agente Salud del agente para administrar la salud del agente en los dispositivos.
Con la salud del agente, el escaner de vulnerabilidad se asegurara de que los componentes del
agente permanecen instalados, estan al dfa y tienen la Configuracion del agente adecuada. Si los
usuarios deshabilitan los servicios del agente o eliminan los archivos, la salud del agente restaurara
el estado del atente y los archivos para que sigan funcionando.
La salud del agente utiliza una definicion de vulnerabilidad para cada componente de agente que
proviene del servidor de actualizaciones de software de IVANTI. Cuando el escaner de
756
GUÍA DE USUARIO
vulnerabilidad se ejecuta en dispositivos administrados que utilicen la salud del agente, el escaner
utilizara estas definiciones para verificar el estado del agente, ademas de otras tareas. De forma
predeterminada, el escaner se ejecuta una vez al dfa.
Los cambios que se lleven a cabo a los ajustes de componentes que formen parte de un ajuste de
salud del agente se aplican automaticamente durante las comprobaciones de la salud del agente. Si
un ajuste forma parte de un ajuste de salud de agente activo, no necesitara programar un tarea por
separado si los ajustes de ese componente se modifican.
La salud del agente tambien ejecuta IVANTIAgentBootstrap.exe una vez al dfa en los dispositivos
que utilizan la salud del agente. Este programa comprueba si el escaner de vulnerabilidad esta
presenteyfunciona. Si se ha manipulado o no esta disponible, este programa se vuelve a instalary
utiliza el escaner de vulnerabilidad para restaurar la salud del agente.
3. Configure la salud del agente tal ycomo se describe en las siguientes secciones.
Antes de utilizar la salud del agente, debera descargar las definiciones de vulnerabilidad de salud
del atente.
4. Haga clic en Descargar ahora o programelo para que se descargue mas adelante.
Utilice la pagina Generalidades para ajustar las anulaciones del comportamiento global de la
Reparacion automatica y del Reinicio.
• Reparacion automatica: Si un componente utiliza la opcion de reparar automaticamente el
escaner de seguridad, puede mantener a nivel global el ajuste de reparacion automatica
existente, permitirla o deshabilitarla.
757
IVANTI ENDPOINT MANAGER
• Reiniciar: Se deja el comportamiento de reinicio tal y como este configurado, a nivel global,
permite a IVANTI reiniciar o deshabilita el reinicio de IVANTI. Cuando se deshabilita el
reinicio, los agentes de IVANTI no reiniciaran los dispositivos aunque se lleve a cabo una
accion que requiera el reinicio. En este caso, los dispositivos se deberan reiniciar
manualmente.
Utilice la pagina de Componentes para configurar las acciones del estado de instalacion para cada
componente del agente. La mayona de componentes pueden tener estos estados de instalacion:
Escanear regularmente en busca de problemas de salud del agente, mediante el grupo siguiente:
Habilite esta opcion si quiere que la salud del agente se administre de manera activa, bien con un
programa controlado por eventos o con un programa basado en la hora. Cuando se habilite, debera
seleccionar un grupo de vulnerabilidad. Para utilizar las definiciones predeterminadas de salud del
agente de IVANTI, haga clicen el boton Explorary seleccione Grupos predefinidos > Salud del
agente. No sera necesario seleccionar este grupo a menos que haya descargado previamente las
definiciones de vulnerabilidad de salud del agente de IVANTI.
Si ha habilitado esta opcion, puede configurar en que momento se producira el analisis de salud del
agente.
Utilice la pagina de Configuracion para asignar una configuracion de ajustes espedfica a los
componentes del agente. Solo puede asignar ajustes a componentes que haya ajustado al estado
"Instalar" en la pagina Componentes.
758
GUÍA DE USUARIO
lista, junto con los ajustes predeterminados asociados con ese componente.
Haga clic en el nombre de un ajuste para mantener el ajuste del componente actual o para
seleccionar otro ajuste de componente existente.
Haga clic en Editar para modificar el ajuste seleccionado o Configurar para administrar la lista de
ajustes disponibles para ese componente.
IMPORTANT: No se deben seleccionar servicios que no se van a implementar para que el vigilante del j
agente los supervise
Cuando configure el Vigilante del agente, no seleccione servicios que no piense instalar en los dispositivos
de destino. De lo contrario, el servidor central recibira alertas para servicios no instalados que no se instalaron a
proposito. Sin embargo, tenga en cuenta que aunque se seleccione un servicio no instalado para supervisarlo,
no se envian alertas diciendo que el servicio no puede reiniciarse o que su tipo de inicio no puede cambiarse
759
IVANTI ENDPOINT MANAGER
Esta seccion contiene los siguientes temas de ayuda que describen los dialogos de Configuracion
del antivirus. Desde la interfaz de la consola, puede acceder a estos temas de ayuda haciendo clic
en el boton Ayuda de cada cuadro de dialogo.
760
GUÍA DE USUARIO
• Proteccion:
• Antivirus de archivos: habilita el rastreo en tiempo real de archivos en los dispositivos
de destino.
• Antivirus de correo electronico: habilita el analisis de mensajes de correo electronico
en tiempo real en los dispositivos de destino. El rastreo de correo electronico en
tiempo real monitoriza continuamente los mensajes entrantes y salientes y busca
virus en el cuerpo del mensaje y en los datos y mensajes adjuntos. Se eliminan los
virus detectados.
• Antivirus Web: habilita el rastreo en tiempo real del trafico web, las direcciones URL
de sitio web y los enlaces en los dispositivos de destino.
• Antivirus de mensajes instantaneos: habilita el rastreo en tiempo real de mensajes
instantaneos en los dispositivos de destino.
• Bloqueador de ataques a la red: habilita el Bloqueador de ataques a la red, el cual
detecta y agrega los equipos atacados a la lista de dispositivos bloqueados durante
un periodo de tiempo especificado.
• Vigilante del sistema: habilita el servicio del Vigilante del sistema, el cual supervisa las
actividades de las aplicaciones en los dispositivos de destino.
• Interfaz de usuario:
• Mostrar el icono de IVANTI Antivirus en la bandeja del sistema: Hace que el icono de
IVANTI Antivirus aparezca en la bandeja del sistema del dispositivo. La apariencia del
icono depende del estado de la proteccion de antivirus e indica si la proteccion en
tiempo real esta habilitada. Si el icono de flecha es amarillo, la proteccion en tiempo
real se encuentra habilitada y por lo tanto se supervisa el dispositivo continuamente
en busca de virus. Si el icono es gris, la proteccion de tiempo real no esta habilitada.
• Habilita los mensajes de aviso de base de datos desactualizada y obsoleta: Permite a
IVANTI Antivirus mostrar mensajes de aviso cuando la base de datos esta
desactualizada u obsoleta. Especifica el numero de dfas para cada estado.
• No enviar el estado de reinicio de IVANTI Antivirus: Seleccione esta opcion si no desea que
IVANTI Antivirus envfe el estado de reinicio al servidor central. IVANTI Antivirus envfa, de
manera predeterminada, una actualizacion de estado, independientemente de que necesite
un reinicio para completar una instalacion o una actualizacion. El estado aparecera en
Actividad de seguridad | IVANTI Antivirus | Actividad y el servidor central ajustara la
informacion del inventario "Reinicio necesario" que se encuentra en Equipo | Administration
de IVANTI.
• Establecer como predeterminado: establece como predeterminada la configuracion en todas
las paginas del cuadro de dialogo de IVANTI Antivirus. El nombre que introdujo aparecera en
la consola con el icono predeterminado i^junto a el. No puede eliminar una configuracion que
esta marcada como predeterminado. Cuando crea una nueva configuracion de agente, las
configuraciones se seleccionaran por defecto. A menos que la tarea de analisis del antivirus
tenga una configuracion de antivirus espedfica asociada, IVANTI Antivirus utilizara la
761
IVANTI ENDPOINT MANAGER
Utilice esta pagina para configurar la configuracion de los permisos de IVANTI Antivirus en los
dispositivos de destino.
• Permite que el usuario desactive componentes de proteccion hasta por: especifica el penodo
de tiempo durante el cual el usuario puede desactivar los componentes de proteccion que se
listan en la pagina Proteccion.
• Permitir al usuario actualizar definiciones: permite al usuario actualizar los archivos de
definicion de antivirus.
• Permitir al usuario restaurar objetos: permite al usuario restaurar objetos en cuarentena con
copia de seguridad.
• Permitir al usuario cambiar la configuracion: permite al usuario configurar los ajustes y
modificar las tareas.
• Permitir al usuario programar analisis: permite al usuario programar analisis.
• Permitir al usuario excluir objetos del analisis: permite al usuario
• Permitir a los usuarios agregar URL web: permite al usuario
• Permitir a los usuarios configurar exclusiones en Bloqueador de ataques a la red:
Permite al usuario hacer una lista de direcciones IPen las que IVANTI Antivirus
confiara. IVANTI Antivirus no bloqueara ataques de red de estas direcciones IP, pero
seguira registrando la informacion de los ataques.
Acerca de la pagina de Proteccion de IVANTI Antivirus
Utilice esta pagina para configurar la configuracion de la proteccion de IVANTI Antivirus en los
dispositivos de destino.
• Iniciar IVANTI Antivirus al inicio del equipo: Habilita el inicio automatico de IVANTI Antivirus
tras la carga del sistema operativo, lo que hace que el equipo quede protegido durante toda
la sesion. Esta opcion se selecciona de forma predeterminada. Si deshabilita esta opcion,
IVANTI Antivirus no se iniciara hasta que el usuario lo inicie manualmente y los datos del
usuario queden expuestos a amenazas.
762
GUÍA DE USUARIO
763
IVANTI ENDPOINT MANAGER
• Exclusiones: especifica los archivos, carpetas o extensiones que IVANTI Antivirus excluira
del analisis. IVANTI Antivirus analizara la carpeta \LDClient y\Shared files en busca de
archivos .exe. Si IVANTI Antivirus firma esos archivos, automaticamente los excluira detodos
los analisis y los agregara a la lista de Aplicaciones de confianza.
• Tiempo real: especifica los archivos, carpetas o extensiones que desee excluir del
analisis en tiempo real. Haga clic en Agregar... para abrir el dialogo Agregar ruta de
acceso excluida, donde podra especificar el tipo de archivo y buscar los objetos que
desee excluir.
• Rastreo de virus: especifica los archivos, carpetas o extensiones que desee excluir
del analisis del antivirus. Haga clic en Agregar... para abrir el dialogo Agregar ruta de
acceso excluida, donde podra especificar el tipo de archivo y buscar el objeto u
objetos que desee excluir.
• Puertos monitorizados: especifica que puertos monitorizar.
• Monitorizar todos los puertos de la red: secuencias de datos de monitorizacion de los
componentes de proteccion que se transmiten a traves de los puertos de red abiertos
del equipo.
• Monitorizar solo los puertos seleccionados: los componentes de proteccion solo
monitorizan los puertos especificados por el usuario. Los que aparezca en la lista de
puertos de red se incluira y se comprobara en el cliente. Este modo de monitorizacion
de puertos de red se selecciona de manera predeterminada. Haga clic en
Configuracion para abrir el dialogo Puertos de red, donde podra crear una lista de
puertos de red de monitorizacion y una lista de aplicaciones.
• Lista de puertos de red: esta lista contiene los puertos de red que se suelen
utilizar para la transmision del trafico de correos electronicos y de red.
Seleccione un puerto para que IVANTI Antivirus monitorice el trafico de red que
pasa a traves de este puerto de red, mediante cualquier protocolo de red. Haga
clic en Agregar... para introducir un nuevo numero de puerto ydescripcion.
• Monitorizar todos los puertos en busca de aplicaciones especficas: especifica
si se monitorizan todos los puertos de red de las aplicaciones que se
especifican en la lista de aplicaciones.
• Lista de aplicaciones: esta lista contiene aplicaciones que tienen los puertos de
red que IVANTI Antivirus monitorizara. Para cada aplicacion, la lista de
aplicaciones especifica la ruta al archivo ejecutable correspondiente. Haga clic
en Agregar... para seleccionar una aplicacion de la base de datos o para buscar
una aplicacion en la ubicacion del archivo.
Acerca de la proteccion de IVANTI Antivirus: Pagina de Antivirus de archivos
Utilice esta pagina para configurar el modo de funcionamiento de Antivirus de archivos con IVANTI
Antivirus en los dispositivos de destino.
764
GUÍA DE USUARIO
• Nivel de seguridad: especifica uno de los tres niveles de seguridad de archivos (alta,
recomendada o baja). Puede configurar un nivel de seguridad de archivos personalizado,
seleccionando la configuracion en las pestanas General, Rendimiento y Adicional.
Alto: el Antivirus de archivos utiliza el control mas estricto de todos los archivos abiertos,
guardados e iniciados. El Antivirus de archivos analiza todos los tipos de archivos de todos
los discos duros, discos de red y almacenamiento extrafble del equipo. Tambien analiza los
archivos, los paquetes de instalacion y los objetos OLE incrustados.
765
IVANTI ENDPOINT MANAGER
766
GUÍA DE USUARIO
767
IVANTI ENDPOINT MANAGER
Utilice esta pagina para configurar el modo de funcionamiento de Mail Antivirus con IVANTI
Antivirus en los dispositivos de destino.
• Activar el Antivirus de correo: inicia Mail Antivirus con IVANTI Antivirus. Mail Antivirus
permanece activo constantemente en la memoria del equipo y analiza todos los mensajes de
correo que se transmiten a traves de protocolos POP3, SMTP, IMAP, MAPI y NNTP. De
manera predeterminada, Mail Antivirus esta habilitadoyconfigurado con la configuracion
recomendada.
768
GUÍA DE USUARIO
• Nivel de seguridad: especifica uno de los tres niveles de seguridad de archivos (alta,
recomendada o baja). Puede configurar un nivel de seguridad de correo personalizada,
seleccionando la configuracion en las pestanas General, Rendimiento y Adicional.
Alto: Mail Antivirus analiza los mensajes de correo electronico en profundidad. Mail Antivirus
analiza los mensajes entrantesysalientesylleva a cabo un analisis heunstico profundo. Es
recomendable un nivel de seguridad de correos alto cuando se trabaja en un entorno
peligroso, como una conexion a un servicio de correo electronico gratuito, desde una red
domestica que no este protegida por una proteccion de correo electronico centralizada.
Bajo: Solo analiza los mensajes de correo electronico entrantes, lleva a cabo analisis
heunsticos suaves y no analiza los archivos adjuntos a un correo electronico. Con este nivel
de seguridad de correo, Mail Antivirus analiza los mensajes de correo electronico a la mayor
velocidad y utiliza los recursos mfnimos del sistema operativo. El nivel de seguridad de
correo bajo se recomienda para un entorno bien protegido, como un entorno LAN con
seguridad de correo electronico centralizada.
• General:
• Ambito de proteccion: Especifica si se deben analizar los mensajes de entrada y
de salida o solo los mensajes de entrada.
• Trafico de POP3 / SMTP / NNTP/ IMAP: Habilita a Mail Antivirus para que analice
los correos electronicos antes de que el equipo los reciba. Si desmarca esta
opcion, Mail Antivirus no analizara los mensajes que se transfieran mediante
protocolos POP3, SMTP, NNTPe IMAP antes deque lleguen al equipo. En lugar
de eso, los complementos de Mail Antivirus incrustados en Microsoft Office
Outlook y los clientes de correo electronico de jEl Bat! analizaran los mensajes
despues de que lleguen al equipo.
769
IVANTI ENDPOINT MANAGER
770
GUÍA DE USUARIO
Utilice esta pagina para configurar el modo de funcionamiento de Web Antivirus con IVANTI
Antivirus en los dispositivos de destino.
• Activar el Antivirus de web: Web Antivirus se inicia con IVANTI Antivirus y protege la
informacion que llega al equipo a traves de los protocolos HTTP y FTP. De manera
predeterminada, Web Antivirus esta habilitadoy configurado con la configuracion
recomendada.
771
IVANTI ENDPOINT MANAGER
• Nivel de seguridad: especifica uno de los tres niveles de seguridad de archivos (alta,
recomendada o baja). Puede configurar un nivel de seguridad web personalizado,
seleccionando los ajustes en las pestanas Metodos y optimizacion del rastreo y URL de
confianza.
Alto: Web Antivirus lleva a cabo un rastreo maximo del trafico web que el equipo recibe a
traves de los protocolos HTTP y FTP. Web Antivirus rastrea en detalletodos los objetos de
trafico web, mediante un conjunto completo de bases de datos de aplicaciones, y lleva a
cabo el analisis heunstico mas profundo posible. Esta tecnologfa se desarrollo para detectar
amenazas que no se pueden detectar mediante la version actual de las bases de datos de
IVANTI. Detecta archivos que puedan estar infectados con un virus desconocido o con una
nueva variedad de un virus conocido. Los archivos en los que se detecte codigo danino
durante el analisis heunstico se marcan como posiblemente infectado.
Bajo: Garantiza el rastreo mas rapido de trafico web. Web Antivirus lleva a cabo un analisis
heunstico a un nivel de rastreo ligero.
772
GUÍA DE USUARIO
773
IVANTI ENDPOINT MANAGER
774
GUÍA DE USUARIO
775
IVANTI ENDPOINT MANAGER
• Reversion de las acciones de malware: Permite realizar una reversion en las acciones del
malware en el sistema operativo cuando se esta llevando a cabo una desinfeccion. Esta
opcion se selecciona de forma predeterminada.
Utilice esta pagina para crear una tarea programada que llevara a cabo la herramienta del
programador local de IVANTI. Estas tareas van por separado de las tareas que se pueden programar
a traves del cliente de IVANTI Antivirus en el dispositivo administrado. Tenga en cuenta que las
notificaciones de tareas que aparecen en la interfaz del cliente hacen referencia al programador
nativo del cliente de IVANTI Antivirus, no a la herramienta del Programador local del servidor
central.
• Tareas programadas: Crea una tarea programada IVANTI Antivirus llevara a cabo en el
dispositivo administrado. Estas tareas van por separado de las tareas que se pueden
programar a traves de la herramienta de Programador local de IVANTI.
776
GUÍA DE USUARIO
777
IVANTI ENDPOINT MANAGER
778
GUÍA DE USUARIO
• Rastrear las unidades extraibles al conectarse: Especifica si se rastreara una unidad extrafble
cuando esta se conecte al equipo.
• Accion al conectarse una unidad extrafole: Le permite seleccionar la accion que
IVANTI Antivirus llevara a cabo cuando conecte una unidad extrafble al equipo.
• No rastrear: IVANTI Antivirus no ejecutara un rastreoy no le indicara que
seleccione una accion a llevar a cabo cuando se conecte una unidad extrafble.
• Rastreo completo: IVANTI Antivirus inicia un rastreo completo de la unidad
extrafble segun los ajustes de las tareas de Rastreo completo.
• Rastreo rapido: IVANTI Antivirus inicia un rastreo de la unidad extrafble segun
los ajustes de las tareas de Rastreo de las areas criticas.
• Tamano maximo de unidad extrafole (MB): Especifica el tamano de las unidades
extrafbles en las que IVANTI Antivirus llevara a cabo la accion seleccionada en la lista
Accion al conectarse una unidad. El tamano predeterminado es 4096 MB.
Si desea que esta configuracion de antivirus incluya un analisis del antivirus periodico,
utilice este cuadro de dialogo para especificar la hora de inicio, la frecuencia, la restriccion
de tiempo y la configuracion de los requisitos de banda ancha. Las tareas de analisis del
antivirus (y las tareas de cambio de configuracion) asociadas con esta configuracion de
antivirus utilizaran las reglas definidas aqrn.
Antes de que se ejecute la tarea deben satisfacerse todos los criterios en este cuadro de
dialogo que esta configurando. Por ejemplo, si configura una programacion que se repite
todos los dfas entre las 8y las 9 en punto con un Estado del equipo de El equipo de escritorio
debe bloquearse, la tarea solo se ejecutara entre las 8 y las 9 en punto Ysi el equipo esta
bloqueado.
779
IVANTI ENDPOINT MANAGER
780
GUÍA DE USUARIO
Utilice esta pagina para configurar el modo en que IVANTI Antivirus lleva a cabo el rastreo completo
de los dispositivos de destino. Para programar un rastreo completo, seleccione Rastreo completo
en la pagina de Tareas programadas.
• Nivel de seguridad: especifica uno de los tres niveles de seguridad de archivos (alta,
recomendada o baja).
Recomendado: IVANTI Antivirus analiza solo los tipos de archivos especificados de todos
los discos duros, discos de red y almacenamiento extrafble del equipo, asf como los objetos
OLE incrustados. IVANTI Antivirus no rastreara los archivos ni los paquetes de instalacion.
Bajo: Garantiza la velocidad maxima de rastreo. IVANTI Antivirus rastrea solo los archivos
nuevos o modificados con las extensiones especificadas en todos los discos duros, discos
de red y almacenamiento extrafble del equipo, asf como los objetos OLE incrustados. IVANTI
Antivirus no rastreara los archivos, los paquetes de instalacion ni los archivos compuestos.
• Alcance: Puede ampliar o restringir el ambito del rastreo, anadiendo un eliminando los
objetos de rastreo o modificando el tipo de archivos que se van a rastrear. De manera
predeterminada, un rastreo completo incluye la memoria del sistema, los objetos de
inicio, los sectores de arranque del disco, el almacenamiento de las copias de
seguridad del sistema, los correos electronicos, los discos duros y las unidades
extrafbles.
781
IVANTI ENDPOINT MANAGER
782
GUÍA DE USUARIO
783
IVANTI ENDPOINT MANAGER
• Accion: especifica la accion que lleva a cabo IVANTI Antivirus si se detectan archivos
infectados durante el rastreo. Antes de intentar desinfectar o eliminar un archivo infectado,
IVANTI Antivirus crea una copia de seguridad para restauraciones y desinfecciones
siguientes.
Acerca de las tareas programadas de IVANTI Antivirus: Pagina de Rastreo de las areas criticas
Utilice esta pagina para configurar el modo de funcionamiento de IVANTI Antivirus en el rastreo de
las areas crfticas de los dispositivos de destino. Para programar un rastreo de las areas crfticas,
seleccione Rastreo de las areas crfticas en la pagina de Tareas programadas.
• Nivel de seguridad: especifica uno de los tres niveles de seguridad de archivos (alta,
recomendada o baja).
Recomendado: IVANTI Antivirus analiza solo los tipos de archivos especificados de todos
los discos duros, discos de red y almacenamiento extrafble del equipo, asf como los objetos
OLE incrustados. IVANTI Antivirus no rastreara los archivos ni los paquetes de instalacion.
Bajo: Garantiza la velocidad maxima de rastreo. IVANTI Antivirus rastrea solo los archivos
nuevos o modificados con las extensiones especificadas en todos los discos duros, discos
de red y almacenamiento extrafble del equipo, asf como los objetos OLE incrustados.
IVANTI Antivirus no rastreara los archivos, los paquetes de instalacion ni los archivos
compuestos.
784
GUÍA DE USUARIO
785
IVANTI ENDPOINT MANAGER
786
GUÍA DE USUARIO
• Accion: especifica la accion que lleva a cabo IVANTI Antivirus si se detectan archivos
infectados durante el rastreo. Antes de intentar desinfectar o eliminar un archivo infectado,
IVANTI Antivirus crea una copia de seguridad para restauraciones y desinfecciones
siguientes.
• Seleccionar una accion automaticamente: habilita a IVANTI Antivirus para llevara cabo
la accion predeterminada que especifica IVANTI. Esta accion es "Desinfectar. Eliminar
si la desinfeccion falla". Esta accion se selecciona de forma predeterminada.
• Realizar acciones: IVANTI Antivirus intenta desinfectar automaticamente todos los
archivos infectados que detecte. Si la desinfeccion falla, IVANTI Antivirus eliminara
esos archivos.
• Desinfectar: IVANTI Antivirus intenta desinfectar automaticamente todos los
archivos infectados que detecte. IVANTI Antivirus aplica la accion Eliminar a los
archivos que forman parte de la aplicacion de Windows Store.
• Eliminar si la desinfeccion falla: habilita a IVANTI Antivirus para queelimine
automaticamente todos los archivos infectados que detecte.
• Nivel de seguridad: especifica uno de los tres niveles de seguridad de archivos (alta,
recomendada o baja).
Recomendado: IVANTI Antivirus analiza solo los tipos de archivos especificados de todos
los discos duros, discos de red y almacenamiento extrafble del equipo, asf como los objetos
OLE incrustados. IVANTI Antivirus no rastreara los archivos ni los paquetes de instalacion.
Bajo: Garantiza la velocidad maxima de rastreo. IVANTI Antivirus rastrea solo los archivos
nuevos o modificados con las extensiones especificadas en todos los discos duros, discos
de red y almacenamiento extrafble del equipo, asf como los objetos OLE incrustados. IVANTI
Antivirus no rastreara los archivos, los paquetes de instalacion ni los archivos compuestos.
• Alcance: Puede ampliar o restringir el ambito del rastreo, anadiendo un eliminando los
objetos de rastreo o modificando el tipo de archivos que se van a rastrear.
• Tipos de archivo: Especifica si se rastrearan los archivos por formato,
extension o ambos. algunos formatos de archivo (como .txt) tienen pocas
probabilidades de intrusion de codigos maliciosos y de activaciones
787
IVANTI ENDPOINT MANAGER
788
GUÍA DE USUARIO
789
IVANTI ENDPOINT MANAGER
• Accion: especifica la accion que lleva a cabo IVANTI Antivirus si se detectan archivos
infectados durante el rastreo. Antes de intentar desinfectar o eliminar un archivo infectado,
IVANTI Antivirus crea una copia de seguridad para restauraciones y desinfecciones
siguientes.
• Seleccionar una accion automaticamente: habilita a IVANTI Antivirus para llevara cabo
la accion predeterminada que especifica IVANTI. Esta accion es "Desinfectar. Eliminar
si la desinfeccion falla". Esta accion se selecciona de forma predeterminada.
• Realizar acciones: IVANTI Antivirus intenta desinfectar automaticamente todos los
archivos infectados que detecte. Si la desinfeccion falla, IVANTI Antivirus eliminara
esos archivos.
• Desinfectar: IVANTI Antivirus intenta desinfectar automaticamente todos los
archivos infectados que detecte. IVANTI Antivirus aplica la accion Eliminar a los
archivos que forman parte de la aplicacion de Windows Store.
• Eliminar si la desinfeccion falla: habilita a IVANTI Antivirus para queelimine
automaticamente todos los archivos infectados que detecte.
Acerca de IVANTI Antivirus: Pagina de configuracion avanzada
Utilice esta pagina para configurar la configuracion avanzada de IVANTI Antivirus en los
dispositivos
de destino.
790
GUÍA DE USUARIO
Utilice esta pagina para configurar la configuracion avanzada de los informes y del almacenamiento
de
IVANTI Antivirus en los dispositivos de destino.
791
IVANTI ENDPOINT MANAGER
• Opciones de cuarentena local y copia de seguridad: Permite configurar las cuarentenas y las
copias de seguridad. El almacenamiento de datos consta de un catalogo de cuarentena yde
un almacenamiento para los archivos de las copias de seguridad.
• Volver a rastrear la cuarentena tras una actualizacion: Habilita el rastreo automatico de
los archivos en cuarentena despues de cada actualizacion de las bases de datos y de
los modulos de software de la aplicacion de IVANTI Antivirus. Si selecciona esta
opcion, IVANTI Antivirus iniciara un rastreo de los archivos en cuarentena despues de
cada actualizacion de las bases de datos y de los modulos de software de la
aplicacion.
• Almacenar objetos por no mas de: Especifica el termino maximo de almacenamiento
para los archivos de cuarentena y para los archivos de las copias de seguridad. El
termino de almacenamiento maximo se mide en dfas. El termino maximo
predeterminado para los archivos es de 30 dfas. Transcurrido este termino de
almacenamiento maximo, IVANTI Antivirus eliminara los archivos mas antiguos de la
Cuarentena yde las Copias de seguridad.
• Tamano maximo de almacenamiento: Especifica el tamano maximo para el
almacenamiento de datos en megabytes. De manera predeterminada, el tamano
maximo es 100 MB. Para no superar el tamano de almacenamiento de datos maximo,
cuando el almacenamiento de datos alcanza el tamano maximo, IVANTI Antivirus
elimina automaticamente los archivos mas antiguos.
Acerca de la configuracion avanzada de IVANTI Antivirus Pagina de interfaz
Utilice esta pagina para configurar los ajustes avanzados de la interfaz que IVANTI Antivirus utilizara
en los dispositivos de destino.
Utilice esta pagina para configurar el modo en que IVANTI Antivirus importara la configuracion de
Kaspersky en los dispositivos de destino.
792
GUÍA DE USUARIO
. Configuracion actual importada de: El boton Explorar [...] abre la ventana Seleccionar un
archivo de configuracion de Kaspersky guardado anteriormente. Busque la carpeta \ldlogon,
haga clic en el archivo .CFG y en Abrir.
La seccion principal de "Informacion general de IVANTI Antivirus" (929) presenta esta herramienta
de administracion de seguridad complementaria, la cual es un componente de IVANTI Endpoint
Manager y IVANTI Security Suite. En esa seccion encontrara una introduccion e informacion sobre
la suscripcion de contenido de antivirus, asf como tambien instrucciones paso a paso sobre como
utilizar todas las funciones de Antivirus.
Esta seccion contiene los siguientes temas de ayuda que describen los cuadros de dialogo de
Antivirus. Desde la interfaz de la consola, puede acceder a estos temas de ayuda haciendo clic en el
boton Ayuda del cuadro de dialogo respectivo.
793
IVANTI ENDPOINT MANAGER
Tenga en cuenta que la pagina Actualizaciones del cuadro de dialogo Descargar actualizaciones
incluye varias actualizaciones de Antivirus en la lista de tipos de definiciones. En Actualizaciones de
antivirus de IVANTI hay unjuego de archivos de patrones para cada version. Cuando se selecciona
IVANTI AV [version delsistema operativo], se descarga el contenido de deteccion del analizador Yde las
actualizaciones de los archivos de definiciones de virus.
NOTE: Contenido de deteccion del analizador del antivirus en comparacion con el contenido de
definiciones de virus
Las actualizaciones de antivirus no implican archivos de definiciones (o patrones) de virus reales. Cuando se
descargan actualizaciones de antivirus de terceros, solo el contenido de deteccion del analizador puede
descargarse en el deposito predeterminado ya que los archivos de definiciones de virus espedficos del
analizador no se descargan. Sin embargo, cuando se descargan las actualizaciones de IVANTI Antivirus, se
descargan el contenido de deteccion del analizador y los archivos de definiciones de virus espedficos de IVANTI
Antivirus. Los archivos de definiciones de virus de IVANTI Antivirus se descargan en una ubicacion aparte en el
servidor central. El repositorio predeterminado de los archivos de definiciones de virus es la carpeta
\LDLogon\Antivirus\Bases.
Debe tener la suscripcion adecuada al contenido de IVANTI Security Suite para poder descargar los
distintos tipos de contenido de seguridad.
794
GUÍA DE USUARIO
Para obtener mas informacion sobre las suscripciones a los contenidos de Security Suite,
comurnquese con su distribuidor o visite el sitio web de IVANTI:
Luego de especificar el tipo de contenido que desea descargar y las otras opciones en el cuadro de
dialogo Descargar actualizaciones:
• Para realizar una descarga inmediata, haga clic en Actualizar ahora. Si hace clic en
Aplicar, la configuracion que especifica se guardara y aparecera la proxima vez que abra
este cuadro de dialogo. Si hace clic en Cerrar, el sistema preguntara si desea guardar la
configuracion.
• Para programar una tarea de descarga de contenido de seguridad, haga clic en Programar
actualizacion para abrir el cuadro de dialogo Informacion de actualizacion programada.
Escriba un nombre para la tarea, verifique la informacion de la tarea y luego haga
clic en Aceptar para agregarla a Tareas programadas.
Para guardar los cambios en cualquier pagina de este cuadro de dialogo en cualquier momento,
haga clic en Aplicar.
795
IVANTI ENDPOINT MANAGER
• Crear copias de seguridad de las definiciones anteriores: Guarda las descargas de los
archivos de definiciones de virus anteriores. Esto puede resultar util si necesita volver
a un archivo de definiciones mas antiguo para analizar o limpiar archivos infectados o
para restaurar un archivo de definiciones de virus que resolvio un problema en
particular. (Las copias de seguridad de los archivos de definiciones de virus se
guardan en carpetas separadas cuyo nombre corresponde a la fecha y hora de
creacion. Las copias de seguridad se guardan en las carpetas siguientes:
IVANTI AV 10.0: \IVANTI\ManagementSuite\ldlogon\antivirus8\Win\backupsEP10
IVANTI AV 9.5 y 9.6: \IVANTI\ManagementSuite\ldlogon\antivirus8\Win\backups
Mac:\IVANTI\ManagementSuite\ldlogon\antivirus8\Mac\backups
• Numero de copias de seguridad a mantener: Especifica el numero de descargas de
archivos de definiciones de virus a guardar.
• Actualizar listas de copias de seguridad: Elimina las copias de seguridad guardadas
para que coincidan con el numero especificado en el campo Numero de copias de
seguridad a mantener. Por ejemplo, si guardaba 10 copias de seguridad y cambio el
valor a 3, podra hacer clic en el boton Actualizar listas de copias de seguridad para
eliminar inmediatamente las 7 listas de copias de seguridad mas antiguas. Si no hace
clic en este boton, las copias de seguridad adicionales se eliminaran la siguiente vez
796
GUÍA DE USUARIO
797
IVANTI ENDPOINT MANAGER
dialogo Descargar actualizaciones y aparece la proxima vez que abra dicho cuadro.
798
GUÍA DE USUARIO
• Cerrar: Cierra el cuadro de dialogo sin guardar los ultimos cambios hechos en la
configuracion.
Para obtener una descripcion de las opciones de las otras paginas del cuadro de dialogo Descargar
actualizaciones, consulte "Acerca del cuadro de dialogo Descargar actualizaciones" (683).
Use este cuadro de dialogo para crear una tarea que actualice los archivos de definicion de virus,
configurar analisis del antivirus en dispositivos de destino (con la configuracion de antivirus) o
ambas actividades. La configuracion de Antivirus determina el comportamiento del analizador, los
objetos analizados y las opciones de usuario final.
• Nombre de la tarea: Identifica la tarea de analisis del antivirus con un nombre unico.
• Acciones a efectuar: especifica lo que la tarea va a hacer. Puede seleccionar una de las
acciones o ambas.
• Actualizar definiciones de virus: especifica que la tarea actualizara los archivos de
definicion de virus con base en la configuracion de la pagina de antivirus del cuadro
de dialogo de Descargar actualizaciones.
• Iniciar analisis del antivirus: especifica que la tarea ejecutara un analisis del antivirus
en los dispositivos de destino.
• Crear una tarea programada: Agrega la tarea de analisis a la ventana de Tareas programadas,
donde puede configurar sus opciones de programacion y repeticion y asignarles dispositivos
de destino.
• Seleccionar automaticamente todos los equipos con IVANTI Antivirus: agrega los
dispositivos administrados que se han configurado con el agente de IVANTI Antivirus
a la lista de dispositivos de destino de la tarea.
• Iniciar ahora: ejecuta el analisis del antivirus en los dispositivos con el agente de
IVANTI Antivirus ylo agrega a la herramienta de Tareas programadas al hacer clicen
Aceptar.
• Actualizar definiciones de virus (inclusive las piloto) en el servidor central: actualiza
automaticamente los archivos de patrones de virus antes de ejecutar el analisis,
incluso los archivos de definiciones de virus que residen actualmente en la carpeta
piloto. (Nota: la opcion de Actualizar definiciones de virus de arriba se debe
seleccionar para usar esta opcion.)
• Crear una polftica: Agrega la tarea de analisis del antivirus como una polftica a la ventana de
Tareas programadas, donde puede configurar las opciones de polftica.
799
IVANTI ENDPOINT MANAGER
Utilice este cuadro de dialogo para ejecutar un analisis del antivirus inmediato a peticion en uno o
mas dispositivos de destino.
800
GUÍA DE USUARIO
Una vez configurado, puede aplicar la configuracion del antivirus a las tareas de analisis del
antivirus y a las tareas de cambio de configuracion.
• Nombre: Identifica la configuracion de antivirus con un nombre unico. Este nombre aparece
en la lista desplegable de configuracion en un cuadro de dialogo de tarea de analisis del
antivirus.
• Mostrar el icono de IVANTI Antivirus en la bandeja del sistema: Hace que el icono de IVANTI
Antivirus aparezca en la bandeja del sistema del dispositivo. La apariencia del icono depende
del estado de la proteccion de antivirus e indica si la proteccion en tiempo real esta
habilitada. Si el icono de flecha es amarillo, la proteccion en tiempo real se encuentra
habilitada y por lo tanto se supervisa el dispositivo continuamente en busca de virus. Si el
icono es gris, la proteccion de tiempo real no esta habilitada.
NOTA: Los usuarios finales pueden hacer doble clic en el icono para abrir el cliente de
Antivirus IVANTI y realizar tareas. Tambien pueden hacer clic con el boton derecho sobre el
icono para acceder al menu de acceso directoy seleccionar ejecutar un analisis yactualizar
los archivos de antivirus.
801
IVANTI ENDPOINT MANAGER
cliente de IVANTI Antivirus que permite que los usuarios finales analicen software peligroso
(por ejemplo, FTP, IRC utilidades de control remoto, etc.) con una base de datos ampliada
que se carga en el dispositivo administrado.
• Permitir que el usuario agregue archivos y carpetas a la lista de elementos de confianza:
Proporciona una opcion en el cliente de IVANTI Antivirus que le permite a los usuarios
identificar archivos y carpetas en los que no deseen realizar el analisis de virus. El analisis
del antivirus omite los archivos y las carpetas que se encuentran en esta lista. Se debe
alertar a los usuarios de que solo coloquen archivos seguros en su lista de elementos de
confianza.
• Uso de la CPU durante el analisis: Permite controlar el uso de la CPU en los equipos de
destino cuando IVANTI Antivirus ejecuta un analisis del antivirus.
• Propietario: le permite especificar el propietario de la configuracion de antivirus para evitar
modificaciones no autorizadas. Solamente el propietario y los usuarios con derecho de
administradortienen acceso a la configuracion y pueden modificarla. Los demas usuarios
solamente pueden verla. La opcion de usuario publico permite el acceso universal a la
configuracion.
• Establecer como predeterminado: establece esta configuracion de antivirus (con la
configuracion de opciones en todas las pestanas de los cuadros de dialogo de la
configuracion de Antivirus) como la predeterminada en los dispositivos de destino. A menos
que la tarea de analisis del antivirus tenga una configuracion de antivirus espedfica
asociada, la configuracion predeterminada se utiliza durante las tareas de analisis
yactualizacion de los archivos de definiciones.
• Restaurar predeterminados: Restaura la configuracion predeterminada definida
anteriormente en todas las opciones de antivirus de las pestanas del cuadro de dialogo.
Acerca del Antivirus: Pagina de proteccion en tiempo real
Utilice esta pagina para habilitary configurar la proteccion de archivos en tiempo real, seleccionar
que archivos se deben proteger y excluir y notificar al usuario final.
La proteccion en tiempo real supone un analisis continuo (en segundo plano) de los archivos, las
carpetas y los tipos de archivos por extension especificados. Cuando se ejecuta la proteccion en
tiempo real, se analizan los archivos en busca de virus siempre que estos se abren, cierran,
acceden, copian o guardan.
Cuando se habilita la proteccion en tiempo real, el icono de la bandeja del sistema de IVANTI
Antivirus es amarillo. Si la proteccion en tiempo real se encuentra apagada, el icono es gris.
Esta pagina contiene las siguientes opciones:
802
GUÍA DE USUARIO
notifica a los usuarios finales siempre que un archivo infectado se detecta, se pone en
cuarentena, se elimina, se omite o se limpia. Los cuadros de dialogo de mensajes muestran
la ruta de acceso, el nombre del archivo, el nombre del virus y una nota que le informa al
usuario final que debe comunicarse con el administrador de red.
• Permite que el usuario deshabilite el analisis en tiempo real hasta: Proporciona una opcion
en el cliente de IVANTI Antivirus que le permite al usuario final desactivar la proteccion de
archivos en tiempo real durante un penodo de tiempo especificado. Debe mantener este
penodo de tiempo al mfnimo para que los usuarios no puedan deshabilitar la proteccion en
tiempo real a largo plazo.
• Excluir rutas de acceso de red: limita el analisis de archivos en tiempo real en las unidades
locales y no incluye unidades de red asignadas.
• Analizar todos los tipos de archivos: Especifica que todos los tipos de archivos del
dispositivo de destino se analicen por medio de un analisis del antivirus. Esto puede tardar
bastante por lo tanto se recomienda analizartodos los tipos de archivos con un analisis a
peticion en lugar de una proteccion en tiempo real.
• Analizar solo archivos infectables: Especifica que solo se analicen los archivos infectables.
Los archivos infectables son aquellos tipos de archivos conocidos por ser vulnerables a las
infecciones de virus. Resulta mas eficiente analizar solo los archivos infectables que analizar
todos, ya que algunos virus afectan solo a determinados tipos de archivos. No obstante,
debe acostumbrarse a analizar periodicamente todos los archivos con un analisis a peticion
para asegurarse de que los dispositivos esten limpios.
803
IVANTI ENDPOINT MANAGER
configuracion.
• Editar: abre la exclusion seleccionada para modificar la ruta de acceso, el nombre y la
extension de un archivo y las variables.
• Eliminar: quita la exclusion seleccionada de la configuracion de antivirus.
Utilice este cuadro de dialogo (al cual se tiene acceso desde el cuadro de dialogo de proteccion en
Tiempo real) para agregar exclusiones que especifican que no se estan analizando los virus de los
objetos ni a traves del analisis del antivirus ni a traves de la proteccion en tiempo real. Las tareas de
analisis del antivirus (y las tareas de cambio de configuracion) asociadas con esta configuracion de
antivirus utilizaran estas exclusiones.
Puede excluir archivos espedficos, carpetas enteras y tipos de archivos por sus extensiones.
• Tipo: Indica el tipo de objeto que se desea excluir del analisis del antivirus. Seleccione un
tipo y luego introduzca sus atributos especficos en el campo Objeto.
• Objeto: escriba la ruta de acceso completa y el nombre (o examine y seleccione) del archivo
o la carpeta que desea excluir. Si selecciona el tipo de extension del archivo, escriba los
caracteres de la extension en el campo Objeto.
• Insertar variable: Permite utilizar las variables del entorno del sistema para identificar la ruta
de acceso a una carpeta o un objeto que deseana excluir del ambito del analisis del antivirus
o de la proteccion.
Acerca del Antivirus: Pagina de analisis de virus
Utilice esta pagina para especificar en que archivos se deben analizar virus, cuales hay que excluir
del analisis y si sevan a usar heunsticos para analizar archivos sospechosos.
Esta pagina contiene las siguientes opciones:
• Analizar todos los tipos de archivos: Especifica que todos los tipos de archivos del
dispositivo de destino se analicen por medio de un analisis del antivirus. Esto puede tardar
bastante por lo tanto se recomienda analizartodos los tipos de archivos con un analisis a
peticion en lugar de una proteccion en tiempo real.
• Analizar solo archivos infectables: Especifica que solo se analicen los archivos infectables.
Los archivos infectables son aquellos tipos de archivos conocidos por ser vulnerables a las
infecciones de virus. Resulta mas eficiente analizar solo los archivos infectables que analizar
todos, ya que algunos virus afectan solo a determinados tipos de archivos. No obstante,
debe acostumbrarse a analizar periodicamente todos los archivos con un analisis a peticion
para asegurarse de que los dispositivos esten limpios. Mas adelante se presenta una lista
completa de los tipos de archivos infectables.
* Utilizar heunsticos para analizar archivos sospechosos: Utiliza la capacidad de analisis de
heunsticos del analizador cuando analiza los dispositivos de destino. El analisis de
heunsticos intenta detectar archivos sospechosos de estar infectados con un virus a traves
804
GUÍA DE USUARIO
Los tipos de archivo infectables se identifican por su identificador de formato en el encabezado del
archivo en lugar de la extension del archivo, lo cual garantiza que se analicen los archivos cuyos
nombres hayan cambiado.
Los archivos infectables incluyen: archivos de documentos tales como archivos de Word y Excel,
archivos de plantillas asociados con archivos de documentos y archivos de programa, tales como
bibliotecas de vfnculos dinamicos (.DLL), archivos de comunicacion (.COM), archivos ejecutables
(.EXE) y otros archivos de programas. La lista siguiente contiene los tipos de archivos infectables
segun el estandar del formato de archivo o la extension del archivo original.
• ACM
• ACV
• ADT
• AX
• BAT
• BIN
• BTM
• CLA
• COM
• CPL
. CSC .
CSH .
805
IVANTI ENDPOINT MANAGER
DLL .
DOC .
DOT .
DRV .
EXE .
HLP .
HTA .
HTM .
HTML .
HTT .
INF . INI
. JS .
JSE .
JTD .
MDB .
MSO .
OBD .
OBT .
OCX .
PIF . PL
. PM .
POT .
PPS .
PPT .
RTF .
SCR .
SH .
SHB .
SHS .
SMM .
SYS .
VBE
806
GUÍA DE USUARIO
. VBS
. VSD
. VSS
. VST .
VXD .
WSF .
WSH
Utilice esta pagina para habilitary configurar un analisis del antivirus programado para ejecutarse
con cierta frecuencia en los dispositivos de destino.
• Hacer que IVANTI Antivirus busque virus en dispositivos a una hora especifica: Habilita un
analisis del antivirus periodico y programado que se ejecuta en los dispositivos de destino
de acuerdo con la hora de inicio, la frecuencia, la restriccion de tiempo y los requisitos de
ancho de banda que se especifiquen.
• Cambiar configuration: Abre el cuadro de dialogo Programar, donde puede establecer las
opciones de programacion.
• Permitir al usuario programar analisis: Le permite al usuario final crear un analisis del
antivirus programado local en su propio equipo.
Si desea que esta configuracion de antivirus incluya un analisis del antivirus periodico, utilice este
cuadro de dialogo para especificar la hora de inicio, la frecuencia, la restriccion de tiempo y la
configuracion de los requisitos de banda ancha. Las tareas de analisis del antivirus (y las tareas de
cambio de configuracion) asociadas con esta configuracion de antivirus utilizaran las reglas
definidas aqrn.
Antes de que se ejecute la tarea deben satisfacerse todos los criterios en este cuadro de dialogo
que esta configurando. Por ejemplo, si configura una programacion que se repite todos los dfas
entre las 8
y las 9 en punto con un Estado del equipo de El equipo de escritorio debe bloquearse, la tarea solo
se ejecutara entre las 8 y las 9 en punto Ysi el equipo esta bloqueado.
• Inicio: marque esta opcion para mostrar un calendario en el que puede seleccionar el dfa de
807
IVANTI ENDPOINT MANAGER
inicio de la tarea. Despues de elegir un dfa, tambien puede introducir un horario. El valor
808
GUÍA DE USUARIO
809
IVANTI ENDPOINT MANAGER
• Retraso aleatorio adicional una vez que se superan todos los demas filtros: si desea un
retraso aleatorio adicional, utilice esta opcion. Si selecciona un retraso aleatorio que se
extienda mas alia de los lmites horarios configurados para la tarea, esta puede no ejecutarse
si el valor aleatorio coloca a la tarea por fuera de los lmites horarios configurados.
NOTA: cuando un usuario final descarga las actualizaciones de los archivos de definiciones
de virus, el dispositivo intenta conectarse a los servidores en el siguiente orden: 1) servidor
preferido (si se configuro uno); 2) servidor central; 3) servidor de contenido de IVANTI
Security Suite.
810
GUÍA DE USUARIO
Si desea que esta configuracion de antivirus incluya un analisis del antivirus periodico, utilice este
cuadro de dialogo para especificar la hora de inicio, la frecuencia, la restriccion de tiempo y la
configuracion de los requisitos de banda ancha. Las tareas de analisis del antivirus (y las tareas de
cambio de configuracion) asociadas con esta configuracion de antivirus utilizaran las reglas
definidas aqm.
Acerca del Antivirus: Pagina de Actualizaciones de definiciones de virus de legado
Utilice esta pagina para configurar las actualizaciones de definiciones de virus de legado, asf como
la configuracion del servidor de contenido de IVANTI Security Suite si se selecciono una de las
opciones de ubicacion de fuente de descarga de arriba, entre las que se incluye el Internet.
Esta pagina contiene las siguientes opciones:
811
IVANTI ENDPOINT MANAGER
IMPORTANT: La configuration de legado solo se aplica a los clientes de IVANTI Antivirus mas antiguos
La configuracion de las actualizaciones de definiciones de virus de legado que se especifique en esta pagina
solo afecta las versiones anteriores del cliente de IVANTI Antivirus que se hayan desplegado en sus dispositivos
administrados. Normalmente, las versiones anteriores del cliente son instaladas por una version del servidor
central IVANTI 8.8 SP3 o anterior.
• Tamano maximo: Especifica el tamano maximo de la carpeta compartida cuarentena/copia de
seguridad en los dispositivos con el agente de IVANTI Antivirus.
• Restaurar objetos: especifica los derechos de usuario final para restaurar objetos que han
sido puestos en cuarentena.
• Permitir que el usuario restaure objetos sospechosos: Le provee a los usuarios finales
la opcion de restaurar objetos sospechosos detectados por el analisis del antivirus o
por la proteccion en tiempo real. Los objetos sospechosos son aquellos que
contienen un codigo que se encuentra modificado o que recuerda al de un virus
conocido. Los objetos sospechosos se colocan en cuarentena automaticamente. Si se
seleccione esta opcion, los usuarios finales pueden mover el archivo original de la
carpeta de cuarentena a una carpeta de destino espedfica o a su ubicacion original,
donde se almaceno antes de la cuarentena, la desinfeccion o la eliminacion. Observe
que si se esta ejecutando la proteccion en tiempo real, el archivo restaurado se analiza
y si aun sigue infectado se lo vuelve a poner en cuarentena.
• Permite que el usuario restaure objetos infectados y software peligroso: provee a los
usuarios finales la opcion de restaurar objetos infectados detectados por el analisis
del antivirus o por la proteccion en tiempo real. Los objetos infectados son aquellos
que contienen un codigo peligroso detectado por un archivo de definiciones (patrones
o firmas) de virus conocido. Los objetos infectados pueden danar aun mas los
dispositivos administrados. El software peligroso es simplemente el software cliente
que tiene la posibilidad de ser peligroso para el usuario final. Por ejemplo: Software
FTP, IRC, MIrc, RAdmin, o utilidades de control remoto. (En el caso de un resultado de
analisis falso- positivo, el usuario final puede sentirse seguroy comodo para restaurar
el archivo. Esta opcion le permite a los usuarios restaurar archivos a los recursos
compartidos de la red. Si restauran un archivo infectado a su ubicacion original, el
proximo analisis del antivirus detectara el mismo virus, aunque sea falso-positivo, y lo
volvera a poner en cuarentena.)
• El usuario debe introducir una contrasena para restaurar objetos: Los usuarios deben
introducir la contrasena especificada antes de poder restaurar los objetos
812
GUÍA DE USUARIO
Utilice este cuadro de dialogo para creary modificar las opciones de HIPS (archivo de
configuracion). Cuando se crean configuraciones de HIPS, primero se definen los requisitos y las
acciones generales y luego se agregan las certificaciones de archivos espedficas. Se pueden
creartantas configuraciones de HIPS como se deseey modificarlas en cualquier momento.
Si desea modificar la configuracion predeterminada de HIPS del dispositivo sin volver a instalar el
agente de HIPS o volver a implementar una configuracion completa del agente, realice los cambios
deseados en cualquiera de las opciones del cuadro de dialogo de Configuracion de HIPS, asigne la
nueva configuracion a una tarea de cambio de configuracion y luego implemented en los
dispositivos de destino.
813
IVANTI ENDPOINT MANAGER
814
GUÍA DE USUARIO
datos alojada con IVANTI de archivos de confianza. Para obtener mas informacion,
consulte "Uso de la reputacion de archivos para restringir aplicaciones" (671).
• Tratar archivos con mala reputacion como si estuvieran en la lista negra. Los archivos
de la lista negra que se encuentran en la base de datos alojada con IVANTI de archivos
malos.
• Accion a tomar: determina la accion que se realiza cuando se agrega un programa a la
carpeta de Inicio del dispositivo. Esta opcion proporciona una segunda lfnea de defensa en
los procesos de autorizacion de la carpeta de inicio del sistema. HIPS supervisa el contenido
del inicio ysi encuentra un proceso nuevo, realiza la accion que se seleccione
(Alertarysolicitar una accion; Siempre permitir que el programa se ejecute; o eliminar el
programa del inicio sin generar alertas).
• Establecer como predeterminado: Asigna esta opcion como la opcion predeterminada para
las tareas que utilizan la configuracion de HIPS.
• id: identifica esta configuracion particular. Esta informacion se almacena en la base de datos
principal yse utiliza para llevar un control de cada configuracion.
• Guardar: guarda los cambios y cierra el cuadro de dialogo.
815
IVANTI ENDPOINT MANAGER
Utilice esta pagina para ver, administrary dar prioridad a las reglas de proteccion de archivos. Las
reglas de proteccion de archivos son un conjunto de restricciones que evita que los programas
ejecutables especificados realicen ciertas acciones en los archivos especificados. Con las reglas de
proteccion de archivos, puede permitir o denegar el acceso, la modificacion, la creacion y la
ejecucion de cualquier programa o archivo.
• Reglas de proteccion: muestra todas las reglas de proteccion de archivos predefinidas
(predeterminadas) que proporciona IVANTI, asf como todas las reglas de proteccion de
archivos que se han creado.
• Nombre de la regla: identifica la regla de proteccion de archivos.
• Restricciones: visualiza las acciones especficas de los programas en los archivos
restringidos por la regla de proteccion de archivos.
• Programas: muestra los programas ejecutables protegidos por la regla de proteccion.
• Subir \ Bajar: Determina la prioridad de la regla de proteccion de archivos superior en la lista
precede a la regla que esta debajo en la lista. Por ejemplo, podna crear una regla que
restrinja que un programa tenga acceso o modifique cierto archivo o tipo de archivo, pero
luego crear otra regla que permita una excepcion a dicha restriccion a uno o mas de los
programas designados. Siempreycuando la segunda regla permanezca mas arriba en la lista
de reglas, esta tendra efecto.
• Restablecer: restaura las reglas de proteccion de archivos predefinidas (predeterminadas)
que proporciona IVANTI.
• Agregar: abre el cuadro de dialogo Configurar regla de proteccion de archivos en el que
puede agregar o quitar programas y archivos, y especificar las restricciones.
816
GUÍA DE USUARIO
• Editar: abre cuadro de dialogo Configurar regla de proteccion de archivos en el que puede
modificar una regla de proteccion de archivos existente.
• Eliminar: elimina la regla de proteccion de archivos de la base de datos principal.
NOTE: Las reglas de proteccion de archivos se guardan en el archivo FILEWALL.XML, ubicado en: Archivo de
programas\IVANTI\ManagementSuite\ldlogon\AgentBehaviors\Hips_Behavior.ZIP 20 21
817
IVANTI ENDPOINT MANAGER
• Creation: impide que los programas especificados anteriormente creen los archivos.
• Ejecucion: impide que los programas especificados anteriormente ejecuten los
archivos protegidos.
• Vista previa...: Haga clic aqm para acceder a la lista de cuadros de dialogos de clientes para
previsualizarlos. Seleccione Dialogo reparar, Dialogo estado o Dialogo reiniciar para verel
cuadro de dialogo con el icono y banner personalizados que vera el usuario.
• Eliminar: Haga clic para eliminar un archivo personalizado y, en lugar de ese, utilizar el icono
o el banner predeterminados.
Herramientas > Configuracion > Configuracion del agente > Conectividad del cliente
Utilice el cuadro de dialogo Ajustes de conectividad del cliente para especificary guardar una
recopilacion de ajustes de conectividad del cliente.
Utilice la pagina General para dar un nombre al ajuste de la conectividad del cliente que esta
configurando. Se pueden tener varios perfiles de ajustes de conectividad del cliente pero uno debe
ser el predeterminado para las configuraciones de agente. Si selecciona la opcion Establecer como
predeterminado, el ajuste sera la seleccion predeterminada en la herramienta Configuracion de
agente.
Utilice esta pagina para configurar la seguridad basada en certificados y el ambito quetendran los
dispositivos que utilicen esta configuracion.
Certificados del servidor central en los que confiara el cliente
Seleccione los certificados del servidor central que desee que los dispositivos acepten. Los
dispositivos solo se comunicaran con servidores centrales y consolas para los que tengan
818
GUÍA DE USUARIO
certificados. Para obtener mas informacion sobre los certificados y la forma de copiarlos desde
otros servidores centrales de modo que se puedan seleccionar aqm, consulte "Seguridad del
agentey certificados de confianza" (120).
Debajo de la casilla de certificados de confianza puede modificar el servidor central con el que se
comunicaran los dispositivos que utilizan esta configuracion de agente. De forma predeterminada,
esta casilla contiene el servidor central actual. El nombre del servidor central puede ser el nombre
de un equipo Windows, una direccion IPo un nombre de dominio completamente calificado. El
nombre de dominio completamente calificado de un servidor central puede ser necesario si se
envfan las configuraciones de agente a dispositivos de diversos dominios o siempre que el
dispositivo no pueda resolver el nombre del servidor central, a menos que este completamente
calificado. Los dispositivos administrados utilizaran la informacion que se introduzca aqm para
comunicarse con el servidor central. Por lo tanto, asegurese de que el nombre que introduzca pueda
resolverse desde todos los dispositivos que recibiran esta configuracion.
El nombre del servidor central que especifique aqm como parte de la configuracion de un agente se
agrega al registro del dispositivo bajo:
. HKLM\Software\Intel\IVANTI\LDWM\CoreServer
Una vez que haya seleccionado los certificados de confianza y haya cambiado el nombre del
servidor central si fuese necesario, puede probarlos. Cuando hace clic en Probar, aparece una
casilla de mensaje que indica si el nombre o la direccion IP del dispositivo que introdujo pudieron
resolverse. Tenga en cuenta que el boton Probar no hace ping en el dispositivo que introdujo ni
comprueba si el nombre o la direccion IP pertenecen a un servidor central.
Ubicacion (ambito)
Si desea que los dispositivos se incluyan en ambitos basados en directorios personalizados,
escriba una ruta de directorio en el campo Ruta. La ruta especificada define el atributo de inventario
de ubicacion del equipo del dispositivo. La administracion basada en roles de Endpoint Manager
hace uso de los ambitos para controlar el acceso de los usuarios a los dispositivos y se puede
basar en esta ruta de directorio personalizada.
Las rutas de directorio personalizadas utilizan un formato similar a una ruta de archivo, pero con
barras inclinadas como separadores. Si desea utilizar ambitos basados en directorios
personalizados, en primer lugar decida como desea clasificar los dispositivos para la
administracion basada en roles. Puede clasificar los dispositivos segun la ubicacion geografica, el
departamento, el nombre del grupo o cualquier otro detalle de organizacion que prefiera.
Las rutas de directorio que especifique como parte de la configuracion de un agente se agregan al
registro del dispositivo bajo:
• HKLM\Software\Intel\IVANTI\Inventario\ComputerLocation
819
IVANTI ENDPOINT MANAGER
No es necesario completar este campo. Si lo deja en blanco, el atributo de ubicacion del equipo del
dispositivo se define con la ruta de Active Directory o NetWare Directory.
Para obtener mas informacion sobre la forma de utilizar los ambitos en la administracion basada en
roles de Endpoint Manager y la forma de definir ambitos con las rutas de directorio personalizadas,
consultar "Informacion general sobre la administracion basada en roles" (54).
Utilice la Polftica de conmutacion de error de CSA para el equilibrio de carga de CSA para ajustar lo
que sucede si se produce un fallo de conexion cuando un cliente intenta comunicarse con un CSA.
Cuando se produce un fallo de conexion, el cliente intentar conectarse a otro CSA de la lista de
Elementos seleccionados. Cuando se produzca un fallo de conexion de CSA, el cliente no intentara
utilizar ese CSA durante 24 horas.
• Usar la lista ordenada como se muestra en los elementos seleccionados: Los clientes
intentaran conectarse al primer CSA de la lista de Elementos seleccionados. Si se produce
un fallo, los clientes se conectaran al siguiente CSA de la lista hasta que hayan intentado
conectarse a todos los CSA.
Utilice este modo cuando prefiera un CSA para los clientes. Por ejemplo, es posible que
desee que los equipos para aquellos empleados que trabajen en un pafs utilicen un CSA
de ese pafs, como prioritario, pero podran utilizar los de otros pafses como sistemas de
copia de seguridad.
• Usar orden aleatorio: Los clientes se conectaran a un CSA aleatorio de la lista de Elementos
seleccionados. Si se produce un fallo, los clientes se conectaran aleatoriamente al siguiente
CSA de la lista hasta que hayan intentado conectarse a todos los CSA.
Utilice este modo cuando existan varios CSA de nivel de preferencia igual para un cliente,
pero desee propagar la carga de trabajo en estos CSA. Por ejemplo, los dispositivos de los
trabajadores de un pafs pueden tenertres CSA. Mediante la seleccion aleatoria, normalmente
820
GUÍA DE USUARIO
Cuando la comunicacion de Cloud Services Appliance esta habilitada, existen tres formas de
conectarse al servidor principal:
Utilice la pagina Descargas para bloquear descargas punto a punto en los adaptadores que se
indiquen. Se pueden excluir los adaptadores inalambricos. Tambien se pueden excluir adaptadores
utilizando palabras clave que distinguen mayusculas de minusculas. Si se encuentra alguna de las
palabras clave introducidas en el campo de descripcion del adaptador, no utilizara ese adaptador.
Como puede verse en las palabras clave, este metodo se utiliza para deshabilitar las descargas
punto a punto desde adaptadores VPN.
Tambien se puede cambiar el numero de dfas que los archivos permanecen en la cache de descarga
de los clientes.
821
IVANTI ENDPOINT MANAGER
El agente del programador local le permite a Endpoint Manager iniciartareas de dispositivo basadas
en la hora o el ancho de banda disponible. El agente programador local resulta de mayor utilidad en
el caso de dispositivos que no se estan siempre conectados a la red o que se conectan a ella
mediante acceso telefonico. Por ejemplo, se puede utilizar el programador local de modo que la
distribucion de paquetes en dispositivos portatiles solo se realice cuando dichos dispositivos se
encuentren conectados a la red WAN.
El programador local tambien habilita la deteccion de ancho de banda entre los dispositivos y el
servidor central. puede limitar las acciones de Endpoint Manager, tales como la distribucion de
software basada en el ancho de banda disponible. Utilice esta opcion si existen dispositivos
remotos o dispositivos que se conectan a la red a traves de un vrnculo lento.
• ICMP o PDS: seleccione utilizar ICMP o PDS para la deteccion del ancho de banda. El
protocolo ICMP envfa solicitudes de eco ICMP de distintos tamanos al dispositivo remoto y
utiliza el tiempo de ida y vuelta de estas solicitudes/respuestas de eco para determinar el
ancho de banda aproximado. El protocolo ICMPtambien distingue entre conexiones LAN (de
alta velocidad) y WAN (de baja velocidad, pero no conexiones telefonicas). No obstante, no
todos los enrutadores o dispositivos admiten las solicitudes de eco ICMP.
Si la red no esta configurada para permitir las solicitudes de eco ICMP, puede seleccionar
PDS. Las pruebas de ancho de banda de PDS no son tan detalladas, pero detectan una
conexion de
red de area local o una conexion de tipo RAS de ancho de banda bajo (generalmente de
acceso telefonico). El metodo PDS solamente funciona si el servicio PDS se ejecuta en el
servidor de paquetes. Puede instalar este servicio mediante el despliegue del agente de
IVANTI estandar en el servidor de paquetes.
• Umbral LAN de detection de ancho de banda: umbral que clasifica una conexion como WAN
en lugar de LAN. El valor predeterminado es de 262 144 bps.
822
GUÍA DE USUARIO
Herramientas > Configuracion > Configuracion del agente > Variables personalizadas para
reemplazar
Utilice el cuadro de dialogo Variables personalizadas para reemplazar para crear excepciones en la
configuracion de variables personalizadas. Algunas definiciones de amenaza a la seguridad de la
configuracion del sistema tienen valores variables que pueden cambiar antes de incluirlos en un
rastreo de seguridad. Generalmente, las definiciones de antivirus tambien tienen ajustes con
variables personalizadas.
Con las variables personalizadas puede ajustar el rastreo de las amenazas a la seguridad mediante
la modificacion de uno o mas valores de ajuste para que el rastreador busque las condiciones que
defina y determine que un dispositivo es vulnerable solo si se cumple con esa condicion (por
ejemplo, si se detecta el valor especificado). Las variables personalizadas son una configuracion
global. Por lo tanto, cuando se buscan definiciones de seguridad que tengan variables
personalizadas, estas siempre se determinaran como vulnerables si se cumple con la condicion de
las mismas.
Herramientas > Seguridad y cumplimiento > Configuracion del agente > Seguridad > Seguridad
Endpoint > Control de dispositivos
Utilice este cuadro de dialogo para crear y modificar la configuracion de Control de dispositivos.
823
IVANTI ENDPOINT MANAGER
• Opciones de codificacion:
• Espacio de almacenamiento asignado a la codificacion: especifica la cantidad de
espacio en un dispositivo de almacenamiento que puede utilizarse para guardar los
archivos cifrados.
824
GUÍA DE USUARIO
Use este cuadro de dialogo para crear una excepcion en el nivel de acceso de los volumenes de
almacenamiento.
Utilice las fichas de esta pagina para configurar dispositivos e interfaces y administrar excepciones.
Pestana Dispositivo
siempre.
Notificar a usuarios finales: muestra un cuadro de mensaje cuando un usuario conecta un
dispositivo de almacenamiento no autorizado.
Pestana Interfaces
La instantanea permite rastrear que archivos se han copiado en el dispositivo o desde el mediante
825
IVANTI ENDPOINT MANAGER
Configuracion general
En la pagina Configuracion general, introduzca un nombre que se asociara a los ajustes que
especifique en todas las paginas de este dialogo. Este nombre aparecera en la lista de ajustes del
agente de la consola.
Configuracion de red
Utilice esta pagina para personalizar el modo en que los paquetes de distribucion afectaran al
trafico de red. Para obtener mas informacion, consulte Acerca de la Descarga de archivos.
826
GUÍA DE USUARIO
un par de la misma subred. De este modo se reducira el trafico de red. Por ejemplo, si tiene
varias oficinas satelite, puede seleccionar un dispositivo en cada oficina para que reciba el
paquete a traves de la red. Entonces, los otros dispositivos de cada oficina recibinan el
paquete directamente desde el primer dispositivo, en lugar de descargarlo desde la red.
• Intentar servidor preferido: permite el redireccionamiento automatico a los paquetes
compartidos mas cercanos. De este modo se reducira la carga en el servidor central.
• Permitir origen: Descargar desde el servidor central si los archivos no se encuentran en un
par o en un servidor preferido. Si los archivos no se encuentran en una de esas ubicaciones
y esta opcion no esta seleccionada, se producira un error en la descarga.
• Utilizar multidifusion: Utilice la multidifusion dirigida para enviar archivos a varios
dispositivos de forma simultanea. Introduzca un valor para la cantidad de tiempo que se
debera esperar en cada subred antes de iniciar la descarga.
• Amplitud de banda usada por el servidor central o el preferido: Especifique el porcentaje de
ancho de banda que se utilizara para no sobrecargar la red. Puede limitar el ancho de banda
ajustando el porcentaje maximo de ancho de banda de la red que se utilizara para la
distribucion. El control deslizante ajusta la prioridad de esta tarea espedfica sobre el resto de
trafico de red. Entre mayor sea el porcentaje que se ponga en el control deslizante, mayor
sera la cantidad de amplitud de banda usada por esta tarea sobre el resto de trafico. Las
conexiones de WAN son por lo general mas lentas, por lo cual casi siempre es mejor poner
este control deslizante en un porcentaje bajo.
• Ancho de banda usado entre pares: especifique el porcentaje de ancho de banda a usar a
nivel local. Este valor suele ser mas alto que el ancho de banda que se utiliza del servidor
central o del servidor preferido debido a la proximidad ffsica.
• Enviar estados de tareas detallados: haga clic para enviar informacion al servidor central
acerca de la tarea. Esto aumenta el trafico de red, asf que si selecciona esta opcion para
ayudar a solucionar un problema determinado, es posible que quiera desmarcarlo cuando
haya solucionado el problema.
827
IVANTI ENDPOINT MANAGER
vez al dfa.
• Cambiar configuracion...: haga clic para abrir el Dialogo Comando del
programador local, donde podra crear un programa diferente.
Notificacion
Utilice la pagina Notificacion para especificar que informacion se mostrara al usuario y que
acciones podra llevar a cabo.
828
GUÍA DE USUARIO
Utilice esta pagina para crear un mensaje personalizado que el usuario vera si selecciona Notificar
al usuario antes de la descarga o Notificar al usuario antes de la instalacion/eliminacion en la pagina
Notificacion.
Cuando programe una tarea, existe una opcion para sobrescribir este mensaje.
Utilice esta pagina para especificar que mostrar al usuario y durante cuanto tiempo aplazar una
instalacion. Estas opciones dependen de la configuracion que seleccione en la pagina Notificacion.
Tambien puede utilizar la pagina de configuracion solo de distribucion para seleccionar la ubicacion
de aplicaciones virtualizadas.
• Respuesta
• Mostrar la interfaz completa del paquete: haga clic para mostrar al usuario todo lo que
muestra la instalacion. Esta opcion es solo para usuarios avanzados.
• Mostrar al usuario final el estado correcto o fallido: haga clic para mostrar al usuario
solo el resultado de la instalacion.
• Aplazar hasta el siguiente inicio de sesion: haga clic para permitir a los usuarios posponer la
instalacion hasta la siguiente vez que inicien sesion en el dispositivo.
• Aplazar durante un periodo de tiempo especifico: especifica el tiempo maximo que el
usuario puede aplazar una instalacion.
• Limitar el numero de aplazamientos de usuario: haga clic para introducir un
numero maximo de veces que el usuario puede aplazar una instalacion.
• Seleccionar la ubicacion para guardar las aplicaciones virtualizadas de IVANTI
• Destino del cliente: haga clic para instalar el paquete en un entorno nuevo en lugar de
instalarlo en el dispositivo.
• Habilitar el direccionamiento de grupo LDAP: haga clic para seleccionar un destino para la
distribucion de los grupos que ha ajustado en el dominio de Microsoft, en lugar de tener
como destino los dispositivosynombres de usuarios de IVANTI.
• Permitir la resolution de LDAP a traves de CSA: haga clic para seleccionar un destino para la
distribucion de objetos en el dominio de Microsoft, mientras pasa por Cloud Service
Appliance.
Fuera de linea
Utilice esta pagina para especificar que hacer si un dispositivo administrado no puede contactar
con el servidor central durante la instalacion de un paquete.
829
IVANTI ENDPOINT MANAGER
• Esperar a que el dispositivo pueda comunicarse con el servidor central administrado: haga
clic para detener la instalacion hasta que el dispositivo pueda contactar con el servidor
central.
• Instalar los paquetes sin conexion: haga clic para crear una tarea programada que descargue
los archivos en el dispositivo pero que no los instale.
Opciones para usuarios desconectados
Utilice esta pagina para especificar si desea instalar si el usuario esta desconectado del dispositivo.
. Ejecutar desde origen: haga clic para instalar el parche desde el servidor preferido o desde el
central. Esta opcion es util si el equipo del cliente no tiene suficiente memoria para descargar
el parche.
• Descargar y ejecutar: haga clic para descargar el parche al cliente y luego instalarlo. Esta
opcion reduce la carga en el servidor.
830
GUÍA DE USUARIO
Opciones de rastreo
Utilice esta pagina para especificar si el analisis de seguridad analizara por grupo o portipo de
vulnerabilidad.
831
IVANTI ENDPOINT MANAGER
• Rastrear por
• grupo: Seleccione un grupo personalizado y preconfigurado en la lista desplegable.
• Reparar inmediatamente todos los elementos detectados: indica que todos los
riesgos a la seguridad identificados por este rastreo de grupo espedfico seran
reparados en forma automatica.
• Tipo: especifica los tipos de contenidos que desea buscar en esta tarea de rastreo.
Puede seleccionar solo aquellos tipos de contenido para los cuales hay una
suscripcion al contenido de IVANTI Security Suite. Tambien, las definiciones actuales
de seguridad que se rastrean dependen de los contenidos del grupo Rastrear de la
ventana de Parches ycumplimiento. En otras palabras, si en este cuadro de dialogo
selecciona vulnerabilidades y amenazas de seguridad, solo se rastrearan aquellas
vulnerabilidades y amenazas de seguridad que se encuentran en el momento en sus
respectivos grupos de Rastrear.
• Habilitar reparacion automatica: indica que el rastreador de seguridad implementara e
instalara de forma automatica los archivos de revision necesarios asociados con las
vulnerabilidades o definiciones personalizadas que detecte en los dispositivos rastreados.
Esta opcion solo se aplica con las tareas de rastreos de seguridad. Para que funcione la
reparacion automatica, la definicion tambien debe tener activada la reparacion automatica.
Programar
Utilice esta pagina para especificar el periodo durante el que se ejecutara el analisis de seguridad
como una tarea programada. Despues de seleccionar los ajustes, esta pagina muestra un resumen
del programa.
• Por eventos
• Cuando el usuario inicia sesion: haga clic para rastrear y reparar las definiciones
cuando el usuario inicie sesion.
• Retraso arbitrario maximo: especifique una cantidad de tiempo para retrasar el
analisis y as^ evitar analizar simultaneamente todos los dispositivos, lo que
sobrecargana la red.
• Por programas
• Usar un programa recurrente: haga clic para analizar y reparar solo las definiciones
durante un tiempo especificado.
• Cambiar configuracion...: Abre el cuadro de dialogo Comando para el programador
local, donde puede definir los parametros del rastreo de seguridad. Varias tareas de
administracion de IVANTI comparten este cuadro de dialogo. Haga clic en el boton
Ayuda para obtener detalles.
Rastreo frecuente
Utilice esta pagina para que el agente pueda comprobar las definiciones en un grupo espedfico mas
a menudo de lo normal. Esto es util cuando tiene un brote de virus yotro parche con limitacion
temporal que necesite distribuirse lo antes posible. Por ejemplo, es posible que quiera que un
cliente lleve a cabo un analisis cada 30 minutos y cada inicio de sesion para un grupo espeafico que
832
GUÍA DE USUARIO
• Habilite el rastreo de alta frecuencia y las definiciones de reparacion para el grupo siguiente:
Habilita las funciones de rastreo de seguridad frecuente. Una vez marcada esta opcion,
necesitara seleccionar un grupo personalizado de la lista desplegable.
• Instalar (reparar) inmediatamente todos los elementos aplicables: haga clic para
habilitar el agente para que instale un parche si localiza uno en la carpeta que usted
haya especificado.
833
IVANTI ENDPOINT MANAGER
• Programar
. Por eventos
. Cuando el usuario inicia sesion: haga clic para rastrear y reparar las
definiciones cuando el usuario inicie sesion.
• Retraso arbitrario maximo: especifique una cantidad de tiempo para
retrasar el analisis y as^ evitar analizar simultaneamente todos los
dispositivos, lo que sobrecargana la red.
• Por programas
• Usar un programa recurrente: haga clic para analizar y reparar solo las
definiciones durante un tiempo especificado.
• Cambiar configuracion...: Abre el cuadro de dialogo Comando para el
programador local, donde puede definir los parametros del rastreo de
seguridad. Varias tareas de administracion de IVANTI comparten este cuadro
de dialogo. Haga clic en el boton Ayuda para obtener detalles.
• Sobrescribir ajustes: en el cuadro desplegable, seleccione los ajustes que desee
sobrescribir con la configuracion que haya especificado en el dialogo Distribucion y
revision.
• Editar...: haga clic para abrir el dialogo Configuracion de distribucion y revision para
ese ajuste concreto.
• Configurar: haga clic para abrir el dialogo Configurar la configuracion de distribucion
y revision. Para obtener mas informacion, haga clic en Ayuda.
Configuracion piloto
Utilice la pagina de Configuracion piloto para probar las definiciones de seguridad en un grupo
pequeno antes de llevar a cabo un despliegue mas amplio en toda la red. Por ejemplo, es posible
que desee instalar un nuevo parche de Microsoft solo en los dispositivos del grupo de TI para
asegurarse de que no provoca problemas antes de que se envfe a toda la organizacion. El uso de
un grupo piloto es opcional.
• Definiciones periodicas de rastreo y reparation en el siguiente grupo: Habilita las funciones
de rastreo de seguridad piloto. Una vez marcada esta opcion, necesitara seleccionar un
grupo personalizado de la lista desplegable.
834
GUÍA DE USUARIO
* Programar
. Por eventos
• Cuando el usuario inicia sesion: haga clic para rastrear y reparar las
definiciones cuando el usuario inicie sesion.
• Por programas
• Usar un programa recurrente: haga clic para analizar y reparar solo las
definiciones durante un tiempo especificado.
Rastreo de spyware
La deteccion de spyware en tiempo real supervisa los procesos nuevos iniciados que intentan
modificar el registro local. Si se detecta spyware, el analizador de seguridad del dispositivo le envfa
un mensaje al usuario final para que elimine el spyware.
835
IVANTI ENDPOINT MANAGER
• Configuracion
• Habilitar el bloqueo de spyware en tiempo real: activa la supervision y el bloqueo de
spyware en tiempo real en los dispositivos con esta configuracion de agente.
NOTA: para que funcione el analisis y la deteccion de spyware en tiempo real, debe
activar manualmente la funcion de reparacion automatica de cualquier definicion de
spyware descargada que desee incluir en el analisis de seguridad. Las definiciones de
spyware descargadas no tienen activada la funcion de reparacion automatica de forma
predeterminada.
Opciones de instalacion/eliminacion
Utilice las Opciones de instalacion/eliminacion para especificar lo que el agente debera llevar a cabo
una vez se haya determinado la necesidad del parche.
• Un reinicio ya esta pendiente: haga clic en esta opcion si desea iniciar la instalacion de un
parche independientemente de que el dispositivo haya solicitado un reinicio.
Continuacion
Utilice la pagina Continuacion para permitir al agente instalar o eliminar inmediatamente los
parches, en cuanto cumpla con unos criterios espedficos. Por ejemplo, si necesita instalar diez
parches para eliminar una unica vulnerabilidad, continuacion proporciona un metodo de instalarlos
uno tras otro.
Ventana de mantenimiento
Utilice esta pagina para especificar los parametros para el momento en que el agente pueda llevar a
cabo cualquier accion de instalacion, reparacion o eliminacion.
• El equipo debe estar en este estado: haga clic para especificar si el usuario debe estar
conectado o si el dispositivo debe estar bloqueado durante un tiempo determinado.
• Retrasar: utilice esta opcion si desea retrasar la accion durante unos minutos para
836
GUÍA DE USUARIO
• Ejecutar esta secuencia aunque falle la reparacion previa: especifique si desea instalar el
parche en caso de que no se ejecute la secuencia posterior a la reparacion.
• Introducir secuencia de muestra...: haga clic para seleccionar una secuencia de VBScript,
PowerShell o un archivo masivo para incluirla en la secuencia posterior a la reparacion.
• Introducir el metodo de llamada...: haga clic para abrir una lista de metodos de llamada
que desee agregar a la secuencia posterior a la reparacion. Haga clic sobre un metodo de
llamada de la lista para trasladarlo al cuadro de Contenido de secuencias.
• Usar editor...: haga clic para abrir Notepad, donde podra escribir una secuencia
personalizada.
Informacion de MSI
Utilice esta pagina si el archivo de parches necesita acceso a su recurso de instalacion de producto
que lo origino para instalar cualquier archivo suplementario que se pueda necesitar. Por ejemplo,
puede necesitar proporcionar esta informacion cuando intente aplicar una revision para Microsoft
Office u otro cualquier paquete de software.
• Ubicacion original del paquete: introduzca la ruta UNC a la imagen del producto.
837
IVANTI ENDPOINT MANAGER
838
GUÍA DE USUARIO
• Omitir la opcion de lmea de comandos /overwriteoem: indica que se omitira el comando para
sobrescribir las instrucciones espedficas de OEM. En otras palabras, se ejecutan las
instrucciones de OEM.
Personalizacion de marcas
Herramientas > Configuracion > Configuracion del agente > Configuracion de reinicio
Ahora los administradores cuentan con un mejor control sobre el reinicio. Con la Configuracion de
reinicio, los administradores pueden crear polfticas de reinicio que sean coherentes a lo largo de las
tareas programadas. Esta configuracion reemplazara la configuracion del agente predeterminado en
el cliente.
NOTE: La configuracion global del cuadro de dialogo Ajustes de agente reemplaza cualquier configuracion que
especifique en el cuadro de dialogo Configuracion de reinicio. La configuracion global No reiniciar nunca se
selecciona por defecto en la nueva configuracion del agente de Windows. Para modificar esta configuracion,
haga clic en Herramientas > Configuracion > Ajustes de agente > Agente estandar de IVANTIy desmarque la
casilla No reiniciar nunca.
NOTE: La configuracion de reinicio no se aplica a la tarea de reinicio que inicie desde la lista de dispositivos. Si
hace clic con el boton derecho sobre la lista de dispositivos del equipo y hace clic en Reiniciar, esa tarea
intentara reiniciar el dispositivo inmediatamente, reemplazando todas las configuraciones de reinicio y globales
del cuadro de dialogo de la configuracion del agente.
839
IVANTI ENDPOINT MANAGER
Utilice la pagina General para especificar cuando se debe iniciar el proceso de reinicio. Una vez
seleccionadas estas opciones en las otras paginas del cuadro de dialogo, la pagina General muestra
un resumen de la configuracion.
Utilice la pagina de avisos para personalizar el dialogo de reinicio que se mostrara en el equipo del
usuario final.
NOTE: El aviso solo aparecera si el usuario ha iniciado sesion y el equipo no esta bloqueado. En caso contrario,
el equipo se reiniciara sin mostrar ningun aviso. 23 24
• Mostrar el icono de la bandeja del sistema cuando se requiera un reinicio: Muestra el
• Preguntar al usuario antes de reiniciar: Haga clic para introducir un mensaje personalizado
que el usuario vera en el aviso de reinicio antes de que este se produzca.
• Utilizar mensaje predeterminado: Haga clic para eliminar el mensaje personalizado que
haya introducido y restaurar el mensaje predeterminado.
24 Permitir a los usuarios aplazar (repetir): Especifica el periodo de tiempo durante el
cual el usuario podra posponer el reinicio. El usuario podra escoger cuantas veces
posponer y cuanto tiempo esperar dentro de este periodo de tiempo. Cuando aparezca
el aviso, el usuario debera reiniciar o posponer.
840
GUÍA DE USUARIO
icono de la bandeja del sistema, que permite al usuario acceder al aviso de reinicio.
Por ejemplo, si un usuario escoge posponer el reinicio durante cuatro horas, pero
luego tiene tiempo para llevarlo a cabo una hora mas tarde, el icono de la bandeja del
sistema le permitira realizar el reinicio antes de lo que especifico previamente.
• Personalizar el tftulo de la ventana: Haga clic para introducir el texto que aparecera en
la barra del tftulo del aviso de reinicio.
• Vista previa...: Haga clic para ver el aviso que el usuario visualizara: Utilice esta
opcion para comprobar las opciones de personalizacion de marcas que haya
seleccionado.
• Acceder a "Personalizacion de marcas": Haga clic para abrir el cuadro de dialogo de
Personalizacion de marcas, donde podra seleccionar imagenes personalizadas para el
iconoyel banner.
Acerca de la pagina Reinicio automatico
Utilice la pagina de reinicio automatico para especificar las circunstancias en que se forzara el
reinicio.
841
IVANTI ENDPOINT MANAGER
Utilice la pagina No molestar para reemplazar la configuracion de las otras paginas en lo referente
al dialogo Reiniciar.
La pagina de No molestar contiene las siguientes opciones:
• Nombre de la configuracion:
• Duration de las entradas ARP de estad^sticas en cache:
• Retraso maximo:
• Frecuencia de actualization de la tabla de ARP en cache:
• Nivel de registro:
• Forzar el nivel de registro:
842
GUÍA DE USUARIO
* Nombre de la configuracion:
Utilice este cuadro de dialogo para crear perfiles de ajustes de borrado seguro remoto de HP.
Utilice este cuadro de dialogo (Configurar > Administrador de paquetes de borrado seguro remoto
de
HP) para crear, importary exportar remotamente paquetes de borrado de manera segura. Solo puede
iniciar este cuadro de dialogo en el servidor principal.
* Nombre de la empresa: puede ser cualquier cadena. Se introduce en el BIOS. Debe tener 20
caracteres o menos de byte unico o de doble byte.
* Nombre de paquete: este nombre aparece en las listas desplegables y en los menus. Es
conveniente que sea descriptivo. Debe tener 20 caracteres o menos de byte unico o de doble
byte.
* Crear: despues de introducir el nombre de la empresa y del paquete, haga clic en Crear para
generar las claves y la imagen del BIOS de RSE. Hace que la nueva clave pueda exportarse.
Haga una copia de seguridad de las claves exportadas lo antes posible.
* Importar un paquete de aprovisionamiento de borrado remoto seguro de HP creado en otro
servidor principal: muestra todas las claves copiadas manualmente en la carpeta de claves
de RSE (C:\Program Files\IVANTI\Shared Files\Keys\Rse) que todavfa no se hayan importado.
Seleccione la clave que desea importar y haga clic en Importar. Esto agrega la clave
seleccionada a la base de datos y la elimina de la lista.
* Importar: si hay paquetes de borrado seguro de otro servidor principal que no haya copiado
en este servidor principal, aparecen en la lista. Si los importa, se eliminan de la lista y se
agregan a la base de datos de RSE. Copie la carpeta que contiene las claves y paquetes
generados en la siguiente carpeta del servidor principal: C:\Program Files\IVANTI\Shared
Files\Keys\Rse.
* Seleccionar el paquete que se exportara: muestra la lista de las claves de RSE que conoce
este servidor principal. Seleccione la clave que desee exportar desde esta lista.
843
IVANTI ENDPOINT MANAGER
Herramientas > Configuracion > Configuracion del agente > HP > Configuracion de la BIOS de HP
Utilice este cuadro de dialogo para configurar las opciones de BIOS que luego se pueden
implementar en los dispositivos administrados de HP.
IMPORTANT: Se requiere un nuevo rastreo de inventario para que los cambios aparezcan en el
inventario
Cualquier cambio que realice en este cuadro de dialogo y despliegue a un dispositivo de destino de HP no se
reflejaran en el inventario del dispositivo hasta despues del siguiente rastreo de inventario. 25 26
844
GUÍA DE USUARIO
Temas relacionados
Para obtener instrucciones paso a paso sobre como configurar las opciones de HP BIOS que
pueden desplegarse a los dispositivos de destino, consulte Creary desplegar ajustes de HP BIOS a
dispositivos HP.
Herramientas > Configuracion > Configuracion del agente > HP > Pollticas de software de HP
Utilice este dialogo para configurar las opciones de HP Power Assistant que luego se pueden
implementar en los dispositivos administrados de HP.
IMPORTANT: Se requiere un nuevo rastreo de inventario para que los cambios aparezcan en el inventario
Cualquier cambio que realice en este cuadro de dialogo y despliegue a un dispositivo de destino de HP no se
reflejaran en el inventario del dispositivo hasta despues del siguiente rastreo de inventario. 27
Utilice la pagina de configuracion del rastreador para personalizar el comportamiento del rastreador.
845
IVANTI ENDPOINT MANAGER
Temas relacionados
Para obtener instrucciones paso a paso sobre como configurar las opciones de HP Software Policy
que pueden desplegarse a los dispositivos de destino, consulte Creary desplegar ajustes de HP
Software Policy a dispositivos HP.
Utilice el cuadro de dialogo de Configuracion del inventario para personalizar el comportamiento del
agente del inventario en los dispositivos administrados.
La pagina Ajustes generales controla algunos ajustes de cliente relacionados con el inventario.
* Habilitar mantenimiento del historial de tareas programadas: establece el numero de dias del
historial de tareas programadas que se guardan en la base de datos del cliente.
* Ejecutar el analisis de inventario automaticamente despues de la instalacion de paquetes de
software: utilicelo para actualizar los datos del inventario despues de instalar paquetes sin
tener que esperar al intervalo de analisis de inventario habitual. El retraso del analisis puede
configurarse despues de la instalacion.
Para los dispositivos de Hewlett Packard, si el dispositivo se marca como perdido (en el cuadro de
dialogo del Inspector del dispositivo, pagina Hewlett-Packard), se activa el intervalo de coleccion Al
perderse, lo que proporciona actualizaciones de la ubicacion mas frecuentes. Para obtener mas
informacion, consulte Trabajar con tabletas ElitePad en la consola.
NOTE: Los dispositivos que tienen la opcion Informacion de la ubicacion habilitada, deben tener Microsoft
.NET 4.0 instalado. Microsoft .NET 4 puede instalarse como parte del agente. Para ello, seleccione la opcion
de instalar .NET en la pagina Inicio de Configuracion de agentes.
• Enviar todos los archivos ejecutados: Habilite esta opcion si desea vertodos los datos de
archivo ejecutados y no solo los datos de los archivos que aparecen en la lista de software
supervisado.
• Enviar datos de utilizacion de archivos: Datos de utilizacion del software devuelto por los
rastreos de inventario que ha recopilado el supervisor de software.
846
GUÍA DE USUARIO
• Forzar el analisis de archivos exhaustivo: Analiza todas las extensiones de los archivos, lo
que puede ralentizar los analisis y resultar en archivos de analisis de inventario muy
voluminosos. Normalmente no recomendamos activar esta opcion.
• Actualizar el archivo LDAppl automaticamente Los dispositivos administrados guardan
informacion relativa a lo que debena buscar el rastreador del inventario, como cualquier
modificacion que se haya realizado en la herramienta Lista de software administrado. Esta
opcion sincroniza esa lista con el servidor central, de manera que la lista local siempre esta
actualizada.
• No enviar fechas de evento de inicio de sesion/bloqueo: El analisis puede devolver datos de
eventos de inicio de sesion/bloqueo del SO. Si le preocupa la privacidad de esto o si no
quiere estos datos, desactive esta opcion.
• Servicio Publicar en web: En lugar de copiar los archivos de rastreo en una carpeta del
servidor central, esta opcion envfa los archivos de rastreo directamente a un servicio web.
Esto es mas eficazyes un nuevo ajuste predeterminado.
• Cambiar el almacenamiento del historial: El analisis del inventario utiliza analisis delta para
monitorizar los cambios en un archivo XML. De manera predeterminada, este archivo guarda
datos de 90 dfas. Para obtener mas informacion acerca del historial de cambios, consulte
"Visualizacion del registro de los cambios en el inventario de un dispositivo" (162).
• Frecuencia del analisis de software: La regularidad con la que desea llevar a cabo analisis en
busca de cambios del software. El valor predeterminado es un dfa. Los analisis de software
son mas lentos que el analisis de inventario basico y puede afectar al rendimiento del
dispositivo.
• Extensiones de los archivos de datos: Si tiene archivos de datos espedficos para una
organizacion de la empresa, puede incluirlos aqrn. Incluya el periodo principal y separe cada
extension del archivo de datos con un espacio. El campo Extensiones heredadas muestra las
extensiones de archivos de datos globales que se ajustan en la herramienta Lista de software
administrado.
Acerca de la pagina Monitor de utilizacion de software
La pagina Monitor de utilizacion de software se usa para rastrear las estadfsticas de utilizacion del
Monitor de licencias de software. Esta funcion recopila informacion sobre tres tipos de datos:
estadfsticas de utilizacion provenientes del supervisor de licencias de software, informacion de
inventario adicional y capacidades del bloqueo de aplicaciones.
847
IVANTI ENDPOINT MANAGER
Cuando se desplieguen agentes en las imagenes de disco de la interfaz de escritorio virtual (VDI)
que no son persistentes, debe establecer una ruta de acceso UNC en la cual se almacenaran los
archivos de datos del supervisor de software. Si no establece una ruta de acceso, el supervisor de
licencias de software almacenara los datos de la supervision en el registro. En un entorno no-
persistente, los datos se perderan cuando se restablezca la imagen. Para obtener mas informacion,
consulte "Implementacion de agentes que no persistentes VDI imagenes" (125).
• Usar el supervisor de software: habilita el analisis del software a traves del supervisor de
licencias de software, de analisis de inventario y del bloqueo de aplicaciones mediante la
funcion de bloqueo de aplicaciones.
• Registrar las estadisticas de utilizacion de software en una ubicacion de red: seleccione esta
funcion y configure las opciones relacionadas si desea desplegar esta configuracion de
agente a una imagen VDI no persistente.
• Ruta de acceso UNC en la cual se almacenaran los archivos de datos del supervisor de
software: la ruta de acceso UNC que desee utilizar, con el formato\\nombre de
servidor\recurso compartido.
• Nombre de dominio y de usuario: Las credenciales de usuario que permitira el acceso a la
ruta de acceso UNC.
• Contrasena y Confirmar contrasena: la contrasena de la cuenta de usuario que se ingreso.
Utilice la pagina Programar para configurar cuando se ejecutaran los analisis del inventario.
• Cuando el usuario inicia sesion: ejecuta el analizador de inventario cuando el usuario inicia
sesion en el dispositivo administrado.
• Retraso arbitrario maximo: especifica un intervalo de tiempo durante el cual la tarea
se puede ejecutar. Este retraso permite que las tareas que se ejecutan durante el
inicio de sesion no se ejecuten al mismo tiempo, suponiendo que el intervalo de
retraso tenga el tiempo suficiente.
• Cuando la direccion IP cambia (analisis corto solamente): El activador de direcciones IP
solo envfa un analisis corto al Servidor central, lo cual hace que el inventario sea mucho
mas rapido cuando la direccion IPcambia.
• Cambiar configuracion: cambia la configuracion y configura un programa local
personalizado basado en la hora, el dfa de la semana o el mes, si el usuario ha iniciado
sesion o no, los cambios en la direccion IPy el ancho de banda de red disponible. El
programa predeterminado consiste en ejecutar un analisis cuando hay una direccion
IPytambien ejecutarlo a diario con un retraso arbitrario de hasta una hora.
848
GUÍA DE USUARIO
La configuracion de Firewall le permite controlar la forma en que opera IVANTI Firewall en los
dispositivos de destino.
849
IVANTI ENDPOINT MANAGER
1. En la ventana de la herramienta Configuracion del agente, haga clic con el boton derecho en
IVANTI Firewall yluego haga clicen Nueva.
Una vez configurada, se pueden desplegar los ajustes en los dispositivos de destino mediante una
850
GUÍA DE USUARIO
Utilice este dialogo para creary modificar una configuracion de IVANTI Firewall. Cuando se crea la
configuracion de Firewall, primero se define el modo de proteccion general, y luego se agregan y
configuran los programas de confianza, los ambitos de confianza y las reglas de conexion espedficos.
Puede creartantas configuraciones como deseey modificarlas en cualquier momento.
Si desea modificar la configuracion predeterminada del dispositivo sin volver a instalar el agente de
Endpoint Security o a implementar una configuracion completa del agente, realice los cambios
deseados en cualquier opcion del cuadro de dialogo de configuracion, asigne la nueva configuracion
a una tarea de cambio de configuracion y luego implemented en los dispositivos de destino.
Use esta pagina para habilitar la Barrera de seguridad IVANTI yconfigurar el modo de proteccion. Esta
851
IVANTI ENDPOINT MANAGER
Utilice esta pagina para configurary manejar ambitos de confianza. Un ambito de confianza esta hecho
de una coleccion de direcciones de red, por direccion IP, intervalo de IPo subred.
Esta pagina contiene las siguientes opciones:
• Subred del cliente de confianza: agrega el intervalo de subred del dispositivo de destino a la
lista de ambito de confianza. Se permite la comunicacion a traves de ese intervalo de subred.
• Ambitos de confianza: presenta una lista de todos los ambitos de confianza.
• Importar: Le permite importar intervalos de subred provenientes de los dispositivos
administrados incluidos en el inventario de la base de datos central.
• Agregar: le permite agregar una condicion a la lista. Agregar una condicion por direccion IP,
intervalo de IPo subred.
• Editar: le permite modificar la ubicacion de la condicion seleccionada.
• Eliminar: elimina la condicion seleccionada.
Utilice esta pagina para ver, administrary dar prioridad a las reglas de conexion. Las normas de
conexion pueden permitir o impedir las conexiones con base en el puerto o el intervalo de direcciones
IP, si el programa es de confianza y si la comunicacion esta dentro del ambito de la red de confianza.
Esta pagina contiene las siguientes opciones:
• Reglas de conexion: presenta una lista de todas las reglas de conexion.
. Subir: determinar la prioridad de la regla de conexion. Una regla de conexion superior en la lista
precede a cualquier regla que este mas bajo en la lista.
852
GUÍA DE USUARIO
conexion.
• Aplicar a estos puertos remotos: especifica los puertos locales a los cuales se aplican la
direccion y la accion (seleccionada a continuacion).
• Direccion: indica si la regla de conexion restringe las conexiones entrantes o las salientes.
• Accion: indica si la regla de conexion permite (acepta) o impide (rechaza) las conexiones.
• Permitir que los programas de confianza omitan: Le permite dar a los programas de confianza
la posibilidad de ignorar u omitir esta regla de conexion.
• Solo para ambito de confianza: limita la capacidad de los programas de confianza para
omitir la regla de conexion solo si la comunicacion es en el ambito de la red de
confianza.
853
IVANTI ENDPOINT MANAGER
Esta seccion contiene temas de ayuda que describen el cuadro de dialogo de configuracion de
IVANTI Mac Antivirus. Desde la interfaz de la consola, puede acceder a estos temas de ayuda
haciendo clic en Ayuda de cada cuadro de dialogo.
854
GUÍA DE USUARIO
• Permisos:
• Permite que el usuario desactive componentes de proteccion hasta por: Especifica
el penodo de tiempo durante el cual el usuario puede pausar o detener los
componentes de proteccion que se listan en la pagina Proteccion.
• Permitir al usuario actualizar definiciones: permite al usuario actualizar los archivos
de definicion de antivirus.
• Permitir al usuario restaurar objetos: Permite al usuario restaurar los objetos en
cuarentena y los objetos de la copia de seguridad.
• Permitir al usuario cambiar la configuracion: Permite al usuario programar los
rastreos y modificar las listas de exclusion y de aplicaciones de confianza.
• Establecer como predeterminado: Establece como predeterminada la configuracion de todas
las paginas del cuadro de dialogo de IVANTI Mac Antivirus. El nombre que introdujo
aparecera en la consola con el icono predeterminado i^junto a el. No puede eliminar una
configuracion que esta marcada como predeterminado. Cuando crea una nueva
configuracion de agente, las configuraciones se seleccionaran por defecto. A menos que la
tarea de analisis del antivirus tenga una configuracion de antivirus espedfica asociada,
IVANTI mac Antivirus utilizara la configuracion predeterminada durante las tareas de analisis
y definicion de las tareas de actualizacion.
Acerca de la pagina de IVANTI Mac Antivirus Protection
Utilice esta pagina para configurar el modo de funcionamiento de Antivirus de archivos con IVANTI
Mac Antivirus en los dispositivos de destino.
855
IVANTI ENDPOINT MANAGER
• Nivel de seguridad: Especifica uno de los tres niveles de seguridad de archivos: Proteccion
maxima, recomendada o velocidad maxima. Para seleccionar un nivel de seguridad, desplace
el control deslizante hacia arriba o hacia abajo de la escala. Si ninguno de los niveles de
seguridad predeterminados cumplen con sus necesidades, puede personalizar la
configuracion de rastreo seleccionando las pestanas General, Ambito de proteccion y
Adicional. Esto cambiara el nombre del nivel de seguridad a Personalizado. Seleccione el
nivel que mas se acerque a sus requisitos, como base, y modifique la configuracion de este
nivel.
Proteccion maxima: Proporciona el rastreo mas completo de los archivos que abra, guarde o
inicie.
Velocidad maxima: Le permite trabajar comodamente con las aplicaciones que requieren
muchos recursos del sistema, ya que el intervalo de archivos rastreados es mas pequeno.
856
GUÍA DE USUARIO
* General:
• Tipos de archivo: Especifica si se van a rastreas todos los archivos, si se va a
rastrear por contenido o por extension.
• Rastrear todos los archivos: Especifica que formatos de objetos se deben
rastrear en busca de virus cuando se abren, se ejecutan o se guardan.
• Rastrear programas y documentos (por contenido): Permite rastrear solo
los objetos potencialmente infectados o los archivos a los que un virus
pueda acceder. Se rastrea el encabezamiento interno del archivo para
identificar el formato (TXT, DOC, EXE, etc.). Si el rastreo pone de
manifiesto que un archivo de ese formato no puede infectarse, no se
rastreara en busca de virus e, inmediatamente, se hace accesible para el
usuario. Si el formato es susceptible a los virus, se lleva a cabo un
rastreo.
• Rastrear programas y documentos (por extension): Permite rastrear solo
los objetos potencialmente infectados, pero el formato del archivo se
determina por su extension. Los archivos sin extension siempre se
rastrean, independientemente del tipo de archivo seleccionado.
NOTE: No olvide que alguien podria enviar un virus a su equipo con la extension .txt,
aunque en realidad seria un archivo ejecutable cuyo nombre se ha modificado con el de
un archivo .txt. Si selecciona la opcion Rastrear programas y documentos (por
extension), el rastreador omitira estos archivos. Si selecciona la opcion Rastrear
programas y documentos (por contenido), IVANTI Mac Antivirus analizara el
encabezamiento del archivo, determinara que el archivo tiene el formato .exe y lo
rastreara en busca de virus. 30
857
IVANTI ENDPOINT MANAGER
858
GUÍA DE USUARIO
859
IVANTI ENDPOINT MANAGER
Ademas de la proteccion del sistema de archivos proporcionado por File Antivirus en modo de
tiempo real, es muy importante rastrear el equipo frecuentemente en busca de virus. Esto es
necesario para evitar que se propaguen los programas daninos que File Antivirus no ha detectado.
Por ejemplo, esto sena necesario si el nivel de proteccion seleccionado fuera muybajo.
IVANTI Mac Antivirus tiene integradas las siguientes tareas de rastreo de virus:
• Rastreo de virus: Busca virus en elementos individuales, como archivos, carpetas, discos,
dispositivos de conectar y usar.
• Rastreo completo: Busca virus en el equipo mediante un rastreo completo de todos los
discos duros.
• Rastreo rapido: Rastrea solo las areas cnticas del equipo en busca de virus, incluidas las
carpetas con archivos del sistema operativoy las bibliotecas del sistema.
Si desea programar un rastreo rapido o completo del cliente, cambie el modo Ejecutar de la pagina
deRastreo completo o la pagina de Rastreo rapido.
Esta pagina contiene las siguientes opciones:
860
GUÍA DE USUARIO
• Nivel de seguridad: Especifica uno de los tres niveles de seguridad de archivos: Proteccion
maxima, recomendada o velocidad maxima.
861
IVANTI ENDPOINT MANAGER
Proteccion maxima: Nivel de seguridad que proporciona el rastreo mas completo de los
archivos que abra, guarde o inicie.
Velocidad maxima: Nivel de seguridad que le permite trabajar comodamente con las
aplicaciones que requieran utilizar muchos recursos. El intervalo de archivos que se rastrean
con este nivel es reducido.
• Todos los archivos: Si haceclicen esta opcion, IVANTI Mac Antivirus rastreara
todos los archivos del equipo.
NOTE: No olvide que alguien podria enviar un virus a su equipo con la extension .txt, aunque en
realidad sena un archivo ejecutable cuyo nombre se ha modificado con el de un archivo .txt. Si
selecciona la opcion Rastrear programas y documentos (por extension), el rastreador omitira
estos archivos. Si selecciona la opcion Rastrear programas y documentos (por contenido),
IVANTI Mac Antivirus analizara el encabezamiento del archivo, determinara que el archivo tiene
el formato .exe y lo rastreara en busca de virus.
862
GUÍA DE USUARIO
* Optimization:
• Omitir si el rastreo dura mas de: Especifica, en segundos, el tiempo de rastreo
de un archivo antes de omitirlo.
• No rastrear los archivos con un tamano superior a: Excluye los archivos
grandes del rastreo. El valor se ajusta, de manera predeterminada, a 100 MB.
• Rastrear solo archivos nuevos y modificados: habilita IVANTI Mac Antivirus
para que rastree solo los nuevos archivos y los archivos que se han modificado
desde el analisis anterior. Este modo se aplica tanto a archivos sencillos como
a archivos compuestos.
• Tecnologia iSwift: Habilita el uso detecnolog^a iSwift, que permite a IVANTI Mac
Antivirus excluir determinados objetos del rastreo mediante un algoritmo
especial, para aumentar la velocidad del rastreo. El algoritmo tiene en
consideracion la fecha de publicacion de las bases de datos del antivirus, la
fecha mas reciente del rastreo de un objeto y otros cambios que se hayan
realizado a la configuracion del rastreo. Esta tecnica funciona con objetos de
cualquier formato, tamano y tipo. Existen limitaciones para iSwift: esta
vinculado a una ubicacion de archivos espedfica del sistema de archivos y solo
se aplica a objetos de HFS.
• Archivos compuestos:
• Analizar archivos: habilita IVANTI Mac Antivirus para que analice archivos RAR,
ARJ, ZIP, CAB, LHA, JARy ICE. En un rastreo completo, esta opcion se habilita
de manera predeterminada. Algunos archivos determinados (como los archivos
.ha, .uue, .tar) no se pueden eliminar automaticamenteya que IVANTI Mac
Antivirus no soporta su desinfeccion, incluso cuando se selecciona la opcion
Desinfectary eliminar si la desinfeccion falla. Para eliminar esos archivos, haga
clic en el boton Eliminar archivo en la ventana de aviso de deteccion de objetos
peligrosos. Esta notificacion se muestra en la pantalla despues de que la
aplicacion empiece a procesar los objetos detectados durante el rastreo.
Tambien puede eliminar manualmente los archivos infectados.
• Rastrear objetos incrustados: Habilita IVANTI Mac Antivirus para que rastree los
objetos incrustados en un archivo, como hojas de calculo de Excel, macros,
archivos adjuntos de correos electronicos, etc.
• Rastre los archivos con formato de correo electronico: Habilita el rastreo de
archivos con formato de correo electronico y las bases de datos de correo
electronico. IVANTI Mac Antivirus examina el archivo con formato de correo
electronico y rastrea cada componente (cuerpo, archivos adjuntos) en busca de
virus. Si desmarca esta opcion, IVANTI Mac Antivirus rastreara el archivo de
correo electronico como objeto unico.
• Rastrear archivos protegidos por contrasena: Habilita el rastreo de archivos
protegidos con una contrasena. Haga clic sobre esta opcion para visualizar la
ventana de solicitud de contrasena en la pantalla, antes de rastrear los objetos
del archivo. En caso contrario, IVANTI Mac Antivirus omitira los archivos
863
IVANTI ENDPOINT MANAGER
Ademas de la proteccion del sistema de archivos proporcionado por File Antivirus en modo de
tiempo real, es muy importante rastrear el equipo frecuentemente en busca de virus. Esto es
necesario para evitar que se propaguen los programas daninos que File Antivirus no ha detectado.
Por ejemplo, esto sena necesario si el nivel de proteccion seleccionado fuera muybajo.
IVANTI Mac Antivirus tiene integradas las siguientes tareas de rastreo de virus:
• Rastreo de virus: Busca virus en elementos individuales, como archivos, carpetas, discos,
dispositivos de conectar y usar.
• Rastreo completo: Busca virus en el equipo mediante un rastreo completo de todos los
discos duros.
• Rastreo rapido: Rastrea solo las areas cnticas del equipo en busca de virus, incluidas las
carpetas con archivos del sistema operativoy las bibliotecas del sistema.
864
GUÍA DE USUARIO
Utilice esta pagina para configurar el modo en que IVANTI Mac Antivirus lleva a cabo el rastreo
completo de los dispositivos de destino. Si desea programar un rastreo rapido del cliente, cambie el
modo Ejecutar de la pagina deRastreo rapido.
Proteccion maxima: Nivel de seguridad que proporciona el rastreo mas completo de los
archivos que abra, guarde o inicie.
Velocidad maxima: Nivel de seguridad que le permite trabajar comodamente con las
aplicaciones que requieran utilizar muchos recursos. El intervalo de archivos que se rastrean
con este nivel es reducido.
NOTE: No olvide que alguien podria enviar un virus a su equipo con la extension .txt, aunque en
realidad sena un archivo ejecutable cuyo nombre se ha modificado con el de un archivo .txt. Si
selecciona la opcion Rastrear programas y documentos (por extension), el rastreador omitira
estos archivos. Si selecciona la opcion Rastrear programas y documentos (por contenido),
IVANTI Mac Antivirus analizara el encabezamiento del archivo, determinara que el archivo tiene
el formato .exe y lo rastreara en busca de virus.
865
IVANTI ENDPOINT MANAGER
* Optimization:
• Omitir si el rastreo dura mas de: Especifica, en segundos, el tiempo de rastreo
de un archivo antes de omitirlo.
• No rastrear los archivos con un tamano superior a: Excluye los archivos
grandes del rastreo. El valor se ajusta, de manera predeterminada, a 100 MB.
• Rastrear solo archivos nuevos y modificados: habilita IVANTI Mac Antivirus para
que rastree solo los nuevos archivos y los archivos que se han modificado
desde el analisis anterior. Este modo se aplica tanto a archivos sencillos como a
archivos compuestos.
• Tecnologia iSwift: Habilita el uso de tecnologfa iSwift, que permite a File
Antivirus excluir determinados objetos del rastreo mediante un algoritmo
especial, para aumentar la velocidad del rastreo. El algoritmo tiene en
consideracion la fecha de publicacion de las bases de datos del antivirus, la
fecha mas reciente del rastreo de un objetoyotros cambios que se hayan
realizado a la configuracion del rastreo. Esta tecnica funciona con objetos de
cualquier formato, tamano y tipo. Existen limitaciones para iSwift: esta vinculado
a una ubicacion de archivos espedfica del sistema de archivos y solo se aplica a
objetos de HFS.
• Archivos compuestos:
• Analizar archivos: habilita IVANTI Mac Antivirus para que analice archivos RAR,
ARJ, ZIP, CAB, LHA, JARy ICE. En un rastreo completo, esta opcion se habilita
de manera predeterminada. Algunos archivos determinados (como los archivos
.ha, .uue, .tar) no se pueden eliminar automaticamenteya que IVANTI Mac
Antivirus no soporta su desinfeccion, incluso cuando se selecciona la opcion
Desinfectary eliminar si la desinfeccion falla. Para eliminar esos archivos, haga
clic en el boton Eliminar archivo en la ventana de aviso de deteccion de objetos
peligrosos. Esta notificacion se muestra en la pantalla despues de que la
aplicacion empiece a procesar los objetos detectados durante el rastreo.
Tambien puede eliminar manualmente los archivos infectados.
• Rastrear objetos incrustados: Habilita IVANTI Mac Antivirus para que rastree los
objetos incrustados en un archivo, como hojas de calculo de Excel, macros,
archivos adjuntos de correos electronicos, etc.
• Rastre los archivos con formato de correo electronico: Habilita el rastreo de
archivos con formato de correo electronico y las bases de datos de correo
electronico. IVANTI Mac Antivirus examina el archivo con formato de correo
electronico y rastrea cada componente (cuerpo, archivos adjuntos) en busca de
virus. Si desmarca esta opcion, IVANTI Mac Antivirus rastreara el archivo de
correo electronico como objeto unico.
• Rastrear archivos protegidos por contrasena: Habilita el rastreo de archivos
protegidos con una contrasena. Haga clic sobre esta opcion para visualizar la
ventana de solicitud de contrasena en la pantalla, antes de rastrear los objetos
del archivo. En caso contrario, IVANTI Mac Antivirus omitira los archivos
866
GUÍA DE USUARIO
Ademas de la proteccion del sistema de archivos proporcionado por File Antivirus en modo de
tiempo real, es muy importante rastrear el equipo frecuentemente en busca de virus. Esto es
necesario para evitar que se propaguen los programas daninos que File Antivirus no ha detectado.
Por ejemplo, esto sena necesario si el nivel de proteccion seleccionado fuera muybajo.
IVANTI Mac Antivirus tiene integradas las siguientes tareas de rastreo de virus:
• Rastreo de virus: Busca virus en elementos individuales, como archivos, carpetas, discos,
867
IVANTI ENDPOINT MANAGER
868
GUÍA DE USUARIO
• Rastreo completo: Busca virus en el equipo mediante un rastreo completo de todos los
discos duros.
• Rastreo rapido: Rastrea solo las areas cnticas del equipo en busca de virus, incluidas las
carpetas con archivos del sistema operativoy las bibliotecas del sistema.
Utilice esta pagina para configurar el modo de funcionamiento de IVANTI Mac Antivirus en el rastreo
de las areas cnticas de los dispositivos de destino. Si desea programar un rastreo completo del
cliente, cambie el modo Ejecutar de la pagina deRastreo completo.
• Nivel de seguridad: Especifica uno de los tres niveles de seguridad de archivos: Proteccion
maxima, recomendada o velocidad maxima.
Proteccion maxima: Nivel de seguridad que proporciona el rastreo mas completo de los
archivos que abra, guarde o inicie.
Velocidad maxima: Nivel de seguridad que le permite trabajar comodamente con las
aplicaciones que requieran utilizar muchos recursos. El intervalo de archivos que se rastrean
con este nivel es reducido.
• Todos los archivos: Si haceclicen esta opcion, IVANTI Mac Antivirus rastreara
todos los archivos del equipo.
NOTE: No olvide que alguien podria enviar un virus a su equipo con la extension .txt, aunque en
realidad sena un archivo ejecutable cuyo nombre se ha modificado con el de un archivo .txt. Si
selecciona la opcion Rastrear programas y documentos (por extension), el
869
IVANTI ENDPOINT MANAGER
rastreador omitira estos archivos. Si selecciona la opcion Rastrear programas y documentos (por
contenido), IVANTI Mac Antivirus analizara el encabezamiento del archivo, determinara que el
archivo tiene el formato .exe y lo rastreara en busca de virus.
* Optimization:
• Omitir si el rastreo dura mas de: Especifica, en segundos, el tiempo de rastreo
de un archivo antes de omitirlo.
• No rastrear los archivos con un tamano superior a: Excluye los archivos
grandes del rastreo. El valor se ajusta, de manera predeterminada, a 100 MB.
• Rastrear solo archivos nuevos y modificados: habilita IVANTI Mac Antivirus para
que rastree solo los nuevos archivos y los archivos que se han modificado
desde el analisis anterior. Este modo se aplica tanto a archivos sencillos como a
archivos compuestos.
• Tecnologia iSwift: Habilita el uso de tecnologfa iSwift, que permite a File
Antivirus excluir determinados objetos del rastreo mediante un algoritmo
especial, para aumentar la velocidad del rastreo. El algoritmo tiene en
consideracion la fecha de publicacion de las bases de datos del antivirus, la
fecha mas reciente del rastreo de un objetoyotros cambios que se hayan
realizado a la configuracion del rastreo. Esta tecnica funciona con objetos de
cualquier formato, tamano y tipo. Existen limitaciones para iSwift: esta
vinculado a una ubicacion de archivos espedfica del sistema de archivos y solo
se aplica a objetos de HFS.
870
GUÍA DE USUARIO
* Archivos compuestos:
. Analizar archivos: habilita IVANTI Mac Antivirus para que analice archivos RAR,
ARJ, ZIP, CAB, LHA, JARy ICE. En un rastreo completo, esta opcion se habilita
de manera predeterminada. Algunos archivos determinados (como los archivos
.ha, .uue, .tar) no se pueden eliminar automaticamenteya que IVANTI Mac
Antivirus no soporta su desinfeccion, incluso cuando se selecciona la opcion
Desinfectary eliminar si la desinfeccion falla. Para eliminar esos archivos, haga
clic en el boton Eliminar archivo en la ventana de aviso de deteccion de objetos
peligrosos. Esta notificacion se muestra en la pantalla despues de que la
aplicacion empiece a procesar los objetos detectados durante el rastreo.
Tambien puede eliminar manualmente los archivos infectados.
• Rastrear objetos incrustados: Habilita IVANTI Mac Antivirus para que rastree
los objetos incrustados en un archivo, como hojas de calculo de Excel, macros,
archivos adjuntos de correos electronicos, etc.
• Rastre los archivos con formato de correo electronico: Habilita el rastreo de
archivos con formato de correo electronico y las bases de datos de correo
electronico. IVANTI Mac Antivirus examina el archivo con formato de correo
electronico y rastrea cada componente (cuerpo, archivos adjuntos) en busca de
virus. Si desmarca esta opcion, IVANTI Mac Antivirus rastreara el archivo de
correo electronico como objeto unico.
• Rastrear archivos protegidos por contrasena: Habilita el rastreo de archivos
protegidos con una contrasena. Haga clic sobre esta opcion para visualizar la
ventana de solicitud de contrasena en la pantalla, antes de rastrear los objetos
del archivo. En caso contrario, IVANTI Mac Antivirus omitira los archivos
protegidos por contrasena cuando lleve a cabo un rastreo.
• Analizador heuristico: Define la profundidad del analisis heunstico. El nivel de rastreo
garantiza el equilibrio entre la minuciosidad de las busquedas de nuevas amenazas, la
carga sobre los recursos del sistema operativoyel tiempo de rastreo. Para ajustar un
nivel de rastreo, desplace el control deslizante a lo largo de la escala.
871
IVANTI ENDPOINT MANAGER
• Accion: especifica la accion que lleva a cabo IVANTI Mac Antivirus si se detectan archivos
infectados durante el rastreo. Antes de intentar desinfectar o eliminar un archivo infectado,
IVANTI Mac Antivirus crea una copia de seguridad para restauraciones y desinfecciones
siguientes.
• Avisar de una accion cuando se complete el rastreo: Una vez completado el rastreo,
IVANTI Mac Antivirus muestra un aviso de advertencia con la informacion sobre que
codigo danino ha infectado (infectado potencialmente) el archivo, y le ofrece la
seleccion de otras acciones. Estas acciones pueden variar segun el estado del objeto.
• Avisar de una accion durante el rastreo: Durante el rastreo, IVANTI Mac Antivirus
muestra un aviso de advertencia con la informacion sobre que codigo danino ha
infectado o puede infectar el archivo, y le ofrece la seleccion de otras acciones. Estas
acciones pueden variar segun el estado del objeto.
• No alertary solicitar accion
• Desinfectar: IVANTI Mac Antivirus intenta desinfectar automaticamentetodos los
archivos infectados que detecte. IVANTI Mac Antivirus bloquea el acceso al
objeto infectado e intenta desinfectarlo. Se guarda una copia de seguridad del
objeto en el Almacenamiento de copias de seguridad. Si se desinfecta
correctamente, se restaura para su uso normal. Notraslada el objeto si el intento
de cura no es satisfactorio. La informacion de esta accion se registra en el
informe, en la pestana Detectado. Para obtener acceso, procese los objetos del
informe.
• Eliminar si la desinfeccion falla: IVANTI Mac Antivirus elimina automaticamente
los objetos infectados, si falla el intento de recuperacion.
• Modo ejecutar: De manera predeterminada, IVANTI Mac Antivirus lleva a cabo un rastreo
diario. Para modificar el programa, haga clic en Editar... para abrir el cuadro de dialogo Modo
editar. En la lista de Frecuencia, seleccione la regularidad con que IVANTI Mac Antivirus
llevara a cabo un rastreo. En la seccion Programar, especifique los detalles adicionales que
se apliquen a la frecuencia seleccionada.
Acerca de la pagina de IVANTI Mac Antivirus Threats
Utilice esta pagina para configurar el modo en que IVANTI Mac Antivirus maneja los diferentes tipos
de malware.
• Categorias de malware: Le permite crear una lista de amenazas que desee detectar,
habilitando el control de los tipos de malware mas peligrosos.
• Virus, gusanos, troyanos, herramientas de pirateo: Este grupo incluye las categonas
de malware mas frecuentes y peligrosas. IVANTI Mac Antivirus siempre controla el
malware desde este grupo. Esta opcion se selecciona de manera predeterminada y no
se puede cancelar.
• Spyware y adware: Habilita el control de software peligroso. Esta opcion se selecciona
de forma predeterminada.
872
GUÍA DE USUARIO
Utilice esta pagina para programar las actualizaciones del archivo de patrones del cliente para
equipos de Mac. Los equipos de Mac utilizan el servicio OS X 'launchd' para descargar e instalar
estas actualizaciones del servidor central o del sitio web de Kaspersky. Si desea programar un
rastreo rapido o completo del cliente, cambie el modo Ejecutar de la pagina deRastreo completo o la
pagina de Rastreo rapido.
Esta pagina contiene las siguientes opciones:
• Tareas programadas:
• Actualizar: Especifica cuando se actualizan las definiciones de virus. Haga clic en
Cambiar programa... para abrir la ventana Programar actualizaciones de definiciones
de virus,
donde podra seleccionar la regularidad y la hora de una actualizacion.
Acerca de las tareas programadas de IVANTI Mac Antivirus: Pagina de actualizacion
• Descargar la version piloto de archivos de definiciones de virus: Haga clic en esta opcion
para descargar los archivos de definicion de virus desde la carpeta piloto, en lugar de desde
la ubicacion predeterminada del servidor central. Un conjunto restringido de usuarios puede
descargar las definiciones de virus de la carpeta piloto para probar las definiciones de virus
873
IVANTI ENDPOINT MANAGER
antes de implementarlas en toda la red. Cuando crea una tarea de analisis del antivirus,
tambien puede escoger descargar las ultimas actualizaciones de las definiciones de virus,
entre ellas las que residen en la carpeta de prueba piloto, luego asociar una configuracion de
antivirus con esta opcion habilitada para garantizar que los dispositivos de prueba reciban
los ultimos archivos conocidos de definiciones de virus. Si se selecciona esta opcion, no se
descargan los archivos de definiciones de virus de la carpeta predeterminada.
• Descargar actualizaciones de definiciones de virus: Especifica el sitio web de origen
(servidor central o servidor de contenido de Kaspersky) desde el que se descargan los
archivos de definicion de virus.
• Servidor preferido/Opciones de descarga de pares: Le permite configurar el servidor central
si se ha seleccionado una de las opciones de sitio de origen de descarga anteriores que
incluye el servidor central.
• Intentar servidor preferido: previene descargas de archivo de definicion de virus a
traves de un servidor preferido. Para obtener mas informacion sobre los servidores
preferidos, consulte "Acerca de la distribucion de software" (299).
• Amplitud de banda usada por el servidor central o el preferido (WAN): Especifica el ancho
de banda utilizado. Puede desplazar el control deslizante o introducir un valor en el cuadro
de porcentajes.
• Actualizar los modulos de la aplicacion: Habilita las descargas de las actualizaciones de los
modulos de la aplicacion,junto con las actualizaciones de la base de datos del antivirus. Si se
selecciona, IVANTI Mac Antivirus incluye las actualizaciones de los modulos de la aplicacion
que se encuentran en el paquete de actualizaciones, cuando la aplicacion ejecuta la tarea de
actualizacion. Esta opcion se selecciona de forma predeterminada.
• Volver a rastrear la cuarentena tras una actualizacion: Habilita el rastreo del contenido en
cuarentena despues de cada actualizacion. La cuarentena almacena los objetos cuyo
contenido incluye malware que no se haya identificado correctamente mediante File Antivirus
o durante una tarea de rastreo de virus. Despues de actualizar las bases de datos, IVANTI
Mac Antivirus sera capaz de identificar con claridad la amenaza y eliminarla.
Acerca de la pagina de IVANTI Mac Antivirus Reports
Utilice esta pagina para configurar las opciones del rastreador de IVANTI Mac Antivirus Reports en
los dispositivos de destino.
• Informes:
• Registrar eventos no cnticos: Habilita el registro de eventos de tipo informativo.
Generalmente, estos eventos no son importantes para la seguridad.
• Mantener solo eventos recientes: Habilita el registro unicamente de eventos
importantes, que se hayan producido durante la ultima ejecucion de la tarea. Si se
marca la casilla, la informacion se actualizara cada vez que se reinicie la tarea. Al
hacerlo, la informacion importante, como entradas de objetos daninos detectados, se
guardara, y la informacion no crftica se eliminara.
• Eliminar informes despues de: Especifica el termino maximo de almacenamiento de
874
GUÍA DE USUARIO
Utilice esta pagina para configurar el servicio que IVANTI Mac Antivirus utilizara en los dispositivos
de destino.
Utilice esta pagina para configurar la apariencia que IVANTI Mac Antivirus utilizara en los
dispositivos de destino.
• En la barra del menu Muestra el icono de IVANTI Mac Antivirus en la barra del menu. Esta
opcion se selecciona de forma predeterminada.
• En el Dock; muestra el icono de IVANTI Mac Antivirus en el Dock. Las modificaciones que
realice a la ubicacion del icono apareceran despues de reiniciar la aplicacion.
• En ningun lugar: Haga clic en esta opcion si no desea que aparezca el icono de IVANTI Mac
Antivirus.
Utilice esta pagina para configurar el modo en que IVANTI Mac Antivirus importara la configuracion
de Kaspersky en los dispositivos de destino.
875
IVANTI ENDPOINT MANAGER
• Configuracion actual importada de: El boton Explorar [...] abre la ventana Seleccionar un
archivo de configuracion de Kaspersky guardado anteriormente. Busque la carpeta \ldlogon,
haga clic en el archivo de configuracion yen Abrir.
Herramientas > Configuracion > Configuracion del agente > Perfil de configuracion de Mac
Utilice el cuadro de dialogo del Perfil de configuracion de Mac para seleccionar los perfiles de
configuracion que desee aplicar a dispositivos de Macintosh OS X. Para obtener mas informacion,
consulte "Applying Mac configuration profiles" (540).
NOTE: La consola de LDMS no tiene visor XML para este contenido, por lo que debe mantener una copia del
archivo para referencias futuras, incluso si el servidor central y la consola dejan de necesitarlo. 31
876
GUÍA DE USUARIO
• Establecer como predeterminado: Establece todos los ajustes del cuadro de dialogo del Perfil
de configuracion de Mac como configuracion predeterminada. El nombre que introdujo
aparecera en la consola con el icono predeterminado ,ijunto a el. No puede eliminar una
configuracion que esta marcada como predeterminado. Cuando crea una nueva
configuracion de agente, las configuraciones se seleccionaran por defecto.
Herramienta > Configuracion > Configuracion de agente > Movilidad > Exchange/Office 365
El cuadro de dialogo Mobile Exchange/Office 365 le permite configurar los ajustes del servidor de
correo para dispositivos iOS. Despues de que un dispositivo se conecte por primera vez, aplica
estos ajustes y el usuario puede acceder a su cuenta de correo.
• Permitir mover: Permite al usuario mover los mensajes a una cuenta diferente del
dispositivo, o responder o reenviar mensajes mediante una cuenta de correo diferente.
• Permitir sincronizar la direccion reciente: Permite sincronizar las direcciones que se han
utilizado recientemente con otros dispositivos, incluido iCloud.
• Utilizar solo en la aplicacion de correo: permite solo enviar mensajes desde la aplicacion de
correo, no desde otras aplicaciones del telefono, como Photos o Safari.
• Utiliza SSL: utiliza una conexion SSL cifrada para enviar correos al servidor Exchange.
• D^as pasados de correos para sincronizar: el numero de dfas transcurridos de correos para
sincronizar con el dispositivo.
Para empresas que utilicen Microsoft Office 365 y que quieran que Active Directory utilice
las direcciones de correo electronico existentes, configure la cuenta de Office 365 para la
sincronizacion con Active Directory.
Si ya ha configurado Active Directory con direcciones de correo electronico, esta es la
opcion que recomendamos para sincronizar las cuentas de correo electronico con los
877
IVANTI ENDPOINT MANAGER
dispositivos.
jdoe@mycomany.onmicrosoft.com
Esta opcion solo esta disponible si tiene IVANTI Mobility Managery esta configurado con la
informacion de Active Directory.
La pagina General le permite proporcionar un nombre para los ajustes yestablecerlo como
configuracion predeterminada.
No todas las opciones son compatibles en todos los tipos de dispositivos. Si deshabilita opciones
despues de distribuir los ajustes a los dispositivos, los ajustes se eliminaran de aquellos.
Pagina de certificados
Actualmente, los certificados son compatibles con los dispositivos iOS. Para eliminar un certificado
de un dispositivo despues de distribuirlo, puede eliminar el certificado desde esta pagina y
sincronizar el dispositivo, deshabilitar los ajustes del certificado y sincronizar el dispositivo o llevar
a cabo un borrado del dispositivo.
• Habilitar los ajustes del certificado: permite distribuir certificados a dispositivos moviles.
Pagina WiFi
Esta pagina contiene las siguientes opciones:
• Habilitar los ajustes de WiFi: permite distribuir los ajustes de WiFi a dispositivos moviles.
• Agregar: agregar una red WiFi y la informacion de autenticacion.
878
GUÍA DE USUARIO
Pestana Autenticacion
• SSID: el identificador del servicio para la red WiFi.
• Red oculta: permite al dispositivo localizar la red cuando no esta abierta ni emitiendo.
• Confianza: cuando la red establece una conexion con un tunel seguro, es posible que el
dispositivo necesite conocer la identidad del servidor de autenticacion. Proporcione los
certificados presentados por los servidores RADIUS. Los certificados aparecen en el
cuadro Certificados de confianza una vez se han agregado a la pagina Certificado.
Pestana proxy
32 Contrasena: contrasena para autenticar el servidor proxy. Este campo solo se utiliza en
los dispositivos iOS que utilicen un proxy manual. Si no proporciona una contrasena, el
usuario final debera proporcionarla para acceder al proxy.
879
IVANTI ENDPOINT MANAGER
IMPORTANT: No todos los dispositivos son compatibles con los ajustes de proxy. Si utiliza un proxy manual, es
posible que deba crear ajustes separado para dispositivos Android e iOS, ya que los sistemas no manejan los
proxies del mismo modo.
La pagina General le permite proporcionar un nombre para los ajustes yestablecerlo como
configuracion predeterminada.
Si deshabilita opciones despues de distribuir los ajustes a los dispositivos, los ajustes se eliminaran
de aquellos. Si deshabilita el requisito de contrasena, el requisito se eliminara del dispositivo, pero
no asf la contrasena.
Pagina de contrasena
Esta pagina contiene las siguientes opciones:
• Calidad minima de la contrasena: Una contrasena Simple se podra adivinar facilmente,
como 1111 o ABCD. Si ajusta la contrasena de menos calidad como Alfanumerica, la
contrasena debera incluir al menos una letra y un numero.
880
GUÍA DE USUARIO
• Permitir Siri durante el bloqueo: permite al usuario utilizar Siri sin introducir una contrasena
cuando el dispositivo esta bloqueado.
• Permitir las consultas de Siri de contenido generado por usuarios (solo bajo supervision):
permite acceder al contenido de Siri que hayan agregado otros usuarios.
• Permitir marcacion por voz: permite al usuario marcar con comandos de voz.
• Permitir compras desde la aplicacion: permite al usuario hacer compras mediante las
aplicaciones instaladas.
• Obligar al usuario a introducir una contrasena para todas las compras: obliga al usuario a
escribir su contrasena de la cuenta de iTunes Store cada vez que realice una compra.
• Permitir agregar amigos al Game Center: permite al usuario agregar amigos en el Game
Center.
• Permitir el Centro de control durante el bloqueo: permite al usuario deslizar la pantalla hacia
arriba para ver el Centro de control aunque el dispositivo este bloqueado.
• Permitir el uso de AirDrop: permite al usuario acceder a AirDrop. Esta opcion solo se aplica
si el dispositivo esta en modo Supervisado.
33 Permitir la vista Hoy durante el bloqueo: permite al usuario deslizar la pantalla hacia abajo
para ver la vista Hoy aunque el dispositivo este bloqueado.
881
IVANTI ENDPOINT MANAGER
• Permitir a las aplicaciones utilizar los datos del movil: permite que las aplicaciones del
dispositivo utilicen una conexion de datos del telefono movil. Esta opcion solo se aplica si
el dispositivo esta en modo Supervisado.
Pagina Aplicaciones
• Permitir el uso de iTunes Store: permite al usuario acceder a iTunes Store.
• Permitir el explorador web: permite al usuario iniciar Safari. Cuando esta opcion se
deshabilita, el usuario no puede iniciar Safari pero sf podra iniciar otros exploradores web,
como Chrome.
• Limitar el rastreo publicitario: evita que la Id. del dispositivo se utilice para rastreo
publicitario.
• Forzar la notificacion de fraude: cuando el usuario visita una web fraudulenta o peligrosa,
Safari muestra una notificacion.
• Permitir JavaScript: permite que las paginas web a las que accede el usuario con Safari
ejecuten JavaScript.
• Aceptar cookies: permite a Safari aceptar todas las cookies, rechazarlas todas o aceptar
solo las de los sitios a los que acceda directamente.
• Deshabilitar rotation del dispositivo: evita que la pantalla cambie la orientacion cuando se
gira el dispositivo.
882
GUÍA DE USUARIO
• Deshabilitar el cambio de tono: desactiva cualquier funcion asociada con el cambio de tono.
• Permitir Assistive Touch: permite al usuario utilizar las funciones de Assistive Touch para
que el dispositivo sea mas accesible. Esta opcion es para usuarios que tienen problemas
para tocar la pantalla o pulsar los botones.
• Permitir invertir los colores: permite al usuario invertir los colores de la pantalla.
• Permitir al usuario ajustar la inversion de colores: permite al usuario configurar las opciones
de inversion de colores.
• Permitir VoiceOver: permite al usuario utilizar las funciones de VoiceOver para que el
dispositivo sea mas accesible. Esta opcion es para usuarios que necesitan una presentacion
de audio del material o los menus de la pantalla. 34
• Id. de aplicaciones permitidas con autonomia para ejecutarse: permite que las aplicaciones
identificadas por las Id. masivas entren en el modo de aplicacion unica. Esta opcion solo se
aplica si tiene aplicaciones con la capacidad de entrar en modo de aplicacion sencilla.
Mobility Manager no hace que las aplicaciones entren en modo de aplicacion sencilla, solo
permite que la aplicacion lo haga por sf misma.
Pagina de iCIoud
• Permitir copias de seguridad: permite al usuario realizar copias de seguridad del dispositivo
con iCloud.
• Permitir al usuario cambiar el zoom: permite al usuario cambiar la configuracion del zoom.
883
IVANTI ENDPOINT MANAGER
• Permitir Photo Stream: permite al usuario utilizar Photo Stream. Si Photo Stream se
deshabilita despues de que el usuario haya compartido fotos con Photo Stream, se
eliminaran las fotos que se hayan compartido.
• Permitir fotos compartidas de photo stream: permite al usuario compartir sus fotos de photo
stream yver las de otros usuarios.
• Permitir el emparejamiento del host (solo con supervision): permite emparejar el dispositivo
con equipos diferentes a los que se utilizan para poner el dispositivo en modo Supervisado.
• Permitir el envfo de los datos de diagnostico a Apple: permite que el dispositivo envfo datos
de diagnostico a Apple.
NOTE: para que funcione el analisis y la deteccion de spyware en tiempo real, debe activar manualmente la
funcion de reparacion automatica de cualquier definicion de spyware descargada que desee incluir en el
884
GUÍA DE USUARIO
• Forzar las copias de seguridad cifradas: Fuerza al usuario a cifrar las copias de seguridad
mediante iTunes.
Utilice el cuadro de dialogo Otros ajustes de seguridad para especificary guardar una recopilacion
de ajustes de seguridad.
La deteccion de spyware en tiempo real solo verifica las definiciones de spyware que residen en el
grupo Analizar yquetienen la reparacion automatica activada. Puede habilitar de forma manual la
opcion de reparacion automatica de las definiciones de spyware descargadas o bien puede
configurar las actualizaciones de la definicion de spyware para que la opcion de reparacion
automatica se habilite automaticamente cuando estas se descarguen.
La deteccion de spyware en tiempo real supervisa los procesos nuevos iniciados que intentan
modificar el registro local. Si se detecta spyware, el analizador de seguridad del dispositivo le envfa
un mensaje al usuario final para que elimine el spyware.
885
IVANTI ENDPOINT MANAGER
Con el bloqueo de la aplicacion en tiempo real, la reparacion no es una tarea aparte. El bloqueo de
aplicaciones se produce como parte del analisis de seguridad mismo. Para ello edita el registro en
el disco duro local a fin de deshabilitar el acceso de los usuarios a las aplicaciones no autorizadas.
Servicios de seguridad utiliza la funcion softmon.exe para denegar el acceso a determinados
ejecutables de aplicaciones, incluso si el nombre de archivo del ejecutable ha sido modificado,
debido a que softmon.exe lee la informacion del encabezado del archivo.
Herramientas > Configuracion > Configuracion del agente > Administrador del portal
Utilice el cuadro de dialogo Ajustes del administrador del portal para especificary guardar una
recopilacion de ajustes del administrador del portal. El nombre que asigne a estos ajustes aparecera
en la lista de la pagina del Administrador del portal del cuadro de dialogo Ajustes de agente.
Las opciones de esta pagina determinan como aparece la ventana del Administrador del portal y si
los usuarios finales pueden cambiarla.
886
GUÍA DE USUARIO
• Iniciar maximizado: la ventana del Administrador del portal se abre a pantalla completa.
. Establecer como predeterminado: La configuracion del Administrador del portal que ha
configurado debe ser la predeterminada para nuevas configuraciones de agentes.
• Ver: seleccione la vista predeterminada cuando se abra el Administrador del portal, Lista,
Iconos pequenos o Iconos grandes.
• Tipos disponibles: los tipos de contenido que desee que esten visibles en el Administrador
del portal. Puede seleccionar Aplicaciones, Documentos y Enlaces.
Acerca de la pagina de aplicaciones
Utilice esta pagina para determinar que aplicaciones aparecen en el Administrador del portal para
que
el usuario final las seleccione.
• Aplicaciones disponibles: seleccione una aplicacion de esta lista y haga clic en >> para que
aparezca en el Administrador del portal.
• Mostrar en el Administrador del portal: las aplicaciones de esta lista se muestran en el
Administrador del portal. Para eliminar una aplicacion, seleccionela y haga clic en <<. Para
cambiar el orden en que aparecen las aplicaciones, seleccione una y haga clic en Subiry
Bajar.
• Nuevo: haga clic en este boton para definir una aplicacion nueva que se va a mostrar en el
Administrador del portal.
• Editar: seleccione una aplicacion y haga clic en este boton para cambiar su definicion.
• Copiar: seleccione una aplicacion y haga clic en este boton para crear una aplicacion nueva
que sea similar a una existente.
• Eliminar: seleccione una aplicacion y haga clic en este boton para eliminarla de la lista de
aplicaciones disponibles.
Para definir que aplicacion se va a utilizar en el Administrador del portal
Use esta pagina para personalizar la apariencia de la ventana del Administrador del portal.
887
IVANTI ENDPOINT MANAGER
• Tftulo de la aplicacion: el nombre que aparece en la barra de tftulo. Haga clic en Elegir color
del titulo para seleccionar el color del tftulo y el nombre de usuario que aparecen en la
ventana del Administrador del portal.
• Elegir el icono de la barra de tareas: haga clic aqm para seleccionar el icono de la barra de
tareas. Elija un archivo .ICO.
• Elegir el logotipo corporativo: haga clic para seleccionar la imagen que va a aparecer en la
esquina superior izquierda de la ventana. El tamano preferido es de 135 x 52 pfxeles o
inferior.
• Elegir imagen de fondo: haga clic para seleccionar la imagen que va a aparecer como fondo
de la ventana.
• Vista preliminar de personalizacion de marca: haga clic para ver las opciones de
personalizacion de marca en una ventana vada.
Herramientas > Seguridad y cumplimiento > Configuracion del agente > Administracion de ene^a >
Ajustes de administracion de ene^a
La administracion de energfa utiliza una gestion basada en polfticas para enviar instrucciones de
espera, hibernacion, apagado y encendido a los equipos administrados. Las polfticas de
administracion de energfa le permiten controlar equipos y grupos de equipos especficos.
Para especificar los ajustes de una nueva politica de administracion de energfa
Puede agregar varios esquemas de energfa, segun sea necesario. Para eliminar un esquema
de energfa de una politica, haga clic en el boton Eliminar (^) junto al esquema.
4. Ampliar Opciones en la columna de la izquierda. Seleccione los valores en las seis paginas
de opciones.
5. Cuando todas las opciones esten definidas, haga clic en Guardar.
888
GUÍA DE USUARIO
• Activador de inactividad: seleccione el lapso que debe transcurrir antes de que se ejecute la
accion (desde 1 minuto hasta 5 horas, o nunca). Nota: si selecciona Apagar en la lista de
Acciones, el tftulo de esta lista cambiara de Activador de inactividad a Tipo de apagado
(ffsico o por software).
• Origen: seleccione la fuente de energfa que utiliza el dispositivo (conexion, batena, ninguna).
• D^a: seleccione el d^a o dfas de la semana para la ejecucion de la accion.
889
IVANTI ENDPOINT MANAGER
• Permitir acceso de HTML: le permite al agente de control remoto recibir solicitudes HTML de
control remoto. Para obtener mas informacion, consulte "Control remoto de HTML" (290).
• Permitir el acceso del control remoto heredado: permite que el agente de control remoto
reciba solicitudes de control remoto heredado desde la aplicacion del visor de control
remoto de Windows. Para obtener mas informacion, consulte "Uso del visor de control
remoto" (277).
Hay dos conjuntos de permisos de control remoto que pueden concederse. Uno afecta solo a la
aplicacion/agente del visor de control remoto de Windows. El otro afecta tanto al visor/agente de
control remoto de Windows como al visor/agente HTML de control remoto.
Permisos heredados
• Control remoto: otorga permiso para controlar el dispositivo.
• Dibujar: otorga permiso para utilizar las herramientas de dibujo de la ventana del visor en el
dispositivo.
• Chat: otorga permiso para hablar con el dispositivo.
• Ejecutar programas en dispositivo remoto: otorga permiso para ejecutar programas en el
dispositivo.
• Ejecutar como administrador: inicia los programas con permisos de administrador.
Permisos heredados y HTML
• Solo vista de control remoto: Las sesiones de control remoto solo pueden verse. El visor de
control remoto solo puede ver el equipo remoto y no puede tomar el control.
890
GUÍA DE USUARIO
El cuadro de dialogo Ajustes del control remoto de la pagina Configuracion del indicador contiene
las siguientes opciones:
• Icono flotante en el escritorio: muestra el icono del agente de control remoto en la pantalla
del dispositivo siempre o solo cuando se lo controla de forma remota. Cuando el control lo
ejerce la consola, el icono cambia para mostrar una lupa y la barra de tftulo cambia a color
rojo.
• Icono en la bandeja del sistema: coloca el icono del agente de control remoto en la bandeja
del sistema. Una vez mas, el icono se puede ver siempre o solo mientras se lleva a cabo el
control remoto.
El cuadro de dialogo Ajustes del control remoto de la pagina Configuracion de permisos contiene
las siguientes opciones:
le presenta al usuario un mensaje personalizado creado aqrn para solicitar permiso para
efectuar alguna de las siguientes opciones:
• Control remoto
• Conversacion
• Ejecucion remota
• Transferencia de archivos
• Reiniciar
• Todos los permisos
• Solicita permiso para usar todas las funciones a la vez
• Cerrar cuadro de mensajes de permiso despues de: permite que el usuario le acepte o niegue
el permiso (en segundos) al dispositivo administrado. Este es un valor de tiempo
configurable con relacion a cuanto tiempo permanece abierta la ventana de permisos cuando
se solicita permiso para controlar remotamente un dispositivo administrado.
891
IVANTI ENDPOINT MANAGER
• Plantilla local: constituye el nivel de seguridad mas basico, el cual utiliza las configuraciones
de control remoto especificadas en el dispositivo. Este modelo no precisa ninguna otra
autenticacion o pertenencia a un grupo.
• Seguridad de Windows NT/plantilla local: solo permite que los miembros del grupo de
operadores de control remoto inicien conexiones de control remoto en los dispositivos
remotos desde la consola. Los usuarios autorizados de todos modos deben utilizar los
permisos establecidos en la pagina Configuracion de permisos de este cuadro de dialogo.
Puesto que el Grupo de operadores de control remoto es un grupo local, cada dispositivo
dispone de su propia copia del grupo. Para evitar la administracion del grupo de operadores
de control remoto de cada dispositivo de forma individual, incluya grupos globales (nivel de
dominio) con cada grupo local. Los usuarios con permisos todavfa utilizan las opciones de
control remoto del dispositivo, tales como el permiso requerido.
• Seguridad integrada: esta es la opcion mas segura y es la predeterminada. La seguridad
integrada se describe en la siguiente seccion.
Acerca de la Seguridad integrada
1. El visor del control remoto se conecta con el agente de control remoto del dispositivo
administrado. Sin embargo, el agente responde que la seguridad integrada debe estar
autentificada.
2. El visor le pide derechos de control remoto al servidor central.
3. El servidor central calcula los derechos de control remoto segun el ambito del visor, los
derechos administrativos basados en funciones y los derechos de Active Directory. Luego, el
servidor central crea un documento firmado seguro que envfa al visor.
4. El visor envfa este documento a un agente de control remoto del dispositivo administrado,
que comprueba el documento firmado. Si todo es correcto, el agente le permite al control
remoto comenzar a funcionar.
892
GUÍA DE USUARIO
Si selecciona Seguridad de Windows NT/Plantilla local como modelo de seguridad, los cuadros
Grupo de operadores de control remoto y Grupo de solo ver incluyen los usuarios para la consola o
para el dominio de Windows NT seleccionado. Los usuarios que se seleccionen aqm tendran acceso
de control remoto a los dispositivos que reciben la configuracion definida en este archivo de
valores de configuracion. Los usuarios del Grupo de solo ver solamente pueden ver los dispositivos
remotos. No pueden tomar control del raton o del teclado.
Al agregar usuarios a uno de los grupos de control remoto, la consola utiliza las credenciales de
Windows del usuario que ha iniciado la sesion y no las credenciales del usuario de la consola de
IVANTI, para hacer una lista de los usuarios de un dominio. Si el cuadro Lista de usuarios de no
muestra el dominio que desea, inicie una sesion en Windows como usuario con derechos en ese
dominio.
Para realizar la seleccion en un servidor o dominio existente
1. En la pagina Control remoto, haga clic en Seguridad y plantilla local de Windows NT y luego
en el boton Agregar.
2. En el cuadro Enumerar usuarios de, seleccione el nombre del servidor central o un nombre
de dominio de Windows NT que contenga cuentas de usuario.
3. En la lista de usuarios, seleccione uno o varios usuarios y haga clic en Insertar para
agregarlos a la lista Nombres insertados.
4. Seleccione Aceptar para agregar los nombres seleccionados al grupo de operadores de
control remoto en cada dispositivo que reciba estos valores de configuracion.
5. Si desea que algunos de estos usuarios pertenezcan al Grupo de solo ver, seleccionelos y
muevalos. Los usuarios solamente pueden pertenecer a un grupo.
Para introducir nombres de forma manual
Para escribir nombres de forma manual, haga clic en la lista Nombres insertados y utilice cualquiera
de los siguientes formatos para escribirlos. Utilice puntos y comas para separar los nombres.
• DOMINIO\nombredeusuario; DOMINIO es el nombre de cualquier dominio al que puede
acceder el dispositivo de destino.
• MAQUINA\nombredeusuario; MAQUINA es el nombre de cualquier dispositivo en el mismo
dominio que el dispositivo de destino.
• DOMINIO\nombredegrupo; DOMINIO es el nombre de cualquier dominio al que puede acceder
el dispositivo de destino y nombredegrupo es el nombre de un grupo de administracion de
dicho dominio.
• MAQUINA\nombredegrupo; MAQUINA es el nombre de cualquier dispositivo en el mismo
dominio que el nodo administrado y nombredegrupo es el nombre del grupo de
administracion en dicho dispositivo.
Si no especifica ningun nombre de dispositivo o dominio, se asume que el usuario o grupo
especificado pertenece al dispositivo local.
Haga clic en Aceptar para agregar los nombres al grupo de usuarios de operadores de control
893
IVANTI ENDPOINT MANAGER
El cuadro de dialogo Ajustes del control remoto de la pagina Configuracion de seguridad contiene
las siguientes opciones:
• Terminar el acceso remoto si el usuario cierra sesion o bloquea el equipo: finaliza el acceso
remoto si el usuario cierra sesion o bloquea el equipo.
• Permitir que el usuario final termine la sesion: si se selecciona esta opcion, los usuarios que
se controlan en remoto pueden utilizar el icono flotante del control remoto o el icono de la
bandeja del sistema para detener las sesiones de control remoto. Si no se selecciona esta
opcion, los usuarios no podran detener las sesiones activas.
• Cerrar sesion inactiva despues de: si no se transmite actividad del raton o del teclado
mediante el visor de control remoto durante el tiempo de espera, la sesion termina.
Utilice el dialogo de Inquilino para administrar las configuraciones de inquilino. Para obtener mas
informacion, consulte "Informacion general sobre la Administracion de inquilinos" (1149).
• Inquilinos disponibles
• Elegir un inquilino:
Para obtener informacion acerca de estas paginas del cuadro de dialogo, consulte "Configurar las
opciones de Windows Firewall" (739).
Herramientas > Seguridad y cumplimiento > Seguridad > Seguridad de punto final > Listas de
archivos de confianza
Utilice este cuadro de dialogo para administrar la lista de archivos de confianza. Las listas de
archivos de confianza contienen archivos que se han configurado con un conjunto espedfico de
derechos (privilegios o autorizaciones) que permiten y niegan ciertas acciones que pueden ser
realizadas sobre ese archivopor alguna aplicacion.
Este cuadro de dialogo contiene las opciones siguientes:
894
GUÍA DE USUARIO
• Nombre: identifica la lista de archivos de confianza con un nombre unico. Puede utilizar la
funcion Buscar para ubicar elementos que contengan palabras o frases espedficas en una
lista. La lista resultante muestra solo los elementos que coinciden con los criterios de
busqueda.
• Agregar: Abre un cuadro de dialogo de exploracion de archivos donde se puede navegary
seleccionar el archivo que se desee configurar con las certificaciones de archivos.
• Editar: Permite modificar las certificaciones del archivo seleccionado.
• Eliminar: Elimina el archivo seleccionado y sus certificaciones.
• Mover: Abre un cuadro de dialogo que le permite seleccionar uno o mas archivos de
confianza y luego moverlos o copiarlos a otra lista.
• Establecer como predeterminado: Asigna esta lista como la lista de archivos de confianza
predeterminada de las tareas que utilizan esta configuracion de HIPS (o Firewall).
• id: identifica esta lista en particular. Esta informacion se almacena en la base de datos y se
utiliza para llevar un control de cada lista.
Acerca del cuadro de dialogo Archivos de confianza
Utilice este cuadro de dialogo para configurar los derechos de HIPS o IVANTI Firewall de un archivo
de aplicacion especfico.
895
IVANTI ENDPOINT MANAGER
896
GUÍA DE USUARIO
Temas relacionados
Utilice la configuracion del agente para desplegar por primera vez o modificar los componentes
instalados de Endpoint Manager. Utilice la configuracion del agente para modificar el
funcionamiento de los componentes instalados de Endpoint Manager.
897
IVANTI ENDPOINT MANAGER
898
GUÍA DE USUARIO
Security activity
Informacion general sobre Actividad de seguridad
La nueva herramienta de Actividad de seguridad proporciona una conveniente ventana individual en
la cual puede ver el estadoy la informacion de actividad de varios servicios de IVANTI Security Suite
que se ejecutan en los dispositivos administrados.
. IVANTI Antivirus
• Prevencion de Intrusion de Host (HIPS)
. IVANTI Firewall
• Control de dispositivos
Las herramientas de seguridad que se pueden ver se describen en las siguientes secciones.
Ver la Informacion de la actividad y el estado de IVANTI Antivirus
Si el rastreador de IVANTI Antivirus detecta alguna de las definiciones de virus seleccionadas en
899
IVANTI ENDPOINT MANAGER
los dispositivos de destino, esta informacion se transmite al servidor central. Puede utilizar
cualquiera de los siguientes metodos para ver la informacion de seguridad detectada tras la
ejecucion del rastreo.
Esta ventana muestra informacion de actividad y estado de antivirus segun las siguientes
categonas:
• Infecciones por equipo
• Infecciones por virus
• Infecciones en cuarentena por equipo
• Infecciones en cuarentena por virus
• Elementos de confianza por equipo
• Equipos que recientemente no han informado actividad de antivirus
• Actividad de antivirus reciente por equipo
• Actividad de antivirus reciente por virus
Ademas, haga clic con el boton derecho en el dispositivo rastreado, seleccione Informacion de
seguridad y revisiones, yen la lista desplegable Tipo seleccione Antivirus. Se puede ver:
Para personalizar el ambito y el enfoque de los datos que se muestran, haga clic en Umbrales y
cambie los umbrales del penodo de tiempo de la actividad de antivirus reciente de los dispositivos
rastreados y de los que no se han rastreado recientemente.
En esta vista, tambien puede hacer clic con el boton derecho sobre un dispositivo yacceder a su
menu de acceso directo y desde alif realizar directamente las tareas disponibles.
900
GUÍA DE USUARIO
• Infecciones por equipo: Detalla en el panel derecho los dispositivos en los que se detectaron
infecciones de virus durante el ultimo rastreo del sistema. Seleccione un dispositivo para ver
los virus espedficos que lo infectaron.
• Infecciones por virus: Detalla en el panel derecho los virus que se detectaron en los
dispositivos administrados durante el ultimo rastreo del sistema. Seleccione una definicion
de virus para ver que dispositivos ha infectado.
• Equipos con reciente actividad de antivirus: Detalla todos los dispositivos que tienen el
agente de IVANTI Antivirus y que se han rastreado y han devuelto actividad de antivirus
durante el penodo de tiempo especificado en el cuadro de dialogo Configuracion de
umbrales. Seleccione un dispositivo para ver sus actividades especficas de antivirus,
incluyendo deteccion de virus, eliminacion, cuarentena de objeto infectados, copia de
seguridad y restauracion.
Tambien puede ver la actividad de intrusion de host especfica en la parte inferior de la ventana,
donde se incluyen los detalles siguientes:
• Fecha de la accion
• Accion
• Descripcion
• Aplicacion
• Version de archivo
• Tamano de archivo
• Fecha de archivos
• Modo
901
IVANTI ENDPOINT MANAGER
• Hash de MD5
Acerca del cuadro de dialogo de Actividad HIPS
Utilice este cuadro de dialogo para ver en detalle la actividad de HIPS en todos los dispositivos
administrados que tengan el agente de IVANTI HIPS. Los datos se utilizan para generar informes de
IVANTI HIPS que se encuentran disponibles en la herramienta Informes.
Para personalizar el alcance y el enfoque de los datos que se visualizan, haga clic en Umbrales y
cambie el umbral de penodo detiempo para el almacenamiento de la informacion de actividad de
HIPS en la base de datos central, y para la cantidad de elementos que se visualizan en las listas de
la ventana de actividad de HIPS.
En esta vista, tambien puede hacer clic con el boton derecho sobre un dispositivo y acceder a su
menu de acceso directo y desde allf realizar directamente las tareas disponibles.
902
GUÍA DE USUARIO
Utilice este cuadro de dialogo para definir periodos de tiempo de recoleccion de datos y controlar la
cantidad de datos relativos a la seguridad que se almacenan en la base de datos central de las
herramienta de IVANTI Antivirus, HIPS, Firewall. Esta informacion apareceen las vistas
correspondientes de Actividad de seguridad.
903
IVANTI ENDPOINT MANAGER
Purgar la actividad de seguridad es una tarea unica, no es una tarea programada o poiftica.
Utilice este cuadro de dialogo para eliminar completamente los registros de actividad de la consola
y base de datos principal.
904
GUÍA DE USUARIO
Alertas de antivirus
Seleccione las alertas que desea que se generen. La opcion del intervalo de tiempo le permite evitar
recibir demasiadas alertas. Mas de una alerta (para cualquier activacion de antivirus) durante el
intervalo de tiempo especificado se ignora.
905
IVANTI ENDPOINT MANAGER
Endpoint security
Informacion general sobre Endpoint Security
La nueva herramienta de Endpoint Security es un conjunto de funciones y configuraciones
complementarias que le permiten configurar e implementar una solida seguridad del sistema en los
dispositivos administrados en la red. Puede restringir las conexiones a la red de los dispositivos
administrados, restringir el acceso a estos equipos por otros tipos de dispositivos y utilizar las
herramientas de Host Intrusion Prevention (HIPS) y IVANTI Firewall para evitar operaciones de
aplicaciones no autorizadas.
Endpoint Security proporciona una defensa impenetrable en todos los dispositivos protegidos dentro
de su red de IVANTIy el penmetro de esta, asf como a los usuarios moviles, con lo cual se brinda un
control completo sobre el acceso a estos dispositivos y desde ellos, y lo que se permite que suceda
en ellos. Puede definir ubicaciones de confianza (conexiones de red) en los dispositivos
administrados, crear configuraciones para cada uno de los componentes de Endpoint Security
mencionados, y utilizar las configuraciones en funcion de si el dispositivo esta dentro de la ubicacion
de red de confianza o fuera de ella.
906
GUÍA DE USUARIO
1. Haga clic en Herramientas > Configuracion > Configuracion del agente. En la ventana de
herramientas Configuracion del agente, haga clic con el boton derecho en Endpoint Securityy
luego haga clic en Nueva.
907
IVANTI ENDPOINT MANAGER
Una vez configurada, se pueden desplegar los ajustes en los dispositivos de destino mediante una
tarea de actualizacion o instalacion, o una tarea de configuracion de cambios.
Una vez que Seguridad de punto final se haya implementado en los dispositivos administrados, se
puede tener acceso al clienteya sea a traves del menu Inicio o del icono de la bandeja del sistema.
908
GUÍA DE USUARIO
Utilice la seccion Control de aplicacion de las herramientas de actividad de seguridad (Herramientas >
Seguridad y cumplimiento > Actividad de seguridad) para ver las notificaciones de Endpoint Security.
Si existen acciones de endpoint security que necesiten su atencion, tambien vera una notificacion
cuando inicie sesion en la Endpoint Manager consola.
Use esta pagina para configurar el reconocimiento de ubicacion (red de confianza) y otras
configuraciones de acceso.
909
IVANTI ENDPOINT MANAGER
Utilice esta pagina para ver y administrar las aplicaciones y proveedores con firma digital de
confianza.
• No confiar en las aplicaciones con firma digital: No confiar automaticamente en las
aplicaciones con firma digital. Deshabilita el resto de las opciones del cuadro de dialogo.
• Confiar en todas las aplicaciones con firma digital: Confiar automaticamente en las
aplicaciones con firma digital. Tenga cuidado cuando utilice esta opcion. Aunque las firmas
digitales implican cierto nivel de credibilidad, no garantiza que una aplicacion deba estar en
su entorno.
• Confiar en las aplicaciones con firma digital de estos proveedores: Confiar solo en las
aplicaciones con firma digital de los proveedores que indique. En la lista de Proveedores de
confianza aparece una lista basica de proveedores acreditados predeterminados. Puede
utilizar los botones que aparecen bajo la lista para modificarla.
• Proveedores detectados: proveedores localizados mediante el analisis de software del
inventario en dispositivos administrados.
• Proveedores de confianza: Nombres de proveedores de confianza. Utilice asteriscos para
asegurarse de que el nombre del proveedor cumple con las variaciones del nombre que
aparece en las aplicaciones con firma digital.
• Agregar, editar y eliminar: utilice estos botones para administrar los nombres de
proveedores de la lista de proveedores.
Utilice esta pagina para configurar la configuracion de agente del componente del agente de
seguridad y la configuracion de la lista de archivos de confianza.
Componentes: seleccione la configuracion del agente que desee usar para cada componente.
910
GUÍA DE USUARIO
. Listas de archivos de confianza: utilice los botones de Agregary Editar para configurar las
listas de archivos de confianza que desee utilizar
• Lista de aprendizaje: Cuando se ajusta un componente en modo de aprendizaje, la
informacion del archivo de aprendizaje se agrega a esta lista.
• Agregar una actividad de aprendizaje a la lista de aprendizaje unicamente: solo actualiza la
lista de aprendizaje indicada.
• Agregar una actividad de aprendizaje a cada lista en la cual ya exista el mismo archivo:
actualiza todas las listas de archivos de confianza que tienen una entrada de archivo de
aprendizaje.
Utilice este cuadro de dialogo para especificar las rutas de las carpetas de los dispositivos
administrados que se deban considerar como de confianza.
Haga clic en Agregary especifique una ruta de carpeta y los derechos que desee dar a la carpeta y
todas las carpetas secundarias.
Utilice este cuadro de dialogo para especificar las rutas de las carpetas de los dispositivos
administrados que se deban monitorizar. Se monitorizan todos los archivos y carpetas secundarias
que se encuentran en una carpeta monitorizada. Utilice la seccion Control de aplicacion de las
herramientas de actividad de seguridad (Herramientas > Seguridad y cumplimiento > Actividad de
seguridad) para ver las notificaciones de las carpetas monitorizadas. Si existen acciones de
endpoint security que necesiten su atencion, tambien vera una notificacion cuando inicie sesion en
la Endpoint Manager consola.
Haga clic en Agregary especifique una ruta de acceso a la carpeta, los patrones de archivos,
exclusiones y actividades de archivos que desee monitorizar.
Control de aplicaciones
Informacion general de control de aplicaciones
911
IVANTI ENDPOINT MANAGER
El control de aplicaciones protege los servidores y las estaciones de trabajo mediante la colocacion
de agentes de software entre las aplicaciones y el kernel de sistema operativo. Con las reglas
predeterminadas que se basan en el comportamiento habitual de los ataques de malware, estos
sistemas evaluan actividades tales como solicitudes de conexion de red, intentos de lectura o
escritura en la memoria o intentos de acceso a aplicaciones espedficas. Se permite el
comportamiento que se sabe que es aceptable, el comportamiento conocido como inaceptable se
bloquea y el comportamiento sospechoso se marca para su posterior evaluacion.
Se accede a la configuracion del control de aplicaciones desde la consola principal (Herramientas >
Seguridad y cumplimiento > Configuracion del agente). La herramienta de Configuracion del agente
de control de aplicaciones le permite creartareas de instalacion, actualizacion y eliminacion del
agente de control de aplicaciones; configurar las opciones de control de aplicaciones que se
pueden implementar en los dispositivos de destino que desea proteger y personalizar las opciones
de visualizacion e interaccion de control de aplicaciones que determinan la forma en que este
aparece y funciona en los dispositivos administrados, al igual que las opciones interactivas que
estan disponibles para los usuarios finales. tambien puede ver la actividad de HI PS y la informacion
del estado de los dispositivos protegidos de la herramienta de Actividad de seguridad
(Herramientas > Seguridad y cumplimiento > Actividad de seguridad).
Seguridad preventiva
El control de aplicaciones protege de forma proactiva sus dispositivos administrados de las
siguientes maneras:
• Ofrece proteccion a nivel del kernel contra aplicaciones que intenten modificar los archivos
binarios (o cualquier archivo que especifique) en el equipo o la memoria de aplicacion de los
procesos en ejecucion. Tambien bloquea los cambios en ciertas areas del registro y puede
detectar los procesos de rootkit.
• Utiliza la proteccion de la memoria contra desbordamientos de bufer y explotaciones de pila.
• Ejecuta esquemas de proteccion a fin de evitar que un atacante generey ejecute codigo en un
segmento de datos.
• Vigila el acceso no autorizado o no habitual a los archivos.
• Ofrece proteccion en tiempo real en los equipos sin depender de las bases de datos de
firmas.
Seguridad a nivel de sistemas
912
GUÍA DE USUARIO
https://community.Ivanti.com/support/docs/DOC-23838
IMPORTANT: HIPS no es compatible con los servidores centrales ni los servidores centrales de resumen
j No debe instalar o implementar HIPS en servidores centrales o en servidores centrales de resumen. No obstante,
puede implementar HIPS en una consola adicional.
913
IVANTI ENDPOINT MANAGER
Para utilizar Endpoint Securityy el control de aplicaciones, primero debera activar el servidor central
con una licencia que permita su uso.
Para obtener informacion sobre las licencias, comurnquese con su distribuidor o visite la pagina
web de IVANTI:
HIPS, al igual que Revisiones y cumplimiento, usa la administracion basada en roles para permitir a
los usuarios el acceso a las funciones. La administracion basada en roles constituye el marco de
acceso y seguridad que le permite a los Administradores de IVANTI restringir el acceso de los
usuarios a las herramientas y los dispositivos. Cada usuario recibe roles y ambitos espedficos que
determinan las funciones que puede utilizary los dispositivos que puede administrar.
Los Administradores asignan dichos roles a los demas usuarios mediante la herramienta Usuarios
de la consola. HIPS esta incluido en el derecho de Configuracion del agente, el cual aparece bajo el
grupo de derechos de Seguridad en el cuadro de dialogo de Roles. Para poder very utilizar las
funciones de HIPS, los usuarios deben tener los derechos de acceso de Configuracion del agente
necesarios.
Con el derecho de Configuracion del agente, puede dar a los usuarios la capacidad para:
• Ver las funciones Host Intrusion Prevention System (HIPS) ytener acceso a ellas en el menu
Herramientas y en el cuadro de herramientas de la consola
• Configurar dispositivos administrados para la proteccion de HIPS
• Administrar configuraciones de HIPS (proteccion de contrasena, administracion de codigo
firmado, accion, modo de proteccion, certificaciones de archivos, reglas de proteccion de
archivos, etc.)
• Implementartareas de instalacion o actualizacion de HIPS ytareas de cambio de
configuracion
• Ver la actividad de HIPS en los dispositivos protegidos
• Definir opciones de umbral de datos de HIPS para registraryvisualizar la actividad de HIPS
Esquema principal de las tareas de HIPS
914
GUÍA DE USUARIO
Para proteger los dispositivos administrados contra ataques de dfa de lanzamiento, estos deben
tener instalado el agente de Endpoint Security. El agente de Endpoint Security es un servicio unico
de agente que administra todos los componentes de Endpoint Security, incluso el control de
aplicaciones.
Puede configurar dispositivos para implementar Endpoint Security durante la configuracion de
agente inicial del dispositivo o con otra tarea de instalacion o actualizacion.
Para instalar o actualizar Endpoint Security en dispositivos administrados mediante una
configuracion de agente
Se puede ejecutar HIPS en uno de los siguientes modos de proteccion: Deshabilitado, aprendizaje,
inicio de sesion o bloqueado.
Uso del modo de aprendizaje de control de aplicaciones
915
IVANTI ENDPOINT MANAGER
• Los datos del historial de acciones se envfan del dispositivo al servidor central.
• Los administradores leen la historia de acciones para ver cuales aplicaciones estan haciendo
que en el dispositivo. (Los archivos o las aplicaciones, y los derechos asociados que figuran
en el archivo historico de acciones (XML) se muestran en la pagina de Certificaciones de
archivos del cuadro de dialogo Configuracion de control de aplicaciones).
El modo de aprendizaje se puede aplicar a dispositivos administrados, lo que por lo general permite
que ocurran violaciones en el control de aplicaciones hasta que se implementa una nueva
configuracion de control de aplicaciones, o el modo de aprendizaje se puede aplicar inicialmente
durante un penodo especificado detiempo para descubrir las aplicaciones que se ejecutan ysu
comportamiento y para crear una lista blanca (aplicaciones que se pueden ejecutar en los
dispositivos). Si el modo de proteccion general es el bloqueo automatico, todavfa podra utilizar el
modo de aprendizaje para descubrir el comportamiento de aplicaciones y luego volver a aplicar el
modo de bloqueo una vez que caduque el penodo de aprendizaje.
IMPORTANT: Tenga en cuenta que tanto el servidor central como el dispositivo administrado deben operar en
el modo de aprendizaje para que se produzca la comunicacion con el historial de acciones.
Ayudade HIPS
Utilice este cuadro de dialogo para crear ymodificar las opciones de HIPS (archivo de
configuracion). Cuando se crean configuraciones de HIPS, primero se definen los requisitos y las
acciones generales y luego se agregan las certificaciones de archivos espedficas. Se pueden crear
tantas configuraciones de HIPS como se deseey modificarlas en cualquier momento.
Si desea modificar la configuracion predeterminada de HIPS del dispositivo sin volver a instalar el
agente de HIPS o volver a implementar una configuracion completa del agente, realice los cambios
deseados en cualquiera de las opciones del cuadro de dialogo de Configuracion de HIPS, asigne la
nueva configuracion a una tarea de cambio de configuracion y luego implemented en los
dispositivos de destino.
Utilice esta pagina para configurar las opciones de proteccion general y las acciones de HIPS.
916
GUÍA DE USUARIO
lista Configuracion de HIPS en un cuadro de dialogo con tareas de seguridad para instalar o
actualizar.
917
IVANTI ENDPOINT MANAGER
918
GUÍA DE USUARIO
919
IVANTI ENDPOINT MANAGER
una Lista de archivos de confianza y con la designacion de lista blanca (aplicaciones cuyo
archivo de certificacion tiene habilitada la opcion de permitir la ejecucion) se pueden
ejecutary aprender. Cuando el modo de Lista blanca esta activado, puede elegir entre uno de
los siguientes metodos de funcionamiento.
• Bloqueo: se bloquean las violaciones a la seguridad y se registran en un archivo
historico de acciones en el servidor central.
• Aprendizaje: Todas las violaciones a la seguridad de las aplicaciones se permiten,
pero se observa (o aprende) el comportamiento de las aplicaciones y se envfa esta
informacion de regreso a la base de datos central en una Lista de archivos de
confianza. Utilice este modo de operacion para descubrir el comportamiento de
aplicaciones en un dispositivo o conjunto de dispositivos espedficos, y luego utilice
esa informacion para personalizar las polfticas de HIPS antes de implementarlas y
aplicar la proteccion de HIPS en toda la red.
• Solo registro: se permiten las violaciones a la seguridad yse registran en un archivo
historico de acciones en el servidor central.
• Silencio: se bloquean las violaciones a la seguridad y NO se registran en ningun
archivo historico de acciones en el servidor central.
Acerca de HIPS: Pagina de Reglas de proteccion de archivos
Utilice esta pagina para ver, administrary dar prioridad a las reglas de proteccion de archivos. Las
reglas de proteccion de archivos son un conjunto de restricciones que evita que los programas
ejecutables especificados realicen ciertas acciones en los archivos especificados. Con las reglas de
proteccion de archivos, puede permitir o denegar el acceso, la modificacion, la creacion y la
ejecucion de cualquier programa en algun archivo.
Este cuadro de dialogo contiene las siguientes paginas:
920
GUÍA DE USUARIO
NOTE: Las reglas de proteccion de archivos se guardan en el archivo FILEWALL.XML, ubicado en: Archivo
de programas\IVANTI\ManagementSuite\ldlogon\AgentBehaviors\Hips_Behavior.ZIP 36 37
921
IVANTI ENDPOINT MANAGER
• Archivos mencionados: especifica que solo los archivos de la lista estan protegidos.
• Agregar: le permite elegir el archivo o archivos protegidos por la regla. Puede utilizar
nombres de archivos o comodines.
• Creation: impide que los programas especificados anteriormente creen los archivos.
• Ejecucion: impide que los programas especificados anteriormente ejecuten los archivos
protegidos.
IVANTI Firewall
Configuracion de las opciones de IVANTI Firewall
IVANTI Firewall es uno de los componentes de la solucion integral de Seguridad de punto final, junto
con las herramientas de Prevencion de intrusion de host (HIPS)y Control de dispositivos.
922
GUÍA DE USUARIO
1. En la ventana de la herramienta Configuracion del agente, haga clic con el boton derecho en
IVANTI Firewall yluego haga clicen Nueva.
923
IVANTI ENDPOINT MANAGER
4. En la pagina Reglas de conexion defina las reglas de conexion (de entrada o de salida y accion)
por puerto, protocolo o intervalo de IP.
5. Haga clic en Guardar.
Una vez configurada, se pueden desplegar los ajustes en los dispositivos de destino mediante una
tarea de actualizacion o instalacion, o una tarea de configuracion de cambios.
Ayuda de la configuracion de IVANTI Firewall
Utilice este dialogo para creary modificar una configuracion de IVANTI Firewall. Cuando se crea la
configuracion de Firewall, primero se define el modo de proteccion general, y luego se agregan y
configuran los programas de confianza, los ambitos de confianza y las reglas de conexion espedficos.
Puede creartantas configuraciones como desee ymodificarlas en cualquier momento.
Si desea modificar la configuracion predeterminada del dispositivo sin volver a instalar el agente de
Endpoint Security o a implementar una configuracion completa del agente, realice los cambios
deseados en cualquier opcion del cuadro de dialogo de configuracion, asigne la nueva configuracion
a una tarea de cambio de configuracion y luego implementela en los dispositivos de destino.
Use esta pagina para habilitar la Barrera de seguridad IVANTI yconfigurar el modo de proteccion. Esta
924
GUÍA DE USUARIO
• Modo de inicio de sesion para: especifica un periodo de tiempo durante el cual las
aplicaciones que se ejecuten se registran en un archivo de historial de acciones
en el servidor central.
• Aprendizaje: todas las aplicaciones se pueden ejecutar. Ademas, se aprenden todas las
aplicaciones que se ejecutan en el dispositivo y se agregan a la lista de archivos de
confianza.
• Solo registro: se permiten las violaciones a la seguridad, pero se registran en un archivo
historico de acciones en el servidor central.
• Silencio: se bloquean las violaciones a la seguridad, pero se registran en un archivo
historico de acciones en el servidor central.
• Compartir archivos: especifica los privilegios para compartir archivos permitidos por la
configuracion de Firewall de IVANTI.
• Permitir el uso compartido de archivos provenientes del ambito de aplicacion de
confianza (red): Permite que se compartan los archivos dentro del ambito de confianza
que se haya definido.
• Permitir el uso compartido de archivos provenientes de fuera del ambito de aplicacion
de confianza (Internet): Permite que se compartan los archivos fuera del ambito de
confianza que se haya definido.
Acerca de la pagina Listas de archivos de confianza
Use esta pagina para crear y manejar listas de archivos de confianza y ambitos de confianza.
925
IVANTI ENDPOINT MANAGER
Utilice esta pagina para configurar las reglas de conexion de una aplicacion espedfica.
Utilice esta pagina para configurar y manejar ambitos de confianza. Un ambito de confianza esta
hecho de una coleccion de direcciones de red, por direccion IP, intervalo de IPo subred.
926
GUÍA DE USUARIO
• Subred del cliente de confianza: agrega el intervalo de subred del dispositivo de destino a la
lista de ambito de confianza. Se permite la comunicacion a traves de ese intervalo de subred.
Utilice esta pagina para ver, administrary dar prioridad a las reglas de conexion. Las normas de
conexion pueden permitir o impedir las conexiones con base en el puerto o el intervalo de
direcciones IP, si el programa es de confianza y si la comunicacion esta dentro del ambito de la red
de confianza.
• Direccion: indica si la regla de conexion restringe las conexiones entrantes o las salientes.
• Accion: indica si la regla de conexion permite (acepta) o impide (rechaza) las conexiones.
• Protocolo: especifica el protocolo de comunicaciones de los puertos seleccionados.
927
IVANTI ENDPOINT MANAGER
• Aplicar a estos puertos remotos: especifica los puertos locales a los cuales se aplican
la direccion y la accion (seleccionada a continuacion).
• Intervalo de la direccion IP: le permite definir las restricciones del intervalo de direcciones IP
de la regla de conexion.
• Permitir que los programas de confianza omitan: Le permite dar a los programas de
confianza la posibilidad de ignorar u omitir esta regla de conexion.
• Solo para ambito de confianza: limita la capacidad de los programas de confianza para
omitir la regla de conexion solo si la comunicacion es en el ambito de la red de
confianza.
Control de dispositivos
Informacion general sobre el control de dispositivos
Puede configurar restricciones USB ya sea mediante el bloqueo de una clase completa de
dispositivos USB, tales como dispositivos de almacenamiento o mediante excepciones para
restringir ciertos dispositivos USB con base en los parametros y valores que se especifiquen.
Plataformas compatibles
Control de dispositivos funciona con los dispositivos administrados que ejecutan versiones de
928
GUÍA DE USUARIO
Windows compatibles.
Restringir el acceso a dispositivos mediante la configuracion de Control de dispositivos
Para que Control de dispositivos funcione en un dispositivo, deben haberse implementado el agente
de programador local y el agente estandar en el dispositivo. Cada vez que el dispositivo inicie una
conexion de dispositivo o haga cambios a una conexion de dispositivo, el agente aplica las reglas
de configuracion. Estas reglas incluyen la terminacion de conexiones no permitidas y el envfo de
alertas al servidor central.
929
IVANTI ENDPOINT MANAGER
dispositivos
1. Haga clic en Herramientas > Seguridad y cumplimiento > Configuracion del agente.
2. Bajo Configuracion de todos los agentes, haga clic con el boton derecho en Control de
dispositivos y luego haga clic en Nuevo.
930
GUÍA DE USUARIO
1. Haga clic en Herramientas > Seguridad y cumplimiento > Configuracion del agente.
2. En la ventana de la herramienta Configuraciones de agente, haga clic en el boton Crear una
tarea de la barra de herramientas y luego en Cambiar ajustes.
3. Bajo Tipo de tarea, seleccione una opcion.
4. En la lista de ajustes, seleccione Seguridad de terminales y los ajustes que habilitan la
configuracion de control del dispositivo que desee.
5. Haga clic en Aceptar.
6. La configuracion se agrega a la ventana Tareas programadas. En esa ventana, arrastre los
dispositivos al icono de configuracion.
7. Una vez que se han agregado todos los dispositivos, en el menu contextual de la tarea,
seleccione Propiedades. En el arbol, haga clicen Programar tarea y configure las opciones
de programacion.
En el cuadro de dialogo Configuracion del control de dispositivos, puede personalizar el texto del
mensaje que el usuario recibe cuando se detectan dispositivos o volumenes no autorizados. En el
mensaje de texto, puede utilizar estos marcadores de posicion para mostrar informacion sobre el
volumen o dispositivo no autorizado:
931
IVANTI ENDPOINT MANAGER
permitir solamente cierto tipo de dispositivos, tales como ratones, impresoras y escaneres. Las reglas
mas complejas podnan permitir solamente dispositivos de almacenamiento seguros de un fabricante
determinado o excluir dispositivos de cierto fabricante.
• Elimina el dispositivo del Administrador de dispositivos de Windows para que ya no sea visible
a Windows. Los controladores del dispositivo permanecen instalados.
• En el caso de un volumen o dispositivo USB no autorizado, le muestra un mensaje configurable
al usuario de forma opcional. Para obtener mas informacion, consulte Creacion de mensajes
personalizados cuando se detectan dispositivos o volumenes no autorizados.
Las unidades que se consideran extrafbles incluyen (sin limitacion) los dispositivos de
almacenamiento USB. Las unidades de CD (de solo lectura o de lectura y escritura) no se consideran
de almacenamiento extrafble.
El SO no considera las unidades de disco duro como extrafbles. La llamada GetDriveType() las
describe como "unidades fijas" aunque esten conectadas a traves de un puerto USB o de cualquier
otro puerto externo. Para permitir que las unidades de disco duro extrafbles se manejen del mismo
modo que otros dispositivos de almacenamiento extrafbles, el servicio registra la lista de unidades de
disco duro al mismo tiempo que se instala el servicio. Por ejemplo, si un dispositivo tiene dos
unidades de disco duro (C: y D:), al momento en que se instala el servicio, este considera ambas
unidades como fijas y no las verifica. Sin embargo, si mas adelante se encuentra una unidad de disco
duro con la letra E: el servicio la considera como dispositivo extrafble.
932
GUÍA DE USUARIO
Puede ver esta informacion desde la vista de red haciendo clic en Inventario en el menu de acceso
directo del dispositivo. A continuacion, haga clic en Seguridad > Control de dispositivos.
Use esta pagina para asignar un nombre a la configuracion y habilitar el control de dispositivos en un
cliente configurado con las opciones.
933
IVANTI ENDPOINT MANAGER
934
GUÍA DE USUARIO
Use este cuadro de dialogo para crear una excepcion en el nivel de acceso de los volumenes de
almacenamiento.
Utilice las fichas de esta pagina para configurar dispositivos e interfaces y administrar excepciones.
Pestana Dispositivo
Pestana Interfaces
La instantanea permite rastrear que archivos se han copiado en el dispositivo o desde el mediante la
creacion de un duplicado (o instantanea) de dichos archivos en un directorio local.
935
IVANTI ENDPOINT MANAGER
IVANTI Antivirus
Informacion general de IVANTI Antivirus
IVANTI Antivirus esta compuesto por un analizador de agente de antivirus integrado, una base de
datos actualizada continuamente de firmas de antivirus, yopciones yfunciones de configuracion de
antivirus disponibles en la herramienta de Configuracion del agente.
Los servicios de IVANTI Security Suite mantienen una base de datos actualizada de archivos de
definiciones/patrones de virus que pueden descargarse, evaluarse, probarse y, por ultimo, distribuirse
en los dispositivos de destino de la red de IVANTI.
936
GUÍA DE USUARIO
• Descargar las ultimas actualizaciones de los archivos de definiciones y patrones de virus (la
base de datos de firmas de antivirus de IVANTI Security Suite se actualiza varias veces al dia)
• Programar actualizaciones periodicas de archivos de definiciones de virus
• Archivar los archivos con definiciones anteriores de virus
• Crear e implementar las tareas de instalacion del agente de Antivirus
• Ejecutar analisis de antivirus a peticion y programados en los dispositivos de destino
• Configurar el comportamiento del analisis del antivirus y las opciones del usuario final
• Seleccionar que tipos de archivos se deben analizar y si se debe analizar software peligroso
• Habilitar la proteccion en tiempo real de virus en archivos y mensajes de correo electronico
42 Detectar los motores del analizador de antivirus de terceros y habilitar/deshabilitar el analisis
de virus en tiempo real y garantizar archivos de patrones de virus actualizados para los
productos antivirus especificos
937
IVANTI ENDPOINT MANAGER
938
GUÍA DE USUARIO
939
IVANTI ENDPOINT MANAGER
Los Administradores asignan dichos roles a los demas usuarios mediante la herramienta Usuarios
de la consola. Antivirus esta incluido en el derecho de Configuraciones de seguridad, el cual
aparece bajo el grupo de derechos de Seguridad en el cuadro de dialogo de Roles. Para podervery
utilizar las funciones de Antivirus, los usuarios deben tener los derechos de acceso de
Configuraciones de seguridad necesarios.
Con el derecho de Configuraciones de seguridad, puede dar a los usuarios la capacidad para:
• Implementar configuraciones de agente con Antivirus en los dispositivos de destino
• Descargar actualizaciones de archivos de definiciones de virus
• Crear actualizaciones programadas
• Crear tareas programadas de rastreo de antivirus
• Crear ajustes antivirus
940
GUÍA DE USUARIO
941
IVANTI ENDPOINT MANAGER
Puede seleccionar la eliminacion automatica del software de antivirus existente de los dispositivos
de destino mediante la implementacion de IVANTI Antivirus durante la configuracion inicial del
agente o como una tarea de instalacion o actualizacion de Antivirus por separado. Productos
antivirus que se pueden eliminar de los dispositivos, consulte "Lista de productos de antivirus de
terceros que se pueden eliminar automaticamente." (934).
942
GUÍA DE USUARIO
destino, seleccione la opcion Eliminar agente de antivirus existente. Para ver la lista
actualizada de los antivirus que se pueden eliminar de los dispositivos, consulte "Lista de
productos de antivirus de terceros que se pueden eliminar automaticamente." (934).
6. Seleccione una configuracion de antivirus de la lista disponibleyaptfquela a la configuracion
de agente que esta creando. Para crear una configuracion nueva o modificar una existente,
haga clic en Configurar. La configuracion del antivirus determina si el icono de Antivirus
aparece en la bandeja del sistema del dispositivo, la disponibilidad de las opciones
interactivas para los usuarios finales, la habilitacion del analisis de correo electronico y de la
proteccion en tiempo real, los tipos de archivo a analizar, los archivos y carpetas a excluir, la
cuarentena y la copia de seguridad de los archivos infectados, los analisis programados del
antivirus y las actualizaciones programadas de los archivos de definiciones de virus.
7. Termine de especificar cualquier otra configuracion del agente y luego haga clic en Guardar.
Tambien puede configurar dispositivos para que tengan Antivirus mediante la herramienta de
Configuraciones de seguridad.
Si desea instalar o actualizar Antivirus mas adelante, puede hacerlo mediante una tarea aparte
desde la consola.
Use la herramienta de Configuraciones de seguridad (Herramientas > Seguridad y cumplimiento >
Configuraciones del agente) para crear tareas de instalacion o actualizacion, eliminar tareas y para
efectuar tareas para actualizar y rastrear archivos de definicion de antivirus.
943
IVANTI ENDPOINT MANAGER
1. En la consola, haga clic en Herramientas > Seguridad y cumplimiento > Configuration del
agente.
2. Haga clic en el boton Crear una tarea de la barra de herramientas y luego en Instalar o
actualizar componentes de seguridad.
3. Escriba un nombre para la tarea.
4. Especifique si la instalacion es una tarea programada, si se basa en una poiftica o ambas.
5. Seleccione el componente que desea instalar, en este caso seleccione el Antivirus de IVANTI.
Puede seleccionar una configuracion de antivirus de la lista disponibleyaplicarla a la tarea
que este creando. Tambien puede crear configuraciones de antivirus nuevas o modificar las
existentes.
6. Si desea mostrar el progreso de la instalacion en el dialogo del rastreador de seguridad de
los dispositivos de destino, seleccione la opcion Mostrar dialogo de progreso en el cliente.
7. Si desea eliminar automaticamente un producto de antivirus existente en los dispositivos de
destino, seleccione la opcion Eliminar agente de antivirus existente. Para ver la lista
actualizada de los antivirus que se pueden eliminar de los dispositivos, consulte "Lista de
productos de antivirus de terceros que se pueden eliminar automaticamente." (934).
8. Seleccione una configuracion de rastreo y reparacion de la lista disponible para aplicar su
configuracion de reinicio a la tarea que esta creando. Para crear una configuracion nueva o
modificar una existente, haga clic en Configurar. La tarea utilizara solamente las opciones de
reinicio de la configuracion de rastreo y reparacion seleccionadas, las cuales determinan los
requisitos de reinicio y las acciones en los dispositivos de destino durante la instalacion del
agente de Antivirus.
9. Haga clic en Aceptar.
1. En la consola, haga clic en Herramientas > Seguridad y cumplimiento > Configuracion del
agente.
2. Haga clic en el boton Crear una tarea de la barra de herramientas y luego en Eliminar
componentes de seguridad.
3. Escriba un nombre para la tarea.
4. Especifique si la instalacion es una tarea programada, si se basa en una polftica o ambas.
5. Si desea mostrar el progreso de la instalacion en el dialogo del rastreador de seguridad de
los dispositivos de destino, seleccione la opcion Mostrar dialogo de progreso en el cliente.
944
GUÍA DE USUARIO
Puede descargar actualizaciones de archivos de definicion de virus desde la consola, bien sea
inmediatamente como una tarea unica o como una tarea programada con regularidad.
Tambien se puede tener acceso a este cuadro de dialogo directamente cuando se crea una tarea de
Antivirus.
945
IVANTI ENDPOINT MANAGER
946
GUÍA DE USUARIO
947
IVANTI ENDPOINT MANAGER
12. Si desea guardar una copia de seguridad de los archivos de definicion de virus que
actualmente residen en la carpeta Bases, marque la opcion Hacer copias de seguridad. Puede
restaurar las copias de seguridad de los archivos de definiciones en cualquier momento. Las
copias de seguridad son utiles para volver a una version anterior de los archivos de
definiciones de virus. (Las copias de seguridad de los archivos de definiciones de virus se
guardan en carpetas separadas cuyo nombre corresponde a la fecha y hora de creacion, bajo
\LDLogon\Antivirus\Backups\)
13. Haga clic en Descargar ahora para descargar las actualizaciones de contenido de seguridad
seleccionadas. En el cuadro de dialogo Actualizacion de definiciones se muestra el estado y
la operacion actual. O puede hacer clic en el boton Programar descarga para crear una tarea
programada (verabajo).
14. Una vez completada la actualizacion, haga clic en Cerrar. Tenga en cuenta que si hace clic en
Cancelar antes deque finalice la actualizacion, solamente se descargara en la base de datos
central el contenido de seguridad que se haya procesado hasta ese momento. Tendra que
ejecutar la actualizacion de nuevo para obtener el resto del contenido de seguridad.
IMPORTANT: Siempre que se actualizan los archivos de definicion de virus en los dispositivos administrados,
se ejecuta un minirastreo de los procesos de memoria en los mismos. Este rastreo se realiza para garantizar
que los procesos que se ejecutan en la memoria durante la actualizacion aun esten limpios.
948
GUÍA DE USUARIO
Siempre que se cambia una configuracion global, dicho cambio se aplica a todas las tareas de descarga del
O contenido de seguridad desde ese punto en adelante.
1. En la pestana IVANTI Antivirus del cuadro de dialogo Descargar actualizaciones, haga clic en
Restringirlas a una prueba piloto primero.
2. Si no desea mover manualmente los archivos de definicion de virus probados de la carpeta
de prueba piloto a la carpeta predeterminada
(\IVANTI\ManagementSuite\ldlogon\antivirus8\win\bases8), haga clicen Programar aprobacion
para crear una tarea programada que especifique una hora para aprobar los archivos de
prueba piloto. Llene los campos de la tarea que aparece en la herramienta Tareas
programadas. Cuando llega la hora especificada, los archivos de definiciones de virus se
aprueban y mueven automaticamente.
3. Para descargar los archivos de definiciones de virus mas recientes del servidor de contenido
de IVANTI Security Suite, haga clic en Obtener las ultimas definiciones.
4. Si desea aprobar inmediatamente los archivos de definiciones de virus que actualmente
residen en la carpeta de prueba piloto, haga clic en Aprobar ahora. Esto mueve los archivos
de definiciones de la carpeta de prueba piloto a la carpeta predeterminada
(\IVANTI\ManagementSuite\ldlogon\antivirus8\win\bases8).
5. A continuacion, cree una configuracion de antivirus de prueba piloto que le permita
implementar los archivos de definiciones de virus en un grupo limitado de equipos de
prueba. En la pagina Actualizaciones de definiciones de virus de la configuracion de
antivirus, seleccione Descargar version piloto de los archivos de definiciones.
6. Aplique la configuracion de antivirus de prueba piloto a una tarea de rastreo de antivirus que
pueda utilizar para seleccionar su grupo de equipos de prueba de destino. Ahora puede
observar la actividad y los resultados del rastreo de antivirus en estos dispositivos para
evaluar la eficacia de los archivos de definiciones de virus descargados antes de
implementarlos en una audiencia mas amplia.
949
IVANTI ENDPOINT MANAGER
Esto puede resultar muy util si tiene que volver a un archivo de definiciones de virus anterior para
rastreary limpiar archivos infectados espedficos o para restaurar un archivo de definiciones de virus
que resolvio un problema en particular.
Las copias de seguridad de los archivos de definiciones de virus se guardan en carpetas separadas
cuyo nombre corresponde a la fecha y hora en que se guardaron bajo la carpeta padre
LDLogon\Antivirus\Backups\.
Metodos de rastreo
Existen varios metodos diferentes para ejecutar un rastreo de antivirus en los dispositivos
administrados que tienen Antivirus instalado:
Desde la consola, puede configurar las tareas de rastreo de antivirus para que se ejecuten bien sea
como un rastreo a peticion o como una tarea o polftica programada.
950
GUÍA DE USUARIO
951
IVANTI ENDPOINT MANAGER
4. Haga clic en el boton Crear una tarea de la barra de herramientas y luego en IVANTI
Antivirus.
9. Si desea asegurar que el rastreo utiliza los ultimos archivos conocidos de definiciones de
virus, seleccione la opcion Actualizar definiciones de virus.
10. Seleccione una configuracion de antivirus en la lista disponible (tambien puede crear una
configuracion personalizada para este rastreo; para ello haga clic en el boton Configurar),
para especificar la forma en que el rastreador opera en los dispositivos de usuario final. Si
desea que el rastreo de antivirus utilice la configuracion de antivirus local (configuracion
predeterminada) del dispositivo, seleccione dicha opcion en la lista. Para obtener mas
informacion sobre la configuracion del rastreo de antivirus con opciones de antivirus,
consulte "Acerca del cuadro de dialogo de Configuracion de IVANTI Antivirus" (794).
11. Haga clic en Aceptar. (Para una tarea de rastreo programada tfpica, haga clic en Aceptary
luego agregue los dispositivos de destino y configure las opciones de programacion en la
herramienta de Tareas programadas.)
Tambien puede ejecutar un rastreo de antivirus inmediato a peticion en uno o mas dispositivos de
destino.
Para ello, haga clic con el boton derecho en el dispositivo seleccionado (o hasta en 20 dispositivos
seleccionados), haga clic en Rastreo de IVANTI Antivirus ahora, seleccione una configuracion de
antivirus, elija si va actualizar los archivos de definiciones de virus antes de realizar el rastreo y
luego haga clic en Aceptar.
Al hacer clic en Aceptar, el cuadro de dialogo Estado de las acciones requeridas muestra la
siguiente informacion:
• Progreso
• Resultados
• Informacion del tiempo de rastreo
952
GUÍA DE USUARIO
Para hacerlo en el dispositivo administrado, haga clic con el boton derecho en el icono de la barra
de herramientas de IVANTI Antivirus y luego seleccione Rastrear mi equipo. O desde el cuadro de
dialogo de Antivirus, haga clic en Rastrear mi equipo.
Cuando se ejecuta la proteccion en tiempo real, se buscan virus en los archivos siempre que los
archivos:
• Se abren
• Se cierran
• Se acceden
• Secopian
44 Seguardan
Configure el rastreo de mensajes de correo electronico en tiempo real con la opcion Habilitar
rastreo de mensajes de correo electronico de la pagina General del cuadro de dialogo Configuracion
de Antivirus.
953
IVANTI ENDPOINT MANAGER
Tambien aparece un cuadro de dialogo en el dispositivo del usuario final que muestra:
• Ruta del archivo
• Nombre de archivo
• Nombre del virus
• Una nota que le informa al usuario que debe comunicarse con el administrador de red
Notificacion (de archivos infectados) en tiempo real
Se notifica a los usuarios finales siempre que se detecta, se pone en cuarentena, se elimina, se
omite o se limpia un archivo infectado con un virus.
Configure la notificacion de archivos infectados en tiempo real con la opcion que aparecen en la
pagina Proteccion en tiempo real del cuadro de dialogo Configuration de Antivirus.
954
GUÍA DE USUARIO
• Si el icono de Antivirus aparece en las bandejas de los sistemas de los dispositivos (se
otorga acceso al usuario final a las tareas de rastreo de antivirus, visualizacion de
cuarentenas y copias de seguridad y manejo de archivos)
Todas las configuraciones de antivirus que crea se almacenan en el grupo IVANTI Antivirus de la
herramienta de Configuracion.
955
IVANTI ENDPOINT MANAGER
Una vez configurado, puede aplicar la configuracion de antivirus a las tareas de antivirus (o a una
tarea de cambiar configuracion).
956
GUÍA DE USUARIO
ciertos dispositivos. Revisiones y cumplimiento ofrece un modo para hacer esto sin necesidad de
volver a implementar una configuracion de agente completamente nueva. Para ello, utilice la tarea
Cambiar configuracion que se encuentra en la lista desplegable del boton Clear una tarea de la barra
de herramientas. El cuadro de dialogo que aparece permite especificar un nombre unico para la
tarea, indicar si se trata de una tarea o de una polftica programada, y ya sea seleccionar una
configuracion existente como predeterminada o utilizar el boton Modificar para crear una nueva
configuracion predeterminada en los dispositivos de destino.
Para hacer esto, haga clic con el boton derecho en el dispositivo seleccionado y haga clic en
Inventario > IVANTI Management > Configuracion de AV.
Configuracion de que archivos se deben rastrear (solamente archivos infectables, exclusiones, heurlsticos,
software riesgoso)
Puede especificar que archivos (o elementos) desea rastrear y cuales no, tanto con los rastreos de
antivirus como con la proteccion de archivos de antivirus en tiempo real.
Consulte las secciones siguientes para obtener informacion sobre la personalizacion de lo que se
rastrea:
Puede rastrear todos los archivos o solo los infectables en las paginas de Rastreo de virus y
Proteccion en tiempo real de alguna configuracion de antivirus.
• Analizar todos los tipos de archivos: Especifica que todos los tipos de archivos del
dispositivo de destino se analicen por medio de un analisis del antivirus. Esto puede tardar
bastante por lo tanto se recomienda analizartodos los tipos de archivos con un analisis a
peticion en lugar de una proteccion en tiempo real.
• Analizar solo archivos infectables: Especifica que solo se analicen los archivos infectables.
Los archivos infectables son aquellos tipos de archivos conocidos por ser vulnerables a las
infecciones de virus. Resulta mas eficiente analizar solo los archivos infectables que analizar
todos, ya que algunos virus afectan solo a determinados tipos de archivos. No obstante,
debe acostumbrarse a analizar periodicamente todos los archivos con un analisis a peticion
para asegurarse de que los dispositivos esten limpios.
Tipos de archivos infectables
Los tipos de archivo infectables se identifican por su identificador de formato en el encabezado del
archivo en lugar de la extension del archivo, lo cual garantiza que se analicen los archivos cuyos
957
IVANTI ENDPOINT MANAGER
Los archivos infectables incluyen: archivos de documentos tales como archivos de Word y Excel,
archivos de plantillas asociados con archivos de documentos y archivos de programa, tales como
bibliotecas de vfnculos dinamicos (.DLL), archivos de comunicacion (.COM), archivos ejecutables
(.EXE) y otros archivos de programas. La lista siguiente contiene los tipos de archivos infectables
segun el estandar del formato de archivo o la extension del archivo original.
. ACM .
ACV .
ADT .
AX .
BAT .
BIN .
BTM .
CLA .
COM .
CPL .
CSC .
CSH .
DLL .
DOC .
DOT .
DRV .
EXE .
HLP .
HTA .
HTM .
HTML .
HTT .
INF . INI
. JS .
JSE .
JTD
958
GUÍA DE USUARIO
. MDB .
MSO .
OBD .
OBT .
OCX .
PIF . PL
. PM .
POT .
PPS .
PPT .
RTF .
SCR .
SH .
SHB .
SHS .
SMM .
SYS .
VBE .
VBS .
VSD .
VSS .
VST .
VXD .
WSF .
WSH
Tambien puede especificar que archivos no rastrear mediante los rastreos de antivirus y la
proteccion de archivos en tiempo real. Para configurar las exclusiones del rastreo de antivirus
agregue archivos, carpetas y tipos de archivos a la lista de exclusiones de las paginas de Rastreo
de virus y Proteccion en tiempo real de la configuracion de antivirus.
959
IVANTI ENDPOINT MANAGER
Habilite el rastreo de heunsticos en las pestanas de las paginas de Rastreo de virus y Proteccion en
tiempo real de la configuracion de antivirus.
El rastreo del analisis de heunsticos intenta detectar archivos sospechosos de estar infectados con
un virus desconocido (no definido en la base de datos de firmas de virus) mediante la observacion
de su comportamiento sospechoso. El comportamiento sospechoso puede hacer referencia a un
programa que se modifica automaticamente y luego trata de buscar otros ejecutables o que se
modifica despues de terminar. El analisis de heunsticos simula la ejecucion de programas para
hacer protocolos de actividad observada sospechosa y luego los utiliza para identificar posibles
infecciones de virus. Este mecanismo es eficaz y confiable en casi todos los casos y muy pocas
veces genera positivos falsos.
Antivirus utiliza un analizador de heunsticos para verificar archivos que ya se han rastreado
mediante un rastreo de antivirus basado en definiciones de virus conocidas.
Tenga en cuenta que el rastreo de heunsticos puede afectar negativamente el desempeno de los
dispositivos administrados.
960
GUÍA DE USUARIO
Ventana de antivirus
• La proteccion en tiempo real esta habilitada o deshabilitada (si la opcion esta habilitada en la
configuracion de antivirus, el usuario final puede deshabilitar la proteccion en tiempo real
durante el tiempo que se especifique)
• Copia de seguridad (muestra la cantidad de objetos a los que se les ha realizado copia de
seguridad)
• Elementos de confianza (muestra los elementos que el usuario final ha agregado a su lista de
elementos de confianza y en los que no se realizara el rastreo de virus o software riesgoso)
961
IVANTI ENDPOINT MANAGER
. Hacer clic con el boton derecho del raton para realizar un rastreo de antivirus en los archivos y
las carpetas de Windows Explorer (si la configuracion de antivirus tiene la opcion habilitada)
Observe que los usuarios finales no pueden configurar los ajustes del rastreo de antivirus ni
deshabilitar el rastreo de mensajes de correo electronico.
Este proceso se aplica a los archivos y a los mensajes de correo electronico infectados.
1. Se efectua copia de seguridad del objeto infectado automaticamente. (El archivo de copia de
seguridad se guarda en la carpeta \LDClient\Antivirus\ con una extension *.bak.)
962
GUÍA DE USUARIO
Los usuarios finales pueden abrir un archivo de copia de seguridad para ver un encabezado que
proporciona informacion sobre la ubicacion original del archivo y la razon por la que se le hizo una
copia de seguridad.
Tenga en cuenta que solo el usuario original (el usuario en sesion cuando se descubre el archivo
infectado) puede eliminar o modificar los archivos de copia de seguridad.
Los parametros de brote de virus se definen con base en el numero de dispositivos administrados
infectados por un virus en un penodo de tiempo especificado.
Seleccione las alertas que desea que se generen. La opcion del intervalo de tiempo le permite evitar
demasiadas alertas. Mas de una alerta (para cualquier activacion de antivirus) durante el intervalo de
tiempo especificado se ignora.
963
IVANTI ENDPOINT MANAGER
Para acceder a la herramienta de Informes, y poder generar y ver los mismos, los usuarios deben
tener derechos de administrador de IVANTI (lo que implica derechos absolutos) o roles de Informes
espedficos.
Para obtener mas informacion sobre la utilizacion de la herramienta de Informes, consulte "Uso de
los informes" (212).
La section principal de "Informacion general de IVANTI Antivirus" (929) presenta esta herramienta
de administration de seguridad complementaria, la cual es un componente de IVANTI Endpoint
Manager y IVANTI Security Suite. En esa seccion encontrara una introduction e informacion sobre la
suscripcion de contenido de antivirus, asf como tambien instrucciones paso a paso sobre como
utilizar todas las funciones de Antivirus.
Esta seccion contiene los siguientes temas de ayuda que describen los cuadros de dialogo de
Antivirus. Desde la interfaz de la consola, puede acceder a estos temas de ayuda haciendo clic en el
964
GUÍA DE USUARIO
Tenga en cuenta que la pagina Actualizaciones del cuadro de dialogo Descargar actualizaciones
incluye varias actualizaciones de Antivirus en la lista de tipos de definiciones, entre ellas una
denominada Actualizaciones de IVANTI Antivirus. Cuando se selecciona este tipo, se descarga el
contenido de deteccion del analizador y de las actualizaciones de los archivos de definiciones de
virus.
NOTE: Contenido de deteccion del analizador del antivirus en comparacion con el contenido de
definiciones de virus
Las actualizaciones de antivirus no implican archivos de definiciones (o patrones) de virus reales. Cuando se
descargan actualizaciones de antivirus de terceros, solo el contenido de deteccion del analizador puede
descargarse en el deposito predeterminado ya que los archivos de definiciones de virus espedficos del
analizador no se descargan. Sin embargo, cuando se descargan las actualizaciones de IVANTI Antivirus, se
descargan el contenido de deteccion del analizador y los archivos de definiciones de virus espedficos de IVANTI
Antivirus. Los archivos de definiciones de virus de IVANTI Antivirus se descargan en una ubicacion aparte en el
servidor central. El repositorio predeterminado de los archivos de definiciones de virus es la carpeta
\LDLogon\Antivirus\Bases.
Debe tener la suscripcion adecuada al contenido de IVANTI Security Suite para poder descargar los
distintos tipos de contenido de seguridad.
La instalacion basica de IVANTI Endpoint Manager le permite descargary analizar las
965
IVANTI ENDPOINT MANAGER
actualizaciones de software de IVANTI y crear sus propias definiciones personalizadas. Para todos
los otros tipos de contenido de seguridad, como vulnerabilidades espedficas de la plataforma,
spyware, yarchivos de definiciones (patrones) de virus, DEBE tener una suscripcion al contenido de
IVANTI Security Suite para poder descargar las definiciones correspondientes.
Para obtener mas informacion sobre las suscripciones a los contenidos de Security Suite,
comurnquese con su distribuidor o visite el sitio web de IVANTI:
• Para realizar una descarga inmediata, haga clic en Actualizar ahora. Si hace clic en
Aplicar, la configuracion que especifica se guardara y aparecera la proxima vez que abra
este cuadro de dialogo. Si hace clic en Cerrar, el sistema preguntara si desea guardar la
configuracion.
• Para programar una tarea de descarga de contenido de seguridad, haga clic en Programar
actualizacion para abrir el cuadro de dialogo Informacion de actualizacion programada.
Escriba un nombre para la tarea, verifique la informacion de la tarea y luego haga clic
en Aceptar para agregarla a Tareas programadas.
Para guardar los cambios en cualquier pagina de este cuadro de dialogo en cualquier momento,
haga clic en Aplicar.
966
GUÍA DE USUARIO
piloto, siempre y cuando se hayan descargado en esa ubicacion. La prueba piloto ayuda a
verificar la validezy la utilidad de un archivo de definiciones de virus antes de usarlo para
analizar virus en los dispositivos administrados. Las definiciones de virus que se han
descargado en la carpeta de prueba piloto pueden desplegarse en los dispositivos de destino
"de prueba".
• Actualizaciones de definicion de virus - Cuando nuevos archivos de definicion de virus se
descargan de IVANTI:
• Aprobar inmediatamente (ponerlas a disposition de todos los equipos): descarga las
definiciones de virus directamente a la carpeta predeterminada
(\IVANTI\ManagementSuite\ldlogon\antivirus8\win\bases8). Las definiciones de virus
descargadas a la carpeta predeterminada estan aprobadas y pueden implementarse en
los dispositivos de destino para el analisis del antivirus.
• Restringirlas primero a una prueba piloto: Descarga archivos de definiciones de virus
a la carpeta piloto para fines de prueba. Las definiciones de virus de la carpeta piloto
pueden implementarse en los equipos de prueba designados antes de hacerlo en los
dispositivos administrados.
• Obtener las definiciones mas recientes: inicia un proceso inmediato de
descarga de archivos de definiciones de virus. El cuadro de dialogo
Actualizando definiciones muestra el progreso de la descarga.
• Aprobar ahora: Le permite mover los archivos de definiciones de virus desde la
carpeta piloto a la carpeta predeterminada de definiciones de virus para poder
implementarlas en el analisis del antivirus de los dispositivos de destino.
• Programar aprobacion: abre la herramienta Tareas programadas con una nueva
tarea en la cual se pueden especificar las opciones de programacion (empezar
ahora, o iniciar en un dfa y hora particular, yestablecer la frecuencia). Esta tarea
programada mueve automaticamente los archivos de definicion de virus que se
descargaron de la carpeta piloto a la carpeta predeterminada de los archivos de
definicion de virus (\IVANTI\ManagementSuite\ldlogon\antivirus8\win\bases8).
(NOTA: Esta opcion se encuentra disponible solo si se restringen las
actualizaciones de los archivos de definiciones de virus a una prueba piloto.
Ademas, permite automatizar la aprobacion de los archivos de definiciones. Si
no se habilita esta opcion, los archivos de definiciones de virus de la carpeta
piloto deben aprobarse de forma manual con el boton Aprobar ahora.)
967
IVANTI ENDPOINT MANAGER
Para obtener una descripcion de las opciones de las otras paginas del cuadro de dialogo Descargar
actualizaciones, consulte "Acerca del cuadro de dialogo Descargar actualizaciones" (683).
968
GUÍA DE USUARIO
Use este cuadro de dialogo para crear una tarea que actualice los archivos de definicion de virus,
configurar analisis del antivirus en dispositivos de destino (con la configuracion de antivirus) o
ambas actividades. La configuracion de Antivirus determina el comportamiento del analizador, los
objetos analizados y las opciones de usuario final.
969
IVANTI ENDPOINT MANAGER
Utilice este cuadro de dialogo para ejecutar un analisis del antivirus inmediato a peticion en uno o
mas dispositivos de destino.
Utilice este cuadro de dialogo para crear y modificar cualquier configuracion de antivirus. La
configuracion del antivirus determina si el icono de IVANTI Antivirus aparece en la bandeja del
sistema del dispositivo, la disponibilidad de las opciones interactivas para los usuarios finales, la
habilitacion del analisis de correo electronico y de la proteccion en tiempo real, los tipos de archivo
a analizar, los archivos y carpetas a excluir, la cuarentena y la copia de seguridad de los archivos
infectados, los analisis programados del antivirus y las actualizaciones programadas de los
archivos de definiciones de virus.
970
GUÍA DE USUARIO
Una vez configurado, puede aplicar la configuracion del antivirus a las tareas de analisis del
antivirus y a las tareas de cambio de configuracion.
NOTA: Los usuarios finales pueden hacer doble clic en el icono para abrir el cliente de
Antivirus IVANTI y realizar tareas. Tambien pueden hacer clic con el boton derecho sobre el
icono para acceder al menu de acceso directoy seleccionar ejecutar un analisis yactualizar
los archivos de antivirus. 49
971
IVANTI ENDPOINT MANAGER
• Habilitar analisis con clic derecho del raton: Proporciona una opcion en el cliente de IVANTI
Antivirus que le permite a los usuarios finales seleccionar un archivo, un grupo de archivos,
una carpeta o un grupo de carpetas y hacer clic con el boton secundario en la seleccion para
realizar un analisis del antivirus.
• Analizar software peligroso y virus (base de datos ampliada): Proporciona una opcion en el
cliente de IVANTI Antivirus que permite que los usuarios finales analicen software peligroso
(por ejemplo, FTP, IRC utilidades de control remoto, etc.) con una base de datos ampliada
que se carga en el dispositivo administrado.
• Permitir que el usuario agregue archivos y carpetas a la lista de elementos de confianza:
Proporciona una opcion en el cliente de IVANTI Antivirus que le permite a los usuarios
identificar archivos y carpetas en los que no deseen realizar el analisis de virus. El analisis
del antivirus omite los archivos y las carpetas que se encuentran en esta lista. Se debe
alertar a los usuarios de que solo coloquen archivos seguros en su lista de elementos de
confianza.
• Uso de la CPU durante el analisis: Permite controlar el uso de la CPU en los equipos de
destino cuando IVANTI Antivirus ejecuta un analisis del antivirus.
• Propietario: le permite especificar el propietario de la configuracion de antivirus para evitar
modificaciones no autorizadas. Solamente el propietario y los usuarios con derecho de
administradortienen acceso a la configuracion y pueden modificarla. Los demas usuarios
solamente pueden verla. La opcion de usuario publico permite el acceso universal a la
configuracion.
• Establecer como predeterminado: establece esta configuracion de antivirus (con la
configuracion de opciones en todas las pestanas de los cuadros de dialogo de la
configuracion de Antivirus) como la predeterminada en los dispositivos de destino. A menos
que la tarea de analisis del antivirus tenga una configuracion de antivirus espedfica
asociada, la configuracion predeterminada se utiliza durante las tareas de analisis
yactualizacion de los archivos de definiciones.
• Restaurar predeterminados: Restaura la configuracion predeterminada definida
anteriormente en todas las opciones de antivirus de las pestanas del cuadro de dialogo.
Acerca del Antivirus: Pagina de proteccion en tiempo real
Utilice esta pagina para habilitar yconfigurar la proteccion de archivos en tiempo real, seleccionar
que archivos se deben proteger y excluir y notificar al usuario final.
La proteccion en tiempo real supone un analisis continuo (en segundo plano) de los archivos, las
carpetas y los tipos de archivos por extension especificados. Cuando se ejecuta la proteccion en
tiempo real, se analizan los archivos en busca de virus siempre que estos se abren, cierran,
acceden, copian o guardan.
Cuando se habilita la proteccion en tiempo real, el icono de la bandeja del sistema de IVANTI
Antivirus es amarillo. Si la proteccion en tiempo real se encuentra apagada, el icono es gris.
Esta pagina contiene las siguientes opciones:
• Habilitar proteccion de archivos en tiempo real: Activa la proteccion de archivos en tiempo
972
GUÍA DE USUARIO
973
IVANTI ENDPOINT MANAGER
Utilice este cuadro de dialogo (al cual se tiene acceso desde el cuadro de dialogo de proteccion en
Tiempo real) para agregar exclusiones que especifican que no se estan analizando los virus de los
objetos ni a traves del analisis del antivirus ni a traves de la proteccion en tiempo real. Las tareas de
analisis del antivirus (y las tareas de cambio de configuracion) asociadas con esta configuracion de
antivirus utilizaran estas exclusiones.
Puede excluir archivos espedficos, carpetas enteras y tipos de archivos por sus extensiones.
• Tipo: Indica el tipo de objeto que se desea excluir del analisis del antivirus. Seleccione un
tipo y luego introduzca sus atributos especficos en el campo Objeto.
• Objeto: escriba la ruta de acceso completa y el nombre (o examine y seleccione) del archivo
o la carpeta que desea excluir. Si selecciona el tipo de extension del archivo, escriba los
caracteres de la extension en el campo Objeto.
• Insertar variable: Permite utilizar las variables del entorno del sistema para identificar la ruta
de acceso a una carpeta o un objeto que deseana excluir del ambito del analisis del antivirus
o de la proteccion.
Acerca del Antivirus: Pagina de analisis de virus
Utilice esta pagina para especificar en que archivos se deben analizar virus, cuales hay que excluir
del analisis y si sevan a usar heunsticos para analizar archivos sospechosos.
Esta pagina contiene las siguientes opciones:
• Analizar todos los tipos de archivos: Especifica que todos los tipos de archivos del
dispositivo de destino se analicen por medio de un analisis del antivirus. Esto puede tardar
bastante por lo tanto se recomienda analizartodos los tipos de archivos con un analisis a
974
GUÍA DE USUARIO
Los archivos infectables incluyen: archivos de documentos tales como archivos de Word y Excel,
archivos de plantillas asociados con archivos de documentos y archivos de programa, tales como
bibliotecas de vfnculos dinamicos (.DLL), archivos de comunicacion (.COM), archivos ejecutables
(.EXE) y otros archivos de programas. La lista siguiente contiene los tipos de archivos infectables
segun el estandar del formato de archivo o la extension del archivo original.
51 ACM
• ACV
• ADT
975
IVANTI ENDPOINT MANAGER
. BAT .
BIN .
BTM .
CLA .
COM .
CPL .
CSC .
CSH .
DLL .
DOC .
DOT .
DRV .
EXE .
HLP .
HTA .
HTM .
HTML .
HTT .
INF . INI
. JS .
JSE .
JTD .
MDB .
MSO .
OBD .
OBT .
OCX .
PIF . PL
. PM .
POT .
PPS .
PPT .
RTF .
SCR
• AX
976
GUÍA DE USUARIO
. SH .
SHB .
SHS .
SMM .
SYS .
VBE .
VBS .
VSD .
VSS .
VST .
VXD .
WSF .
WSH
Utilice esta pagina para habilitar y configurar un analisis del antivirus programado para ejecutarse
con cierta frecuencia en los dispositivos de destino.
• Hacer que IVANTI Antivirus busque virus en dispositivos a una hora especifica: Habilita un
analisis del antivirus periodico y programado que se ejecuta en los dispositivos de destino
de acuerdo con la hora de inicio, la frecuencia, la restriccion de tiempo y los requisitos de
ancho de banda que se especifiquen.
• Cambiar configuration: Abre el cuadro de dialogo Programar, donde puede establecer las
opciones de programacion.
53 Permitir al usuario programar analisis: Le permite al usuario final crear un analisis del
antivirus programado local en su propio equipo.
977
IVANTI ENDPOINT MANAGER
Antes de que se ejecute la tarea deben satisfacerse todos los criterios en este cuadro de dialogo
que esta configurando. Por ejemplo, si configura una programacion que se repite todos los dfas
entre las 8
y las 9 en punto con un Estado del equipo de El equipo de escritorio debe bloquearse, la tarea
solo se ejecutara entre las 8 y las 9 en punto Ysi el equipo esta bloqueado.
978
GUÍA DE USUARIO
equipo.
• Estado del equipo: si desea que los criterios de ejecucion de la tarea incluyan un estado de
equipo, seleccione alguno en la lista desplegable.
• Retraso aleatorio adicional una vez que se superan todos los demas filtros: si desea un
retraso aleatorio adicional, utilice esta opcion. Si selecciona un retraso aleatorio que se
extienda mas alia de los lmites horarios configurados para la tarea, esta puede no ejecutarse
si el valor aleatorio coloca a la tarea por fuera de los lmites horarios configurados.
NOTA: cuando un usuario final descarga las actualizaciones de los archivos de definiciones
de virus, el dispositivo intenta conectarse a los servidores en el siguiente orden: 1) servidor
preferido (si se configuro uno); 2) servidor central; 3) servidor de contenido de IVANTI
Security Suite.
979
IVANTI ENDPOINT MANAGER
Si desea que esta configuracion de antivirus incluya un analisis del antivirus periodico, utilice este
cuadro de dialogo para especificar la hora de inicio, la frecuencia, la restriccion de tiempo y la
configuracion de los requisitos de banda ancha. Las tareas de analisis del antivirus (y las tareas de
cambio de configuracion) asociadas con esta configuracion de antivirus utilizaran las reglas
definidas aqm.
Acerca del Antivirus: Pagina de Actualizaciones de definiciones de virus de legado
Utilice esta pagina para configurar las actualizaciones de definiciones de virus de legado, asf como
la configuracion del servidor de contenido de IVANTI Security Suite si se selecciono una de las
opciones de ubicacion de fuente de descarga de arriba, entre las que se incluye el Internet.
Esta pagina contiene las siguientes opciones:
980
GUÍA DE USUARIO
IMPORTANT: La configuration de legado solo se aplica a los clientes de IVANTI Antivirus mas antiguos
La configuracion de las actualizaciones de definiciones de virus de legado que se especifique en esta pagina
solo afecta las versiones anteriores del cliente de IVANTI Antivirus que se hayan desplegado en sus dispositivos
administrados. Normalmente, las versiones anteriores del cliente son instaladas por una version del servidor
central IVANTI 8.8 SP3 o anterior.
• Tamano maximo: Especifica el tamano maximo de la carpeta compartida cuarentena/copia de
seguridad en los dispositivos con el agente de IVANTI Antivirus.
• Restaurar objetos: especifica los derechos de usuario final para restaurar objetos que han
sido puestos en cuarentena.
• Permitir que el usuario restaure objetos sospechosos: Le provee a los usuarios finales
la opcion de restaurar objetos sospechosos detectados por el analisis del antivirus o
por la proteccion en tiempo real. Los objetos sospechosos son aquellos que
contienen un codigo que se encuentra modificado o que recuerda al de un virus
conocido. Los objetos sospechosos se colocan en cuarentena automaticamente. Si se
seleccione esta opcion, los usuarios finales pueden mover el archivo original de la
carpeta de cuarentena a una carpeta de destino espedfica o a su ubicacion original,
donde se almaceno antes de la cuarentena, la desinfeccion o la eliminacion. Observe
que si se esta ejecutando la proteccion en tiempo real, el archivo restaurado se analiza
y si aun sigue infectado se lo vuelve a poner en cuarentena.
• Permite que el usuario restaure objetos infectados y software peligroso: provee a los
usuarios finales la opcion de restaurar objetos infectados detectados por el analisis
del antivirus o por la proteccion en tiempo real. Los objetos infectados son aquellos
que contienen un codigo peligroso detectado por un archivo de definiciones (patrones
o firmas) de virus conocido. Los objetos infectados pueden danar aun mas los
dispositivos administrados. El software peligroso es simplemente el software cliente
que tiene la posibilidad de ser peligroso para el usuario final. Por ejemplo: Software
FTP, IRC, MIrc, RAdmin, o utilidades de control remoto. (En el caso de un resultado de
analisis falso- positivo, el usuario final puede sentirse seguroy comodo para restaurar
el archivo. Esta opcion le permite a los usuarios restaurar archivos a los recursos
compartidos de la red. Si restauran un archivo infectado a su ubicacion original, el
proximo analisis del antivirus detectara el mismo virus, aunque sea falso-positivo, y lo
volvera a poner en cuarentena.)
• El usuario debe introducir una contrasena para restaurar objetos: Los usuarios deben
introducir la contrasena especificada antes de poder restaurar los objetos
981
IVANTI ENDPOINT MANAGER
Esta seccion contiene los siguientes temas de ayuda que describen los dialogos de Configuracion
del antivirus. Desde la interfaz de la consola, puede acceder a estos temas de ayuda haciendo clic
en el boton Ayuda de cada cuadro de dialogo.
982
GUÍA DE USUARIO
983
IVANTI ENDPOINT MANAGER
• Proteccion:
• Antivirus de archivos: habilita el rastreo en tiempo real de archivos en los dispositivos
de destino.
• Antivirus de correo electronico: habilita el analisis de mensajes de correo electronico
en tiempo real en los dispositivos de destino. El rastreo de correo electronico en
tiempo real monitoriza continuamente los mensajes entrantes y salientes y busca
virus en el cuerpo del mensaje y en los datos y mensajes adjuntos. Se eliminan los
virus detectados.
• Antivirus Web: habilita el rastreo en tiempo real del trafico web, las direcciones URL
de sitio web y los enlaces en los dispositivos de destino de todos los protocolos
HTTP,
HTTPS y FTP.
• Antivirus de mensajes instantaneos: habilita el rastreo en tiempo real de las
aplicaciones de mensajena instantanea, incluidas ICQ, MSN® Messenger, AIM, Mail.Ru
Agent e IRC.
• Bloqueador de ataques a la red: habilita el Bloqueador de ataques a la red, el cual
detecta y agrega los equipos atacados a la lista de dispositivos bloqueados durante
un periodo de tiempo especificado.
• Vigilante del sistema: habilita el servicio del Vigilante del sistema, el cual supervisa las
actividades de las aplicaciones en los dispositivos de destino.
• Interfaz de usuario:
• Mostrar el icono de IVANTI Antivirus en la bandeja del sistema: Hace que el icono de
IVANTI Antivirus aparezca en la bandeja del sistema del dispositivo. La apariencia del
icono depende del estado de la proteccion de antivirus e indica si la proteccion en
tiempo real esta habilitada. Si el icono de flecha es amarillo, la proteccion en tiempo
real se encuentra habilitada y por lo tanto se supervisa el dispositivo continuamente
en busca de virus. Si el icono es gris, la proteccion de tiempo real no esta habilitada.
• Habilita los mensajes de aviso de base de datos desactualizada y obsoleta: Permite a
IVANTI Antivirus mostrar mensajes de aviso cuando la base de datos esta
desactualizada u obsoleta. Especifica el numero de dfas para cada estado.
• No enviar el estado de reinicio de IVANTI Antivirus: Seleccione esta opcion si no desea que
IVANTI Antivirus envfe el estado de reinicio al servidor central. IVANTI Antivirus envfa, de
manera predeterminada, una actualizacion de estado, independientemente de que necesite
un reinicio para completar una instalacion o una actualizacion. El estado aparecera en
Actividad de seguridad | IVANTI Antivirus | Actividad y el servidor central ajustara la
informacion del inventario "Reinicio necesario" que se encuentra en Equipo | Administration
de IVANTI.
984
GUÍA DE USUARIO
Utilice esta pagina para configurar la configuracion de los permisos de IVANTI Antivirus en los
dispositivos de destino.
Utilice esta pagina para configurar la configuracion de la proteccion de IVANTI Antivirus en los
dispositivos de destino.
• Iniciar IVANTI Antivirus al inicio del equipo: Habilita el inicio automatico de IVANTI Antivirus
tras la carga del sistema operativo, lo que hace que el equipo quede protegido durante toda
la sesion. Esta opcion se selecciona de forma predeterminada. Si deshabilita esta
opcion, IVANTI Antivirus no se iniciara hasta que el usuario lo inicie manualmente y los
985
IVANTI ENDPOINT MANAGER
986
GUÍA DE USUARIO
• Exclusiones: especifica los archivos, carpetas o extensiones que IVANTI Antivirus excluira
del analisis. IVANTI Antivirus analizara la carpeta \LDClient y\Shared files en busca de
archivos .exe. Si IVANTI Antivirus firma esos archivos, automaticamente los excluira detodos
los analisis y los agregara a la lista de Aplicaciones de confianza.
• Tiempo real: especifica los archivos, carpetas o extensiones que desee excluir del
analisis en tiempo real. Haga clic en Agregar... para abrir el dialogo Agregar ruta de
acceso excluida, donde podra especificar el tipo de archivo y buscar los objetos que
desee excluir.
• Rastreo de virus: especifica los archivos, carpetas o extensiones que desee excluir del
analisis del antivirus. Haga clic en Agregar... para abrir el dialogo Agregar ruta de
acceso excluida, donde podra especificar el tipo de archivo y buscar el objeto u
objetos que desee excluir.
• Puertos monitorizados: especifica que puertos monitorizar.
• Monitorizar todos los puertos de la red: secuencias de datos de monitorizacion de los
componentes de proteccion que se transmiten a traves de los puertos de red abiertos
del equipo.
• Monitorizar solo los puertos seleccionados: los componentes de proteccion solo
monitorizan los puertos especificados por el usuario. Los que aparezca en la lista de
puertos de red se incluira y se comprobara en el cliente. Este modo de monitorizacion
de puertos de red se selecciona de manera predeterminada. Haga clic en
Configuracion para abrir el dialogo Puertos de red, donde podra crear una lista de
puertos de red de monitorizacion y una lista de aplicaciones.
• Lista de puertos de red: esta lista contiene los puertos de red que se suelen
utilizar para la transmision del trafico de correos electronicos y de red.
Seleccione un puerto para que IVANTI Antivirus monitorice el trafico de red que
pasa a traves de este puerto de red, mediante cualquier protocolo de red. Haga
clic en Agregar... para introducir un nuevo numero de puerto ydescripcion.
• Monitorizar todos los puertos en busca de aplicaciones especficas: especifica
si se monitorizan todos los puertos de red de las aplicaciones que se
especifican en la lista de aplicaciones.
• Lista de aplicaciones: esta lista contiene aplicaciones que tienen los puertos de
red que IVANTI Antivirus monitorizara. Para cada aplicacion, la lista de
aplicaciones especifica la ruta al archivo ejecutable correspondiente. Haga clic
en Agregar... para seleccionar una aplicacion de la base de datos o para buscar
una aplicacion en la ubicacion del archivo.
987
IVANTI ENDPOINT MANAGER
Utilice esta pagina para configurar el modo de funcionamiento de Antivirus de archivos con IVANTI
Antivirus en los dispositivos de destino.
Alto: el Antivirus de archivos utiliza el control mas estricto de todos los archivos abiertos,
guardados e iniciados. El Antivirus de archivos analiza todos los tipos de archivos de todos
los discos duros, discos de red y almacenamiento extrafble del equipo. Tambien analiza los
archivos, los paquetes de instalacion y los objetos OLE incrustados. Este ajuste se
recomienda en entornos hostiles.
988
GUÍA DE USUARIO
989
IVANTI ENDPOINT MANAGER
990
GUÍA DE USUARIO
991
IVANTI ENDPOINT MANAGER
992
GUÍA DE USUARIO
993
IVANTI ENDPOINT MANAGER
Seleccionar... para abrir la ventana Aplicaciones, donde podra crear una lista de
aplicaciones que pausen el Antivirus de archivos cuando se esten ejecutando.
• Accion: especifica la accion que lleva a cabo el Antivirus de archivos si se detectan archivos
infectados. Antes de intentar desinfectar o eliminar un archivo infectado, el Antivirus de
archivos crea una copia de seguridad para restauraciones y desinfecciones siguientes.
• Seleccionar una accion automaticamente: habilita un Antivirus de archivos para llevar
a cabo la accion predeterminada que especifica IVANTI. Esta accion es "Desinfectar.
Eliminar si la desinfeccion falla".
• Realizar acciones: permite que File Antivirus intente automaticamente eliminar el virus
del archivo. Si no puede eliminar el virus, File Antivirus elimina el archivo.
• Desinfectar: habilita el Antivirus de archivos para que intente automaticamente
desinfectar todos los archivos infectados que detecte. El Antivirus de archivos
aplica la accion Eliminar a los archivos que forman parte de la aplicacion de
Windows Store.
• Eliminar si la desinfeccion falla: habilita el Antivirus de archivos para que
elimine automaticamente todos los archivos infectados que detecte.
Utilice esta pagina para configurar el modo de funcionamiento de Mail Antivirus con IVANTI
Antivirus en los dispositivos de destino.
• Activar el Antivirus de correo: inicia Mail Antivirus con IVANTI Antivirus. Mail Antivirus
permanece activo constantemente en la memoria del equipo y analiza todos los mensajes de
correo que se transmiten a traves de protocolos POP3, SMTP, IMAP, MAPI y NNTP. De
manera predeterminada, Mail Antivirus esta habilitadoyconfigurado con la configuracion
recomendada.
994
GUÍA DE USUARIO
• Nivel de seguridad: especifica uno de los tres niveles de seguridad de archivos (alta,
recomendada o baja). Puede configurar un nivel de seguridad de correo personalizada,
seleccionando la configuracion en las pestanas General, Rendimiento y Adicional.
Alto: Mail Antivirus analiza los mensajes de correo electronico en profundidad. Mail Antivirus
analiza los mensajes entrantesysalientesylleva a cabo un analisis heunstico profundo. Es
recomendable un nivel de seguridad de correos alto cuando se trabaja en un entorno
peligroso, como una conexion a un servicio de correo electronico gratuito, desde una red
domestica que no este protegida por una proteccion de correo electronico centralizada.
Bajo: Solo analiza los mensajes de correo electronico entrantes, lleva a cabo analisis
heunsticos suaves y no analiza los archivos adjuntos a un correo electronico. Con este nivel
de seguridad de correo, Mail Antivirus analiza los mensajes de correo electronico a la mayor
velocidad y utiliza los recursos mfnimos del sistema operativo. El nivel de seguridad de
correo bajo se recomienda para un entorno bien protegido, como un entorno LAN con
seguridad de correo electronico centralizada.
• General:
• Ambito de proteccion: Especifica si se deben analizar los mensajes de entrada
y de salida o solo los mensajes de entrada.
• Trafico de POP3 / SMTP / NNTP/ IMAP: Habilita a Mail Antivirus para que analice
los correos electronicos antes de que el equipo los reciba. Si desmarca esta
opcion, Mail Antivirus no analizara los mensajes que se transfieran mediante
protocolos POP3, SMTP, NNTPe IMAP antes deque lleguen al equipo. En lugar
de eso, los complementos de Mail Antivirus incrustados en Microsoft Office
Outlook y los clientes de correo electronico de jEl Bat! analizaran los mensajes
despues de que lleguen al equipo.
995
IVANTI ENDPOINT MANAGER
996
GUÍA DE USUARIO
* Accion:
• Seleccionar una accion automaticamente: habilita a Mail Antivirus para llevar a cabo la
accion predeterminada que especifica IVANTI. Esta accion se lleva a cabo para
desinfectar todos los mensajes de correo electronico infectados y, en caso de fallar la
desinfeccion, eliminarlos.
Utilice esta pagina para configurar el modo de funcionamiento de Web Antivirus con IVANTI
Antivirus en los dispositivos de destino.
• Activar el Antivirus de web: Web Antivirus se inicia con IVANTI Antivirus y protege la
informacion que llega al equipo a traves de los protocolos HTTP y FTP. De manera
predeterminada, Web Antivirus esta habilitadoy configurado con la configuracion
recomendada.
997
IVANTI ENDPOINT MANAGER
• Nivel de seguridad: especifica uno de los tres niveles de seguridad de archivos (alta,
recomendada o baja). Puede configurar un nivel de seguridad web personalizado,
seleccionando los ajustes en las pestanas Metodos y optimizacion del rastreo y URL de
confianza.
Alto: Web Antivirus lleva a cabo un rastreo maximo del trafico web que el equipo recibe a
traves de los protocolos HTTP y FTP. Web Antivirus rastrea en detalletodos los objetos de
trafico web, mediante un conjunto completo de bases de datos de aplicaciones, y lleva a
cabo el analisis heunstico mas profundo posible. Esta tecnologfa se desarrollo para detectar
amenazas que no se pueden detectar mediante la version actual de las bases de datos de
IVANTI. Detecta archivos que puedan estar infectados con un virus desconocido o con una
nueva variedad de un virus conocido. Los archivos en los que se detecte codigo danino
durante el analisis heunstico se marcan como posiblemente infectado.
Bajo: Garantiza el rastreo mas rapido de trafico web. Web Antivirus lleva a cabo un analisis
heunstico a un nivel de rastreo ligero.
998
GUÍA DE USUARIO
999
IVANTI ENDPOINT MANAGER
1000
GUÍA DE USUARIO
Utilice esta pagina para configurar el Bloqueador de ataques a la red que IVANTI Antivirus utiliza en
los dispositivos de destino para detectar y agregar equipos de ataque a la lista de dispositivos
bloqueados durante un periodo detiempo especificado.
Utilice esta pagina para configurar el Vigilante del sistema que utiliza IVANTI Antivirus para
monitorizar la actividad de las aplicaciones en los dispositivos de destino. El Vigilante del sistema
solo se aplicara a partir del reinicio siguiente.
1001
IVANTI ENDPOINT MANAGER
• Reversion de las acciones de malware: Permite realizar una reversion en las acciones del
malware en el sistema operativo cuando se esta llevando a cabo una desinfeccion. Esta
opcion se selecciona de forma predeterminada.
Utilice esta pagina para crear una tarea programada que llevara a cabo la herramienta del
programador local de IVANTI. Estas tareas van por separado de las tareas que se pueden programar
a traves del cliente de IVANTI Antivirus en el dispositivo administrado. Tenga en cuenta que las
notificaciones de tareas que aparecen en la interfaz del cliente hacen referencia al programador
nativo del cliente de IVANTI Antivirus, no a la herramienta del Programador local del servidor
central.
• Tareas programadas: Crea una tarea programada IVANTI Antivirus llevara a cabo en el
dispositivo administrado. Estas tareas van por separado de las tareas que se pueden
programar a traves de la herramienta de Programador local de IVANTI.
• Actualizar: Especifica cuando se actualizan las definiciones de virus. Haga clic en
Cambiar programa... para abrir la ventana Programar actualizaciones de definiciones
1002
GUÍA DE USUARIO
de virus periodicas, donde podra seleccionar los eventos que activaran una
actualizacion, la hora de la misma y los filtros.
• Rastreo completo: Especifica cuando se llevara a cabo un rastreo completo. Haga clic
en Cambiar programa... para abrir la ventana Programar rastreos de definiciones de
virus periodicas, donde podra seleccionar los eventos que activaran un rastreo, la
hora del mismoy los filtros.
• Rastreo de las areas crfticas: Especifica cuando se rastrearan solo las areas crfticas.
Haga clic en Cambiar programa... para abrir la ventana Programar rastreos de
definiciones de virus periodicas, donde podra seleccionar los eventos que activaran
un rastreo, la hora del mismoy los filtros.
• Tareas de rastreo en el fondo: Especifica si se llevara a cabo el rastreo de la memoria del
sistema en segundo plano, en los objetos de inicio,yen la particion del sistema, durante la
inactividad del equipo para optimizar el uso de los recursos del equipo.
• Realizar rastreo durante inactividad: Inicia una tarea de rastreo para los objetos que se
ejecutan automaticamente, RAM, y para la particion del sistema operativo, cuando el
equipo esta bloqueado o cuando el salvapantallas esta activo durante 5 minutos o
mas, si una de las condiciones siguientes es verdad:
• No se ha llevado a cabo un rastreo durante la inactividad del equipo desde la
instalacion de IVANTI Antivirus.
• El ultimo rastreo durante la inactividad del equipo se llevo a cabo hace mas de 7
dfas.
• El ultimo rastreo durante la inactividad del equipo se interrumpio durante una
actualizacion de la base de datos y los modulos de la aplicacion.
• El ultimo rastreo durante la inactividad del equipo se interrumpio durante un
rastreo a peticion.
1003
IVANTI ENDPOINT MANAGER
• Rastrear las unidades extraibles al conectarse: Especifica si se rastreara una unidad extrafole
cuando esta se conecte al equipo.
• Accion al conectarse una unidad extrafole: Le permite seleccionar la accion que
IVANTI Antivirus llevara a cabo cuando conecte una unidad extrafole al equipo.
• No rastrear: IVANTI Antivirus no ejecutara un rastreoy no le indicara que
seleccione una accion a llevar a cabo cuando se conecte una unidad extrafble.
Este ajuste se utiliza si los archivos analizados anteriormente no estaban
infectados.
• Rastreo completo: IVANTI Antivirus inicia un rastreo completo de la unidad
extrafble segun los ajustes de las tareas de Rastreo completo. El analisis se
puede omitir si la opcion se ajusta para que sobrescriba el analisis en una
unidad mas grande que la que se ajusto en la configuracion de Tamano maximo
de la unidad extrafble.
• Rastreo rapido: IVANTI Antivirus inicia un rastreo de la unidad extrafble segun
los ajustes de las tareas de Rastreo de las areas criticas. Este analisis se puede
omitir si la opcion se ajusta para que sobrescriba el analisis en una unidad mas
grande que la que se ajusto en la configuracion de Tamano maximo de la
unidad extrafble.
• Tamano maximo de unidad extrafole (MB): Especifica el tamano de las unidades
extrafbles en las que IVANTI Antivirus llevara a cabo la accion seleccionada en la lista
Accion al conectarse una unidad. El tamano predeterminado es 4096 MB.
Si desea que esta configuracion de antivirus incluya un analisis del antivirus periodico,
utilice este cuadro de dialogo para especificar la hora de inicio, la frecuencia, la restriccion
de tiempo y la configuracion de los requisitos de banda ancha. Las tareas de analisis del
antivirus (y las tareas de cambio de configuracion) asociadas con esta configuracion de
antivirus utilizaran las reglas definidas aqrn.
Antes de que se ejecute la tarea deben satisfacerse todos los criterios en este cuadro de
dialogo que esta configurando. Por ejemplo, si configura una programacion que se repite
todos los dfas entre las 8y las 9 en punto con un Estado del equipo de El equipo de escritorio
debe bloquearse, la tarea solo se ejecutara entre las 8 y las 9 en punto Ysi el equipo esta
bloqueado.
Este cuadro de dialogo contiene las siguientes paginas:
1004
GUÍA DE USUARIO
1005
IVANTI ENDPOINT MANAGER
1006
GUÍA DE USUARIO
Utilice esta pagina para configurar el modo en que IVANTI Antivirus lleva a cabo el rastreo completo
de los dispositivos de destino. Para programar un rastreo completo, seleccione Rastreo completo
en la pagina de Tareas programadas.
Esta pagina contiene las siguientes opciones:
• Nivel de seguridad: especifica uno de los tres niveles de seguridad de archivos (alta,
recomendada o baja).
Alto: Si la probabilidad de infeccion de un equipo es muy alta, seleccione este nivel de
seguridad de archivo. IVANTI Antivirus rastreara todos los tipos de archivos. Cuando se
rastrean los archivos compuestos, IVANTI Antivirus tambien rastrea los archivos de formato
de correo.
Recomendado: IVANTI Antivirus analiza solo los tipos de archivos especificados de todos
los discos duros, discos de red y almacenamiento extrafble del equipo, asf como los objetos
OLE incrustados. IVANTI Antivirus no rastreara los archivos ni los paquetes de instalacion.
1007
IVANTI ENDPOINT MANAGER
Bajo: Garantiza la velocidad maxima de rastreo. IVANTI Antivirus rastrea solo los
archivos nuevos o modificados con las extensiones especificadas en todos los discos
duros, discos de red y almacenamiento extrafole del equipo, as^como los objetos OLE
incrustados. IVANTI Antivirus no rastreara los archivos, los paquetes de instalacion ni
los archivos compuestos.
. Alcance: Puede ampliar o restringir el ambito del rastreo, anadiendo un eliminando los
objetos de rastreo o modificando el tipo de archivos que se van a rastrear. De manera
predeterminada, un rastreo completo incluye la memoria del sistema, los objetos de
inicio, los sectores de arranque del disco, el almacenamiento de las copias de
seguridad del sistema, los correos electronicos, los discos duros y las unidades
extrafbles.
• Tipos de archivo: Especifica si se rastrearan los archivos por formato,
extension o ambos. algunos formatos de archivo (como .txt) tienen pocas
probabilidades de intrusion de codigos maliciosos y de activaciones
subsiguientes. Sin embargo, hay formatos de archivos que contienen o pueden
contener codigo ejecutable (como .exe, .dll y .doc). El riesgo de intrusion yde
activacion de codigo malicioso en estos archivos es bastante alto. Un intruso
puede enviar un virus u otros programas malignos al equipo, mediante un
archivo ejecutable que se haya renombrado con la extension .txt. Si selecciona
analizar los archivos por extension, ese archivo se omitina en el analisis. Si se
selecciona analizar los archivos por formato, independientemente de la
extension, IVANTI Antivirus analizara la cabecera del archivo. Este analisis
puede revelar que el archivo tiene un formato .exe. Estos archivos se analizan
totalmente en busca de virus y otro tipo de malware.
• Rastrear solo archivos nuevos y modificados: habilita IVANTI Antivirus para
que rastree solo los nuevos archivos y los archivos que se han modificado
desde el analisis anterior.
• Omitir los archivos que se rastreen durante un tiempo superior a: Especifica, en
segundos, el tiempo de rastreo de un archivo antes de omitirlo.
• Analizar archivos: habilita a IVANTI Antivirus para que analice archivos RAR,
ARJ, ZIP, CAB, LHA, JARy ICE. En un rastreo completo, esta opcion se habilita
de manera predeterminada.
• Rastrear paquetes de instalacion: habilita a IVANTI Antivirus para que analice
los paquetes de instalacion. En un rastreo completo, esta opcion se habilita de
manera predeterminada.
• Analizar objetos OLE incrustados: habilita IVANTI Antivirus para analizar los
archivos que esten incrustados en otro archivo, como las hojas de calculo de
Microsoft® Office Excel® , las macros incrustadas en los archivos de
Microsoft® Office Word® o los archivos adjuntos de correos electronicos. En
un rastreo completo, esta opcion se habilita de manera predeterminada.
1008
GUÍA DE USUARIO
1009
IVANTI ENDPOINT MANAGER
1010
GUÍA DE USUARIO
• Accion: especifica la accion que lleva a cabo IVANTI Antivirus si se detectan archivos
infectados durante el rastreo. Antes de intentar desinfectar o eliminar un archivo infectado,
IVANTI Antivirus crea una copia de seguridad para restauraciones y desinfecciones
siguientes.
Acerca de las tareas programadas de IVANTI Antivirus: Pagina de Rastreo de las areas crfticas
Utilice esta pagina para configurar el modo de funcionamiento de IVANTI Antivirus en el rastreo de
las areas crfticas de los dispositivos de destino. Para programar un rastreo de las areas crfticas,
seleccione Rastreo de las areas crfticas en la pagina de Tareas programadas.
• Nivel de seguridad: especifica uno de los tres niveles de seguridad de archivos (alta,
recomendada o baja).
Recomendado: IVANTI Antivirus analiza solo los tipos de archivos especificados de todos
los discos duros, discos de red y almacenamiento extrafble del equipo, asf como los objetos
OLE incrustados. IVANTI Antivirus no rastreara los archivos ni los paquetes de instalacion.
Bajo: Garantiza la velocidad maxima de rastreo. IVANTI Antivirus rastrea solo los archivos
nuevos o modificados con las extensiones especificadas en todos los discos duros, discos
de red y almacenamiento extrafble del equipo, asf como los objetos OLE incrustados.
IVANTI Antivirus no rastreara los archivos, los paquetes de instalacion ni los archivos
compuestos.
• Alcance: Puede ampliar o restringir el ambito del rastreo, anadiendo un eliminando los
objetos de rastreo o modificando el tipo de archivos que se van a rastrear. De manera
1011
IVANTI ENDPOINT MANAGER
predeterminada, el rastreo de areas crfticas incluye solo la memoria del sistema, los
objetos de inicio y los sectores de arranque del disco.
• Tipos de archivo: Especifica si se rastrearan los archivos por formato,
extension o ambos. algunos formatos de archivo (como .txt) tienen pocas
probabilidades de intrusion de codigos maliciosos y de activaciones
subsiguientes. Sin embargo, hay formatos de archivos que contienen o pueden
contener codigo ejecutable (como .exe, .dll y .doc). El riesgo de intrusion yde
activacion de codigo malicioso en estos archivos es bastante alto. Un intruso
puede enviar un virus u otros programas malignos al equipo, mediante un
archivo ejecutable que se haya renombrado con la extension .txt. Si selecciona
analizar los archivos por extension, ese archivo se omitina en el analisis. Si se
selecciona analizar los archivos por formato, independientemente de la
extension, IVANTI Antivirus analizara la cabecera del archivo. Este analisis
puede revelar que el archivo tiene un formato .exe. Estos archivos se analizan
totalmente en busca de virus y otro tipo de malware.
• Rastrear solo archivos nuevos y modificados: habilita IVANTI Antivirus para
que rastree solo los nuevos archivos y los archivos que se han modificado
desde el analisis anterior.
• Omitir los archivos que se rastreen durante un tiempo superior a: Especifica, en
segundos, el tiempo de rastreo de un archivo antes de omitirlo.
• Analizar archivos: habilita a IVANTI Antivirus para que analice archivos RAR,
ARJ, ZIP, CAB, LHA, JARy ICE. En un rastreo de areas cnticas, esta opcion se
deshabilita de manera predeterminada.
• Rastrear paquetes de instalacion: habilita a IVANTI Antivirus para que analice
los paquetes de instalacion. En un rastreo de areas cnticas, esta opcion se
deshabilita de manera predeterminada.
• Analizar objetos OLE incrustados: habilita IVANTI Antivirus para analizar los
archivos que esten incrustados en otro archivo, como las hojas de calculo de
Microsoft® Office Excel® , las macros incrustadas en los archivos de
Microsoft® Office Word® o los archivos adjuntos de correos electronicos. En
un rastreo de areas cnticas, esta opcion se habilita de manera predeterminada.
• Analizar formatos de correo electronico: Habilita IVANTI Antivirus para analizar
los formatos de correo electronico durante el rastreo. En un rastreo de areas
cnticas, esta opcion se habilita de manera predeterminada.
• Rastrear archivos protegidos por contrasena: habilita a IVANTI Antivirus para
que analice archivos RAR, ARJ, ZIP, CAB, LHA, JARe ICE que esten protegidos
por contrasena.
• Adicional: Haga clic en este boton para abrir la ventana de Archivos
compuestos, donde podra especificar si desempaquetar los archivos
compuestos en segundo planoy ajustar un lfmite de tamano para los archivos
1012
GUÍA DE USUARIO
compuestos.
• Adicional: Especifica el metodoy la tecnolog^a que IVANTI Antivirus utilizara durante
un rastreo completo.
• Metodos de rastreo: El analisis heunstico detecta los archivos que pueden estar
infectados con un virus desconocido. Si el Antivirus detecta codigo malicioso
en un archivo durante un analisis heunstico, marcara el archivo como
posiblemente infectado. Desplace el control deslizante en el eje horizontal para
cambiar el nivel de detalle del analisis heunstico. El nivel de detalle del analisis
heunstico ajusta el equilibrio entre la minuciosidad de la busqueda de nuevas
amenazas, la carga sobre los recursos del sistema operativo y la duracion del
analisis heunstico. Estan disponibles los niveles siguientes de detalle del
analisis heunstico:
• Rastreo ligero: El Analizador heunstico no lleva a cabo todas las
instrucciones de los archivos ejecutables durante el rastreo. En este
nivel de detalle, la probabilidad de detectar amenazas es menor que en
los niveles de rastreo medio y profundo. El rastreo es mas rapido y utiliza
menos recursos.
• Rastreo medio: Durante el rastreo, el Analizador heunstico lleva a cabo
una serie de instrucciones en los archivos ejecutables que vienen
recomendadas por IVANTI,
• Rastreo profundo: Durante el rastreo, el Analizador heunstico lleva a
cabo mas instrucciones en los archivos ejecutables que con los niveles
de rastreo ligero y medio. En este nivel de detalle, la probabilidad de
detectar amenazas es mayor que en los niveles de rastreo ligero y medio.
El rastreo consume mas recursos del sistema y dura mas tiempo. Para el
rastreo de areas cnticas, este es el nivel de analisis heunstico
predeterminado.
• Tecnologias de analisis: especifica las tecnologfas de rastreo que utiliza IVANTI
Antivirus cuando analiza archivos. De manera predeterminada, las tecnologfas
de iCheckery iSwift son complementarias. Estas tecnologfas optimizan la
velocidad de rastreo de archivos, excluyendo los archivos que no se han
modificado desde el rastreo mas reciente.
1013
IVANTI ENDPOINT MANAGER
• Accion: especifica la accion que lleva a cabo IVANTI Antivirus si se detectan archivos
infectados durante el rastreo. Antes de intentar desinfectar o eliminar un archivo infectado,
IVANTI Antivirus crea una copia de seguridad para restauraciones y desinfecciones
siguientes.
• Seleccionar una accion automaticamente: habilita a IVANTI Antivirus para llevara cabo
la accion predeterminada que especifica IVANTI. Esta accion es "Desinfectar. Eliminar
si la desinfeccion falla". Esta accion se selecciona de forma predeterminada.
• Realizar acciones: IVANTI Antivirus intenta desinfectar automaticamente todos los
archivos infectados que detecte. Si la desinfeccion falla, IVANTI Antivirus eliminara
esos archivos.
• Desinfectar: IVANTI Antivirus intenta desinfectar automaticamente todos los
archivos infectados que detecte. IVANTI Antivirus aplica la accion Eliminar a los
archivos que forman parte de la aplicacion de Windows Store.
• Eliminar si la desinfeccion falla: habilita a IVANTI Antivirus para queelimine
automaticamente todos los archivos infectados que detecte.
Utilice esta pagina para configurar los rastreos personalizados en los dispositivos de destino.
Recomendado: IVANTI Antivirus analiza solo los tipos de archivos especificados de todos
los discos duros, discos de red y almacenamiento extrafble del equipo, asf como los objetos
OLE incrustados. IVANTI Antivirus no rastreara los archivos ni los paquetes de instalacion.
Bajo: Garantiza la velocidad maxima de rastreo. IVANTI Antivirus rastrea solo los archivos
nuevos o modificados con las extensiones especificadas en todos los discos duros, discos
de red y almacenamiento extrafble del equipo, asf como los objetos OLE incrustados. IVANTI
Antivirus no rastreara los archivos, los paquetes de instalacion ni los archivos compuestos.
• Alcance: Puede ampliar o restringir el ambito del rastreo, anadiendo un eliminando los
objetos de rastreo o modificando el tipo de archivos que se van a rastrear.
• Tipos de archivo: Especifica si se rastrearan los archivos por formato, extension
o ambos. algunos formatos de archivo (como .txt) tienen pocas probabilidades
de intrusion de codigos maliciosos y de activaciones subsiguientes. Sin
embargo, hay formatos de archivos que contienen o pueden contener codigo
1014
GUÍA DE USUARIO
1015
IVANTI ENDPOINT MANAGER
1016
GUÍA DE USUARIO
• Accion: especifica la accion que lleva a cabo IVANTI Antivirus si se detectan archivos
infectados durante el rastreo. Antes de intentar desinfectar o eliminar un archivo infectado,
IVANTI Antivirus crea una copia de seguridad para restauraciones y desinfecciones
siguientes.
• Seleccionar una accion automaticamente: habilita a IVANTI Antivirus para llevara cabo
la accion predeterminada que especifica IVANTI. Esta accion es "Desinfectar. Eliminar
si la desinfeccion falla". Esta accion se selecciona de forma predeterminada.
• Realizar acciones: IVANTI Antivirus intenta desinfectar automaticamente todos los
archivos infectados que detecte. Si la desinfeccion falla, IVANTI Antivirus eliminara
esos archivos.
• Desinfectar: IVANTI Antivirus intenta desinfectar automaticamente todos los
archivos infectados que detecte. IVANTI Antivirus aplica la accion Eliminar a los
archivos que forman parte de la aplicacion de Windows Store.
• Eliminar si la desinfeccion falla: habilita a IVANTI Antivirus para queelimine
automaticamente todos los archivos infectados que detecte.
Utilice esta pagina para configurar la configuracion avanzada de IVANTI Antivirus en los
dispositivos de destino.
Esta pagina contiene las siguientes opciones:
1017
IVANTI ENDPOINT MANAGER
Utilice esta pagina para configurar la configuracion avanzada de los informes y del almacenamiento
de
IVANTI Antivirus en los dispositivos de destino.
1018
GUÍA DE USUARIO
• Opciones de cuarentena local y copia de seguridad: Permite configurar las cuarentenas y las
copias de seguridad. El almacenamiento de datos consta de un catalogo de cuarentena yde
un almacenamiento para los archivos de las copias de seguridad.
• Volver a rastrear la cuarentena tras una actualizacion: Habilita el rastreo automatico de
los archivos en cuarentena despues de cada actualizacion de las bases de datos y de
los modulos de software de la aplicacion de IVANTI Antivirus. Si selecciona esta
opcion, IVANTI Antivirus iniciara un rastreo de los archivos en cuarentena despues de
cada actualizacion de las bases de datos y de los modulos de software de la
aplicacion.
• Almacenar objetos por no mas de: Especifica el termino maximo de almacenamiento
para los archivos de cuarentena y para los archivos de las copias de seguridad. El
termino de almacenamiento maximo se mide en dfas. El termino maximo
predeterminado para los archivos es de 30 dfas. Transcurrido este termino de
almacenamiento maximo, IVANTI Antivirus eliminara los archivos mas antiguos de la
Cuarentena yde las Copias de seguridad.
• Tamano maximo de almacenamiento: Especifica el tamano maximo para el
almacenamiento de datos en megabytes. De manera predeterminada, el tamano
maximo es 100 MB. Para no superar el tamano de almacenamiento de datos maximo,
cuando el almacenamiento de datos alcanza el tamano maximo, IVANTI Antivirus
elimina automaticamente los archivos mas antiguos.
Utilice esta pagina para configurar los ajustes avanzados de la interfaz que IVANTI Antivirus utilizara
en los dispositivos de destino.
Utilice esta pagina para configurar el modo en que IVANTI Antivirus importara la configuracion de
Kaspersky en los dispositivos de destino.
1019
IVANTI ENDPOINT MANAGER
Puede especificar el plazo vencimiento de la clave de licencia del producto de IVANTI Antivirus y
rastrear los dispositivos de destino para establecer el cumplimiento, importar una nueva clave de
licencia valida, comprobar el estado de los archivos de la definicion actual de antivirus (patron) en
el servidor central ydescargar los ultimos archivos de definicion de antivirus.
Acerca del cuadro de dialogo de IVANTI Antivirus Action Center
• Aceptar que se eliminaran otros programas de software antivirus: Especifica que usted esta
de acuerdo en que el proceso de instalacion de IVANTI Antivirus retirara cualquier otro
software antivirus que se detecte en los dispositivos de destino.
• Se requiere una clave de licencia de IVANTI Antivirus: Se necesita una licencia valida de
IVANTI Antivirus para instalary utilizar plenamente el productode IVANTI antivirus en la red.
• Importar una licencia nueva: le permite importar una clave de licencia valida de
IVANTI Antivirus para activar el producto en el servidor central.
• Revisar si algun cliente se esta acercando al vencimiento de la licencia: puede rastrear los
1020
GUÍA DE USUARIO
dispositivos administrados en la red que esta configurada con IVANTI Antivirus para ver si la
clave de licencia esta cerca de la fecha de caducidad.
• Cambiar: le permite especificar el numero de dfas que quedan antes de que caduque
la clave de licencia de IVANTI Antivirus.
• Importar una licencia nueva: le permite importar una clave de licencia valida de IVANTI
Antivirus para activarel producto en el servidor central.
• Ver clientes: le permite ver que dispositivos administrados se encuentran dentro del
umbral especificado de caducidad de la clave de licencia de IVANTI Antivirus.
• Las definiciones de Antivirus estan actualizadas: indica si las definiciones de antivirus
(archivos de patron o firma) en el servidor central estan actualizadas (segun su plazo
especificado) o no.
• Cambiar...: le permite especificar el numero de dfas que restan, durante los cuales los
archivos existentes de definicion de antivirus (patron) que actualmente residen en el
servidor central se consideran actualizados.
• Ira descargaractualizaciones...: abre el cuadro de dialogo Descargar
actualizacionesdonde se pueden configurar las opciones de descarga y realizar
(programar) una tarea para descargar los archivos de definicion de antivirus.
• Muestra automaticamente este dialogo si se requieren de acciones del antivirus: permite que
el cuadro de dialogo de IVANTI Antivirus Action Center muestre en la consola de IVANTI si
alguno de los parametros especificados en las opciones de arriba se cumplen,
desencadenando, por lo tanto, una accion de recordatorio.
Acerca del cuadro de dialogo de IVANTI Antivirus License Information
Utilice este cuadro de dialogo para ver la informacion actual de la licencia de IVANTI Antivirus e
importar una nueva clave de licencia.
1021
IVANTI ENDPOINT MANAGER
1022
GUÍA DE USUARIO
Power management
Informacion general sobre el Administrador de energia
de IVANTI®
La herramienta Administracion de ene^a de IVANTI le permite supervisar la utilizacion de ene^a en
los equipos administrados desde una base centralizada. Puede crear e implementar con facilidad
directivas de administracion de energfa y generar informes para evaluar los ahorros energeticos y
economicos. Usted controla las condiciones bajo las cuales los equipos y monitores permanecen
en espera, hibernan o se apagan.
El Administrador de energfa cuenta con una caractenstica que permite que los usuarios eviten
acciones espedficas de administracion de energfa (como un apagado ffsico) utilizando una interfaz
de usuario en el lado del cliente. La accion evitada se producira la proxima vez que se ejecute la
polftica o que se actualice en ese equipo.
Funcionamiento
El agente de IVANTI que se despliega a cada dispositivo administrado incluye una opcion de
administracion de energfa. Cuando decida implementar una polftica de administracion de energfa
en algun dispositivo, esta opcion se habilita como parte del agente.
Las polfticas se pueden definir con base en las necesidades especficas de los diferentes tipos de
dispositivos administrados. Luego se pueden desplegar las polfticas a los grupos de dispositivos
de la organizacion. Por ejemplo, se podna definir una polftica para los servidores que necesitan
estar en funcionamiento continuamente y una polftica diferente para los equipos de escritorio que
normalmente no estan en uso durante la noche y los fines de semana.
1023
IVANTI ENDPOINT MANAGER
CL adsr
Cada polftica contiene uno o mas esquemas de ene^a, los cuales son normas espedficas de las
acciones relacionadas con la administracion de ene^a. Cada esquema se aplica a un tipo de
dispositivo durante un periodo de tiempo espedfico. Por ejemplo, puede
1024
GUÍA DE USUARIO
Eliminar:
Eliminar la polftica de administracion de la energfa.
Elaboration de informes: Haga clic para ejecutar un informe que estime los ahorros en
energfa y costos que se pueden obtener mediante el despliegue de ciertas polfticas de
administracion de ene^a a un grupo espedfico de dispositivos. Tambien se puede ejecutar un
informe que muestre los ahorros en energfa y costos en un intervalo detiempo especfico.
Datos Historicos: Haga clic aqrn para recopilar informacion de utilizacion del cliente
para
estimar con mas precision el uso de la
energfa
Le permite personalizar la configuracion que define el uso general de
Personalizar:
de energfade equipos
fabricantes y modelos
espeaficos.
Le permite administrar los procesos que se
Administracion de aplicaciones: pudieran
encontrar en ejecucion cuando se aplica una polftica de
energfa.
Crear una polftica de administracion de energia
La administracion de energfa utiliza una gestion basada en polfticas para enviar instrucciones
de espera, hibernacion, apagado y encendido a los equipos administrados. Las polfticas de
administracion de energfa le permiten controlar equipos y grupos de equipos espetificos.
Para crear una nueva polftica de administracion de energfa, utilice el Dialogo de administracion
de energia.
Herramientas > Seguridad y cumplimiento > Configuracion del agente > Administracion de
energia > Ajustes de administracion de ene^a
1025
IVANTI ENDPOINT MANAGER
Los paneles de estado de tareas mostraran los dispositivos en los cuales se realizo la tarea de
forma correcta. Si la tarea no puede realizar en ninguno de los dispositivos, aparecera el motivo de
esto.
NOTE: El agente de IVANTI de los dispositivos de destino debe tener activada la administracion de energfa para
que la polftica de energfa funcione. Si despliega una polftica y recibe un mensaje de error que indica que la
tarea de polftica no puede iniciar en algun dispositivo, asegurese de que el agente del dispositivo tenga
habilitada la administracion de energfa.
1026
GUÍA DE USUARIO
4. Para iniciar la tarea en otro momento, seleccione la tarea, haga clic en el boton Propiedades
de la barra de herramientas, y especifique la hora para iniciar la tarea de eliminacion.
Los paneles de estado de tareas mostraran los dispositivos en los cuales se realizo la tarea de
forma correcta. Si la tarea no puede realizar en ninguno de los dispositivos, aparecera el motivo de
esto.
Algunos sistemas BIOS no admiten esta funcion en absoluto. En ese caso, una tarea programada
de Wake on LAN puede utilizarse para encender dispositivos a una hora espedfica.
Si un dispositivo administrado esta configurado para utilizar la activacion de LAN (WOL) o de Intel
vPro, se puede programar una activacion remota para encender el dispositivo en un momento
determinado. Esta funcion activa los dispositivos que estan en modo de espera o suspension, asf
como los dispositivos que esten apagados.
Si tanto la activacion de LAN (WOL) como la de Intel vPro estan habilitadas, la funcion de Intel vPro
se ejecuta primeroy WOLen segundo lugar.
1027
IVANTI ENDPOINT MANAGER
Los paneles de estado de tareas mostraran los dispositivos en los cuales se realizo la tarea de forma
correcta. Si la tarea no puede realizar en ninguno de los dispositivos, aparecera el motivo de esto.
El registro de alertas de la administracion de energfa le ayuda a identificar que procesos, de los que
se ejecutan en los dispositivos administrados, pueden estar en conflicto con las polfticas de
energfa. Estos conflictos se registran junto con el nombre del dispositivo, la hora y nombre del
proceso. Revise estas entradas de registro para determinar que aplicaciones estan produciendo
conflictos.
1028
GUÍA DE USUARIO
Las instrucciones para utilizar estas opciones se encuentran en las siguientes secciones:
1029
IVANTI ENDPOINT MANAGER
En algunos entornos, los programas necesitan ejecutarse durante un penodo de tiempo prolongado.
Por ejemplo, el proceso de Revisiones de Endpoint Manager puede ser un proceso de instalacion de
revisiones corto o largo. El periodo de tiempo necesario para que el dispositivo administrado se
encienda es desconocido cuando se trata del despliegue de revisiones. Otros programas pueden
tener parametros similares que no se pueden interrumpir en un entorno.
O 54 55
Haga clic aqrn para ver las descripciones de las opciones del cuadro de dialogo Lista de
activadores sensibles al proceso
• Agregar: agrega un proceso que corresponde a un .exe conocido que necesita retrasar las
polfticas de energfa.
• Importar: agrega un proceso proveniente de la informacion recolectada a partir de los
equipos de cliente utilizando la informacion de Datos historicos. Esto incluye los procesos
que se presentan en la lista del registro de alertas de la administracion de energfa.
• Eliminar: elimina el proceso seleccionado de esta lista.
55 Modificar: Haga clic en este boton para cambia el nombre del archivo .exe.
• Todos: selecciona todos los procesos de la lista.
• Ninguno: cancela la seleccion de todos los procesos de la lista.
1030
GUÍA DE USUARIO
Para identificar las aplicaciones que se deben terminar como parte del proceso de apagado
Haga clic aqrn para ver las descripciones de las opciones del cuadro de dialogo Lista de procesos a
finalizar
• Agregar: agrega un proceso que corresponde a un .exe conocido que necesita terminarse.
• Importar: agrega un proceso proveniente de la informacion recolectada a partir de los
equipos de cliente utilizando la informacion de Datos historicos. Esto incluye los procesos
que se presentan en la lista del registro de alertas de la administracion de energfa.
1031
IVANTI ENDPOINT MANAGER
Para identificar las aplicaciones que se pueden ignorar en los registros de alertas
Haga clic aqm para ver las descripciones de las opciones del cuadro de dialogo Procesos a ignorar
• Agregar: agrega un proceso que corresponde a un .exe conocido que se puede ignorar.
• Importar: agrega un proceso proveniente de la informacion recolectada a partir de los
equipos de cliente utilizando la informacion de Datos historicos. Esto incluye los procesos
que se presentan en la lista del registro de alertas de la administracion de energfa.
• Ahorro de dinero: crea un estimado de los ahorros de costos que se obtienen cuando se
aplican las polfticas de administracion de energfa.
Los ahorros pueden calcularse por dfa, semana, mes o ano. Si se han recopilado datos historicos,
pueden ejecutarse informes historicos de los mismos tipos.
1032
GUÍA DE USUARIO
Cada vez que se ejecute un informe, se deben seleccionar dispositivos individuals o grupos de
dispositivos. A continuacion, el informe recoge datos sobre estos dispositivos, y presenta un
resumen de su utilizacion. Las horas de uso se muItiplican por la consumo de ene^a promedio de
cada tipo de dispositivo (informes en vatios) o por los ahorros estimados de costos de mantener el
dispositivo apagado (informes en dinero ahorrado).
Los siguientes elementos contribuyen a los calculos de informes. Puede modificar cualquiera de
estos elementos para que los informes sean mas precisos segun alguna situacion.
• Costo por kWh: se utiliza un promedio estandar como valor predeterminado. Si se conoce el
costo real por kWh de la factura electrica, puede cambiar esta cifra.
Cuando ejecute un informe de ahorros, utilice el siguiente cuadro de dialogo para seleccionar las
opciones y obtener una vista previa de los resultados.
1033
IVANTI ENDPOINT MANAGER
NOTE: Los informes requieren que primero se creen grupos de equipos con al menos un dispositivo o se creen
consultas, en la vista de red. Podra utilizar grupos y consultas para seleccionar los dispositivos que se incluiran
en los informes.
Los elementos que seleccione se presentaran en una lista, con un costo por kWh asociado.
La cantidad total de equipos de cada grupo tambien aparecera.
4. Si desea realizar el calculo utilizando un costo por kWh diferente, cambie el numero del
campo Costo por kWh. Para eliminar un grupo o una consulta del informe, haga clic en el
boton Eliminar. Haga clic en Actualizar informe para actualizar el grafico despues de realizar
algun cambio.
5. Seleccione un tipo de grafico (en vatios o en dinero).
6. Seleccione el sfmbolo de la moneda con el cual desea que el informe aparezca.
7. En la base del grafico, seleccione el intervalo de tiempo del informe (de 1 dia a 1 ano).
8. Para exportar una copia del informe en formato .htm, haga clic en Exportary especifique la
ubicacion para guardar el archivo.
NOTE: Para ejecutar un informe historico, primero se deben haber recogido datos historicos de los dispositivos
administrados (utilizando el boton Datos historicos de la barra de herramientas). Si no hay datos historicos, el
informe no creara ningun grafico ni exportara el archivo del informe.
1034
GUÍA DE USUARIO
Utilice el boton Datos historicos de la barra de herramientas para iniciar o detener la recopilacion de
datos o eliminarlos de la base de datos.
Despues de haber recopilado los datos de utilizacion de clientes, se pueden sustituir los datos
predeterminados con los datos historicos actuales que se recoja de los dispositivos administrados.
2. Seleccione los grupos o las consultas de los cuales desea utilizar los datos historicos.
3. Seleccione un penodo de tiempo, ya sea la ultima semana de datos o un intervalo de tiempo.
4. Haga clic en Generar la tabla de utilizacion predeterminada.
Los nuevos datos se utilizan para generar informes. Esto reemplaza los promedios de los datos de
utilizacion, los cuales se utilizan para estimar los consumos ahorros de forma predeterminada.
Temas relacionados
Las instrucciones para utilizar las opciones de datos historicos se encuentran en las siguientes
secciones:
Se abrira una tarea en la ventana de Tareas programadas, identificada con fecha y hora.
3. Arrastre los dispositivos, grupos o consultas individuales de la vista de red a la tarea.
4. Para iniciar la tarea ahora, haga clic con el boton derecho en esta y seleccione Iniciar ahora.
5. Para programar la tarea para que comience a una hora posterior, seleccione la tarea y haga
clic en el boton Propiedades de la barra de Tareas programadas. Haga clic en Tarea
programada > Programar tarea posteriory seleccione las opciones de programacion.
1035
IVANTI ENDPOINT MANAGER
Despues de haber recopilado datos durante un penodo de tiempo y luego haber utilizado los datos
para ejecutar informes, puede que sea conveniente eliminar los datos antiguos de la base de
datos. Esto garantiza que los datos historicos sean recientes.
1036
GUÍA DE USUARIO
Configuracion predeterminada
La configuracion predeterminada que aparece en el cuadro de dialogo Configuracion personalizada
del consumo de energia se basa en el tipo de equipo al cual se hace referencia en un informe.
Por ejemplo, si esta supervisando la utilizacion de energfa de un equipo de escritorio Dell Inspiron
531s, seleccione Dell Inc. de la lista desplegable Fabricante y Inspiron 531s de la lista desplegable
Modelo. La configuracion de la potencia en vatios para el equipo y su monitor se han agregado con
base en los datos recuperados de un inventario de IVANTI de equipos Inspiron 531s.
1037
IVANTI ENDPOINT MANAGER
Un archivo XML contiene estos datos promedio. Si se han recopilado datos historicos provenientes
de los dispositivos administrados, se puede generar un nuevo archivo XML que use los datos de
estos dispositivos en lugar de los provenientes de promedios. Este archivo XML sustituye el archivo
predeterminado y, por tanto, refleja la utilizacion de energfa de su organization y proporciona
informes de ahorros mas precisos.
1038
GUÍA DE USUARIO
Para generar un nuevo archivo XML para realizar los calculos de utilizacion
predeterminados
Se creara un nuevo archivo XML. Los datos de este archivo se utilizaran en los calculos de los
informes de ahorros.
NOTE: Para generar un nuevo archivo XML, se deben haber recopilado datos historicos provenientes de los
dispositivos administrados que por lo menos correspondan al penodo de tiempo que se seleccione en este
cuadro de dialogo. Si no hay suficientes datos historicos, no se podra generar un nuevo archivo XML.
1039
IVANTI ENDPOINT MANAGER
El registro de alertas muestra una lista de los detalles de este tipo de conflictos. Puede utilizar la
informacion de este registro para administrar las aplicaciones en los dispositivos y especificar
cuales aplicaciones deben poder seguir funcionando o cuales se deben apagar cuando se programa
una accion de energfa para ejecutarse.
Una vez que haya identificado los procesos que generan conflictos, utilice las opciones de la
Administracion de aplicaciones de la barra de herramientas para cambiar la forma en que las
polfticas de energfa se ejecutan cuando ciertas aplicaciones se estan ejecutando en un dispositivo.
Para obtener mas informacion, consulte "Administracion de las aplicaciones que esten en conflicto
con las polfticas de energfa" (1019)
La administracion de energfa utiliza una gestion basada en polfticas para enviar instrucciones de
espera, hibernacion, apagado y encendido a los equipos administrados. Las polfticas de
administracion de energfa le permiten controlar equipos y grupos de equipos especficos.
Puede agregar varios esquemas de energia, segun sea necesario. Para eliminar un
esquema de energia de una politica, haga clic en el boton Eliminar (^) junto al esquema.
4. Ampliar Opciones en la columna de la izquierda. Seleccione los valores en las seis paginas
de opciones.
1040
GUÍA DE USUARIO
1041
IVANTI ENDPOINT MANAGER
1042
GUÍA DE USUARIO
* Pestana Bateria
. Reposo del equipo: especifique el tiempo que el equipo estara inactivo antes de entrar en
reposo.
• Reposo de la pantalla: especifique el tiempo que el equipo estara inactivo antes de que
la pantalla entre en reposo.
• Poner los discos duros en reposo cuando sea posible: permite que el disco duro se
ponga en reposo despues de un periodo de inactividad.
• Atenuar ligeramente la pantalla cuando se este usando la bateria: permite que la pantalla
atenue la luz cuando el equipo este funcionando solo con la bateria.
• Habilitar Power Nap (aplicado a los discos de estado solido): permite utilizar Power Nap
en dispositivos compatibles.
• Pestana Adaptador de enei^a
• Reposo del equipo: especifique el tiempo que el equipo estara inactivo antes de entrar
en reposo.
• Reposo de la pantalla: especifique el tiempo que el equipo estara inactivo antes de que
la pantalla entre en reposo.
• Poner los discos duros en reposo cuando sea posible: permite que el disco duro se
ponga en reposo despues de un periodo de inactividad.
• Activar para acceso de red: permite activar el equipo cuando la actividad de red se dirige
hacia el. Por ejemplo, para el despliegue de un parche.
• Permitir que el boton de encendido ponga el equipo en reposo (aplicado en OS X
anteriores a 10.9) habilita el boton de encendido para poner el equipo en reposo.
• Iniciar automaticamente despues de un fallo de la alimentacion: En equipos de
sobremesa de Mac, se puede ajustar OS X para que se reinicie automaticamente si se
cortase la conexion a la alimentacion CA. Por ejemplo, si hay un apagon o alguien
desconecta sin darse cuenta el cable de alimentacion, el equipo se volvera a iniciar
cuando vuelva a estar conectado a la alimentacion. Esto es util si suele ajustar el equipo
para que lleve a cabo tareas cuando no esta utilizandolo. En OS X Lion y posterior,
tambien puede ajustar OS X para que abra automaticamente los documentos en los que
estaba trabajando cuando inicia sesion.
• Habilitar Power Nap (aplicado a los discos de estado solido): permite utilizar Power Nap
en dispositivos compatibles.
• Iniciar o activar: especifica la frecuencia y la hora del dfa en que se encendera el equipo.
• Reposo/Reinicio/Apagado: utilice los menus desplegables para programar el momento en el
equipo se pondra en reposo, se reiniciara o se apagara.
1043
IVANTI ENDPOINT MANAGER
IVANTI Data Protection utiliza dos herramientas del socio Credant: el servidor de Credant Enterprise
(ya instaladoyconfigurado)yel software del agente Credant implementado y en ejecucion en los
dispositivos administrados.
NOTE: La Proteccion de datos tiene licencia de IVANTI Software, Inc. como complemento para productos IVANTI.
Si no ve la Proteccion de datos como parte de la instalacion, contacte con su distribuidor para comprar una
licencia que active la Proteccion de datos con Credant.
El servidor central de IVANTI recoge la informacion de la base de datos del servidor de Credant
(Proteccion de datos) como lo determine la configuracion de Proteccion de datos que se haya
introducido en la consola Endpoint Manager. (Tenga en cuenta que funciones las proporciona Credant
y pueden variar segun el diseno del producto).
1044
GUÍA DE USUARIO
consola de IVANTI, a traves de la, primero se deben instalar los servidores de Credant Enterprise (Proteccion de
datos) en el entorno de red de IVANTI. En otras palabras, las tareas de instalacion y configuracion del servidor de
Credant deben realizarse antes de configurar los servidores en la consola de IVANTIy crear la conexion de la base
de datos de Proteccion de datos en la base de datos central de IVANTI. Para obtener mas informacion, visite el
sitio web de Credant: Pagina de inicio de Credant Enterprise Edition.
Funciones y beneficios
Con IVANTI Data Protection, se puede:
• Configurar una conexion entre el IVANTI servidor principal y los servidores de Credant que lleve
a cabo la sincronizacion de datos entre las respectivas bases de datos.
• Ver la informacion de Data Protection tanto en la IVANTI vista del Inventario (en el nodo
Proteccion de datos), yen la vista Resumen con el boton derecho (sincroniza los datos
inmediatamente desde la base de datos de Credant a la IVANTI base de datos, mostrando los
resultados en la consola).
• Iniciar la consola web nativa de Credant.
• Crear consultas utilizando la informacion obtenida a partir de las bases de datos de Proteccion
de datos de Credant yde los clientes quetienen instalado el agente de Credant que busquen
atributos espedficos, como se hace con cualquier otro tipo de datos de inventario. Tambien
puede utilizar esta informacion en conjuntos de columnas estandar.
• Crear tareas programadas que automaticamente recopilen informacion de todas las bases de
datos IVANTI de Credant de Proteccion de datos.
• Generar un informe de Proteccion de datos que recopile y muestre toda la informacion de los
dispositivos protegidos en un solo informe grafico.
1045
IVANTI ENDPOINT MANAGER
El archivo del registro de Proteccion de datos puede ayudar a los administradores del sistema a
solucionar problemas relacionados con el proceso que sincroniza datos desde la base de datos de
Credant con la base de datos Endpoint Manager. La ubicacion predeterminada del archivo del registro
es: c:\Program Files\IVANTI\ManagementSuite\log\DataProtSyncexe.log
Puede navegar a los temas de ayuda de IVANTI Endpoint Manager del Centro de ayuda de IVANTI o
realizar una busqueda de una palabra clave espedfica o una frase para ubicar la informacion que
desee.
La Comunidad de usuarios de IVANTI tiene foros de usuarios y los metodos mejor conocidos de todos
los productos y tecnologfas de IVANTI. Para tener acceso a este valioso recurso, vaya a:
Temas relacionados
"Acerca del Servidor de proteccion de datos: Pagina de propiedades del servidor" (1043)
"Acerca del Servidor de proteccion de datos: Pagina de Conexion a la base de datos" (1045)
1046
GUÍA DE USUARIO
IVANTI asume que usted esta familiarizado con los procedimientos de configuracion del servidor de Credant
Enterprise y queya ha realizado esta tarea preliminar. Para obtener mas informacion, visite el sitio web de Credant:
Pagina de inicio de Credant Enterprise Edition.
Requisitos previos
Asegurese de que se cumplen todos los requisitos siguientes antes de configurar los servidores de
datos de Credant en lo relacionado con las tareas de sincronizacion de datos y la recopilacion de
datos de para la Proteccion de datos espedficos de los dispositivos a traves del servidor central de
IVANTI.
• La version IVANTI Endpoint Manager de 2017 debe instalarse en el servidor central. (Esta
instalacion incluye tanto el software del servidor central y la base de datos de apoyo.) Para
obtener instrucciones detalladas, paso a paso, para instalary desplegar un entorno de servidor
central y base de datos de IVANTI Endpoint Manager, visite la Comunidad de usuarios de
soporte de IVANTI en: Pagina principal de la Comunidad de usuarios de IVANTI
• Se debe desplegar la version 2017 del agente estandar de IVANTI en los dispositivos
administrados que se deseen proteger mediante la herramienta de Proteccion de datos.
• Uno o mas servidores de Credant Enterprise Edition (CEE) deben estar instalados y
configurados en la red. Para obtener instrucciones sobre como instalary configurar un servidor
Credant, consulte la documentacion oficial de Credant (ver el enlace de arriba).
Temas relacionados
"Informacion general sobre IVANTI Data Protection" (1034)
NOTE: La instalacion y configuracion de un servidor de Proteccion de datos (Credant Enterprise) es una tarea
independiente. Se deben seguir las especificaciones e instrucciones del fabricante para configurar el
1047
servidor. A continuacion, puede agregar el servidor a la red de IVANTI.)
• Propiedades: muestra la pagina de propiedades del servidor seleccionado, para poder editarlo.
• Eliminar: elimina el servidor de Proteccion de datos seleccionado del sistema de IVANTI.
• Actualizar: recarga toda la informacion de configuracion de los servidores de Proteccion de
datos en la consola, con los cambios mas recientes o los cambios realizados desde otra
consola IVANTI.
• Consola web (si esta disponible): abre la aplicacion de servidor web de Credant en un
navegador (si el servidor especificado tiene el software instalado como parte de la
configuracion). La consola web de Credant muestra solo la informacion espedfica de Credant,
no el contenido integrado de IVANTI. (NOTA: Microsoft Silverlight debe estar instalado para
poder ver el servidor web.)
• Programar tarea de sincronizacion: crea una tarea programada que sincroniza datos de todos
los servidores de Proteccion de datos que se han agregado o configurado en la consola de
IVANTI. No es necesario programartareas independientes en cada servidor. Esta tarea se anade
a la ventana de herramientas Tareas programadas con una marca de hora yfecha, como parte
del nombre, para identificarla.
1048
GUÍA DE USUARIO
• Ayuda: abre el Centro de ayuda de IVANTI con relacion a los temas de ayuda Proteccion de
datos.
Temas relacionados
"Acerca del Servidor de proteccion de datos: Pagina de propiedades del servidor" (1043)
"Acerca del Servidor de proteccion de datos: Pagina de Conexion a la base de datos" (1045)
IMPORTANT: Visite el sitio web de Credant para obtener instrucciones sobre el despliegue del software
del agente de Proteccion de Datos
■■ Recomendamos que consulte el procedimiento de despliegue de software del agente que se describe en la
documentacion oficial de Credant. Para acceder a esa documentacion, visite el sitio web de Credant: Pagina de
inicio de Credant Enterprise Edition.
Temas relacionados
"Prerrequisitos de Proteccion de datos" (1036)
1049
IVANTI ENDPOINT MANAGER
1. En la consola, haga clic con el boton derecho en un dispositivo administrado para acceder
al menu de accesos directos.
2. Haga clic en Inventario para abrir la vista de Inventario.
3. Abra el componente de Proteccion de datos, que se encuentra en Seguridad,ycompruebe
si los datos del dispositivo estan protegidos.
• DCID: identifica al equipo con un codigo de identificacion unico. Esto garantiza que la
sincronizacion entre la base de datos de Proteccion de datos y la de IVANTI sea valida y
precisa. El DCID no se creara hasta despues del primer rastreo completo. Podna estar
vado a primera vista, pero se llenara despues de que el agente de Proteccion de datos sea
rastreado completamente por el escaner de Inventario.
• Nombre del Gatekeeper: muestra el nombre de los sistemas del gatekeeper que se
proporciono en la configuracion del agente de Credant.
• Instalados: muestra si el agente de Proteccion de datos esta instalado, o no, en el dispositivo
administrado.
• Hora de la ultima sincromzacion: Muestra la hora de la sincronizacion mas reciente entre la
base de datos de Proteccion de datos y la de IVANTI.
• MCID: El ID de host que establecio la configuracion del agente de Proteccion de datos. Los
1050
GUÍA DE USUARIO
• Nombre de dispositivo
• DCID
• Fecha de proteccion
• Version del agente
• Nombre del servidor
• Gatekeeper
• Nombre del producto
• Ultima actualizacion
Temas relacionados
"Generar el informe de Proteccion de datos" (1042)
1051
IVANTI ENDPOINT MANAGER
• Dispositivos protegidos
• Agentes (y la version) instalados en los dispositivos
• Los servidores Enterprise de Credant que utilicen los dispositivos
1052
GUÍA DE USUARIO
4. Especifique los parametros que desee que tenga el informe de Proteccion de datos.
5. Haga clic en Ver informe.
6. Para obtener un informe mas detallado, haga clic en un grafico del informe. Tambien puede ir a
la segunda pagina del informe para ver la vista detallada de texto.
Temas relacionados
"Ver la informacion de Proteccion de datos en el inventario" (1039)
1053
IVANTI ENDPOINT MANAGER
El servidor IVANTI principal crea la conexion entre la base de datos de Proteccion de datos y la base
de datos central de IVANTI, lo cual permite actualizar los datos de la base de datos IVANTI con la
informacion de Proteccion de datos de la base de datos de Credant.
• Nombre del servidor: identifica el servidor de Proteccion de datos que se desea agregar. Puede
introducir una direccion IP valida o el nombre de host de dominio completo del servidor
deseado.
• Description: Introduzca la informacion que desee con el fin de distinguir este servidor de
cualquier otro que pudiera agregar.
• Nombre proxy de las polfticas: se utiliza para instalar un cliente del software del agente de
Credant. Este campo se completa automaticamente con un valor predeterminado que se espera
que funcione con la mayona de usuarios.
• Puerto: especifica el numero de puerto que utiliza el servidor de Proteccion de datos para
permitir la sincronizacion de datos con base de datos central de IVANTI. Este campo se
completa automaticamente con un valor predeterminado que se espera que funcione con la
mayona de usuarios.
• URL del servidor de dispositivos: Especifica la direccion web que se utiliza para ejecutar la
consola web de Credant. Este campo se completa automaticamente con un valor
predeterminado que se espera que funcione con la mayona de usuarios.
• Probar: verifica si la informacion del servidor que se introdujo representa un servidor valido de
la red.
• Cancelar la prueba: termina el proceso de verificacion del servidor.
• Guardar: guarda los cambios y cierra el cuadro de dialogo.
Temas relacionados
"Acerca del Servidor de proteccion de datos: Pagina de Conexion a la base de datos" (1045)
1054
GUÍA DE USUARIO
• Servidor de la base de datos: nombre del servidor que aloja la base de datos de la
Proteccion de datos.
• Nombre de la base de datos: nombre de la base de datos de la Proteccion de datos. Esto
puede incluir el nombre de la instancia con una barra diagonal inversa antes del nombre de
la base de datos, si se utiliza el nombre de una instancia. Por ejemplo, para la base de datos
llamada "dataprot" en la instancia "eng", sena "eng\dataprot".
• Nombre de usuario: introduzca un nombre de usuario valido para la base de datos de
Proteccion de datos que desee agregar (configurar).
• Contrasena: introduzca la contrasena del nombre de usuario que se especifico
anteriormente.
• Probar: verifica si la informacion del servidor que se introdujo representa un servidor valido
de la red. la prueba se iniciara automaticamente si se hace una pausa al ingreintroducir sar
la base de datos del servidor, el nombre, los nombres de usuario o la contrasena. En otras
palabras, no es necesario hacer clic en el boton de Prueba. Los iconos que aparecen a la
derecha indicaran los campos que no se han podido probar.
• Cancelar la prueba: termina el proceso de verificacion del servidor.
Temas relacionados
"Acerca del Servidor de proteccion de datos: Pagina de propiedades del servidor" (1043)
1055
IVANTI ENDPOINT MANAGER
Alerting
Informacion general sobre las alertas y el monitor
Las alertas y el monitor de IVANTI Endpoint Manager brindan aviso inmediato sobre los eventos de
hardware, software y aplicaciones de los dispositivos que se administran. Cuando tienen lugar
eventos que indican una necesidad de accion o un problema potencial, las alertas inician
soluciones registrando del evento, enviando un correo electronico o un mensaje a un
buscapersonas, ejecutando una aplicacion o apagando el dispositivo.
Endpoint Manager proporciona alertas integradas en cada unos de estos tipos de monitor. Las
alertas que seleccionen para aplicarlas a dispositivos espedficos se encuentran en el reglamento de
alertas que usted distribuya.
Todas las alertas y el monitor dependen del tipo de hardware, firmware y funciones relacionadas de
cada dispositivo. Algunas opciones del monitor no son compatibles con los diferentes tipos de
dispositivos. En algunos casos la implementacion de un estandar de hardware puede diferir entre
fabricantes, de manera que lo que funciona en un dispositivo no funciona del mismo modo en otro.
Una alerta es un identificador unico que representa un suceso. Puede especificar una accion de alerta
para que se ejecute en forma automatica ante la aparicion del evento, como por ejemplo correo
electronico, aplicaciones u opciones de alimentacion automatizados.
En este producto, a una alerta combinada con una accion se la llama regla dealerta. Algunas alertas
pueden combinarse con reglas de supervision del desempeno que especifican la condicion que activa
un evento. Por ejemplo, puede definir una regla de supervision del espacio libre disponible en las
unidades de disco, de manera que cuando una unidad este llena en un 90% se genere una alerta de
advertencia.
Al definir reglamentos de alertas, usted decide que eventos requieren una accion inmediata o deben
registrarse para su revision posterior. Una regla contiene un grupo de reglas de alerta, cada una de
las cuales cuenta con una accion de alerta correspondiente. Se pueden desplegar reglamentos de
alertas a uno o varios dispositivos para supervisar los elementos que son relevantes para ese tipo
de dispositivo.
1056
GUÍA DE USUARIO
NOTE: Cuando instala una consola Win32 adicional en un dispositivo, no se instala ningun agente en ese
dispositivo. Aunque puede administrar otros dispositivos desde esa consola, el dispositivo de la consola en sf no
puede generar alertas, ni como servidor central ni como dispositivo administrado, a menos que tambien instale
agentes de administracion en el mismo.
1057
IVANTI ENDPOINT MANAGER
Apertura de la consola
. Haga clic con el boton derecho en el dispositivo administrado en la vista de red y seleccione
Monitor e inventario en tiempo real. Esta opcion no esta disponible si el dispositivo no tiene
la opcion del monitor seleccionada en el agente de IVANTI.
• Abra el Tablero de mantenimiento (haga clic en Herramientas > Informes/Monitor > Tablero de
mantenimiento). Haga clic con el boton derecho en un dispositivo y seleccione Ver detalles.
Se abrira la consola Monitor e inventario en tiempo real de todos los dispositivos, pero no se
suministran los datos en tiempo real si el dispositivo no tiene la opcion Monitor seleccionada
en el agente de IVANTI.
Haga clic aqrn para obtener mas detalles acerca del cuadro de dialogo Configurar la supervision de
dispositivos
Utilice este cuadro de dialogo para configurar las opciones de supervision del dispositivo
1058
GUÍA DE USUARIO
siguientes.
• Supervisar estos dispositivos: Muestra una lista de los dispositivos que se estan
supervisando actualmente.
1059
IVANTI ENDPOINT MANAGER
13. En el dialogo que aparece, marque la casilla de verificacion de Integridad si desea que el
estado de integridad de un dispositivo de la consola cambie cuando se este conectado o
desconectado, luego haga clic en Aceptar.
14. Haga clic en Publicar para publicar cualquier cambio que se haya hecho en el dialogo y
cierre la ventana Reglamento.
NOTE: Cuando se configuran las alertas, la configuracion se aplica a todos los dispositivos que se esten
O supervisando.
1. En el dispositivo (ya sea de forma directa o a traves del control remoto), haga clic en Inicio >
Panel de control > Herramientas administrates > Servicios.
1060
GUÍA DE USUARIO
• Evento IPMI: se ha producido un evento que puede detectarse en los dispositivos IPMI, lo
cual incluye cambios en los controladores, los sensores, los registros, etc.
• Uso del modem: se ha utilizado el modem del sistema o se ha agregado o quitado un modem.
• Seguridad fisica: se ha detectado la intrusion del chasis, un ciclo de energfa u otro cambio
ffsico.
Para ver un registro de las alertas de cambios de configuracion, consulte el registro de alertas de la
consola del Monitor e inventario en tiempo real.
Las alertas solamente se generan si los dispositivos estan equipados con el hardware debido. Por
ejemplos, las alertas generadas a partir de lecturas de sensor solo se aplican a los dispositivos
equipados con los sensores correspondientes.
1061
IVANTI ENDPOINT MANAGER
Informativo (1): admite los cambios de configuracion o los eventos que los fabricantes
podnan incluir en sus sistemas. Este nivel de gravedad no afecta el mantenimiento del
dispositivo.
Segun la naturaleza del evento, algunos niveles de gravedad no se aplican o no estan disponibles.
Por ejemplo, con el evento de deteccion de la intrusion, el chasis del dispositivo esta abierto o
cerrado. Si esta abierto, puede activarse una accion de alerta, pero solo con una severidad de
Advertencia. Otros eventos, como el espacio en disco y la memoria virtual, presentan tres niveles
de severidad (Aceptable, Advertencia y Crftico), ya que los distintos estados pueden indicarle al
administrador distintos niveles de inquietud.
Puede elegir el nivel de gravedad o umbral que activara algunas alertas. Por ejemplo, puede
seleccionar una accion para un estado de Advertencia y una accion distinta para un estado Crftico
de alerta. El estado desconocido no se puede seleccionar como desencadenante de alertas, sino
que simplemente indica que no se puede determinar el estado.
1062
GUÍA DE USUARIO
cantidad de dispositivos en los que se aplico la revision, lo cual podna desbordar el servidor de
correo electronico con una "tormenta" de notificaciones de alerta.
Reglamento predeterminado
Cuando se instala el agente del monitor en un dispositivo administrado, el reglamento
predeterminado de LDMS se instala para retroalimentar el estado de integridad al tablero de
mantenimiento y a la consola. Este reglamento predeterminado incluye alertas como:
1063
IVANTI ENDPOINT MANAGER
Temas relacionados
"Reglamentos de alertas" (1057)
1064
GUÍA DE USUARIO
1065
IVANTI ENDPOINT MANAGER
Notas
• Puede implementar reglamentos en dispositivos como parte de una configuracion de agente.
Cuando defina una configuracion de agente, puede seleccionar los reglamentos que desee
implementar.
• Si el reglamento que se implementa incluye una regla de Supervision del desempeno, los
detalles de lo que se debe supervisar se definen en cada dispositivo. Esto se realiza en la
Consola de inventario en tiempo real y supervision de cada dispositivo. Puede seleccionar
distintos componentes de hardware y software y definir los contadores para los elementos a
sondear, y despues observar la informacion de la supervision en tiempo real o en forma
historica.
Temas relacionados
Para visualizar los reglamentos de alertas asignadas a un dispositivo administrado, abra la vista de
inventario completa del dispositivo. Esto muestra el nombre del reglamento y la fecha que se instalo
o se actualizo por ultima vez en el dispositivo.
1. En la vista Todos los dispositivos, haga clic con el boton derecho en el dispositivo y
seleccione
Inventario.
2. En la vista de arbol, expanda IVANTI Management y haga clic en Reglamento de alerta
instalado.
NOTE: Puede crear una consulta que devuelva todos los dispositivos que tengan instalados un reglamento de
alertas particular. En la lista de componentes de consulta, siga la misma ruta como se describe anteriormente en
la lista de inventario.
Puede eliminartodos los reglamentos de uno o varios dispositivos sin necesidad de implementar
ningun reglamento nuevo.
Puede quitar todos los reglamentos si ya tiene uno o varios reglamentos funcionado en un
dispositivo y desea reemplazarlos con uno nuevos. Cuando hay varios reglamentos operando en un
dispositivo, se pueden producir resultados impredecibles porque reglas de alerta similares pueden
tener acciones contradictoria y producir resultados inesperados.
1066
GUÍA DE USUARIO
Las versiones anteriores de IVANTI Endpoint Manager inclman una funcion de alertas con la funcion
Sistema de administracion de alertas (AMS). A partir de la version 8.8, las alertas se basan en un
nuevo conjunto de controladores de alerta, si bien algunas alertas se basan en alertas AMS. Se
deberan crear los reglamentos de alertas para dispositivos administrados mediante la nueva
funcion de alertas.
Para asistirle en la migracion de alertas de versiones anteriores a la 8.8, este producto incluye una
utilidad que extrae la informacion de sus alertas AMS y escribe los datos en un archivo de texto, el
cual puede consultar a medida que cree nuevos reglamentos.
2. Abra el archivo iaobind.txt para observar un resumen de las alertas AMS existentes.
Puede usar la informacion de las alertas existentes para crear nuevos reglamentos de alertas. El
archivo de texto enumera el nombre de cada alerta con la accion y severidad asociadas, junto con la
aplicacion que acciona la alerta y los parametros asociados a la misma.
Reglamentos de alertas
Configuracion de reglamentos de alertas
La pagina Reglamentos de alertas muestra todos los reglamentos de alertas que puede implementar
en los dispositivos administrados. Existen tres reglamentos que aparecen de forma predeterminada,
y pueden crearse reglamentos personalizados para aplicartipos de supervision espedficos a
distintos tipos de dispositivo.
1067
IVANTI ENDPOINT MANAGER
. Reglamento de alertas centrales: Este reglamento asegura que las alertas que se originan en
el servidor central esten controladas. Este reglamento esta instalado en el servidor central,
pero no es posible instalarlo en otros dispositivos, y solo se puede tener un reglamento de
alerta central. Puede modificar el reglamento pero no puede eliminarlo del servidor central.
Este reglamento contiene un grupo predefinido de tipos de alertas que incluye alertas de
Monitor de dispositivos, de Intel vPro y Sesion serie a traves de LAN.
1068
GUÍA DE USUARIO
Ademas de estos reglamentos, puede crear reglamentos personalizados para aplicarlos a los grupos
de dispositivos administrados. Puede implementar reglamentos por medio de la programacion de una
tarea de implementacion, o bien puede incluir reglamentos cuando implementa agentes en los
dispositivos mediante el uso de la configuracion de agente. Aunque los reglamentos predeterminados
estan disponibles para la implementacion con agentes, puede optar por no implementar los
reglamentos cuando defina la configuracion de agente.
Por ejemplo, si ambos reglamentos generan alertas para el mismo tipo de alerta pero efectuan
acciones distintas, podnan realizarse acciones duplicadas o impredecibles como resultado.
Esta regla predeterminada debe estar siempre en el grupo de reglas: no se puede eliminar a menos
que elimine todas las reglas de esa alerta en particular. Es decir, si tiene tres reglas para una alerta, no
puede eliminar la regla predeterminada a menos que elimine las tres reglas, pero sf puede eliminar
cualquiera de las otras dos reglas para esa alerta.
1. Crear un reglamento
2. Agregar nuevas reglas de alerta a un reglamento
3. Definir las acciones de alerta a utilizar en las reglas
4. Definir los filtros de horario a utilizar en las reglas de alerta
5. Modificar reglas de alerta en un reglamento
6. Incluir reglamentos dentro de otros reglamentos
7. Publicar un reglamento
1069
IVANTI ENDPOINT MANAGER
1070
GUÍA DE USUARIO
envfa las notificaciones de alerta al servidor central (con una accion de Configuracion del
controlador del registro). La misma se crea de forma automatica para cada regla que se define,
de manera que todas las alertas quedan registradas en el servidor central. No se puede
eliminar esta regla, a menos que se eliminen todas las reglas de una alerta.
15. Seleccione la regla Uso predeterminado del disco con Registrar evento en el registro de alertas
como la accion, despues haga clic en Reglas > Modificar en la columna derecha. Use este
cuadro de dialogo para cambiar la configuracion de la regla.
16. Para cambiar la accion asociada con la regla, seleccione un elemento distinto de la lista
desplegable Accion.
17. Para cambiar la hora en que la regla de alerta esta activa, seleccione un elemento distinto de la
lista desplegable Tiempo.
18. Para cambiar los niveles de gravedad de las notificaciones de alerta, haga clic en los iconos de
Estado. No se usara un icono atenuado, de manera que para recibir alertas solo por estados
crfticos, haga clic en el icono Advertencia (Estado 2), un triangulo amarillo, para apagarlo.
19. Seleccione la casilla de verificacion de Mantenimiento para incluir el uso del espacio en disco
como una alerta que contribuya al estado de mantenimiento del dispositivo.
20. Haga clic en Aceptar. Ahora puede ver los cambios realizados en la lista de Resumen de reglas.
Para guardar los cambios hechos a este reglamento, debera volver a publicarlo. De esa manera
se guardara y estara disponible para la implementacion en su lista de reglamentos.
21. En la columna derecha, haga clic en Publicar.
Cuando regrese a la consola de administracion, el nuevo reglamento que creo aparecera en una lista
bajo Reglamentos de alertas.
Cuando se crea un reglamento, luego se puede modificar para agregar alertas yacciones conexas.
Modificar un reglamento de alertas
1071
IVANTI ENDPOINT MANAGER
en la barra de herramientas.
La pagina Resumen de reglas enumera cada alerta del reglamentojunto con las acciones
asociadas y la hora. Cada combinacion de alerta, accion y tiempo esta enumerada como un
elemento independiente en el resumen de reglas.
2. Haga clic en Alertas en la columna izquierda para agregar una regla de alerta al reglamento.
1072
GUÍA DE USUARIO
3. En la columna derecha, haga clic en Reglas > Agregar. Se muestran tres "pozos" en la parte
inferior de la pagina para asociar reglas de alertas, acciones y horario. Localice una alerta en la
lista y arrastrela al pozo de Alertas en la parte inferior de la pagina.
Las alertas se presentan en dos grupos, Estandary Monitor. Haga clic en un elemento bajo uno
de los grupos para ver un grupo de alertas asociadas. Si hace clic en la carpeta Todas las
alertas, todas las alertas estan ordenadas alfabeticamente.
4. Para encontrar una alerta en particular, escriba una cadena de busqueda en el cuadro de texto
Filtro de alertas en la parte superior derecha de la pagina. Todas las alertas que contienen esa
cadena se muestran en la lista.
1073
IVANTI ENDPOINT MANAGER
5. Haga clic en Acciones para asociar una accion de alerta con la alerta que agrego. De forma
predeterminada, cada alerta tiene una accion de Configuration del controlador del registro
asociada con ella, que registra la alerta en el servidor central. Para agregar otra accion,
arrastrela al pozo de Acciones en la parte inferior de la pagina.
La carpeta Estandar contiene acciones predefinidas. Para utilizar otro tipo de accion,
debe definirla primero.
1074
GUÍA DE USUARIO
6. Haga clic en Horario para especificar la frecuencia de supervision de la alerta. Arrastre una
regla de horario (por ejemplo, Siempre) al pozo Horario en la parte inferior de la pagina.
Hay tres reglas de horario disponibles de forma predeterminada. Tambien puede definir
diferentes reglas de tiempo si es necesario.
7. Cuando tenga al menos una alerta con tareas de accion y horario asociadas, haga clic en
boton Aceptar en la parte inferior de la pagina para agregar la regla de alerta al reglamento.
Haga clic de nuevo en Aceptar.
1075
IVANTI ENDPOINT MANAGER
Con una lista de alertas en el reglamento, puede modificar cada elemento para cambiar la accion y
el horario asociados. Tambien puede elegir los niveles de gravedad que deben aplicarse a la alerta,
y puede especificar si esa alerta debe contribuir al mantenimiento del dispositivo.
Los detalles sobre como definir acciones y filtros de tiempo, y modificar las propiedades de la
regla, se encuentran en las siguientes secciones.
La alerta aparecera en la categona que se selecciono y estara disponible para agregarla a algun
reglamento.
1076
GUÍA DE USUARIO
La accion figura bajo el grupo que seleccionoyesta disponible para asociarse con alertas. Los
detalles de los campos en los distintos tipos de acciones se explican a continuacion.
• Ruta de acceso y nombre de archivo: la ruta y el nombre de archivo completos del ejecutable
que se ejecutara en el servidor central o en el dispositivo administrado. Cuando se active la
alerta, el agente de alerta escribira un comando para ejecutar este archivo.
Cuando seleccione cualquiera de las acciones, observe que los programas pueden no mostrarse
de la forma esperada en el escritorio. Al ejecutar el programa, se inicia como un servicio en
Windows y, en consecuencia, no se visualiza al igual que una aplicacion normal. Los programas
que se ejecutan de este modo no deben contener una interfaz de usuario que requiera interaccion.
Para determinar de forma definitiva si se ejecuto el programa, compruebe el proceso en el
Administrador de tareas de Windows.
Esta accion envfa un mensaje de correo electronico mediante el servidor SMTP que especifique.
1077
IVANTI ENDPOINT MANAGER
• Para: la direccion de correo electronico completa de la persona que usted quiere que reciba
la notificacion de correo electronico.
• De: cualquier direccion de correo electronico valida, de preferencia una que indique que el
correo electronico es una notificacion de alerta. Si no es una direccion de correo electronico
valida, el mensaje no se enviara.
• Establecer credenciales: haga clic para especificar un nombre de usuario y contrasena que
puedan utilizarse para registrarse en el servidor SMTP.
Puede enviar correos electronicos a diversos destinatarios, y puede usar las variables siguientes en
el campo Cuerpo:
• %% = %
• %D = Descripcion
• %N = Nombre del equipo
• %S = Gravedad
1078
GUÍA DE USUARIO
. %T = Horario (UTC)
Enviar captura SN MP
El filtro de horario aparece en la lista y esta disponible para asociarse con las alertas. Los
campos del cuadro de dialogo Nuevo filtro incluyen lo siguiente:
1079
IVANTI ENDPOINT MANAGER
1. Haga clic en Resumen de reglas para ver las reglas de alerta en el reglamento actual.
2. Haga clic en la regla de alerta que desea modificar yen Reglas > Modificar en la columna
derecha.
3. Para cambiar la accion o el horario asociados, seleccione una nueva opcion de las listas
respectivas.
4. Para recibir una notificacion de alerta de ciertos niveles de gravedad solamente, haga clic en
los iconos de Estado. Un icono opaco indica que se ignoraran las alertas para ese nivel de
gravedad.
5. Para incluir la regla de alerta como un indicador de mantenimiento del dispositivo,
seleccione la casilla de verificacion de Mantenimiento.
6. Haga clic en Aceptar para guardar los cambios.
Clonar una regla de alerta
Cada regla de alerta puede tener solamente una accion asociada y un filtro de horario. Si desea
crear reglas adicionales para una alerta, haga clic en Clonar en la columna derecha para crear un
duplicado de la regla, luego modifique el duplicado.
5. Si quiere quitar un reglamento de la lista Incluye, seleccionelo y haga clic en Incluye >
Eliminar en la columna derecha.
6. Para ver que otros reglamentos incluyen al reglamento actual, haga clic en Incluido por en la
columna derecha.
1080
GUÍA DE USUARIO
Cuando incluye reglamentos, cada reglamento individual se mantiene como un archivo XML
individual. Los archivos XML no se combinan, sino que se relacionan entre sf.
Los archivos XML con datos de reglamentos publicados se guardan en la carpeta compartida
Idlogon en el servidor central, en la carpeta alertrules.
Cuando publica un reglamento, el servicio de alerta recibe una notificacion para volver a cargar los
reglamentos actualizados. Cuando se actualiza un reglamento que ya se haba implementado en los
dispositivos administrados, cada uno de esos dispositivos actualizara automaticamente sus
reglamentos con las reglas modificadas la proxima vez que el agente que alerta se ejecute en esos
dispositivos.
Si no publica un reglamento, el servicio de alerta no recibira senal alguna para volver a cargar el
reglamento, de manera que no se producira la actualizacion automatica del reglamento en los
dispositivos que ya cuentan con el mismo. Se recomienda firmemente que publique los
reglamentos cada vez que los modifique.
1081
IVANTI ENDPOINT MANAGER
Pueden definirse contadores de desempeno y supervisar en ellos distintos tipos de datos de los
dispositivos, como:
Para recibir alertas sobre elementos con supervision del desempeno en un dispositivo, se debe
incluir una regla de Supervision de desempeno en el reglamento para ese dispositivo.
Notas
• Si solo desea enviar un ping a sus dispositivos en forma periodica para supervisar su
conectividad, use la funcion de monitor del dispositivo.
• La comunicacion con el agente de supervision se realiza mediante HTTP a traves de TCP/IP
en forma de solicitudes GET o POST. Las respuestas a las solicitudes se incluyen en
documentos XML.
• Para ejecutary almacenar una consulta sobre el estado de mantenimiento de los dispositivos
(Computer.Health.State), el estado se representa con un numero en la base de datos. Los
numeros corresponden a los estados siguientes: 4=Cntico, 3=Advertencia, 2=Normal,
1 =Informativo, nulo o 0=desconocido.
1082
GUÍA DE USUARIO
Temas relacionados
Endpoint Manager ofrece un resumen inmediato del estado de un dispositivo cuando se instala el
agente del Monitor e inventario en tiempo real en el mismo. El agente de supervision es uno de los
componentes de agente que se pueden instalar en los dispositivos administrados.
El agente del Monitor e inventario en tiempo real revisa la configuracion y el hardware del
dispositivo de forma regular y periodica, y refleja los cambios realizados en el estado de integridad
del dispositivo. El estado del dispositivo se muestra en tres lugares:
• Los datos del dispositivo se muestran en el tablero del Monitor e inventario en tiempo real
(haga clic con el boton derecho en el dispositivo en vista de red y seleccione Monitor e
inventario en tiempo real)
Por ejemplo, un dispositivo supervisado con una unidad de disco que se esta llenando podna
mostrar un icono de estado de advertencia si el disco se llena a un 90% de su capacidad y cambiar
a un icono de estado crftico si se llena a un 95%. Tambien puede recibir alertas para el mismo
estado de unidad de disco si el dispositivo tiene un reglamento de alertas que incluya reglas de
supervision del desempeno para una alerta de espacio de disco.
Crear reglas de supervision del desempeno
1083
IVANTI ENDPOINT MANAGER
Hay una gran cantidad de contadores de desempeno que pueden supervisarse. Al crear una regla
de supervision del desempeno, puede activar o desactivar cualquiera de estos elementos,
especificar la frecuencia con que se verifican y, para algunos elementos, definir umbrales de
desempeno. Tambien puede seleccionar los servicios que se ejecutan en los dispositivos que desee
supervisar.
1. Incluir la Supervision del desempeno como regla en el reglamento de alertas del dispositivo.
2. Implementar el reglamento de alertas en el dispositivo. (Puede especificar varios
dispositivos como destino para implementar el reglamento en varios dispositivos, pero
despues debera definir la supervision de rendimiento en cada dispositivo en particular.)
8. En el cuadro Alertar cuando el contador este fuera del intervalo, especifique la cantidad de
veces que el contador podra sobrepasar los umbrales antes de generar una alerta.
1084
GUÍA DE USUARIO
Como parte del proceso de implementacion, se crea una pagina XML con una lista de los
reglamentos implementados y de los dispositivos en los que se implementaron. Este informe se
guarda en el directorio Ldlogon del servidor central y se le asigna un nombre que corresponde a un
numero de secuencia asignado por la base de datos.
Si desea consultar dicha pagina XML de forma separada de la implementacion del reglamento, haga
clic en el boton Generar XML y luego en el vfnculo para ver el archivo XML. La generacion de un
reglamento en formato XMLtambien permite que se visualice el mismo en la lista de reglamentos
disponibles de la Configuracion de agente.
1085
IVANTI ENDPOINT MANAGER
5. Seleccione Ver datos en tiempo real para mostrar un grafico de rendimiento en tiempo real.
6. Para mostrar un grafico de rendimiento a lo largo de un penodo de tiempo, seleccione Ver
datos historicos (Conservar el historial) cuando seleccione el contador.
Notas
En el grafico de rendimiento el eje horizontal representa el tiempo que ha pasado. El eje vertical
representa las unidades que se miden, tales como bytes por segundo (por ejemplo, al supervisar
transferencias de archivos), porcentaje (al supervisar el porcentaje de la CPU que se utiliza) o bytes
disponibles (al supervisar el espacio en la unidad de disco duro). La altura de la lfnea no es una
unidad fija. Esta cambia de con respecto a los extremos de los datos; para un contador, el eje
vertical podna representar de 1 a 100 unidades y para otro podna representar de 1 a 500.000
unidades. Cuando los datos vanan a lo largo de extremos amplios, los cambios mfnimos pueden
aparecer como una lfnea plana.
Si recibe una alerta generada por un contador de la lista, haga clic con el boton derecho en el
contador y haga clic en Confirmation para borrar la alerta.
1086
GUÍA DE USUARIO
Registros de alertas
Ver el registro global de alertas
Utilice la pagina Registro de alertas global para ver las alertas enviadas al servidor central. El
registro
se ordena segun la hora (GMT) y las alertas mas recientes aparecen en la parte superior.
4. Para obtener una lista de las entradas de registro por nombre, estado o instancia, seleccione
el criterio de filtro en la lista desplegable En columna. Por ejemplo, seleccione Nombre de
alerta y escriba un nombre completo (tal como Desempeno) o uno parcial con el comodfn 56
57 (tal como Remoto*) en el cuadro Buscar. Para buscar por fecha, seleccione Habilitar filtro
de fecha y escriba un intervalo con una fecha inicial. Cuando haya agregado el criterio de
filtro, haga clic en el boton de Buscar.
6. Para eliminar una entrada de registro, haga clic con el boton derecho sobre la alerta y
seleccione Eliminar.
NOTE: Si el nombre del dispositivo no aparece como un nombre completo del dominio, esto se debe a que
este producto no puede resolver el nombre completo de dominio para el dispositivo.
• Hora GMT: la fecha y hora de generacion de la alerta (GMT).
Haga clic aqrn para ver las descripciones de las columnas del registro de alertas.
57 Nombre de la alerta: nombre asociado con la alerta, tal como se ha definido en la pagina
Configuraciones de alertas.
1087
IVANTI ENDPOINT MANAGER
NOTE: Si el nombre del dispositivo no aparece como un nombre completo del dominio, esto se debe a que
1088
GUÍA DE USUARIO
Haga clic aqm para ver las descripciones de las columnas del registro de alertas.
• Nombre de la alerta: nombre asociado con la alerta, tal como se ha definido en la pagina
Configuraciones de alertas.
• Hora GMT: la fecha y hora de generacion de la alerta (GMT).
• Estado: el estado de severidad de la alerta, el cual es uno de los siguientes:
• Desconocido: no puede determinarse el estado.
• Informativo: admite los cambios de configuracion o los eventos que los fabricantes
podnan incluir en sus sistemas.
Puede supervisar un archivo de texto generado por cualquier aplicacion, incluso archivos .htm y
.xml (pero no se pueden supervisar archivos Unicode). Despues de especificar el archivo que se
supervisara y de definir las reglas utilizando expresiones regulares, el archivo se supervisara
siempre y cuando la regla de supervision de archivos de registro este contenida en un reglamento
que este vigente en dicho dispositivo.
La primera vez que el texto del archivo de registro coincide con una expresion regular, se genera
una alerta. La alerta se genera solamente una vez para dicho archivo aunque hayan varias
coincidencias. Luego, si el archivo cambia para que ya no exista una condicion de coincidencia, el
agente empieza de nuevo el rastreo de la expresion regular y genera una alerta la proxima vez que
se encuentre una coincidencia.
Tambien puede rastrear los archivos de copia de seguridad de registros que se crean cuando un
archivo de registro se torna demasiado grande y las entradas anteriores del archivo se agregan a
otro archivo (es decir un archivo de registro "rodante"). No obstante, no se admiten los archivos de
registro "envueltos", que eliminan las entradas anteriores dentro de un solo archivo de registro a fin
de dar lugar para las entradas nuevas.
Para esta opcion de supervision debe especificar la ubicacion y el nombre exacto del archivo en el
1089
IVANTI ENDPOINT MANAGER
dispositivo administradoy especificar el criterio de busqueda con una expresion regular. Cuando
una cadena del archivo coincide con la expresion, se genera una alerta si se ha definido un tipo de
alerta de Supervision de archivos de registro en el reglamento de alertas correspondiente.
Puede incluir la supervision de archivos de registro en cualquier reglamento de alertas que haya
definido. El procedimiento a continuacion describe los cinco pasos generales para configurar la
supervision de archivos de registro:
Temas relacionados
"Reglamentos de alertas" (1057)
1090
GUÍA DE USUARIO
1091
IVANTI ENDPOINT MANAGER
columna de la derecha.
Hay tres cuadros o "cajas" en la parte inferior de la pagina.
18. Arrastre una o mas reglas al cuadro Alertas.
19. Haga clic en Acciones en la columna de la izquierda y arrastre una o mas reglas de accion al
cuadro Acciones. Las acciones que agregue aqm se aplicaran a cada regla que haya
agregado.
20. Haga clic en Hora en la columna de la izquierda y arrastre una regla de hora al cuadro Hora.
21. Haga clic en Aceptar para agregar las reglas nuevas al reglamento.
Para ver las nuevas reglas de supervision del archivo de registro, haga clic en Resumen de
las reglas. Cada regla se muestra en una lmea distinta, y puede modificar las reglas
espedficas o clonar una regla y hacer copias con distintas acciones, reglas de hora o estados
de gravedad. Si desea que la regla de alerta afecte el mantenimiento del dispositivo, haga
doble clic en la lista de Resumen de reglas yseleccione la casilla de verificacion
Mantenimiento.
22. Despues de agregar las reglas de supervision de archivos de registro al reglamento, haga clic
en Publicar para guardar los cambios en el reglamento. Los cambios se aplicaran a los
dispositivos individuales la proxima vez que implemente el reglamento o la proxima vez que
se ejecute el servicio de inventario del dispositivo.
Notas
• La supervision de archivos de registro solo es compatible con dispositivos Windows
administrados.
• Cada vez que modifique o elimine una regla, debera publicar el reglamento de alerta en el que
aparece la regla. Los cambios realizados no se aplicaran a los dispositivos hasta la
publicacion del reglamento (o hasta que vuelva a implementar el reglamento con una tarea
programada).
• Esta funcion asigna archivos de registro en la memoria a fin de utilizar menos memoria
durante la busqueda. La memoria de tiempo de ejecucion se asigna para esto a medida que
se realiza una busqueda lineal de la expresion regular. Debido a que Windows bloquea el
archivo cuando esta asignado a la memoria, es probable que se produzcan problemas en
algunas aplicaciones.
1092
GUÍA DE USUARIO
Los dispositivos que contienen un Dell DRAC se pueden administrar con la misma funcion que los
demas dispositivos compatibles con IPMI. Cuando el dispositivo se ha detectadoyagregado a la lista
de dispositivos administrados, se administra como cualquier otro dispositivo IPMI.
Ademas, Endpoint Manager tiene funciones exclusivas de Dell DRAC.
El OpenManage Server Administrator es una consola basada en Web que Dell suministra para
administrar los dispositivos de Dell DRAC. Normalmente, para obtener acceso a ella se escribe la
direccion IPdel DRAC en un exploradory se inicia una sesion con un nombre de usuarioy una
contrasena. Si un dispositivo Dell DRAC se administra con Endpoint Manager, tambien se puede
abrir esta utilidad directamente desde la interfaz de Endpoint Manager.
Ademas, Endpoint Manager permite administrar nombres de usuarios y contrasenas para el acceso
a OpenManage Server Administrator, y muestra tres registros de esta herramienta en la consola de
informacion del servidor.
1. En la vista de red de Endpoint Manager, haga clic con el boton derecho en el dispositivo de
Dell DRACy seleccione Monitor e inventario en tiempo real.
2. En la consola de inventario en tiempo real, amplfe Hardwareyhaga clicen Dell DRAC. Se
visualiza la direccion IPdel dispositivoyotra informacion de identificacion.
3. Haga clic en el boton de Iniciar en Utilidad Dell DRAC para abrir la utilidad DRAC
del dispositivo o en el boton de Iniciar del Administrador del servidor DRAC para
abrir OpenManage Server Administrator del dispositivo en una ventana nueva.
• Registro de Dell DRAC: lleva un seguimiento detodos los eventos registrados por
Administrador del servidor, tales como las actividades de inicios de sesion, el estado de las
sesiones, el estado de las actualizaciones de firmware y la interaccion entre el DRAC y los
demas componentes del dispositivo. La informacion que aparece en Endpoint Manager
incluye gravedad de eventos, descripciones y acciones correctivas sugeridas para los
errores.
• Registro de comandos de Dell DRAC: lleva un seguimiento de todos los comandos emitidos
1093
IVANTI ENDPOINT MANAGER
para Server Administrator. Muestra los comandos realizados, quien los emitio y cuando se
emitieron, e incluso los intentos de inicio y cierre de sesion y los errores de acceso.
• Registro de seguimiento de Dell DRAC: es util para hacer seguimiento de detalles sobre
eventos de comunicacion de red, como alertas, busqueda de personas o conexiones de red
realizados porel DRAC.
1. En la vista de red de Endpoint Manager, haga clic con el boton derecho en el dispositivo de
Dell DRACy seleccione Monitor e inventario en tiempo real.
Para el acceso a la interfaz de OpenManage Server Administrator, inicie una sesion con el nombre
de usuario y la contrasena definidos para el dispositivo. El usuario predeterminado de la ra^z es el
primer usuario de la lista y no puede eliminarse, pero se le puede cambiar su contrasena. Se pueden
agregar hasta 15 usuarios adicionales. Aunque los nombres de usuario de DRAC pueden tener
distintos niveles de acceso, Endpoint Manager solamente define los nombres de usuario con nivel
de administrador.
1. En la vista de red de Endpoint Manager, haga clic con el boton derecho en el dispositivo de
Dell DRACy seleccione Monitor e inventario en tiempo real.
4. Para cambiar la contrasena de un usuario, haga clic en el numero de usuario yen Cambiar
contrasena. Escriba y confirme la contrasena nueva, y haga clic en Aplicar. (Para asignar la
misma contrasena a varios usuarios, seleccionelos con Ctrl+clic o Mayus+clic.)
5. Para agregar un usuario, haga clic en Agregar usuario. Escriba un nombre de usuario,
escriba y confirme la contrasena, y haga clic en Aplicar. Se agrega el usuario a la lista.
Si escribe un nombre de usuario que ya esta en la lista, la contrasena nueva que especifica
sobrescribe la contrasena existente del nombre de usuario y no se agrega un segundo
usuario con ese nombre en la lista.
6. Para eliminarun usuario, haga clicen el numero del usuario,yhaga clicen Eliminar usuarioy en
Aceptar. (Para eliminar varios usuarios, seleccionelos con Ctrl+clic o Mayus+clic.)
Todos los usuarios de la lista tienen acceso de nivel de administrador en OpenManage Server
Administrator.
1094
GUÍA DE USUARIO
IVANTI Endpoint Manager incluye compatibilidad con Intelligent Platform Management Interface
(IPMI) 1.5y2.0. IPMI es una especificacion desarrollada por Intel, Hewlett-Packard, NECy Dell con el
fin de definir la interfaz de mensajes y del sistema correspondiente al hardware habilitado para
administracion. IPMI contiene funciones de supervision y recuperacion que permiten el acceso a
varias funciones independientemente de si el equipo esta encendido o no, o del estado del SO. Si
desea mas detalles sobre IPMI, visite el sitio Web de Intel.
La supervision IPMI es manejada por el BMC (controlador de administracion de placa base). BMC
funciona con alimentacion en espera y consulta el estado del sistema de forma autonoma. Si BMC
detecta que existen elementos fuera del rango, puede configurar las acciones IPMI resultantes, tal
como el registro del evento, la generacion de alertas o la realizacion de acciones de recuperacion
automatica, tales como el encendido o el restablecimiento del sistema.
SMBIOS 2.3.1 o superior debe estar instalado a fin de que se pueda detectar BMC en el sistema. Si
no se detecta BMC, podna omitirse cierta informacion de IPMI en los informes, las exportaciones,
etc.
IPMI define interfaces comunes en el hardware utilizado para supervisar las caractensticas de
integridad ffsica, tales como la temperatura, el voltaje, los ventiladores, las fuentes de alimentacion
y la intrusion del chasis. Ademas de la supervision de la integridad, IPMI incluye otras capacidades
de administracion del sistema, que incluyen las alertas automaticas, el apagado y reinicio
automatico del sistema, las capacidades de reinicio y control de energfa remotos, y el seguimiento
de activos.
Las opciones de menu de Endpoint Manager vanan ligeramente en dispositivos habilitados para
IPMI, segun el estado del sistema operativo.
La administracion con todas las funciones esta disponible cuando se instala el agente de
administracion de IVANTI, cuando un BMC esta presente, el dispositivo esta encendido y el SO esta
funcionando. La tabla siguiente compara la funcion disponible con estas configuraciones.
1095
IVANTI ENDPOINT MANAGER Solo BMC
BMC + Agente
agente (no IPMI)
X X
de detectores de entorno Depende
del
hardware
X X X
Configuracion de alertas
Lectura de informacion de SO X X
Apagado normal X X
Lectura de informacion de SMBIOS X X
(procesador, ranuras, memoria)
Temporizador de vigilancia
X
1096
GUÍA DE USUARIO
**Si el BMC no esta configurado, no respondera a los pings ASF que el producto utiliza para
detectar IPMI. Esto significa quetendra que detectarlo como un equipo normal. Cuando se
implementa automaticamente un agente de administracion, la configuracion del servidor rastrea el
sistema, detecta si setrata de IPMI yconfigura el BMC.
Si no hay un controlador IPMI en el dispositivo, Endpoint Manager instalara el controlador OSA IPMI.
Si ha instalado otro software de administracion que incluye los controladores IPMI en los
dispositivos que desea administrar con este producto, puede que necesite desinstalar dichos
productos para que pueda implementar los agentes deEndpoint Manager con las funciones de
administracion de IPMI.
Por ejemplo, Microsoft Windows Server 2003 incluye compatibilidad con IPMI a traves de la
instalacion de Windows Remote Management (WinRM), la cual incluye un proveedor de Windows
Management Instrumentation (WMI) y un controlador IPMI. No obstante, Endpoint Manager no
admite la instalacion de dicho controlador de IPMI e instala su propio controlador IPMI. Si WinRM
esta instalado en el dispositivo que desea administrar conEndpoint Manager, primero debe
desinstalar WinRM mediante Agregar o quitar programas de Windows.
CAUTION: Se recomienda enfaticamente que no cambie la configuracion de IPMI a menos que este
familiarizado con la especificacion IPMI y entienda las tecnologfas pertinentes a estas opciones. El uso indebido
de estas opciones de configuracion podna evitar que Endpoint Manager se comunique satisfactoriamente con los
dispositivos habilitados para IPMI. 59
1097
IVANTI ENDPOINT MANAGER
IPMI provee una interfaz para el temporizador de vigilancia BMC. Se puede definir el temporizador
para que se agote de forma periodica e inicie ciertas acciones al agotarse (tal como un ciclo de
energfa). Endpoint Manager se ha configurado para que restablezca el temporizador de forma
periodica de modo que no se agote; si el dispositivo deja de estar disponible (por ejemplo se apaga
o se bloquea), el temporizador no se restablece y luego caduca, lo cual inicia la accion.
Puede especificar el lapso de tiempo que debe transcurrir para que se agote el temporizador y
seleccionar una accion a realizar si se agota. Puede elegir entre no realizar ninguna accion, realizar
un restablecimiento de hardware (apagar y reiniciar el dispositivo), apagar el dispositivo
normalmente o ejecutar un ciclo de energfa (apagado normal seguido de reinicio).
Tambien puede definir el BMC para que detenga la transmision de mensajes de ARP (protocolo de
resolucion de direcciones) mientras el temporizador de vigilancia este activado, lo cual puede
reducir la cantidad de trafico de red que se genera. Si se suspenden los ARP, se reanudaran estos
de forma automatica si se agota el temporizador de vigilancia.
1. En la vista de red de Endpoint Manager, haga clic con el boton derecho en el dispositivo IPMI
y seleccione Inventario y supervision en tiempo real.
Cuando se pierde la alimentacion en un equipo habilitado para IPMI, puede especificar la accion a
llevar a cabo cuando se restablece el mismo. Se recomienda que restablezca el equipo a cualquier
estado que se haya encontrado en el momento que se perdio la energfa, pero puede elegir
mantenerlo apagado o siempre encender el equipo.
1. En la vista de red de Endpoint Manager, haga clic con el boton derecho en el dispositivo IPMI
y seleccione Inventario y supervision en tiempo real.
1098
GUÍA DE USUARIO
Endpoint Manager realiza la autenticacion de BMC mediante una combinacion de nombre de usuario
y contrasena que es unica para el BMC (distinta de cualquier otro nombre de usuario de Endpoint
Manager). Endpoint Manager reserva el primer nombre de usuario para que siempre se comunique
con el BMC. Si BMC permite que se definan otros nombres de usuario, puede definir nombres de
usuarios con contrasenas para la autenticacion BMC.
Tambien puede especificar niveles de privilegios para cada usuario. Para los IMM avanzados, puede
especificar los niveles de privilegio de protocolo (telnet, http y https) para cada canal.
CAUTION: Tenga mucho cuidado al realizar cambios en estas configuraciones. Si la configuracion contiene
errores, puede deshabilitar la comunicacion BMC del dispositivo con este producto.
1. En la vista de red de Endpoint Manager, haga clic con el boton derecho en el dispositivo IPMI
y seleccione Inventario y supervision en tiempo real.
1099
IVANTI ENDPOINT MANAGER
1. En la vista de red de Endpoint Manager, haga clic con el boton derecho en el dispositivo IPMI
y seleccione Inventario y supervision en tiempo real.
Los mensajes de IPMI se pueden conducir directamente a partir del BMC a traves de la interfaz de
LAN, ademas de la interfaz de sistema del dispositivo. Al activar la comunicacion a traves de LAN se
permite que el servidor reciba alertas espedficas a IPMI, aunque el dispositivo se encuentre
apagado. El servidor central mantiene esta comunicacion siemprey cuando el dispositivo tenga una
conexion de red ffsica con una direccion de red valida, siemprey cuando permanezca conectada la
alimentacion principal del dispositivo.
CAUTION: Si elije establecer la configuracion personalizada para efectuar la comunicacion LAN o en serie con el
BMC, sea extremadamente cuidadoso al realizar los cambios en la configuracion. Si la configuracion contiene
errores, puede deshabilitar la comunicacion BMC del dispositivo con este producto.
Si ha definido un canal LAN, puede utilizar la configuracion predeterminada del BMC del dispositivo
o bien, cambiar la configuracion de direccion IPy de puerta de enlace. Utilice esas opciones para
configurar los destinos de las capturas SNMP que envfa el BMC para cada captura de evento de
plataforma (PET).
Tambien puede cambiar la configuracion de la cadena de comunidad SNMP para el envfo de alertas
a traves de LAN. Al configurar esas opciones, debe especificar la cadena de comunidad SNMP
utilizada en la autenticacion de SNMP. Para cada configuracion, puede modificar la informacion de
destino de captura para especificar donde y como se envfan las capturas, y si se confirma su
recepcion.
1. En la vista de red de Endpoint Manager, haga clic con el boton derecho en el dispositivo IPMI
y seleccione Inventario y supervision en tiempo real.
1100
GUÍA DE USUARIO
NOTE: Si hace clic en el boton Restaurar valores predeterminados en esta pagina, la configuracion en el
encabezado Propiedades para el canal LAN se restauraran a sus valores predeterminados, pero el resto de
las opciones de configuracion en la pagina permaneceran igual. Si cambia alguna informacion en la pestana
Configuracion IPy hace clic en Aplicar, necesitara restablecer manualmente tales opciones de configuracion.
1101
IVANTI ENDPOINT MANAGER
10. En la pagina Configuracion de LAN, haga clic en Aplicar una vez que haya finalizado la
configuracion.
Para la operacion de modem de serie, es probable que tenga que configurar el BIOS y los puentes
de la placa del dispositivo. Consulte la documentacion del dispositivo particular si necesita detalles.
CAUTION: Si elije establecer la configuracion personalizada para efectuar la comunicacion LAN o en serie con el
BMC, sea extremadamente cuidadoso al realizar los cambios en la configuracion. Si la configuracion contiene
errores, puede deshabilitar la comunicacion BMC del dispositivo con este producto.
1. En la vista de red de Endpoint Manager, haga clic con el boton derecho en el dispositivo IPMI
y seleccione Inventario y supervision en tiempo real.
2. En el panel de exploracion izquierdo de la consola de inventario en tiempo real, haga clic en
Configuracion de hardware.
3. Amplie Configuracion de IPMI BMC y haga clic en Configuracion de SOL.
4. Seleccione Activar la comunicacion de serie a traves de LAN para activar SOL.
5. Seleccione el valor mfnimo de Nivel de usuario necesario para activar SOL.
6. Seleccione la Velocidad en baudios de las sesiones SOL que sea adecuada para la
configuracion de hardware del dispositivo.
7. Haga clic en Aplicar.
Cambio de las configuraciones de IMM
La pagina Configuracion de IMM se muestra solamente para los dispositivos IPMI que estan
equipados con una tarjeta de complemento IMM avanzada. Las opciones de esta pagina permiten
activar o desactivar protocolos y funciones para su uso en el dispositivo habilitado para IMM.
Consulte la documentacion del fabricante para IMM antes de realizar cambios en estas opciones.
1. En la vista de red de Endpoint Manager, haga clic con el boton derecho en el dispositivo IPMI
y seleccione Inventario y supervision en tiempo real.
2. En el panel de exploracion izquierdo de la consola de inventario en tiempo real, haga clic en
Configuracion de hardware.
3. Amplie Configuracion de IPMI BMC y haga clic en Configuracion de IMM.
1102
GUÍA DE USUARIO
4. Seleccione las casillas de verificacion de los protocolos yfunciones que desee activary
agregue cualquier opcion que sea necesaria.
Las opciones disponibles incluyen KVM, SNMP, telnet, alertas de SMTP, HTTPy HTTPS.
1103
IVANTI ENDPOINT MANAGER
Intel vPro
Deteccion de dispositivos vPro
No es necesario un proceso de deteccion separado para identificar dispositivos con capacidad
vPro. Utilice el proceso estandar IVANTI Deteccion de dispositivos no administrados (UDD) para
localizar todos los dispositivos de la red.
La imagen siguiente muestra el tipo de informacion que se envfa al servidor central durante la
instalacion del agente. Esta informacion se utiliza durante el proceso de aprovisionamiento
ytambien se puede utilizar para informar o para introducir una consulta.
Nombne Valor
5j*] AMT Configuration Mo... Enterprise Mode
AMT Configuration State PKI
AMT Control Mode Admin Control Mode
1104
+ ■■■ 9 Capacidad del sistema GUÍA DE USUARIO
I .... SjJ Copnocesador
+ .. <£> Datos de diagnostico
+- 9 Datos personalizados Entomo
i . is Impnesoras
-- 9 Informacion de AMT
i... § AMT SCS Information
+ IVANTI Management
+ eta Memoria + ■■■ & Modems
+- 9 Motherboard + - ■ P Navegador ra Pmfifisadnr
1105
IVANTI ENDPOINT MANAGER
NOTE: Intel vPro requiere que se utilice una contrasena dificil de descifrar para habilitar comunicaciones
seguras. Las contrasenas deben cumplir con estos requisitos.
Metodos de aprovisionamiento
Las primeras dos opciones son sin intervencion. Esto significa que el aprovisionamiento se puede
lograr mediante el acceso por red y no es necesario el acceso fisico al equipo. El tercer metodo
requiere que alguien visite cada dispositivo para activar las opciones de vPro mediante la utilidad
de ajustes. A esta utilidad se accede durante el inicio, antes de cargar el SO.
NOTE: La unica vez que debera utilizar esta tercera opcion es cuando tenga dispositivos vPro viejos (anteriores
a 6.2) y no pueda implementar la infraestructura de certificados necesaria para la configuracion remota.
IVANTI proporciona soporte para el aprovisionamiento yadministracion de vPro desde la version 2.3
hasta la mas reciente (actualmente 9.x). Tanto el modo de control de clientes como el modo de
control admin. son compatibles con la version 6.2 y posteriores.
El grafico siguiente muestra el tipo de aprovisionamiento disponible para cada version de vPro.
1106
GUÍA DE USUARIO
One Touch
Provisioning
Release Date
NOTE: PID/PPS ya no esta disponible en la version 9. La version 9 tambien requiere un nuevo API - WS- MAN. Los paquetes de saludo
tambien se han cancelado a partir de la version 6.2.
o
Aprovisionamiento basado en el host (aprovisionamiento
automatico)
IVANTI Endpoint Manager aprovisiona automaticamente dispositivos Intel vPro que tienen AMT,
version 6.2 y posterior. Si se introdujo una contrasena en el cuadro de dialogo Configuracion
General de Intel vPro, pero no se ha establecido un PID en los dispositivos o proporcionado un
certificado de aprovisionamiento, los dispositivos se aprovisionaran mediante el uso del modo de
Control de cliente. Este modo limita algunas funciones de Intel vPro, debido al nivel mas bajo de
confianza que se requiere para realizar la configuracion del dispositivo. Si hay un certificado de
aprovisionamiento en el servidor central, el dispositivo se aprovisionara durante el modo de control
admin.
1107
IVANTI ENDPOINT MANAGER
NOTE: El aprovisionamiento basado en el host no requiere ninguna configuracion por parte del cliente. Un
equipo con capacidad vPro (version 6.2 y posterior) se aprovisionara durante la instalacion del agente IVANTI, si
se ha introducido la contrasena vPro en el servidor centra.
1108
GUÍA DE USUARIO
1. Certificado de aprovisionamiento
2. Compatibilidad con DHCPopcion 15
Certificado de aprovisionamiento
Intel requiere cierto nivel de no rechazo para permitir que se produzca el aprovisionamiento de vPro.
Esto elimina las molestias de la verificacion de identidad segura por parte del usuario final. Por
ejemplo, cuando se aprovisiona un equipo en modo de control de clientes, el usuario debera
permitir una sesion KVM. Cuando se inicia esta sesion desde la consola, se indica al usuario un
numero de 6 dfgitos en una ventana emergente. El usuario debera contactar con la persona que
inicio la sesion KVM (normalmente portelefono) y comunicarle el codigo de 6 dfgitos. Esto supone
una molestia en cuanto a la seguridad para el usuario final. Aunque puede ser aceptable en algunos
entornos, muchas organizaciones quieren aprovechar las infraestructuras para proporcionar un
entorno seguro sin necesidad de interrumpir al usuario final. Mediante certificados, se puede
aprovisionar un equipo en modo de control admin. y el usuario final no necesita comunicar el
codigo.
A continuacion se indican los pasos que se llevan a cabo entre un dispositivo vPro y el servidor
central IVANTI durante la instalacion del agente IVANTI. El primer paso se ha modificado para que
refleje la implementacion IVANTI.
1. Durante la instalacion del agente, el servicio web de IVANTI recibe una solicitud de
aprovisionamiento desde el dispositivo vPro. Esto inicia el proceso de aprovisionamiento.
1109
IVANTI ENDPOINT MANAGER
proveedor de certificados autorizado que se haya utilizado e incluira la huella digital del
mismo.
3. El firmware de AMT en el equipo del cliente analiza el certificado de aprovisionamiento,
verifica que la cadena de confianza no se haya roto, extrae la huella digital del certificado rafz
y la compara con la tabla de huellas digitales que hay en el firmware Intel® AMT del cliente. El
aprovisionamiento se detiene aquf si no encuentra ninguna coincidencia.
4. El equipo del cliente obtiene el dominio desde la configuracion DHCP opcion 15 y verifica que
el sufijo coincide con el campo CN del certificado. Las coincidencias se determinan segun la
version de firmware Intel® AMT del cliente y del tipo de certificado utilizado. El
aprovisionamiento se detiene aquf si no encuentra ninguna coincidencia.
5. El certificado de configuracion remota se ha verificado correctamenteyel proceso de
aprovisionamiento continua con normalidad.
NOTE: Antes de comprar un certificado, verifique que certificados son compatibles con su dispositivo en la
documentacion del proveedor o en la informacion de atencion al cliente.
Para mas informacion sobre como obtener y administrar certificados de aprovisionamiento, visite la
pagina de la comunidad IVANTI: https://community.Ivanti.com/support/docs/DOC-23304
DHCP opcion 15
Durante el aprovisionamiento remoto es necesario DHCP opcion 15. Esta opcion devuelve la
informacion del nombre del dominio DNS, como parte de la respuesta DHCP desde el enrutador
adjunto. Como se menciona en el paso 5, el cliente verifica el sufijo que se devuelve mediante DHCP
1110
GUÍA DE USUARIO
(por ejemplo, Ivanti.com) coincide con el campo CN del certificado de aprovisionamiento para otro
nivel de validacion en el proceso de aprovisionamiento.
1111
IVANTI ENDPOINT MANAGER
NOTE: El aprovisionamiento remote solo funcionara si DHCP opcion 15 esta activado en el enrutadory el sufijo
del certificado coincide con la informacion de dominio DNS del cliente en el dispositivo vPro. El servidor central
IVANTI tambien debe disponer del mismo sufijo de dominio DNS que se especifico en el certificado de
aprovisionamiento.
1. Haga clic en Configurar > Opciones Intel vPro > Configuration de KVM.
2. En el cuadro de Activation KVM, haga clic en Activar KVM para permitir el uso de KVM.
1112
GUÍA DE USUARIO
5. En el cuadro Tiempo de espera de la sesion, introduzca un numero (en minutos) despues del
cual una sesion TCP a control remoto puede ir a inactividad antes de que la sesion se cierre.
Esto se desactiva si el Consentimiento de usuario esta desactivado (paso anterior).
A KVM se accede desde el menu de boton derecho de la consola IVANTI. La opcion de control
remoto de KVM solo aparecera en dispositivos que dispongan de KVM activado y que sean
compatibles con este.
Nota: vPro KVM solo funcionara en un dispositivo que disponga de graficos integrados. Un equipo
con conjuntos de chips de graficos discretos no se pueden controlar remotamente mediante vPro y
la opcion KVM no aparecera en el menu de boton derecho.
Restricciones de KVM
• KVM no admite la configuracion de las polfticas de control remoto correspondientes.
• No se puede aplicar ninguna poiftica de control remoto de "solo ver" o "se requiere permiso"
a la conexion KVM. Se puede tratar "se requiere permiso" como una opcion de "se requiere
codigo de consentimiento del usuario" de la configuracion de AMT y se debe establecer en la
configuracion de AMT en lugar de la de el RCViewer.
1113
IVANTI ENDPOINT MANAGER
se han eliminado de la red. Tan solo debe seleccionar los dispositivos que desea restaurary hacer
clic en Reparar. Vera una ventana emergente que indica el exito o el error de la reparacion.
Cuando IVANTI Endpoint Manager inicia los comandos de opciones de alimentacion, no siempre es
posible verificar que los comandos sean compatibles con el hardware que recibe el comando. Es
posible que algunos dispositivos con Intel vPro no sean compatibles con todas las funciones de las
opciones de alimentacion (por ejemplo, un dispositivo puede ser compatible con el reinicio IDE-R
desde el CD, pero no desde un disquete). Consulte la documentation del proveedor de hardware si
le parece que una opcion de alimentacion no funciona con un dispositivo en particular. Tambien
puede revisar si hay actualizaciones BIOS o firmware desde Intel para el dispositivo si las opciones
de energfa no funcionan como se espera.
En dispositivos con Intel vPro, cuando usted selecciona Reactivar dispositivos en una tarea
programada, IVANTI Endpoint Manager enviara primero un comando de reactivation de Intel vPro. Si
ese comando no funciona, se enviara entonces un comando normal de "Wake on LAN" al
dispositivo.
Pude simplemente encender o apagar la alimentacion del dispositivo o puede reiniciary especificar
como se reiniciara el dispositivo. Estan disponibles las siguientes opciones de reinicio:
1114
GUÍA DE USUARIO
Cuando utilice la redireccion IDE, asegurese de que los archivos de imagen de CDtienen formato
.iso o que estan en un disco CD/DVD ffsico instalado en el equipo local de la consola. Algunos BIOS
pueden requerir que la imagen de CD se encuentre en el disco duro.
Los dispositivos AMT 9 y posteriores son compatibles con el apagado y reinicio normales. Los
dispositivos mas viejos no son compatibles.
1115
IVANTI ENDPOINT MANAGER
Los dispositivos Intel vPro se comunican con un servidor de aprovisionamiento de la red. Este
servidor de aprovisionamiento escucha los mensajes de los dispositivos de Intel vPro en la red y le
permite al personal de TI administrar los servidores a traves de comunicaciones de banda ancha sin
tener en cuenta el estado en el cual esta el SO del dispositivo. El servidor central actua como un
servidor de aprovisionamiento de los dispositivos de Intel vPro e incluye funciones que le ayudan a
aprovisionar dispositivos cuando usted los configura. Luego puede administrar los dispositivos
con o sin agentes de administracion adicionales.
Los dispositivos con Intel vPro version 3.0 y superiores tambien son compatibles con la
configuracion remota "bare metal" o sin agente.
1116
GUÍA DE USUARIO
NOTE: Observe que la informacion en esta seccion es una descripcion general del proceso de configuracion de
Intel vPro. Sin embargo, los fabricantes independientes implementan la funcion de Intel vPro de distintas
maneras, y puede haber diferencias en areas tales como el acceso a las pantallas de Intel AMT o ME BIOS, el
restablecimiento del dispositivo al modo defabrica (anulacion del aprovisionamiento) o la forma de provision de
los pares clave PID/PPS. Antes de iniciar el proceso de configuracion, consulte la documentacion e informacion
de atencion al cliente provista por los fabricantes del dispositivo.
Para utilizar direcciones IP estaticas con los dispositivos de Intel vPro, el firmware de Intel vPro
debe estar configurado con su propia direccion MAC. (Para obtener instrucciones sobre la manera
de volver a instalar el firmware yconfigurarlo correctamente, comurnquese con Intel.)
Una vez configurado, el dispositivo de Intel vPro tendra una direccion MAC, una direccion IPyun
nombre de host distintos al sistema operativo del dispositivo. Para poder administrar dispositivos
Intel vPro correctamente, debe utilizar la siguiente configuracion para el DHCPy las direcciones IP
estaticas:
• DHCP: Tanto el sistema operativo como Intel vPro utilizan nombres de DHCPy de host que
son identicos.
• IP estatica: Tanto el sistema operativo como Intel vPro estan configurados para utilizar
direcciones estaticas y son distintas entre sf, las direcciones MAC son diferentes y los
1117
IVANTI ENDPOINT MANAGER
1118
GUÍA DE USUARIO
Si un equipo de Intel vPro 2.x se aprovisiona en el modo Empresa, la unica manera de comunicarse
con el es mediante el paquete de saludo que se env^a al servidor de instalacion y configuracion.
Despues de que el equipo es administrado por el software de IVANTI, las operaciones de Intel vPro
pueden realizarse de forma regular. Lo que no debe hacer es detectary administrar direcciones IP
del sistema operativo; caso contrario, tendra dos entradas de equipos que representan al mismo
equipo. Debido a que el unico identificador comun entre los dos dispositivos es el GUID de AMT y a
que el dispositivo del sistema operativo no puede encontrar el GUID de AMT de forma remota, no es
posible combinar las dos entradas.
Si desea instalar los agentes de IVANTI, no puede enviar una Configuracion del agente debido a que
la unica direccion IP en la base de datos es la de Intel vProy el servicio de instalacion automatica
necesita acceso al sistema operativo. En lugar de ello, es necesario extraer los agentes
(provenientes del dispositivo administrado Intel vPro) mediante la asignacion de una unidad al
recurso compartido en el cual se ha guardado un paquete de instalacion de cliente y mediante la
ejecucion de archivo ejecutable con la configuracion del agente.
1. Haga clicen Inicio > Todos los programas > IVANTI > Servicios de configuracion de IVANTI.
2. En la pestana Inventario, haga clic en los Identificadores de dispositivo para administrar los
registros duplicados.
Esto obliga al GUID de AMT a convertirse en uno de los atributos que puede identificar de
forma unica a un equipo.
Tras modificar esta opcion, cuando el rastreo de Inventario desde el dispositivo administrado por
Intel vPro se importa a la base de datos, el servicio del Inventario hace coincidir el GUID de Intel
AMT del dispositivo que ya se encuentra en la base de datos con la informacion del sistema
operativo en el archivo de rastreo.
1119
IVANTI ENDPOINT MANAGER
una alerta y se bloquea el acceso a la red. El dispositivo se desconecta de la red hasta que se
vuelva a conectar el acceso mediante el uso de la funcion de Reparacion de la Defensa del sistema.
1. El dispositivo administrado envfa una alerta ASF al servidor central y se agrega una entrada
al registro de alertas.
2. El servidor central determina la polftica que se ha violado y desactiva el acceso a la red en el
dispositivo administrado.
3. El dispositivo aparece en la cola de reparaciones de la Defensa del sistema.
IVANTI Endpoint Manager contiene las siguientes polfticas predefinidas de Defensa del sistema.
• BlockFTPSrvr: esta polftica impide el trafico a traves de un puerto FTP. Cuando se envfan o
reciben paquetes en el puerto FTP 21, se descartan los paquetes y se suspende el acceso a
la red.
1120
GUÍA DE USUARIO
• LDCBKillNics: esta poiftica bloquea el trafico en todos los puertos de red con excepcion de
los puertos de administracion siguientes:
Intervalo de Direccion del Protocol
Descripcion del puerto
numeros trafico o
TCP,
Administracion de IVANTI 9593-9595 Envfo y recepcion
UDP
16992-16993 Envfo y recepcion Solo TCP
Administracion de Intel
vPro
NOTE: Introduzca una contrasena en este cuadro de dialogo solo si tiene la intendon de activar las funciones de
Intel vPro en los dispositivos administrados que corresponda. La contrasena se guarda en la base de datos y se
aplica a nivel global durante el aprovisionamiento de dispositivos Intel vPro, por lo que debe tener claro como
instalar y configurar cada version de dispositivos Intel vPro.
Instalacion y Configuracion
El cuadro de dialogo de Configuracion general de Intel vPro le permite cambiar la contrasena en uso
por el valor predeterminado de la cuenta "admin". Esta contrasena se aplica a todos los nuevos
dispositivos de Intel vPro cuando usted los aprovisione. Usted tambien tiene la opcion de cambiar
esta contrasena en todos los dispositivos administrados actualmente por Intel vPro. Esta opcion se
recomienda para que todos los dispositivos tengan las mismas credenciales.
• Contrasena: Introduzca una contrasena segura con la cual comunicarse y para aprovisionar
nuevos dispositivos de Intel vPro. En los dispositivos que se van a administrar, la contrasena
"admin" que introduzca en la pantalla de configuracion de Intel AMT (a la que se tiene acceso
1121
IVANTI ENDPOINT MANAGER
en el BIOS del dispositivo) debe coincidir con la que introdujo en el cuadro de dialogo de
Configuracion general de Intel vPro. La contrasena se guarda en la base de datos y se aplica
de forma global para aprovisionar los dispositivos de Intel vPro.
Intel vPro requiere que se utilice una contrasena diffcil de descifrar para habilitar comunicaciones
seguras. Las contrasenas deben cumplir con estos requisitos:
Endpoint Manager aprovisiona automaticamente dispositivos Intel vPro que tienen AMT, version 6.2
y superior. Si se introdujo una contrasena en este cuadro de dialogo, pero no se ha establecido un
PID en los dispositivos o proporcionado un certificado sin intervencion, los dispositivos se
aprovisionan mediante el uso del modo de Control de cliente. Este modo limita algunas funciones
de Intel vPro, lo cual refleja el menor nivel de confianza que se requiere para realizar la
configuracion del dispositivo.
1. En el servidor central, haga clic en Configurar > Opciones Intel vPro > Configuracion general.
2. Escriba una contrasena diffcil de descifrar y conffrmela.
3. Para aplicar la contrasena a todos los dispositivos Intel vPro administrados, seleccione
Sincronizar en todos los equipos vPRo cuando se modifique la contrasena.
4. Haga clic en Aceptar.
1. En la lista Todos los dispositivos, haga cliccon el boton derecho en un dispositivo Intel vPro
administrado y seleccione Opciones de Intel vPro > Cambiar contrasena.
1122
GUÍA DE USUARIO
Use este cuadro de dialogo para introducir los textos de notificacion que apareceran en los
dispositivos administrados. Puede usar el texto del mensaje predeterminado o puede personalizar el
mensaje si lo prefiere.
1. Haga clic en Configurar > Opciones Intel vPro > Textos de notificacion al cliente.
2. Seleccione la casilla de verificacion Activada para enviar los mensajes cuando el acceso de
red de un dispositivo este desconectado.
3. Para personalizar algun mensaje, reemplace el texto predeterminado por el mensaje que
desee mostrar en los dispositivos del cliente.
Cuando se recibe un dispositivo Intel vPro, el tecnico de TI ensambla el equipoy lo enciende. Tras
1123
IVANTI ENDPOINT MANAGER
La PPS debe ser compartida por el servidor de aprovisionamiento y por el dispositivo administrado,
pero no puede transmitirse en la red por razones de seguridad. Se debe especificar de forma manual
en el dispositivo (en la pantalla de configuracion de Intel AMT). Los pares PID/PPS se generan
mediante Endpoint Manageryse almacenan en la base de datos. Puede imprimir una lista de pares
de identificadores generados para utilizarlos en el aprovisionamiento o exportar los pares de
identificadores en un archivo de claves de una unidad USB.
El tecnico de TI debe introducir la direccion IP del servidor central Endpoint Manager del Servidor
de aprovisionamiento y especificar el puerto 9971. De otra manera, de forma predeterminada, el
dispositivo Intel vPro envfa una transmision general que solamente puede recibirse si el servidor de
configuracion esta escuchando en el puerto 9971.
1124
GUÍA DE USUARIO
Una vez que el servidor central ha aprovisionado un dispositivo Intel vPro, este puede administrate
solamente a traves de la funcion de Intel vPro. Para hacerlo, puede seleccionarlo en la lista de
dispositivos no administrados yagregarlo a los dispositivos administrados. Tambien puede
implementar los agentes de administracion en el dispositivo para utilizar funciones adicionales de
administracion.
1. Especifique una nueva contrasena diffcil de descifrar para aprovisionar los dispositivos de
Intel vPro.
3. Inicie una sesion en la pantalla de configuracion de Intel ME del dispositivo del BIOS y
cambie la contrasena predeterminada por una robusta.
4. Inicie una sesion en la pantalla de configuracion de Intel AMT. Escriba el par de claves
PID/PPS de la lista de identificadores de aprovisionamiento que imprimio. Escriba la
direccion IP del servidor central (servidor de aprovisionamiento) y especifique el puerto
9971. Asegurese de que este seleccionado el modo Empresarial para el efectuar el
aprovisionamiento. Escriba el nombre de host del dispositivo Intel vPro.
Para obtener instrucciones detalladas sobre el paso 1, consulte "Cambiar la contrasena de Intel
vPro" (1108)
Para obtener instrucciones detalladas para el paso 2, consulte "Generar un lote de identificadores
de aprovisionamiento de Intel vPro" (1114).
Errores en el proceso de aprovisionamiento
Si escribe una PID y una PPS que no forman un par correctamente (por ejemplo, la PPS forma un
par con un PID equivocado), recibira un mensaje de error en el registro de alertas y no continuara el
aprovisionamiento de dicho dispositivo. Debe reiniciar el dispositivo y volver a escribir el par
PID/PPS correcto en la pantalla de configuracion de Intel AMT.
Si al escribir una PID o PPS, la pantalla de configuracion de Intel AMT muestra un mensaje de error,
quiere decir que no las ha escrito bien. Se realiza una suma de comprobacion para asegurarse de
que las PIDy PPS sean correctas.
1125
IVANTI ENDPOINT MANAGER
La unidad USB que utilice debe ser de formato FAT-16 para que este proceso funcione.
El archivo setup.bin se crea con un archivo de claves espedfico definido por Intel. Cuando
aprovisione el nuevo dispositivo Intel vPro, conecte la unidad USB al dispositivo y reirncielo.
Durante el proceso de inicio se toma un par de identificadores de aprovisionamiento (PID y PPS) del
archivo setup.bin yse introduce en el BIOS de Intel AMT del dispositivo. Cuando el dispositivo envfe
el mensaje de saludo a la red, el servidor central lo reconocera y podra comunicarse de forma
segura con el debido a que los identificadores de aprovisionamiento se encuentran en la base de
datos central.
1126
GUÍA DE USUARIO
Para exportar un lote de identificadores de aprovisionamiento para utilizarlos con una unidad USB
Guarde el archivo en cualquier ubicacion y luego copielo en una unidad USB o especifique la
ubicacion de la unidad USB si esta esta conectada al servidor central. Para utilizar el archivo
setup.bin para aprovisionar, el mismo debe guardarse en el directorio rafz de la unidad USB.
6. Haga clicen Aceptary luego en Cerrar.
NOTE: los identificadores que haya generado se enumeran con los otros identificadores generados en la pagina
Generar identificadores de AMT. Los identificadores de la lista tienen una marca de verificacion verde para
indicar que no estan disponibles para el aprovisionamiento de otros dispositivos.
Para utilizar los identificadores de aprovisionamiento exportados en los dispositivos Intel vPro
nuevos
Cuando el dispositivo se inicia, obtiene acceso al archivo setup.ini y toma un par de identificadores
de aprovisionamiento disponible (PI D y PPS) para utilizarlo en el proceso de aprovisionamiento.
Luego marca el par de identificadores de aprovisionamiento como utilizado para que no lo utilice
otro dispositivo. El dispositivo siguiente que aprovisione tomara el siguiente par de identificadores
de aprovisionamiento disponible.
Observe que para que este proceso funcione correctamente, el nombre de usuario y la contrasena
predeterminados para el acceso al BIOS de Intel AMT no deben haberse modificado (por lo general,
de forma predeterminada son admin/admin). No debe de haber especificado identificadores de
aprovisionamiento en el dispositivo.
1127
IVANTI ENDPOINT MANAGER
Para importar los identificadores a la base de datos central, navegue hasta la ubicacion del archivo
setup.ini que proporciono el fabricante (esto se puede hacer en un CD o DVD, o puede copiar el
archivo en cualquier unidad). Tras guardar dichos identificadores en la base de datos, cuando se
inician los dispositivos Intel vPro y estos envfan un mensaje de saludo, el servidor central los
reconoce y los detecta.
IMPORTANT: Antes de generar los identificadores de Intel vPro, debe crear primero una contrasena de '
Intel vPro para la cuenta predeterminada de "admin" y debe sincronizarla con todos los dispositivos
administrados de Intel vPro. "Cambio de la contrasena en dispositivos Intel vPro" En la pagina 1116.
1. Haga clicen Configurar > Opciones Intel vPro > Generacion de identificador.
2. Escriba la cantidad de identificadores que va a generar (por lo general, es la cantidad de
dispositivos que planea aprovisionar).
3. Si desea utilizar un prefijo diferente para las PID, escnbalo en el cuadro de texto Prefijo de
PID. Este prefijo solamente puede contener caracteres alfabeticos en mayusculas y numeros
del conjunto de caracteres ASCII. Puede escribir un maximo de 6 caracteres en el prefijo.
1128
GUÍA DE USUARIO
Para identificar los lotes de claves de aprovisionamiento, especifique un nombre de lote. Debe ser
un nombre descriptivo que indique los dispositivos a los cuales se aplican los identificadores. Por
ejemplo, puede generar lotes para cada organizacion de la empresa y nombrar los lotes Desarrollo,
Mercadeo, Finanzas, etc. Si mas adelante desea ver los identificadores generados, escriba el
nombre del lote y haga clic en Ver identificadores de lotes para ver una lista que contenga
solamente esos identificadores.
Haga clic aqrn para ver las descripciones de las opciones de los identificadores de Intel vPro
Generar identificadores
Use esta seccion para introducir los criterios para generar PIDy PPS.
1129
IVANTI ENDPOINT MANAGER
Estos identificadores se almacenan en la base de datos para referencia futura al incorporar nuevos
dispositivos de Intel vPro. A medida que se aprovisionan los dispositivos y se consumen las claves
de aprovisionamiento, la pagina Generar identificadores de Intel vPro muestra una marca verdejunto
a los Id. que se han usado.
Importar/exportar identificadores
Los identificadores que genere se pueden exportar a un archivo denominado setup.bin. El archivo
setup.bin se puede almacenar en una unidad USB, la cual se puede transportar a otros servidores
de aprovisionamiento de modo que los identificadores que todavfa no se hayan usado se pueden
importary poneren uso en otros dispositivos de Intel vPro.
Intel vPro requiere que se utilice una contrasena diffcil de descifrar para habilitar comunicaciones
seguras. Las contrasenas deben cumplir con estos requisitos:
1130
GUÍA DE USUARIO
Tras la incorporacion de los dispositivos, debe cambiar las contrasenas con regularidad como
parte del mantenimiento de TI. Puede usar una contrasena distinta en cada dispositivo de Intel vPro
o puede aplicar una misma contrasena a varios dispositivos. Las nuevas contrasenas que se
introduzcan se almacenan en la base de datos y son usadas por Endpoint Manager para
comunicarse de forma segura con los dispositivos administrados por Intel vPro.
Endpoint Manager utiliza el aprovisionamiento suministro basado en el host para dispositivos con
Intel vPro AMT, version 6.2 y superior. Si se introdujo una contrasena en el cuadro de dialogo
Configuracion General de Intel vPro, pero no se ha establecido un PID (aprovisionamiento sin
intervencion) en los dispositivos o proporcionado un certificado sin intervencion, los dispositivos
se aprovisionan mediante el uso del modo de Control de cliente. Este modo limita algunas
funciones de Intel vPro, lo cual refleja el menor nivel de confianza que se requiere para realizar la
configuracion del dispositivo.
Cuando se enciende un portatil, el chip de tecnologfa Intel Active Management (Intel AMT) en un
portatil se comunica con el controlador LAN inalambrica. Si Intel AMT encuentra un perfil
coincidente, el controlador dirigira el trafico destinado al dispositivo Intel AMT. Aun si hubiera un
problema con el controlador, Intel AMT puede recibir trafico de administracion fuera de banda
desde la interfaz de red inalambrica.
Para efectuar administracion inalambrica, Intel vPro utiliza el perfil inalambrico de Windows del
dispositivo.
Para que Intel AMT trabaje con una conexion LAN inalambrica, debe compartir direcciones IP con el
portatil. Para esto, debe configurarse Intel AMT para que use DHCP, y debe haber un servidor DHCP
disponible para asignar direcciones IP. Si se configura Intel AMT para que use direcciones
IPestaticas, la conectividad inalambrica se deshabilitara.
1131
IVANTI ENDPOINT MANAGER
Cuando un portatil se detecta yaprovisiona mientras esta conectada a una red con cables, puede
administrarse de inmediato a traves de la red con cables. Sin embargo, cuando el portatil cambie a
una conexion inalambrica, puede existir una demora antes de que se habilite la administracion de
Intel vPro en dicho equipo. Esto se debe a un cambio en la forma en que se resuelve el nombre del
equipo en DNS en la red. La direccion IP inalambrica del portatil es distinta a la direccion IPde red
con cables, por lo que hay una demora antes de que la nueva direccion IPdel portatil coincida con el
nombre del equipo.
1132
GUÍA DE USUARIO
Rollup cores
Instalacion de un servidor central de resumen
Se puede utilizar una base de datos central de resumen para combinar los datos de varios
servidores centrales. IVANTI Endpoint Manager utiliza la replica nativa de SQL Server para resumir
los datos del servidor central. Puede utilizar una base de datos de servidor de resumen para generar
informes segun los datos detodos los servidores centrales de la organizacion. No se pueden
programartareas desde una base de datos de un servidor de resumen.
Puede resumir los datos de los servidores centrales usando Endpoint Manager, version 9.0 o
superior. El servidor central de resumen se debe instalar utilizando la ultima version de Endpoint
Manager. Todos los servidores centrales deben usar el mismo tipo de base de datos, y no es
compatible con SQL Server Express.
1. Configure un servidor para que aloje el servidor central de resumen y la base de datos.
2. Instale la base de datos de la misma manera que lo hana con una instalacion normal de
Endpoint Manager. Para obtener informacion sobre la instalacion de la base de datos,
consulte la comunidad IVANTI en https://community.Ivanti.com.
3. Inicie la sesion en el servidor central de resumen con una cuenta quetenga derechos de
administrador.
Requisitos previos
Los siguientes requisitos previos se deben llevar a cabo antes de utilizar la replica del servidor SQL
en un servidor central de resumen.
1133
IVANTI ENDPOINT MANAGER
• Uno de los Imites de SQL Express es que no puede actuar como fabricante en una topologfa
de replica. Por lo tanto, no es posible replicar datos desde un servidor central de Endpoint
Manager mediante SQL Express como base de datos de segundo plano.
resumen.
ldms_distribution Fabricante y suscriptor La contrasena debe coincidir tanto
para el Fabricante como para el
Suscriptor, en caso contrario el Agente
de distribucion del fabricante no podra
conectarse a la base de datos del
suscriptor.
Paso 2: Crear una carpeta compartida de replica y asignar permisos de usuario de Windows (servidores DBMS del
fabricante)
En el servidor SQL donde se aloje la base de datos del servidor central (fabricante), busque la
carpeta del servidor SQLy, si no existe ya, cree una carpeta denominada ReplData. La ubicacion
predeterminada es:
C:\Program Files\Microsoft SQL Server\MSSQL.X\MSSQL\
Comparta esta nueva carpeta como ReplData y asegurese de que los usuarios siguientes cuentan
con los siguientes permisos tanto en los permisos de Uso compartido avanzado (la pestana Uso
compartido) y la parte de Nombres de grupo y de usuario de la pestana Seguridad.
C:\Program Files\Microsoft SQL Server\MSSQL.X\MSSQL\ReplData
<computer_name>\ldms_distribution Leer
1134
GUÍA DE USUARIO
Paso 3: Dar permisos de modificacion al usuario de distribucion en el directorio SQL Server COM (servidor DBMS
del suscriptor)
En la base de datos del servidor central de resumen donde se aloja el servidor SQL (suscriptor),
busque la carpeta del servidor SQLylocalice el directorio COM. La ubicacion predeterminada es:
Resalte la carpeta COM, haga clic con el boton derecho y seleccione Propiedades. En la pestana
Seguridad, agregue el usuario de distribucion a la seccion Nombres de grupo y de usuario y haga
clic en Modificar para dar al usuario todos los derechos excepto Control total.
Paso 4: Configurar SQL Server Agent para que se inicie automaticamente (Servidores DBMS del fabricante y del
suscriptor)
En el fabricante, el servicio de SQL Server Agent se debe iniciar automaticamente para que la replica
se produzca correctamente. Lleve a cabo lo siguiente:
1. Abra el dialogo de Windows services, haciendo clic en Inicio > Ejecutar e introduciendo
services.msc.
2. Haga doble clic sobre el servicio SQL Server Agent (MSSQLSERVER) y cambie el Tipo de
inicio a Automatico.
Paso 5: Permita que el puerto del Servidor SQL se comunique a traves del firewall publico (servidores DBMS del
fabricante y del suscriptor)
En el fabricante y en cada suscriptor:
1. Desde el Panel de control de Windows, inicie Windows Firewall. En la parte izquierda, haga
clic
en Configuration avanzada para abrir el cuadro de dialogo Windows firewall con seguridad
avanzada.
2. Haga clic en Reglas de entrada y en la parte derecha, haga clic en Nueva regla.
3. Haga clic en Puerto y en Siguiente
4. Haga clic en TCPy, junto a Puertos locales espetificos, introduzca el numero de puerto TCP
que SQLServer Agent tiene configurado (1433, de manera predeterminada). Haga clic en
Siguiente.
1135
IVANTI ENDPOINT MANAGER
Privado o Publ ico) necesarios en el entorno, para garantizar que todos los Servidores
SQL se puedan comunicar entre ellos. Haga clic en Siguiente.
7. Asigne un nombre a la regla, para reconocerla, algo en la lfnea "Replica de servidores SQL".
Haga clic en Finalizar.
Paso 6: Ejecute la herramienta de definicion de replica e introduzca las credenciales de la base de datos y la
informacion del fabricante (servidor DBMS del suscriptor)
En el suscriptor, ejecute la utilidad de replica de IVANTI:
C:\Program Files\IVANTI\ManagementSuite\LDGatherData.exe
Utilice esta utilidad para introducir las credenciales de autenticacion de Windows para el servidor de
la base de datos y para las definiciones del fabricante.
IMPORTANT: Si hace clic en Aceptar en la utilidad de replica, se rechazaran todas las tablas de la base de
1136
GUÍA DE USUARIO
datos de resumen para poder crear todos los datos de replica desde los fabricantes. Segun el tamano de la base
de datos, esto puede demorar algun tiempo. Si no ha realizado cambios en la utilidad, haga clic en Cancelar
para salir, de este modo no se llevara a cabo la creacion.
1137
IVANTI ENDPOINT MANAGER
2. En el campo Servidor principal, introduzca un nombre descriptivo. Esta campo solo se utiliza
para ayudarle a organizar sus fabricantes.
3. Llene el resto de campos y haga clic en Aceptar. Si la informacion que ha introducido no es
correcta, la utilidad mostrara un mensaje de error.
4. Repita para cada fabricante del servidor principal.
1. Amplfe Servidor > Replica > Publicaciones locales. Haga clic con el boton derecho sobre
[DB]: IVANTI y escoja Ver el estado de Snapshot Agent.
2. Si aun no ha empezado, haga clic en Iniciar.
3. Verifique que se ha completado correctamente.
4. Haga clic con el boton derecho sobre Replica y escoja Iniciar monitor de replica. Verifique
que se este ejecutando y que no se hayan producido errores.
En estos momentos la replica esta funcionando. Puede verificarlo llevando a cabo una consulta en
la
base de datos de resumen.
Notas
• Por ahora, para poder iniciar la consola de la base de datos de resumen, debera ejecutar
manualmente CreateIVANTIRights.exe (sin parametros) desde un aviso de comando de la
carpeta C:\Programs\IVANTI\ManagementSuite. Esto se ejecuta al final de la configuracion de
replica, pero como la licencia aun no se ha sincronizado, los derechos no estan configurados
correctamente. Esto se tendra en cuenta en el parche para LDMS 9.6.
1138
GUÍA DE USUARIO
1. En el suscriptor, abra SQL Server Management Studio y haga clic en SQL Server Agent >
Trabajos.
2. Haga clic con el boton derecho en el trabajo que desee modificar y haga clic en Propiedades.
3. Abra la pagina Programas, haga doble clic en el programa de replica y lleve a cabo las
modificaciones del programa.
Solucion de problemas
No puedo abrir la consola de LDMS despues de una replica, debido a un error de licencia.
Debe disponer de al menos un servidor principal 9.6 como fabricante. Ese servidor principal debe
estar autorizado.
El problema es que la vista ReplProductV del servidor central actualizado no esta sincronizado con
la tabla ProductSnapshot antigua de la base de datos de resumen.
Para solucionar este error, la vista debe coincidir con el esquema. Ejecute sp_help en la vista y la
tabla y asegurese de que las columnas "Nullable" coinciden. Es muy probable que las columnas
que no esten sincronizadas sean la de Version y ProductGUID. Puede modificar la table en la base
de datos de resumen (pero debera modificar tambien las vistas de cada servidor central sin
actualizar):
1139
IVANTI ENDPOINT MANAGER
altere la tabla productsnapshot altere la version de la columna nvarchar9255) a null altere la tabla
productsnapshot altere la la columna productguid nvarchar(255) a not null
O puede modificar la vista del servidor central actualizado. Para modificar la vista, debera detener la
replica de esa vista desde el dialogo de propiedades de la publicacion local.
Si el error muestra una lista de tablas que termina con Snapshot, esa tabla se utiliza como tabla
temporal en el servidor central. La vista correspondiente del servidor central no contendra la
palabra "Snapshot" (es decir, ProductSnapshot = ReplProductV).
Resolution: Cuando se ejecuta la replica, debera eliminar las suscripciones y artfculos de las tablas
ISA e IDE. Altere las vistas yutilice los nombres de columna de identidad antiguos de la clausula
SELECCIONAR. Cree los fndices CLUSTER UNICO para las vistas yvuelva a agregar los artfculos y
los filtros de artfculos. Actualice la suscripcion. Para terminar, puede hacer clic manualmente en
iniciar desde la ventana estado de Snapshot Agent o esperar a que snapshot agent detecte los
cambios. Consulte el Monitor de replica para ver si los datos se han replicado correctamente.
Utilice la cadena de comandos siguiente para solucionar el problema. Asegurese de que utiliza el
nombre del suscriptory la base de datos (<nombre del servidor del suscriptor> y <nombre de la
base de datos del suscriptor>) de los procesos de sp_dropsubscription.
--Elimine la suscripcion y el articulo de la tabla ISA
sp dropsubscription 'LDMS', 'ISACSO', 'Cnombre del servidor del suscriptor>', 'Cnombre de la base de
datos del suscriptor>'
Ir
sp_droparticle @publication = 'LDMS', @article='ISACSO'
Ir
--Altere la vista de la tabla ISA y utilice la columna ISAPorts Idn antigua de la lista seleccionada.
altere la VISTA [dbo].[ReplISAV] (Computer_Idn, ISA_IDN, DeviceNum, Descripcion, Designacion,
Ubicacion, Fabricante, Tipo, COREGUID)
CON SCHEMABINDING COMO
SELECCIONAR isnull((b.Computer_Idn + 2097152), b.Computer_Idn) Computer_Idn, isnull(cast(b.ISAPorts_
IDN como int), cast(0 como int)) ISAPorts IDN, isnull(b.DeviceNum, 0) DeviceNum, b.Descripcion,
b.Designacion, b.Ubicacion, b.Fabricante, b.Tipo, isnull(cast(a.SYSTEMGUID como uniqueidentifier),
cast(cast(0 como binario) como uniqueidentifier)) COREGUID
DESDE dbo.METASYSTEMS a, dbo.ISA b
DONDE a.SYSTEM_IDN = 0
IR
1140
GUÍA DE USUARIO
--Altere la vista de la tabla IDE y utilice la columna IDEPorts Idn antigua de la lista seleccionada.
ALTERE LA VISTA [dbo].[ReplIDEV] (Computer_Idn, IDE_IDN, DeviceNum, Descripcion, Designacion,
Ubicacion, Fabricante, Tipo, ProdName, COREGUID)
CON SCHEMABINDING COMO
SELECCIONAR isnull((b.Computer_Idn + 2097152), b.Computer_Idn) Computer_Idn, isnull(cast(b.IDEPorts_
IDN como int), cast(0 como int)) IDEPorts IDN, isnull(b.DeviceNum, 0) DeviceNum, b.Descripcion,
b.Designacion, b.Ubicacion, b.Fabricante, b.Tipo, isnull(cast(a.SYSTEMGUID como uniqueidentifier),
cast(cast(0 como binario) como uniqueidentifier)) COREGUID
DESDE dbo.METASYSTEMS a, dbo.IDEb
DONDE a.SYSTEM_IDN = 0
IR
1141
IVANTI ENDPOINT MANAGER
• Servidor preferido: este es el servidor del cual los objetivos de distribucion intentaran
descargar archivos de origen. La distribucion de software puede tener acceso a los archivos
en los servidores preferidos que no se replicaron, aunque la replicacion de contenido
proporciona la mejor solucion para mantener estos archivos actualizados.
• Origen: este es el servidor que tiene los archivos que se necesitan replicar en los servidores
preferidos. Los administradores deben configurar estructuras de archivos y archivos en el
origen, y a continuacion, utilizar la replicacion de contenido para copiar estas jerarquas en
los servidores preferidos.
• Replicador: Se trata de un dispositivo administrado Windows que copia archivos de un
origen a un servidor preferido. Este dispositivo administrado debe tener una gran cantidad
de espacio en disco para que pueda mantener datos provenientes de todas las fuentes
almacenadas en cache a nivel local. Si un dispositivo administrado que se utilice para
replicar no tiene suficiente espacio en disco, el replicador puede tener que descargar
algunos archivos de la fuente cada vez que haga un trabajo de replicacion.
1142
GUÍA DE USUARIO
Servidores preferidos
Configuracion de servidores preferidos
Puede especificar los servidores preferidos donde los dispositivos buscaran los paquetes de
distribucion de software. Esto puede ser crucial en los entornos WAN de baja velocidad donde no
desee que los dispositivos descarguen paquetes de servidores externos. Cuando se especifican
servidores preferidos, tambien se pueden especificar las credenciales que deben utilizar los
dispositivos administrados para autenticarse con cada uno de estos servidores. Tambien se pueden
especificar los intervalos de direcciones IPen los cuales estara disponible algun servidor preferido.
Cuando se utilizan servidores preferidos con una tarea de distribucion, solo se reemplaza la parte
del servidor de la ruta UNC o URL del archivo/paquete; el resto de la ruta debe ser igual a la que se
especifico en la tarea de distribucion. Si el archivo no se encuentra en el servidor preferido, se
descarga de la ubicacion especificada en el paquete de distribucion. La Multidifusion (cache
unicamente) es el unico metodo de distribucion que no es compatible con los servidores preferidos.
Los recursos compartidos de paquetes UNC funcionan con todos los paquetes. Los recursos
compartidos de paquetes HTTP solamente funcionan con paquetes MSI o SWD.
El servidor central utiliza los hash del paquete de distribucion para verificar los paquetes de
distribucion en las tareas programadas. El servidor central primero intentara generar estos hash
desde un servidor preferido, si esta disponible. Si se utiliza un servidor preferido local se acelera el
proceso de creacion de hash. Si el paquete no esta disponible en uno de los servidores preferidos,
el servidor central regresa a la generacion del hash de paquete a partir de la ruta especificada en el
paquete de distribucion. Por lo general, no es recomendable que el servidor central reciba un
paquete grande a traves de un enlace WAN para efectuar el proceso de hash, de modo que repartir
los archivos en un servidor que sea local al central es mas rapido y utilizan menos ancho de banda.
1143
IVANTI ENDPOINT MANAGER
Los dispositivos administrados almacenar la lista del servidor preferido de forma local en el archivo
preferredserver.dat. Para crear este archivo, el dispositivo se comunica con el servidor central y
realiza una lista filtrada de servidores preferidos (basada en los tfmites de rango de la direccion IP si
es que existen). Luego, el dispositivo realiza una comprobacion de ancho de banda en todos los
servidores preferidos y guarda los tres primeros en el archivo preferredserver.dat. Tenga en cuenta
que la comprobacion de ancho de banda no genera resultados confiables garantizados. Por
ejemplo, un servidor que este cerca puede que tenga una carga alta cuando el agente lo revise,
yentonces podfa ser rechazado de la lista aunque normalmente fuera el mejor candidato.
Si como resultado de estos pasos no se obtiene ningun servidor preferido, el agente local utiliza la
ruta de distribucion especificada en la tarea de distribucion.
1. Haga clic en Herramientas > Distribucion > Replication de contenido / Servidores preferidos.
2. En el arbol de Replicacion de contenido, haga clic con el boton derecho en Servidores
preferidos (objetivos) y haga clic en Nuevo servidor preferido.
3. En la pagina Configuracion, introduzca la informacion del servidor y las credenciales de solo
lectura. Haga clic en Probar credenciales para asegurarse de que las credenciales sean
validas.
4. En la pagina de intervalos de direcciones IP, inintroduzca grese los intervalos de direcciones
IP que desea que este servidor preferido permita.
1144
GUÍA DE USUARIO
y el programa. Para obtener mas informacion, haga clic en Ayuda en cualquier pagina.
Si desea configurar una lista en retroceso de servidores preferidos que se utilizara si no hay
servidores en el archivo preferredserver.dat, puede crear la siguiente clave de registro en los
dispositivos administrados y establecer el valor en el nombre del servidor del paquete preferido.
Para especificar varios servidores de paquetes, separelos con un puntoycoma.
. HKEY_LOCAL_
MACHINE\Software\IVANTI\ManagementSuite\WinClient\SoftwareDistribution\PreferredPa
ckageServer
. [HKEY_LOCAL_
MACHINE\SOFTWARE\IVANTI\ManagementSuite\WinClient\SoftwareDistribution]
"PreferredPackageServer "="Server1;Server2;Server3"
1145
IVANTI ENDPOINT MANAGER
valor de ServerHistoryUseCount indica la cantidad ; de veces que se debe utilizar un servidor antes
de moverlo al principio de la lista,
; el valor de ServerHistoryCacheTime indica por cuanto tiempo debe recordarse (en segundos).
REG52=HKEY_LOCAL_MACHINE,
SOFTWARE\IVANTI\ManagementSuite\WinClient\SoftwareDistribution\ServerHistoryUseCount, 3, , REG_ DWORD
REG53=HKEY_LOCAL_MACHINE,
SOFTWARE\IVANTI\ManagementSuite\WinClient\SoftwareDistribution\ServerHistoryCacheTime, 3600, , REG_
DWORD
Autenticacion de UNC
Cuando se agregan servidores preferidos (Herramientas > Distribution > Replication de contenido /
Servidores preferidos), tambien se deben proporcionar las credenciales que los dispositivos deben
utilizar cuando se tenga acceso al servidor preferido. Por razones de seguridad, asegurese de que
estas credenciales se dividan entre solo lectura y acceso de escritura (para obtener mas
informacion, consulte "Acerca del cuadro de dialogo Propiedades de servidores preferidos" (1137)
Los dispositivos administrados obtienen estas credenciales de solo lectura del servidor central y las
utilizan para autenticarse con el servidor preferido cuando se descarga un archivo.
Cuando se utilizan servidores preferidos que se agregan al cuadro de dialogo Credenciales del
servidor, ya no hace falta configurar los recursos compartidos de los paquetes para que sean de
sesion nula, como haba que hacerlo con las versiones anteriores. Siemprey cuando las credenciales
que proporcione para el servidor preferido funcionen con el recurso compartido del paquete (Haga
clic en Probar credenciales en el cuadro de dialogo Configuration), los dispositivos administrados
deben podertener acceso al recurso compartido.
Fuentes y duplicacion
Configurar fuentes y duplicacion
Un servidor de origen aloja los archivos que se necesitan replicar en un servidor preferido. Puede
tener tantos servidores como desee. Tendra que proporcionar credenciales de solo lectura al
servidor de origen. En el servidor de origen, desactive la autenticacion anonima para asegurar que
las credenciales de solo lectura funcionen con la autenticacion estandar de Windows.
Cuando se replican archivos desde los servidores de origen, hay dos opciones para manejar los
archivos existentes en recurso compartido de destino del servidor preferido:
1. Dejar quietos los archivos existentes del recurso compartidoy simplemente copiar los
archivos nuevos o que cambiaron.
2. Habilitar la duplicacion para copiar los archivos nuevos o que cambiaron y luego eliminar
del recurso compartido del servidor preferido los archivos existentes que no se
encuentren en el servidor de origen.
Tenga cuidado si selecciona habilitar la duplicacion. Se eliminaran los archivos que no esten en el
servidor de origen de ese recurso compartido. Asegurese de mover todos los archivos importantes
que solo existen en recurso compartido de servidor preferido antes de habilitar la duplicacion.
Ademas, si activa la duplicacion, asegurese de que solo haya una fuente de datos para replicar el
1146
GUÍA DE USUARIO
1. Haga clic en Herramientas > Distribution > Replication de contenido / Servidores preferidos.
2. En el arbol de Fuentes, haga clic con el boton derecho en la fuente que desee duplicary
haga clic en Propiedades.
Cualquier dispositivo administrado que tenga Windows puede ser un representante de origen. No es
necesario un equipo o un servidor dedicado. Para que sea eficaz, debe tener una conexion de baja
latencia y de alta velocidad con el servidor de origen. Si el servidor de origen es un dispositivo
administrado de Windows (y no un dispositivo SAN o Linux, por ejemplo), el representante de origen
puede estar en el servidor de origen.
El representante de origen utiliza las credenciales del servidor de origen que se especifiquen para
generar un archivo XML que contenga informacion sobre todos los archivos en el recurso
compartido de origen. Este archivo se genera a peticion, pero no mas de una vez por hora. No tiene
que asignar manualmente una unidad al servidor de origen, ni crear ninguna conexion de red al
servidor de origen. Esto sera manejado automaticamente por los agentes de administracion.
Cuando se inicia un trabajo de replicacion que utilice un representante de origen, el replicador se
utilizara el archivo XML proveniente del representante de origen para decidir que archivos se deben
replicar. La participacion del representante de origen en el trabajo de replicacion finaliza una vez
que pase el archivo XML al replicador.
1147
IVANTI ENDPOINT MANAGER
que el replicador puede obtener rapidamente el fndice de archivo del representante de origen.
Cualquier dispositivo administrado que tenga Windows puede ser un representante de origen. No es
necesario un equipo o un servidor dedicado. Para que sea eficaz, debe tener una conexion de baja
latencia y de alta velocidad con el servidor de origen. Si el servidor de origen es un dispositivo
administrado de Windows (y no un dispositivo SAN o Linux, por ejemplo), el representante de origen
puede estar en el servidor de origen.
Para asignar un representante de origen
Replicadores
Asignar un replicador
1148
GUÍA DE USUARIO
1. Haga clic en Herramientas > Distribucion > Replicacion de contenido / Servidores preferidos.
NOTE: Asegurese de que el nombre del recurso compartido del servidor de origen y el servidor preferido sean
los mismos. Por ejemplo, si el nombre del recurso compartido en el servidor de origen es shareddata, el nombre
de la carpeta de destino en el servidor preferido tambien debe ser shareddata. Los replicadores crearan las
carpetas necesarias con el mismo nombre del recurso compartido, pero no pueden crear el recurso compartido.
La razon por la cual esto es necesario es que cuando los dispositivos administrados utilizan un servidor preferido
para descargar los archivos de paquetes, solo se sustituye el nombre del servidor en la ruta completa del
paquete. El resto de la ruta, empezando por el nombre del recurso compartido, sigue siendo exactamente igual
al del paquete de distribucion original.
Programar replicas
La replicacion no se efectuara hasta que no se configure una tarea de replicacion. Las tareas de
replica son diferentes a las tareas de distribucion de software. Solo se pueden programar tareas de
replica en el panel de Replica de contenido.
Se puede programar una tarea de replicacion a peticion o programar una tarea de replicacion
repetitiva. Solo las tareas de replica de una sola vez son buenas para efectuar las pruebas y la
configuracion inicial de los servidores de replicacion.
Una vez que haya una configuracion de replica funcionando, se recomienda que se utilicen las
tareas de replica repetitivas configuradas a partir de las propiedades del servidor preferido o del
replicador de propiedades para automatizar la replicacion. A continuacion, puede ver los nodos de
arbol de tareas del panel de Contenido de replicacion para ver los horarios, el progreso y el estado
de replicacion.
1149
IVANTI ENDPOINT
replicador.MANAGER
1. Haga clic en Herramientas > Distribucion > Replicacion de contenido / Servidores preferidos.
2. Haga clic en el arbol de Replicadores, haga clic con el boton derecho en el replicador que
desee programar y haga clic en Iniciar la replicacion de contenido ahora.
3. Supervisar el estado de replicacion en el cuadro de dialogo de estado que aparece.
1. Haga clic en Herramientas > Distribucion > Replicacion de contenido / Servidores preferidos.
2. Haga clic en el arbol de Replicadores, haga clic con el boton derecho en el replicador que
desee programary haga clicen Programar replicacion de contenido.
3. Aparecera una nueva tarea programada en el panel de tareas programadas.
4. Configure la nueva tarea programada haciendo clic con el boton derecho en esta y haciendo
clic en Propiedades.
5. La tarea se ejecutara en el momento que se especifico.
1. Haga clic en Herramientas > Distribucion > Replicacion de contenido / Servidores preferidos.
2. Haga clic en el arbol de Replicadores, haga clic con el boton derecho en el replicador que
desee programary haga clicen Propiedades del replicador.
3. En el arbol, haga clic en Configuracion y luego haga clic en Programar.
4. En la barra de herramientas, haga clic en .
5. Configure el programa que desee. Para obtener mas informacion, consulte "Acerca de la
pagina Programa del replicador seleccionado" (1141).
6. Haga clic en Guardar para salir de los cuadros de dialogo.
1. Haga clic en Herramientas > Distribucion > Replicacion de contenido / Servidores preferidos.
2. Haga clic en el arbol de Replicadores, haga clic con el boton derecho en el replicador desee
programary haga clicen Propiedades.
3. En el arbol, haga clic en Configuracion y luego haga clic en Programar.
4. Seleccione el programa que desea eliminary haga clic en la barra de herramientas X.
1150
GUÍA DE USUARIO
Por ejemplo, si un replicador estaba programado originalmente para ejecutarse una vez al mes y
luego se cambia el horario a una vez por semana, el cambio de horario podna tomar un mes
completo para actualizarse.
Cuando se cambien los horarios de replicacion, se debe programar seguidamente una tarea de
aplicacion para actualizar la configuracion de los replicadores con su nueva programacion y
configuracion.
• Todas las tareas: un resumen detodas las tareas de replicacion en ejecucion, en espera, ysin
programar.
• Tareas en ejecucion: Activar las tareas de replicacion.
• Tareas pendientes: Tareas de replicacion que estan programadas para ejecutarse.
• No programadas: Tareas de replicacion que no estan programadas para ejecutarse en
el futuro.
• Historial de tareas: tareas de replicacion que se han ejecutado.
Las vistas de tareas solo muestran el estado de las tareas mas recientes. No se mostrara un
historial de tarea completo porque, en muchos entornos, la replicacion puede ocurrir con tanta
frecuencia que un registro completo sena inmanejable.
1151
IVANTI ENDPOINT MANAGER
1. Haga clic en Herramientas > Distribution > Replication de contenido / Servidores preferidos.
Utilice la pagina Configuracion para especificar el nombre del servidor preferido y las credenciales
de solo lectura. Los dispositivos administrados utilizaran esta informacion para conectarse con el
servidor preferido.
• Nombre del servidor: el nombre de equipo del servidor preferido que se puede resolver.
• Description: la descripcion del servidor. Esto aparece en la columna de Detalles del arbol
Replicador.
• Nombre de usuario: el nombre de usuario de solo lectura para tener acceso al servidor.
• Contrasena: contrasena del nombre de usuario que se introdujo.
• Confirmar contrasena: introducir de nuevo la contrasena del nombre de usuario que se
introdujo.
• Probar credenciales: prueba las credenciales para ver si son validas en el servidor.
• Seleccione: Resalte el dispositivo que desee que sea un replicador y haga clic en Seleccionar
para designarlo como el replicador.
• Inventario: luego de seleccionar el replicador, puede hacer clic en este boton para ver el
inventario de dispositivos yverificar que era el dispositivo que deseaba.
1152
GUÍA DE USUARIO
preferido.
• Nombre de usuario: el nombre de usuario que tiene permisos de escritura para tener acceso
al servidor.
• Contrasena: contrasena del nombre de usuario que se introdujo.
• Confirmar contrasena: introducir de nuevo la contrasena del nombre de usuario que se
introdujo.
• Probar credenciales: prueba las credenciales para ver si son validas en el servidor.
Acerca de la pagina Fuentes
Utilice la pagina Fuentes para configurar las rutas de origen que se desean copiar en los servidores
preferidos.
• Lista de rutas de fuentes: muestra las fuentes que se han configurado. Seleccione una fuente
de la lista.
• Incluir: agrega la fuente seleccionada a la lista Rutas de fuentes incluidas. Una vez que una
fuente esta en la lista de Rutas de fuentes incluidas, su contenido se replicara en el servidor
preferido que se esta configurando cuando se ejecute el trabajo de replicacion.
• Nuevo: Abre un nuevo cuadro de dialogo de propiedades de fuente para que pueda
configurar una nueva fuente si la fuente que desea no se ha configurado todavfa.
• Excluir: agrega la fuente seleccionada a la lista Rutas de fuentes incluidas.
• Lista de Rutas de fuentes incluidas: muestra las fuentes cuyo contenido se replicara en el
servidor preferido que se esta configurando.
• Seleccione: Resalte el dispositivo que desee que sea un replicador y haga clic en Seleccionar
para designarlo como el replicador.
• Inventario: luego de seleccionar el replicador, puede hacer clic en este boton para ver el
inventario de dispositivos y verificar que era el dispositivo que deseaba.
• Borrar: cancela la seleccion del dispositivo como replicador.
Acerca de la pagina Servidores de preferidos (Destinos)
. Lista de servidores preferidos: Muestra todos los servidores preferidos que se han
configurado. Mover servidores de esta lista a la lista de servidores incluidos.
1153
IVANTI ENDPOINT MANAGER
de
Servidores preferidos.
• Lista de Servidores incluidos: los servidores preferidos de esta lista seran los destinos del
replicador que se esta configurando.
Utilice las paginas Configurar replicador seleccionado para configurar las opciones y el horario de
ejecucion del replicador.
Use la pagina Configuracion para ver el numero de revision de la configuracion del replicador y el
numero de revision que reporto el replicador la ultima vez.
• Revision actual de configuracion: muestra el numero de la reversion actual. Cada vez que se
cambia y guarda la configuracion del replicador, la revision actual de configuracion se
incrementa en uno.
• La ultima revision aplicada por el replicador: Cada vez que el replicador se ejecuta, revisa
en busca de configuraciones actualizadas y luego reporta el numero de revision de
configuracion que utilizo.
• Ultima ejecucion: muestra la fecha y hora mas recientes en las cuales se ejecuto el
replicador.
Utilice la pagina Opciones de ejecucion del replicador seleccionado para configurar las opciones de
ejecucion, tales como ancho de banda y configuracion de la interfaz de usuario
• Configuracion de ancho de banda de WAN: ajusta la prioridad de esta tarea espedfica sobre
el resto de trafico de red. Entre mayor sea el porcentaje que se ponga en el control
deslizante, mayor sera la cantidad de amplitud de banda usada por esta tarea sobre el resto
de trafico. Las conexiones de WAN son por lo general mas lentas, por lo cual casi siempre es
mejor poner este control deslizante en un porcentaje bajo.
• Configuracion de ancho de banda de LAN: ajusta la prioridad de esta tarea espedfica sobre el
resto de trafico de red. Entre mayor sea el porcentaje que se ponga en el control deslizante,
mayor sera la cantidad de amplitud de banda usada por esta tarea sobre el resto de trafico.
Las conexiones de LAN son por lo general mas rapidas, por lo cual casi siempre es mejor
poner este control deslizante en un porcentaje mas alto que el de WAN.
1154
GUÍA DE USUARIO
En general, es seguro dejar esta opcion desactivada, ya que los archivos que cambien en la
fuente se actualizaran automaticamente en la memoria cache local la proxima vez que la tarea
de replicacion se ejecute.
• Configuracion de ancho de banda de WAN: Marque esta opcion si desea utilizar su
configuracion de ancho de banda WAN cuando se envfen archivos a los destinos.
• Configuracion de ancho de banda de LAN: Marque esta opcion si desea utilizar su
configuracion de ancho de banda LAN cuando se envfen archivos a los destinos.
Acerca de la pagina Programa del replicador seleccionado
Utilice la pagina Programa del replicador seleccionado para programar cuando se ejecutara un
replicador. Al hacer clic en el boton anadir, aparece el cuadro de dialogo de replicacion de
contenido. Los horarios configurados aparecen en el cuadro de la lista de programas. Puede
modificar o eliminar un programa seleccionandolo y haciendo clic en el boton correspondiente.
Acerca del cuadro de dialogo Programar replicacion de contenido
• Hora:
• Inicio: marque esta opcion para mostrar un calendario en el que puede seleccionar el
dfa de inicio de la tarea. Despues de elegir un dfa, tambien puede introducir un
horario. El valor predeterminado de estas opciones es la fecha y hora actuales.
• Repetir despues de: si desea que la tarea se reitere, haga clic en el cuadro de lista y
seleccione minutos, horas o d^as. Despues, introduzca en el primer cuadro la
extension deseada del intervalo que selecciono (por ejemplo, 10 dfas).
• Semanalmente entre: si desea que la tarea se ejecute entre ciertos dfas de la semana,
seleccione los dfas de inicio y fin.
• Mensualmente entre: si desea que la tarea se ejecute entre ciertas fechas del mes,
seleccione las fechas de inicio y fin.
1155
IVANTI ENDPOINT MANAGER
• Duracion maxima:
• Ejecutar hasta que la replicacion termine: Cuando se selecciona, la tarea de
replicacion se ejecuta hasta que finalice.
Utilice el cuadro de dialogo Programar tarea de replicacion de contenido para programar una tarea
de replicacion de una sola vez. Despues de crear una tarea programada con este dialogo, es
necesario establecer una hora para que se ejecute en la herramienta Tareas programadas.
Utilice la tarea Programar "aplicar la configuracion" para actualizar un replicador con la nueva
configuracion. A este cuadro de dialogo se tiene acceso desde el panel Replica de contenido de la
barra de herramientas. Los replicadores buscan automaticamente las configuraciones actualizadas
antes de ejecutarse. Una tarea de aplicar configuracion es util despues de haber asignado un equipo
para que sea un nuevo replicador. Al programar esta tarea se instalara el software replicador en el
equipo.
1156
GUÍA DE USUARIO
1157
IVANTI ENDPOINT MANAGER
• "Configuracion del servidor central para utilizar Cloud Services Appliance" (1144)
• "Administracion de certificados de cliente" (1145)
• "Creacion de un paquete de agente de control remoto a peticion" (1146)
La opcion Configurar > Administrar Cloud Services Appliance solo esta disponible en la consola de
administracion del servidor central. Las otras consolas no tienen esta opcion. Solo los usuarios con
derechos de administrador de IVANTI pueden modificar las configuraciones de CSA.
1. En la consola de administracion del servidor central, haga clic en Configurar > Administrar
Cloud Services Appliances.
2. En la pestana Cloud Services Appliances, especifique la informacion de la CSA.
3. Si la CSA utiliza una direccion interna distinta a la publica (por ejemplo, si se encuentra en un
entorno de tipo DMZ), especifique el nombre interno y la direccion IP interna de la CSA.
4. Si el servidor central se va a conectar a CSA a traves de un proxy, seleccione la opcion
Utilizar
proxy yespecifique los ajustes.
1158
GUÍA DE USUARIO
5. Haga clic en Aplicar. Si los ajustes de la CSA son correctos, la nueva CSA aparece en la lista.
Tambien se puede seleccionar cualquier CSA de la lista ycambiar sus ajustes situados en el lado
derecho. Haga clic en Aplicar cuando haya terminado de hacer los cambios. A continuacion, el
servidor central se conecta a la CSAy se registra con ella instalando su certificado de seguridad en
la CSA.
Cada dispositivo administrado debe tener un certificado digital valido para conectarse a traves de
CSA. Si el servidor central tiene habilitada la seguridad basada en los certificados de cliente, los
agentes de IVANTI de los dispositivos administrados tambien deberan ser certificados validos para
descifrar los datos seguros del servidor central. Estos certificados se generan automaticamente
durante la instalacion del agente pero, de manera predeterminada, quedan en un estado no
aprobado que previene la comunicacion a traves del CSAy el descifrado de datos seguros del
servidor central.
Puede administrar la lista de dispositivos que se han obtenido certificados bloqueando o eliminando
esos certificados de dispositivos. Utilice el cuadro de busqueda para filtrar la lista.
Apruebe los certificados del dispositivo para permitirel acceso al CSAyasegurarel descifrado de los
datos del servidor central. El servidor central, por defecto, le notifica cuando el numero de
certificados no aprobados es 10 o mas. Puede personalizar o deshabilitar esta notificacion en la
parte inferior del cuadro de dialogo.
Bloquee un certificado de dispositivo para que deje de utilizar CSA temporalmente para
comunicarse con el servidor central o para descifrar los datos seguros del servidor central. Si desea
restaurar el acceso, puede desbloquearlo mas tarde.
Los dispositivos bloqueados o eliminados pueden seguir comunicandose con el servidor central si
estan en la misma red que el servidor central y si el ajuste de la opcion Determinar dinamicamente la
ruta de conexion esta seleccionada en la herramienta Configuracion de agentes, bajo Ajustes de la
conectividad del cliente.
Tambien existe la opcion de Aprobar automaticamente los certificados nuevos. Esta opcion no es
recomendable porque proporciona acceso al servidor central a todos los dispositivos nuevos. No
obstante, es posible que los administradores quieran habilitar esta opcion en algunas instancias
durante un periodo corto, como cuando se registran muchos dispositivos.
1. En la consola de administracion del servidor central, haga clic en Configurar > Administrar
Cloud Services Appliances.
2. En la pestana Administrar certificados de cliente, seleccione los dispositivos que desee
aprobar, bloquear o eliminar. Utilice Mayus+clic o Ctrl+clic para seleccionar varios
1159
IVANTI ENDPOINT MANAGER
dispositivos.
Puede crear un paquete ejecutable de agente de control remoto a peticion para que lo descarguen
los dispositivos que no se han configurado para conectarse a traves de CSA. Esto permite que se
puedan controlar de forma remota a traves de CSA.
Cuando cree un paquete de control remoto, asegurese de seleccionar Plantilla local o Seguridad de
Windows NT en Configuracion de seguridad. CSA no es compatible con la seguridad integrada.
Despues de crear el agente de control remoto, puede distribuirlo mediante una unidad USB o
publicarlo en una ubicacion accesible para que los dispositivos administrados lo descarguen. El
ejecutable del agente de control remoto independiente tambien puede alojarse en CSA.
1160
GUÍA DE USUARIO
Los usuarios pueden acceder a los paquetes cargados desde la pagina de inicio de CSA buscando
la pagina de inicio de CSA (http://<nombre o direccion IP de la CSA>) y haciendo clic en Utilidades
de Managment Gateway > Herramientas de soporte. Los paquetes cargados estan en la lista
Paquetes disponibles. Los usuarios deben tener un certificado de cliente CSA para acceder a esta
pagina.
Los servidores principales utilizan un servicio (BrokerService.exe) para comunicarse con los
dispositivos CSA. Cada CSA utilizado por el servidor principal tiene su propio proceso
BrokerService.exe. El servicio escribe la actividad del CSA en un archivo de registro con formato
CSV. Pueden utilizarse aplicaciones como Microsoft Excel para hacer graficos y entender los datos
del registro.
El registrador de actividad esta controlado por un archivo XML del servidor principal:
• C:\Program Files\IVANTI\ManagementSuite\BrokerServiceConfig.xml
Este archivo contiene instrucciones sobre su uso. Las opciones principales que pueden cambiarse
son:
• <Enabled> (habilitado): true activa el registrador de la actividad, false lo desactiva. True es la
opcion predeterminada.
Cada entrada de registro contiene los siguientes elementos (entre parentesis, el elemento del
ejemplo anterior):
1161
IVANTI ENDPOINT MANAGER
Porejemplo, esta entrada XML detecta "vulscanresults" en la URLycuando sucede, crea una entrada
de registro para "Patch".
<Url><PathSubString>vulscanresults</PathSubString><Feature>Patch</Feature></Url>
1162
GUÍA DE USUARIO
Tenant management
Informacion general sobre la Administracion de inquilinos
La administracion de inquilinos es un complemento a IVANTI Endpoint Manager que se puede
comprar por separado. La Administracion de inquilinos le permite dividir en secciones los
dispositivos administrados y las configuraciones de la compama. Si usted es responsable de la
administracion de multiples empresas u organizaciones distintas dentro de su propia empresa, en el
pasado, puede que haya tenido que desplegar por separado IVANTI Endpoint Manager en los
servidores centrales de cada lugar. A continuacion, hubiera tenido que iniciar sesion en cada
servidor central para administrar cada empresa u organizacion.
Cada inquilino que se cree recibe su propio grupo de administracion de usuarios y su propio
ambito. Puede asignar usuarios de consola a los grupos de inquilinos espedficos y asignarles los
ambitos que necesitan manejar.
Cada inquilino tambien puede tener asociada informacion de contacto, los terminos del contrato y
hacer seguimiento del uso de la licencia de IVANTI.
Creacion de un inquilino
Utilice la herramienta de Administracion de inquilino (Herramientas > Administracion >
Administracion de inquilino > Boton Nueva definition de inquilino) para crear un inquilino. Se debe
dar a cada inquilino un nombre unico y un identificador. El nombre del inquilino debe ser diferente a
cualquier otro ambito de RBA existentey diferente a los nombres de los grupos de trabajo. El ID del
inquilino solo se puede modificar cuando se crea el inquilino.
1163
IVANTI ENDPOINT MANAGER
Utilice la ficha Notas para agregar cualquier informacion adicional que desee.
Cree un inquilino
Cree un inquilino si desea dividir en secciones, por organizacion o empresa, los dispositivos
administrados.
1. Haga clicen Herramientas > Administracion > Administracion de usuarios > Equipos.
2. Haga doble clic en el nuevo equipo de trabajo que tiene el mismo nombre del inquilino.
3. Seleccione los usuarios de consola que van a administrar dispositivos de este inquilino.
4. Haga clic en Aceptar.
1. Haga clicen Herramientas > Administracion > Administracion de usuarios > Ambitos.
2. Haga clic con el boton derecho en el nuevo ambito que tiene el mismo nombre del inquilino y
haga clic en Propiedades.
1164
GUÍA DE USUARIO
3. En el cuadro de dialogo Propiedades de ambito, seleccione los usuarios de consola que van
a administer los dispositivos de este inquilino.
Cada inquilino que cree tiene su propio grupo de equipos en el cuadro de dialogo de configuracion
de agente. Utilice este grupo de equipos para organizar configuraciones de agente particulares para
cada inquilino.
El cuadro de dialogo Configuracion de agente incluye una pagina de Inquilinos en la cual se puede
seleccionar el inquilino asociado con alguna configuracion de agente.
Si ya ha implementado una configuracion de agente en los dispositivos del inquilino, no tiene que
volver a implementar una configuracion de agente completa para actualizar la configuracion del
inquilino en un dispositivo. En su lugar, despues de asignar un inquilino a la configuracion de
agente que desee, utilice el boton de la barra de herramientas Programar la actualization de la
configuracion de agente de la herramienta de Configuracion de agente para actualizar la
configuracion de los dispositivos de destino.
El rastreador de inventario incluye el ID del inquilino que se encuentre durante los rastreos de
inventario. Puede ver el nombre del inquilino y el identificador unico en el arbol de inventario del
dispositivo bajo el nodo de Inquilinos.
1165
IVANTI ENDPOINT MANAGER
1166
GUÍA DE USUARIO
3. Agregue los dispositivos que desea eliminar del inquilino a la tarea programada y programe
su ejecucion.
1. Cree un inquilino
2. Asigne derechos de consola para administrar ese inquilino
3. Agregue dispositivos al inquilino
• Vista de red, bajo Dispositivos, Huespedes virtuales del sistema operativo, Consultas y
Alcances.
A continuacion, puede utilizar el grupo de equipos del inquilino de estas herramientas para very
administrar los dispositivos que pertenecen a un inquilino. Solo los usuarios de la consola con
derecho a manejar un inquilino veran dicho inquilino en la consola.
Una manera facil de dirigirse a los dispositivos del inquilino dentro de una tarea programada es
utilizar el raton para arrastrar el ambito del inquilino de la Vista de red a la tarea que desee.
1167
IVANTI ENDPOINT MANAGER
Application virtualization
IVANTI Virtualizacion de aplicaciones
La Virtualizacion de aplicaciones de IVANTI es un producto complementary de IVANTI Endpoint
Manager que IVANTI Software, Inc. vende por separado. La Virtualizacion de aplicaciones de IVANTI
utiliza la tecnologfa Thinstall para virtualizar una aplicacion, la cual la almacena en un archivo
ejecutable autocontenido con la aplicacion y las dependencias del controlador de dispositivos o de
DLL.
1168
GUÍA DE USUARIO
6. Haga clic en Aceptar cuando haya terminado. La secuencia de comandos aparece debajo del
elemento de arbol del tipo de paqueteydel propietario que ha seleccionado.
Algunas aplicaciones virtualizadas requieren varios ejecutables. Si ese es caso, puede crear un
paquete de distribucion por separado para dichos ejecutables adicionales de las aplicaciones
virtualizadas. Luego, cuando cree un paquete de distribucion para el ejecutable principal de la
aplicacion virtualizada, puede incluir cualquier paquete adicional de ejecutables dependientes en
forma de dependencias. De ese modo, si los ejecutables dependientes aun no se encuentran ahf, se
instalaran de forma automatica.
Los ejecutables dependientes deben encontrarse en la misma carpeta compartida cuando se creen
los paquetes de distribucion. Esto garantiza que los paquetes dependientes se distribuyan en la
misma carpeta del dispositivo administrado. Si los ejecutables dependientes no se encuentran en la
misma carpeta del dispositivo administrado, no se ejecutaran.
La primera vez que alguien ejecuta una aplicacion virtualizada en el dispositivo, se abre el cuadro de
dialogo "Contrato de licencia de tiempo de ejecucion de Thinstall". Los usuarios deben hacer clic en
Continuar para ejecutar la aplicacion virtualizada. Los usuarios solo tienen que hacerlo una vez.
De forma predeterminada, las aplicaciones virtualizadas crean archivos temporales que necesitan
para su ejecucion bajo la carpeta:
El rastreador de inventario no rastrea esta carpeta para evitar informes falsos de aplicaciones del
sistema.
1169
IVANTI ENDPOINT MANAGER
Puede utilizar esta informacion si el inventario realiza consultas para buscar aplicaciones
virtualizadas que fueron rastreadas por el rastreador de inventario. De forma general, las
propiedades del ejecutable de la aplicacion virtualizada reflejan las propiedades del ejecutable
principal que se encuentra en la aplicacion virtualizada. En la vista de inventario de los dispositivos,
las aplicaciones virtualizadas figuran en la lista Software > Paquete. Las aplicaciones virtualizadas
de la lista tienen el valor "Sf en el atributo "Aplicacion virtual".
1170
GUÍA DE USUARIO
Web Consola
La consola Web
Acerca de la consola Web
La consola Web de Endpoint Manager le permite automatizar las tareas de administracion de
sistemas y controlar equipos de escritorio, servidores y dispositivos portatiles. Difiere de la Consola
de administracion de IVANTI en que se accede a ella a traves de un navegador en lugar de
ejecutarse como un archivo ejecutable de Windows.
La consola Web utiliza la infraestructura de la red existente para establecer las conexiones con los
dispositivos que administra. Esto simplifica en gran medida la tarea de administracion de la red
existente, ya se trate de una red pequena o de un entorno empresarial de gran tamano, aun cuando
no se encuentre en su escritorio.
2. En el campo de la direccion en la parte superior del navegador, escriba una direccion URL
que apunte al servidor central, seguida de /remoto (en el formato
http://<nombreservidorweb>/remote).
3. Si aparece un cuadro de dialogo de inicio de sesion, escriba el nombre de usuario y
contrasena de Windows para el servidor central al que se va a conectary haga clic en
Aceptar.
4. Una vez autenticado, aparecera una serie de enlaces en el panel de exploracion izquierdo
para las tareas para las que dispone de los derechos necesarios, como la creacion de
consultas, control remoto de clientes, implementacion de software yvisualizacion de
informes.
Haga clic aqrn para obtener una descripcion del cuadro de dialogo de Inicio de sesion
Utilice este cuadro de dialogo para ejecutar la consola y conectarse a un servidor central.
• Nombre de usuario: identifica al usuario. Puede ser un usuario administrador u otro tipo de
usuario de producto con acceso restringido. El usuario debe ser miembro del grupo de
IVANTI Endpoint Manager en el servidor central. Si se conecta a un servidor central remoto,
escriba el nombre de dominio o de usuario.
• Contrasena: la contrasena de usuario.
Solucion de problemas
• Si la lista de dispositivos y los botones no aparecen al iniciar la consola, es posible que sea
1171
IVANTI ENDPOINT MANAGER
Recuerde que si no ve alguna de las herramientas, probablemente no tiene derecho a verla. Estos
derechos estan determinados por los derechos de acceso y el ambito del dispositivo asignados por
el
administrador de Endpoint Manager.
La consola Web tiene cuatro areas principales con las cuales se puede interactuar:
• La barra detftulo
• El cuadro de herramientas
• El panel de herramientas
• El panel de acciones
La Barra de tftuio muestra el dispositivo en el cual se inicio sesion yel usuario que la inicio. Incluye
un vrnculo de ayuda que abre temas de ayuda de la consola Web.
1172
GUÍA DE USUARIO
El lado derecho de la consola tiene contenido variable en funcion de la herramienta que esta en uso.
Si esta zona esta dividida, la parte superior se denomina el Panel de la herramientas y la parte
inferior el Panel de acciones. El Panel de la herramientas muestra los elementos basicos de la
herramienta que se ha seleccionado y, por lo general, en el panel de acciones se seleccionan las
acciones o se ven los resultados de la tarea que este realizando.
Puede cambiar el tamano de los paneles y las columnas de la consola Web. Tambien puede ampliar
o reducir el tamano de los elementos del cuadro de herramientas para verlos mejor.
NOTE: Para que los cuadros de dialogo y las ventanas se muestren apropiadamente, el sitio Web de Endpoint
Manager debe agregarse a la lista del bloqueador emergente del explorador.
La lista Mis dispositivos es la ventana principal que aparece cuando se ejecuta la consola Web y es
el punto de inicio de la mayona de herramientas. Contiene los siguientes grupos y subgrupos.
Ademas, segun sus derechos de accesoy ambitos de dispositivos, podra crear sus propios grupos
para simplificar la administracion de dispositivos.
Algunas acciones de esta lista que se usan comunmente son las siguientes:
• Haga clic con el boton derecho en cualquier dispositivo de la lista Dispositivos a fin de ver
las opciones disponibles de ese dispositivo, tales como Ping, Control remoto y Destino.
• Para seleccionar varias entradas consecutivas en una lista, haga clic en el primer elemento,
mantenga presionada la tecla Mayus y haga clic en el ultimo elemento.
61 Para seleccionar varias entradas no consecutivas en una lista, mantenga presionada la tecla
Ctrl y haga clic en cada uno de los elementos.
• Al hacer doble clic en algun dispositivo de la lista de Todos los dispositivos se abre
una ventana con un inventario de dispositivos completo que muestra toda la
informacion de inventario de ese dispositivo.
1173
IVANTI ENDPOINT MANAGER
Los dispositivos que ejecutan agentes del producto (agente de administracion estandar e
inventario) aparecen automaticamente en la lista Todos los dispositivos despues de que el
rastreador de inventario los rastrea en la base de datos central. Generalmente, este rastreo se
realiza por primera vez durante la configuracion inicial del dispositivo. Una vez que se ha rastreado
un dispositivo en la base de datos central, se considera como un dispositivo administrado que el
servidor central puede administrar.
El grupo Todos los dispositivos brinda la informacion siguiente sobre cada dispositivo. Para
ordenar una columna, haga clic en el encabezado de la misma; haga otro clic para invertir el orden.
Haga doble clic en Todos los dispositivos para abrir la lista.
• Nombre: nombre de host del dispositivo, tal como el nombre de equipo Windows.
• Direction IP: la direccion IP del dispositivo.
• Estado de integridad: estado de mantenimiento y disponibilidad del dispositivo. Podna ser
Normal, Advertencia o Crftico.
1174
GUÍA DE USUARIO
. id: numero de identificacion del dispositivo. Este numero lo determina la secuencia en la cual
se agrego el dispositivo a la lista Todos los dispositivos.
Para obtener mas acciones disponibles en el panel de Propiedades, consulte "Acerca de la etiqueta
Propiedades" (1165).
Mis dispositivos
La lista de Mis dispositivos muestra los grupos de servidores creados por el usuario que inicio la
sesion actual. Mis grupos de dispositivos no pueden ser vistos ni pueden ser usados por otros
usuarios.
Dispositivos publicos
La lista de Dispositivos publicos muestra los grupos de dispositivos que han sido creados por un
usuario con derechos Administrativos. Los demas usuarios pueden verlos.
SO de hosts virtuales
La lista de SO de hosts virtuales muestra los servidores VMware ESX que estan configurados como
hosts virtuales, y que se detectaron mediante la seleccion de la opcion Hosts virtuales en una
configuracion de deteccion de dispositivos. Al hacer clic en SO de hosts virtuales o cualquier
subgrupo de la vista de arbol, los hosts se ven como nodos finales en la ventana del dispositivo. Al
hacer clic en el nombre de un host en la vista de arbol, este es un contenedory los equipos virtuales
que se ejecutan en el se muestran en la lista de dispositivos.
Iconos de dispositivos
Los iconos de dispositivos de la lista Todos los dispositivos muestran el estado de integridad actual
de cada dispositivo, si el dispositivo incluye un agente con la opcion del Monitor e inventario en
tiempo real seleccionada. Puede actualizar el estado de integridad de los dispositivos de uno en uno
a medida que los seleccione en la lista de Mis dispositivos haciendo clic en el boton Actualizar de la
barra de herramientas.
1175
IVANTI ENDPOINT MANAGER
Icono Descripcion
s
? Dispositivo con estado normal Dispositivo
desconocido
NOTE: Estos iconos requieren por lo menos un color de 16 bits de profundidad para que se muestre
correctamente. Si los iconos de la consola aparecen desenfocados, cambie la configuracion de color en
Propiedades de pantalla de Windows. 62 63
Para ver el menu contextual de un elemento, haga clic con el boton derecho en el elemento. Por
ejemplo, si hace clic con el boton derecho en un dispositivo administrado en la lista Mis
dispositivos, el menu contextual mostrara por lo general las siguientes opciones:
• Quitar del grupo: quita el elemento del grupo definido por el usuario.
• Destino: mueve el dispositivo seleccionado a la lista de Dispositivos de destino. (Si no hay
dispositivos de destino en la lista de Destinos, haga clic en Actualizar en la pestana
Dispositivos de destino).
• Ping de dispositivo: comprueba que el dispositivo este respondiendo.
• Realizar seguimiento de dispositivo: envfa un comando de seguimiento de ruta para ver un
paquete de red que se esta enviando y recibiendo y la cantidad de saltos necesarios para que
el paquete llegue al destino.
63 Rastrear dispositivo: rastrea vulnerabilidades en el dispositivo. Haga clic en Iniciar rastreo.
• Control remoto: Inicia la ventana de control remoto para permitir el acceso directo al
dispositivo seleccionado en la consola.
La ayuda no abarca los menus contextuales de todos los elementos de la consola, pero se
recomienda hacer clic con el boton derecho en cualquier elemento para ver las opciones
disponibles.
1176
GUÍA DE USUARIO
Las herramientas se agrupan en secciones en el cuadro de herramientas, con tftulos como Vista de
dispositivos y Acceso remoto. Haga clic en las comillas angulares junto a cada encabezado para
expandir o cerrar el grupo.
• Mis dispositivos: Visualizar las propiedades del dispositivo, ejecutar analisis y administrar
dispositivos.
• Control remoto: controle de forma remota los dispositivos e intercambie archivos con los
mismos.
• Distribucion: distribuya paquetes de software, utilice secuencias de comandos
personalizadas, programe distribuciones y cree tareas de distribucion de software.
• Secuencias de comandos: cree y administre secuencias de comandos.
• Consultas: cree y modifique consultas de la base de datos para aislar dispositivos que
cumplan con sus criterios.
• Preferencias: cree atributos de inventario personalizados y vea la informacion de licencia.
En la vista Mis dispositivos, puede ver informacion sobre el dispositivo con rapidez haciendo clic en
el dispositivo en la lista yseleccionando Propiedades en el panel de acciones.
Los datos de inventario proveen informacion mas detallada sobre el dispositivo. Puede ver datos de
inventario en la vista de Todos los dispositivos haciendo clic doble en el dispositivo o
seleccionando la etiqueta Ver inventario en el panel de Propiedades para abrir la ventana de
Inventario completa.
1177
IVANTI ENDPOINT MANAGER
• Ver inventario: haga clic en este boton para ver el inventario completo del dispositivo
seleccionado en una vista de arbol. Se trata de los datos generados por el rastreador de
inventario, que los almacena en la base de datos. La vista de detalles muestra todos los
posibles elementos de inventario disponibles en un dispositivo, por lo que algunos
elementos (que no estan activados en el dispositivo que se ha seleccionado) no tendran
datos. Haga clic en uno de los elementos de la vista a fin de visualizar los detalles del mismo
para este dispositivo en particular. Para volver a la vista predeterminada, haga clic en el
nombre del dispositivo en la rafz de la vista
• Control remoto: Inicia la ventana de control remoto para permitir el acceso directo al
dispositivo seleccionado en la consola.
El numero recomendado de dispositivos que debe agregar a la lista es de 250 o menos. Los
dispositivos permanecen en la lista hasta que se agote o termine el tiempo de sesion de la consola
(tras 20 minutos de inactividad).
Con uno o varios dispositivos en la lista Dispositivos de destino, usted puede completar cualquier
tarea, como despegar una configuracion de agente en cada uno de los dispositivos destinados.
1. En la lista de Mis dispositivos o Todos los dispositivos, haga clic en el dispositivo que desee
para destinar una accion. Para seleccionar varios dispositivos, pulse
Mayus+clic o Ctrl+clic.
2. de la barra de
Haga clic en el boton Destino. Si no esta visible, haga clic en el boton Filtro
herramientas para ocultar las opciones de Filtro (el boton Destino esta a la derecha).
NOTE: Las listas de dispositivos pueden ocupar varias paginas, y a medida que seleccione dispositivos, debe
hacer clic en el boton Destino de cada pagina. No podra seleccionar los dispositivos en varias
1178
GUÍA DE USUARIO
paginas y hacer clic en los botones una sola vez para todas las paginas.
NOTE: Puede hacer clic en la flecha hacia abajo que se encuentra bajo la barra de herramientas a la derecha
para establecer la cantidad de dispositivos que desee mostrar por pagina. Puede mostrar hasta 500 dispositivos
por pagina. Para cambiar de forma permanente la cantidad de dispositivos que aparece en las listas de
dispositivos, haga clic en Administracion > Preferencias > Configuracion de la pagina.
En el cuadro no se admiten los siguientes caracteres extendidos: < , > , " , ' , ! .
Por ejemplo, si filtro por nombre de dispositivo, escriba el nombre de host o el intervalo de
nombres de equipos. Puede utilizar caracteres de comodm para buscar ciertos nombres de
equipos (como *srv).
5. Haga clic en Buscar.
La vista principal de Dispositivos contiene tres grupos: Haga clic con el boton derecho en un grupo
para abrirlo, borrarlo o seleccionar como destino todos los dispositivos que contenga para realizar
acciones, tales como distribucion de software o despliegue de agentes.
• Mis dispositivos: muestra una lista de los grupos o dispositivos del usuario que ha iniciado
sesion en funcion del ambito de dicho usuario. El usuario puede crear subgrupos de
1179
IVANTI ENDPOINT MANAGER
Los grupos ayudan a organizar los dispositivos en la lista de Dispositivos de la consola. Puede
crear grupos para organizar los dispositivos segun la funcion, la ubicacion geografica, el
departamento, los atributos o cualquier otra categona que satisfaga sus necesidades. Puede crear,
por ejemplo, un grupo de mercadeo para todos los dispositivos del departamento de mercadeo o un
grupo que incluya todos los dispositivos que ejecutan un SO concreto. Puede colocar grupos
dentro de otros grupos. Por ejemplo, todos los dispositivos que ejecutan un SO determinado en una
ubicacion dada.
Los grupos estan organizados de la siguiente manera:
• Dispositivos: para crear grupos bajo Dispositivos, primero debe seleccionar Mis dispositivos
o Dispositivos publicos.
• Mis dispositivos: Mis dispositivos solamente pueden ser vistos por el usuario que los creo.
• Dispositivos publicos: solamente los administradores pueden crear o modificar grupos bajo
Dispositivos publicos. Sin embargo, cualquier usuario puede ver los grupos.
• Todos los dispositivos: no existen subgrupos en Todos los dispositivos.
1. En la vista de dispositivos de la consola, haga clic en el encabezado del grupo que desea
1180
GUÍA DE USUARIO
eliminar.
2. En el panel de herramientas, haga clic con el boton derecho en el grupo que desee eliminary
haga clic en Eliminar grupo.
Utilice la pestana Acciones para ejecutar las siguientes operaciones en los dispositivos
seleccionados como destino:
Puede seleccionar los dispositivos en la lista de dispositivos actual o seleccionar una lista de
dispositivos como destino (lo cual es util cuando hay varias paginas en la lista de dispositivos).
1. En la consola Web, haga clic en Mis dispositivos y seleccione o marque los dispositivos que
desee eliminar.
2. Haga clic en la ficha Acciones > Eliminar dispositivos. Seleccione Eliminar los dispositivos
de destino o Eliminar los dispositivos seleccionados segun corresponda.
La funcion eliminar puede borrar uno o varios dispositivos de cualquier grupo predeterminado o
grupo creado por el usuario. Una vez eliminado el dispositivo del grupo, se elimina por completo de
la lista de todas las listas de dispositivos administrados o inventariados, incluyendo el grupo
predeterminado Todos los dispositivos.
Puede seleccionar los dispositivos en la lista de dispositivos actual o seleccionar una lista de
dispositivos como destino (lo cual es util cuando hay varias paginas en la lista de dispositivos).
1. En la consola Web, haga clic en Mis dispositivos y seleccione o marque los dispositivos que
desee eliminar.
2. Haga clic en la pestana Acciones > Ejecutar rastreo de inventario. Seleccione Rastrear los
dispositivos de destino o Rastrear los dispositivos seleccionados segun corresponda.
Las notas de estado sobre el progreso del rastreo se muestran en el panel de acciones.
1181
IVANTI ENDPOINT MANAGER
Puede seleccionar los dispositivos en la lista de dispositivos actual o seleccionar una lista de
dispositivos como destino (lo cual es util cuando hay varias paginas en la lista de dispositivos).
1. En la consola Web, haga clic en Mis dispositivos y seleccione o marque los dispositivos que
desee eliminar.
2. Haga clic en la pestana Acciones > Ejecutar rastreo de parches y cumplimiento. Seleccione
Rastrear los dispositivos de destino o Rastrear los dispositivos seleccionados segun
corresponda.
3. Seleccione el tipo de rastreo (Rastreo de seguridad y parches, Rastreo de cumplimiento).
4. Haga clic en Rastrear.
Utilice Configuracion de paginas para definir las preferencias de las paginas con listas de
dispositivos o con graficos. No incluye el escritorio de mantenimiento, el cual contiene cuadros de
dialogo aparte para configurar las preferencias de visualizacion.
Para cambiar la configuracion de las paginas de la consola Web
NOTE: Puede mostrar texto junto a los botones de las barras de herramientas para ayudara los usuarios nuevos
con la identificacion de funciones. Si no se selecciona esta opcion, solamente se muestran iconos en la barra de
herramientas. Sin embargo, los iconos muestran el texto cuando el puntero del raton pasa sobre ellos.
1. Mientras se visualiza una lista de dispositivos, haga clic en la flecha hacia abajo en el extremo
derecho (bajo la barra de herramientas) para abrir el cuadro Configuracion de pagina.
1182
GUÍA DE USUARIO
Los cambios solo son validos mientras se trabaja en la lista actual. Si cambia a otra lista de
dispositivos, el numero de dispositivos que se muestran vuelve a la configuracion vigente en la
pestana
Configuration de pagina.
NOTE: No es aconsejable crear columnas personalizadas en las que pudiese haber varios nombres de campo. Por
ejemplo, si fuera a crear el campo Equipo.Software.Paquete.Nombre y se han instalado varios paquetes en el
dispositivo, Endpoint Manager solamente incluye el nombre de un paquete en cada linea, aunque los distintos nombres
de paquetes esten en el mismo dispositivo. En esta situacion, la lista Todos los dispositivos mostrara varias entradas
del mismo dispositivo.
1183
IVANTI ENDPOINT MANAGER
4. En el cuadro superior, navegar a traves de las carpetas para buscar el atributo que desea
para cada uno de los encabezados de columna. Seleccione un atributo y haga clic en
Agregar.
El cuadro contiene una estructura de carpetas, que comienza con Equipo, que representa
todos los datos de inventario que se encuentran actualmente en la base de datos. Los
NOTE: Si selecciona un atributo que tenga una relacion 1:* en la base de datos, obtendra entradas
duplicadas para el dispositivo. Si selecciona atributos con una relacion 1:1 (solo un atributo posible,
como la pestana Computer.System.Asset), no recibira entradas duplicadas.
5. Para cambiar el orden de las columnas, seleccione el encabezado de la columna y haga clic
en
6. Subir o Bajar.
Para eliminar una columna, seleccionela y haga clic en Quitar.
7.
Para cambiar el encabezado que aparece una columna, seleccionelo, haga clic en Modificar,
modiffquelo y pulse Intro. No se admiten los caracteres ampliados siguientes: < , > , ' , " , ! .
5.
9. Haga clic en Aceptar para guardar el conjunto de columnas.
Para utilizar el conjunto de columnas personalizado cuando visualice cualquier lista de
dispositivos, seleccionelo y haga clic en Definir como conjunto actual de columnas en la
barra de herramientas.
NOTE: Si utiliza una base de datos de Oracle, asegurese de seleccionar al menos un atributo que se haya
definido de forma nativa en el rastreador de inventario (por ejemplo, Equipo.Nombre de pantalla,
Equipo.Nombre de dispositivo, Equipo.ID de dispositivo, Equipo.Nombre de acceso, etcetera).
Las siguientes sugerencias de solucion de problemas van destinadas a los problemas mas
frecuentes con la consola Web.
1184
GUÍA DE USUARIO
1185
IVANTI ENDPOINT MANAGER
ASPNET_REGIIS.EXE -i
1. En el servidor Web, haga clic en Inicio > Herramientas administrativas > Servicios de
Information de Internet (Gerente de IIS).
1186
GUÍA DE USUARIO
Se realizo el asistente del nuevo paquete de distribucion, pero la consola no creo ningun paquete.
La consola Web utiliza las cuentas lUSRy IWAM en el servidor de la consola. Estas cuentas se
crearon originalmente segun el nombre del equipo. Si alguna vez cambio el nombre del equipo, es
necesario seguir los pasos que se incluyen a continuacion a fin de crear satisfactoriamente
paquetes de distribucion de software.
Tambien, tenga en cuenta que la programacion del trabajo se basa en la hora del servidor central. Si
el trabajo se programo en una consola que reside en otra zona horaria, el trabajo comenzara segun
la hora del servidor central, que puede ser diferente a la esperada.
Le agregue una unidad S.M.A.R.T. a un dispositivo, pero no veo el monitor de unidad S.M.A.R.T. en
la lista de inventario del dispositivo.
La supervision de hardware depende de las capacidades del hardware instalado en un dispositivo,
asf como de la configuracion correcta del mismo. Si un disco duro con capacidades para la
supervision
S.M.A.R.T. se instala en un dispositivo, pero S.M.A.R.T. no se encuentra habilitado en la
configuracion del BIOS del dispositivo, o si el BIOS del dispositivo no es compatible con S.M.A.R.T.,
la informacion sobre supervision no se encontrara disponible y no se generaran alertas resultantes.
1187
IVANTI ENDPOINT MANAGER
Las comillas sencillas no funcionan, debido a que se quitan al leer el archivo .INI.
Al intentar instalar el Control remoto desde la consola Web en una subred diferente, no se puede
instalar el visor de RC.
Si se conecta con una consola Web alojada en un servidor central de un dominio diferente y hace
clic en el boton derecho en la lista Mis dispositivos yselecciona Control remoto, se generara un
error que informa que el visor de control remoto no se instalo correctamente.
Para solucionarlo, la direccion URL del CAB se obtiene mediante la lectura de la etiqueta
denominada "CabUrl" proveniente de web.config. La direccion CabUrl de la etiqueta debe contener
el nombre de dominio completo del servidor central en lugar de solo el nombre del equipo. Debe
abrir web.config e ingresar el nombre completo del dominio en la pestana CabUrl.
El dispositivo de disco USB no se incluye en la lista de inventario hasta que no se ejecute un rastreo
de inventario.
Cuando un dispositivo de disco se conecta con un cable USB a un dispositivo administrado, este no
aparecera de forma inmediata en los discos duros del inventario del dispositivo. Se enumera en
Unidades logicas una vez conectado al dispositivo. Sin embargo, no aparecera en las unidades de
disco duro hasta que no se ejecute un rastreo de inventario en el dispositivo.
En los dispositivos administrados de Linux, el dispositivo de disco USB debe estar instalado para
que se incluya en el inventario. Si se monto pero no se ejecuto un rastreo de inventario, aparecera
en las Unidades logicas; despues del rastreo de inventario, aparecera en Discos duros. Cuando se
desconecta un dispositivo, debe desmontarse del sistema. En algunos sistemas Linux que se
ejecutan utilizando un kernel anterior, el dispositivo tambien debe estar en la lista de inventario una
vez desconectado y desmontado. En este caso, el dispositivo administrado debe reiniciarse antes
deque el dispositivo se elimine de la lista de inventario.
1188
GUÍA DE USUARIO
La consola del Monitor e inventario en tiempo real incluye las siguientes herramientas:
NOTE: Con el fin de ver la consola del Monitor e inventario en tiempo real de un dispositivo, primero es
necesario desplegarel agente de administracion de IVANTI, con los componentes del Monitor e inventario en
tiempo real seleccionados, en ese dispositivo. Ademas, debe reiniciar el dispositivo tras la instalacion del agente
para que la consola de informacion del servidor funcione correctamente. Se requiere el reinicio cuando instala el
agente en el servidor central, al igual que en los dispositivos administrados.
1189
IVANTI ENDPOINT MANAGER
La consola se abre en una nueva ventana del exploradory muestra la pagina Resumen de
mantenimiento en forma predeterminada.
2. Haga clic en los botones de resumen de integridad para ver detalles sobre la informacion de
integridad del dispositivo.
3. Haga clic en los elementos del cuadro de herramientas para utilizar las herramientas
disponibles.
Resumen de mantenimiento
La pagina Resumen de mantenimiento ofrece un panorama rapido sobre el mantenimiento del
sistema del dispositivo. Puede ver a simple vista si los elementos de hardware seleccionados
funcionan correctamente y si existen problemas potenciales deban tratarse.
• Estado de integridad: el estado general del dispositivo, tal como lo definen las condiciones y
los parametros establecidos.
• Tipo: tipo de dispositivo, tales como el de impresion, de aplicacion o de base de datos.
• Fabricante: fabricante del dispositivo.
• Modelo: modelo del dispositivo.
• Version de BIOS: version del BIOS del dispositivo.
• Sistema operativo: sistema operativo del dispositivo.
• Version del sistema operativo: el numero de version del sistema operativo.
• CPU: fabricante, modelo yvelocidad del procesador del dispositivo.
• Tipo de IPMI, Version de IPMI: tipo y numero de version de IPMI que utiliza el dispositivo.
• Version de BMC: en dispositivos Intel AMT y vPro, es el numero de version del controlador
de administracion del tablero de base.
• Version de SDR: version del registro de datos de sensor del BMC del dispositivo.
1190
GUÍA DE USUARIO
Esta informacion se obtiene del registro de Windows o de los archivos de configuracion de Linux.
Hardware
Utilice la pagina Hardware para ver detalles sobre la configuracion de hardware del dispositivo. Los
elementos de la lista Hardware se agrupan en las categonas siguientes. Observe que no todas las
categonas estan presentes para todos los dispositivos. Por ejemplo, si el dispositivo no tiene
sensores de ventiladorytemperatura, la categona Enfriamiento no figura en la lista.
1191
IVANTI ENDPOINT MANAGER
Registros
La pagina de Registros muestra los registros del sistema local, el registro de eventos del sistema
(SEL) de los dispositivos IPMI y un registro de alertas.
Los registros locales, como los registros de Aplicaciones, Seguridad y Sistema, tiene un boton de
Actualizar para mostrar los datos mas recientes y un boton de Borrar para eliminartodos los
elementos de la lista.
Si el BIOS del dispositivo puede borrar el registro de BIOS, haga clic en el boton Borrar para quitar
todas las entradas de registro. Este boton no esta disponible si el BIOS no es compatible con esta
accion.
El registro de Alertas muestra todas las alertas actuales del dispositivo. Puede filtrar por nombre,
estado o instancia para reducir el numero de alertas de la lista, y puede habilitar el filtro de fechas
para mostrar solamente las alertas de un intervalo espedfico de fechas.
El registro de Eventos de hardware muestra datos en tiempo real o los elementos archivados. Puede
eliminar elementos individuales, purgartodos los elementos de la lista o actualizar la lista para
mostrar los elementos mas recientes del registro.
• Procesos: muestra los procesos que se estan ejecutando; haga clic con el boton derecho en
1192
GUÍA DE USUARIO
Sesion remota
Utilice la Sesion remota para iniciar una sesion de control remoto con el dispositivo seleccionado.
Si el dispositivo es un servidor de Windows, se inicia el control remoto estandar del producto. Para
los servidores Linux, puede elegir entre sesiones remotas SSH y SFTP.
En el cuadro de herramientas del Monitor e inventario en tiempo real, haga clic en Sesion remota y
luego haga clic en Iniciar para iniciar la sesion de control remoto.
Monitor
Utilice la pagina Supervision para ver los contadores de rendimientoyestablecer los umbrales de los
componentes del dispositivo. Los contadores de rendimiento se usan con el aviso Monitor de
desempeno para supervisar sucesos espedficos en un dispositivo relacionados con el rendimiento.
Para recibir avisos basados en los contadores de rendimiento se debe haber implementado un
reglamento de aviso en el dispositivo, que incluya la regla de aviso del Monitor de desempeno.
Para seleccionar el contador de rendimiento a supervisar
1193
IVANTI ENDPOINT MANAGER
En el grafico de rendimiento el eje horizontal representa el tiempo que ha pasado. El eje vertical
representa las unidades que se miden, tales como bytes por segundo (por ejemplo, al supervisar
transferencias de archivos), porcentaje (al supervisar el porcentaje de la CPU que se utiliza) o bytes
disponibles (al supervisar el espacio en la unidad de disco duro).
Reglamentos
Utilice la herramienta Reglamentos para ver una lista de las configuraciones de reglamentos de
alertas asignadas al dispositivo seleccionado y ver los detalles de cada alerta.
1194
GUÍA DE USUARIO
Opciones de energla
Las Opciones de energia permiten apagar, reiniciar, y en el caso de dispositivos IPMI e Intel AMT
administrados, encender dispositivos remotos. En el caso de dispositivos que no son IPMI, el
dispositivo debe tener el agente de IVANTI implementado para poder ejecutar las funciones de
reinicioyapagado.
En los equipos IPMI e Intel vPro, se deben tener las credenciales configuradas correctas para
ejecutar funciones de encendido, apagadoy reinicio. Si los dispositivos IPMI o Intel vPro tienen
implementado el agente de IVANTI, podra ejecutar las funciones de apagadoy reinicio sin las
credenciales de IPMI o Intel vPro. Para configurar las credenciales BMC en dispositivos IPMI, utilice
Configuracion de servicios.
1. En el cuadro de herramientas del Monitor e inventario en tiempo real, haga clic en Opciones
de ene^a.
NOTE: Si tiene varios servidores centrales, puede utilizar las opciones de alimentacion del servidor central en el
que inicio sesion por primera vez. Si cambia a otro servidor central e intenta utilizar las opciones de alimentacion,
el comando de alimentacion no se ejecutara correctamente.
Configuracion de hardware
La herramienta Configuracion de hardware permite configurar las opciones de los dispositivos que
tienen IPMI, Intel vPro y Dell DRAC. Esta herramienta y las opciones se visualizan solamente en los
dispositivos que tienen el hardware correspondiente (por ejemplo, las opciones de IPMI solo se
visualizan si el dispositivo se reconoce como dispositivo IPMI).
1195
IVANTI ENDPOINT MANAGER
El escritorio de mantenimiento
Uso del Tablero de mantenimiento [consola Web]
El tablero de mantenimiento digital es una vista, de alto nivel, simple y clara de los dispositivos.
Cada dispositivo se representa con un icono que muestra el estado actual del dispositivo. Los
dispositivos aparecen en el tablero de mantenimiento con base en los ambitos y roles. El tablero de
mantenimiento puede moverseyconfigurarse. El tablero de mantenimiento muestra la integridad
general detodos los dispositivos en la vista, indica la cantidad de dispositivos segun el estado (X
cantidad de dispositivos en estado Crftico, X cantidad de dispositivos en estado Normal, etcetera).
Puede ver un grafico y una lista de dispositivos o bien, desacoplar el grafico yvisualizarlo por sf
mismo en la estacion de trabajo o en un supervisor de grupo.
Cuando se hace clic con el boton derecho en el icono del dispositivo, se pueden seleccionar los
elementos basicos de resolucion de problemas, como ping, seguir la ruta y control remoto (si se
administra el dispositivo). Tambien puede seleccionar Ver los detalles, lo cual abre la consola del
Monitor e inventario en tiempo real.
El tablero de integridad se abre en un explorador Web. Este muestra los dispositivos que
aparecen en el grupo de Todos los dispositivos. Si los dispositivos aparecen varias veces en
Todos los dispositivos, tambien figuran varias veces en el tablero de mantenimiento.
1196
GUÍA DE USUARIO
NOTE: Para que los cuadros de dialogo y las ventanas se muestren apropiadamente, el servidor Web de
Endpoint Manager debe agregarse a la lista del bloqueador de ventanas emergentes del explorador.
La consola del Monitor e inventario en tiempo real presentara una lista de inventario basico e
informacion del sistema, asf como una opcion de control remoto,configuracion de alertas de
rendimientoy supervision, y opciones de energfa.
Para obtener mas informacion, consulte "Ver la consola del Monitor e inventario en tiempo real
[consola web]" (1175).
Puede ver el nombre del dispositivo, la direccion IP, el porcentaje de CPU y uso de la memoria, y la
cantidad de espacio restante del disco duro. Al visualizar las Propiedades se establece una
conexion con el dispositivo para recopilar informacion en tiempo real sobre mediciones clave, como
el espacio de almacenamientoy la memoria utilizada.
Si el dispositivo esta fuera de lmea (o no puede comunicarse con la red), el cuadro de dialogo
Propiedades reportara un error.
NOTE: Si la opcion del Monitor e inventario en tiempo real no esta instalada con el agente IVANTI en un
dispositivo, la opcion Propiedades no aparecera cuando se haga clic con el boton derecho en el dispositivo.
El tablero de mantenimiento ofrece funcion basica para la resolucion de problemas, tal como
realizar un ping del dispositivo, el control remoto (si se administra el dispositivo) y el acceso a la
consola de informacion de dispositivo del dispositivo.
1197
IVANTI ENDPOINT MANAGER
1. Para controlarun dispositivo de forma remota, haga cliccon el boton derechoen el mismoy
seleccione Control remoto.
2. Para realizar un ping de un dispositivo de forma remota, haga clic con el boton derecho en el
mismo y seleccione Ping de dispositivo.
3. Para enviar un comando de seguimiento de ruta a un dispositivo, haga clic con el boton
derecho en el mismo y seleccione Seguimiento de dispositivo.
Se abrira una ventana acoplable, la cual muestra el grafico y la informacion de estado basica.
2. Para devolver el grafico a la ventana del tablero de mantenimiento principal, haga clic en el
boton Acoplar grafico otra vez.
NOTE: Tambien puede hacer clic en una barra (o seccion de disco) de la grafica para ver solamente los
dispositivos que corresponden a ese estado.
Despues de agregar nuevos dispositivos a la lista Mis dispositivos, debe actualizar manualmente el
tablero de mantenimiento para ver estos nuevos dispositivos. Para hacer esto, haga clic en el boton
Actualizar en la barra de herramientas del tablero de mantenimiento.
Esto agrega dispositivos a la lista o los elimina de ella y actualiza el estado de cada dispositivo. No
tiene que actualizar el tablero de mantenimiento de forma manual para ver la condicion actual del
dispositivo. Cuando cambia la condicion de un dispositivo monitoreado, el tablero de
mantenimiento actualiza de forma automatica sus fconos de dispositivos para reflejar la condicion
del dispositivo actual.
1198
GUÍA DE USUARIO
El estado de integridad se actualiza segun la frecuencia que se especifique en este dialogo. Si desea
actualizar el estado inmediatamente, puede hacer clic en el boton Actualizar de la barra de
herramientas.
Acceso remoto
Uso del control remoto [consola Web]
1199
IVANTI ENDPOINT MANAGER
• Para poder controlar dispositivos de Windows de forma remota, instala y cargue el agente de
control remoto del producto. Este agente se instala por medio de una de las acciones
siguientes:
Este agente puede cargarse como servicio residente para brindar acceso inmediato al equipo
o bien, (si posee seguridad basada en certificados) instalelo como agente a peticion para
cargarlo solo cuando sea necesario.
1. En la lista Mis dispositivos, haga clic en el icono del dispositivo al cual desea conectarse y
seleccione Control remoto.
1200
GUÍA DE USUARIO
Esta accion abre el Visor de control remoto de IVANTI. Otras opciones incluyen el control
remoto KVM para dispositivos Intel vProy el control remoto HTML 5 basado en un navegador.
2. Si prefiere utilizar otro tipo de control remoto, haga clic en Acceso Remoto > Control remoto
del cuadro de herramientas de la consola Web. Seleccione Directo, KVM, o Basado en un
navegadory luego especifique el nombre del dispositivo o la direccion IP del dispositivo que
desea controlar.
Tambien puede controlar de forma remota varios equipos a la vez. Despues de iniciar una sesion,
regrese a la consola Web y seleccione otro equipo.
Para obtener informacion sobre el control remoto de dispositivos Linux, consulte "Acceso remoto a
dispositivos Linux [consola Web]" (1193).
Tambien puede hacer clic con el boton derecho en el dispositivo yseleccionar Control
1201
IVANTI ENDPOINT MANAGER
Es necesario controlar remotamente un dispositivo de forma activa para utilizar teclas de acceso
rapido.
Para ver las teclas de acceso rapido utilizadas comunmentey cambiar la secuencia de teclas, haga
clic en la ficha Herramientas > Opciones > Configuration de tecla de acceso rapido del visor de
control remoto.
NOTE: Si las teclas de acceso rapido no funcionan, es posible que la ventana del Visor no se encuentre
activada. Si el borde es de color azul/negro, la ventana no se encuentra activada. Haga clic en el interior de la
ventana para cambiar el color del borde a amarillo/negro. Ahora las teclas rapidas se encuentran activadas.
2. Vaya a Politicas de equipo local > Plantillas administrates > Componentes de Windows >
Opciones de inicio de sesion en Windows > Secuencia de atencion segura de software.
3. Haga doble clic en Deshabilitar o Habilitar la Secuencia de atencion segura de software.
1202
GUÍA DE USUARIO
Puede utilizar herramientas basicas de dibujo para destacar una zona de la pantalla en el dispositivo
remoto. El usuario remoto ve lo que se dibuja, lo cual puede ser de utilidad si estas mostrando algo
al usuario para ayudarle a resolver un problema.
Para destacar una parte de la pantalla remota con las herramientas de dibujo
1. En el visor de control remoto, haga clic en el boton Resaltar un area de la pantalla remota.
2. Utilice las opciones de la barra de herramientas flotante y dibuje en la pantalla remota.
A medida que se ejecuta una sesion de control remoto, puede abrir una ventana de conversacion
con el usuario del dispositivo remoto. Esto es util cuando se esta ayudando a solucionar un
problema o se le muestra a alguien como realizar una tarea.
1. En el visor de control remoto, haga clic en el boton Iniciar/Detener una sesion de chat.
2. Escriba un mensaje en el cuadro y haga clic en Enviar.
3. Para terminar la sesion de chat, haga clic en Detener o vuelva a hacer clic en el boton de la
barra de herramientas.
El intercambio de mensajes se muestra en la ventana de chat. Puede guardar la sesion de chat con
el fin de mantenerla como referencia futura.
El panel de Mensajes de conexion de la ventana del visor muestra los mensajes de estado enviados
a la barra de estado (como los intercambios de paquetes del agente de control remoto). Los
mensajes permanecen en la lista de manera que pueda:
1203
IVANTI ENDPOINT MANAGER
Mientras este en una sesion de control remoto, dispone de la opcion de guardar los mensajes de
conexion. Estos mensajes pueden ser utiles en un seguimiento de auditona o si se necesitan
solucionar problemas relacionados con la sesion de control remoto.
1. En la ventana del visor, haga clic en Archivo > Guardar mensajes de conexion.
2. En el cuadro de dialogo Guardar como, escriba un nombre para el archivo yguardelo como
un archivo de texto. Los mensajes de la conexion se almacenan en la carpeta Mis
documentos de forma predeterminada.
Si el agente de control remoto esta cargado, la ventana Mensajes de conexion indicara que el agente
se ubicoyque protocolo esta utilizando. En la lista de dispositivos de la consola Web, tambien vera
el icono de una lupa en el dispositivo que se selecciono cuando se establecio la sesion.
En la ventana del visor, puede iniciar cualquier programa en un dispositivo remoto para
diagnosticar problemas.
Puede utilizar la ventana del visor de control remoto para transferir archivos entre el equipo y el
dispositivo remoto. Esto funciona como si se asignara una unidad al dispositivo remoto. Estas
transferencias de archivos solo se pueden realizar en dispositivos en los que se haya instalado el
agente de control remoto.
Esta operacion funciona aun cuando el dispositivo no se controla actualmente de forma remota,
siempre que la conexion se haya creado. La opcion de Ejecutar cada ventana del explorador en un
proceso separado no funciona con la transferencia de archivos.
1. En la barra de herramientas del visor de control remoto, haga clic en el boton Transferir
archivos al equipo remoto.
2. Haga clic en el nombre del archivo que desee transferir para seleccionarlo. Haga clic en el
boton derecho y seleccione Copiar, o seleccione para arrastrar y colocar.
3. Recorra la estructura en arbol del Explorador de Windows hasta Control remoto IVANTI.
Debajo, haga clic en el nombre del dispositivo remoto que esta controlando.
4. En el dispositivo remoto, abra la carpeta en la cual desee pegar el archivo, haga clic con el
boton derecho y seleccione Pegar.
1204
GUÍA DE USUARIO
1205
IVANTI ENDPOINT MANAGER
1206
GUÍA DE USUARIO
• Reducir la profundidad de color: si se conecta a traves de una conexion lenta o una conexion
de acceso telefonico, esta opcion reduce la cantidad de informacion de colores que se
transmite. Cuanto mas se reduzca la escala, mayor sera la cantidad de artefactos (distorsion)
que se apreciaran.
Para cambiar una tecla de acceso directo, haga clic en el cuadro y presione la combinacion de
teclas que desee utilizar. La combinacion de teclas (por ejemplo, Ctrl+Shift+T) se introducira en el
cuadro.
NOTE: Si el dispositivo todavfa no ha tenido ningun agente desplegado, y se selecciona un comando de control
remoto de la consola Web, el visor de control remoto de Windows se abre porque todavfa no se conoce el
sistema operativo. El visor informara que no puede establecer conexion con el dispositivo.
Si selecciona el acceso SSH, se abre una ventana con una sesion SSH en el dispositivo remoto.
Debe proporcionar un nombre de usuario y una contrasena para tener acceso al dispositivo. Tras la
autenticacion se abre una sesion de shell segura en el dispositivo remoto.
Si selecciona el acceso SFTP, se abre una ventana con una vista FTP segura del dispositivo remoto
(basada en una conexion SSH). Debe proporcionar un nombre de usuario y una contrasena para
tener acceso al dispositivo. Tras la autenticacion, puede utilizar la funcion FTP segura para
transferir archivos entre el equipo y el dispositivo remoto.
1207
IVANTI ENDPOINT MANAGER
Distribucion de software
Informacion general sobre la Distribucion de Software [consola Web]
La herramienta de distribucion de software le proporciona la capacidad de distribuir paquetes de
software en los dispositivos de destino. La herramienta admite varios tipos distintos de paquetes.
1208
GUÍA DE USUARIO
• Los metodos de entrega permiten un control detallado sobre como se completan las tareas
• Sencillo programador de tareas que se integra con la base de datos del inventario para
facilitar la seleccion final
• Elaboracion de informes de estado en tiempo real para cada tarea de implementacion
• Generador de paquetes con todas las funciones para la generacion de paquetes de software
completos
• Capacidad para distribuir cualquiertipo de paquetes, incluidos MSI, setup.exe yotros
instaladores
1. Cree u obtenga un paquete de software. El paquete de software puede consistir de uno o mas
archivos MSI, un ejecutable, un archivo de proceso por lotes, archivos RPM (Linux), etcetera.
En la mayona de los casos, el paquete de software debe contenertodo lo necesario para
instalar la aplicacion que se esta distribuyendo. Coloque el paquete en el servidor de entrega
de paquetes de distribucion.
2. Cree un paquete de software. El paquete de distribucion contiene los archivos
yconfiguracion necesarios para instalar un paquete de software espedfico, tal como el
nombre del paquete, cualquier dependencia o requisito previo, conmutadores de lmea de
comandos, etc. Una vez que se crea un paquete de distribucion, la informacion se almacena
en la base de datos y se puede utilizar en multiples tareas.
3. Cree un metodo de entrega por envfo. El metodo de entrega por envfo define la forma en que
el paquete se enviara a los dispositivos. Estas opciones no se asocian a un paquete de
distribucion especfico. No cree un metodo de entrega cada vez que desee distribuir un
paquete. Los metodos de entrega permiten definir las mejores practicas para la
implementacion del software. Lo ideal sena crear una plantilla de metodo de entrega que
pueda volver a utilizarse en distribuciones con el mismo metodo de entrega.
4. Programe las tareas de distribucion en la ventana Tareas programadas. En dicha ventana,
especifique la secuencia de comandos del paquete de distribucion, el metodo de entrega, los
dispositivos que reciben el paquete de distribucion y la hora de distribucion de la tarea.
Una vez procesado el paquete, el agente de distribucion de software envfa el resultado al servidor
central, donde se registra en la base de datos central.
La separacion de las tareas de distribucion en dos partes, paquetes de distribucion y los metodos
de entrega, simplifica el proceso de distribucion. Puede crear plantillas del metodo de entrega que
1209
IVANTI ENDPOINT MANAGER
Por ejemplo, si esta instalando un programa de software que ya ha sido previamente implementado,
debido a que algunos de sus archivos faltaban o estaban danados, el sistema copia solo dichos
archivos, no el programa entero. Esta tecnologfa tambien funciona correctamente con enlaces de
redes WAN. Se puede almacenar el paquete en varios servidores y, a continuacion, programar los
dispositivos para que utilicen el servidor de acuerdo con sus necesidades (es decir, segun la
proximidad de la ubicacion, la disponibilidad del ancho de banda, etc.).
El programa se puede configurar para que continue ejecutandose mediante el uso del comando
start en el archivo de proceso por lotes. El comando start abrira realmente una nueva ventana
de comandos que permanece abierta despues de que ha finalizado el archivo de proceso por lotes y
se ha cerrado la ventana inicial de comandos.
El siguiente es un ejemplo de un archivo de proceso por lotes que utiliza el comando "Iniciar" para
abrir una nueva ventana de comandos al ejecutar el programa Ejemplo.exe.
start "Titulo" /D "c:\archivos de programa\ManagementSuite\ldclient\sdmcache\swd\alerttest"
Ej emplo.exe
El primer parametro ("Tftulo") es el nombre de la ventana de comandos que aparece en la barra de
tftulo. Observe que el tftulo es obligatorio debido a que la ruta al archivo ejecutable se
malinterpretana como el tftulo si se omitiera. Si la ruta al archivo ejecutable incluye un espacio,
1210
GUÍA DE USUARIO
Esta lmea del archivo de proceso por lotes ejecuta el archivo Ejemplo.exe en una nueva ventana de
comandos de tftulo "Tftulo". Para obtener mas ayuda sobre el comando Iniciar, escnbalo con el
conmutador/h o/? en el indicador de comandos.
Solamente se pueden distribuir RPM en dispositivos Linux. Los agentes Linux instalan de forma
automatica el RPM que se distribuye. Una vez instalado, el RPM no quedara almacenado en el
servidor. Se puede instalar y desinstalar el RPM especificado mediante la distribucion de software.
Solo puede utilizar los metodos de instalacion automatica con la distribucion de software Linux.
Para la distribucion de software Linux, se ignora la configuracion en el metodo de envfo, para que
no importe que metodo de instalacion automatica selecciona o cual es la configuracion.
1211
IVANTI ENDPOINT MANAGER
Una vez que se han almacenado los archivos en el recurso compartido de paquetes, se lo asociara
con el metodo de entrega deseado, y se programara el envfo.
MSI
Estos paquetes tienen el formato del instalador de Windows. Debe utilizarse una herramienta de
otro fabricante para crear paquetes MSI. Estos paquetes consisten principalmente de un archivo
MSI primario y pueden incluir archivos ytransformaciones compatibles. Las transformaciones
personalizan la forma en que se instalan los paquetes MSI. Si el paquete MSI contiene varios
archivos, asegurese de agregarlos todos en el cuadro de dialogo Paquete de distribucion.
Ejecutable
A fin de que se utilice un paquete ejecutable para la distribucion de software, debe satisfacer el
criterio siguiente:
Siempre que el archivo ejecutable satisfaga estos dos criterios, se puede utilizar cualquier
ejecutable para la instalacion del paquete. Puede incluir archivos adicionales para los paquetes
ejecutables.
1212
GUÍA DE USUARIO
Macintosh
Se puede descargar cualquier archivo de Macintosh, aunque Endpoint Manager no descargara
directorios. Los paquetes de instalacion (.pkg) pueden contener directorios. Se deben comprimir.
Si el archivo descargado tiene la extension .sit, .zip, .tar, .gz, .sea o .hqx, descomprimira el archivo
antes de regresar.
NOTE: Los usuarios deben asegurarse de que Stuffit Expander tiene la opcion de "buscar nuevas versiones"
desactivada; de lo contrario, un cuadro de dialogo puede interrumpir la ejecucion de las secuencias de
comandos.
Linux RPM
Estos paquetes tienen el formato Linux RPM. Estos paquetes deben almacenarse en un recurso
compartido Web para que funcione la distribucion en Linux RPM.
Por lo general, las aplicaciones virtualizadas consisten en uno o mas archivos ejecutables. La
distribucion de software se puede utilizar para implementar archivos ejecutables de aplicaciones
virtualizadas en los dispositivos administrados. Cualquiera de los metodos de entrega de
distribucion de software se puede usar con los paquetes de aplicaciones virtualizados, incluso el
comando de Ejecucion desde el origen. Cuando se implementa la ejecucion de un paquete de
aplicaciones virtualizado desde el origen, los dispositivos administrados utilizan un icono de
acceso directo a la aplicacion para ejecutar el ejecutable de la aplicacion virtualizada a traves de la
red.
1213
IVANTI ENDPOINT MANAGER
Paquete SWD
Estos son paquetes que se crearon mediante el Generador de paquetes IVANTI Enhanced Package
Builder (instalado de forma separada). Aunque Enhanced Package Builder ya no viene con Endpoint
Manager, IVANTI Software todavfa admite la distribucion de archivos que han sido creados con el.
Estos son archivos ejecutables que tienen propiedades que los identifican de forma unica como
paquetes de distribucion de software (SWD).
Linux
La distribucion de Software es compatible con Red Hat Enterprise Linux Advanced Platform 5 y
SUSE Linux Enterprise Server 10/11. Compatible con implementacion RPM. No compatible con
Secuencias. Los archivos adicionales deben estar ubicados donde Linux los pueda encontrar. Para
almacenar los RPM se puede utilizar un recurso compartido de Web o un sitio HTTP anonimo. Linux
no admite unidades asignadas.
Grupos de paquetes
• Mis paquetes: paquetes de distribucion que han sido creados por el usuario actual. Los
usuarios con derechos administrativos tambien pueden ver estos paquetes.
• Paquetes publicos: paquetes de distribucion que los usuarios han marcado como publicos.
Cualquier usuario que programe un paquete de este grupo se convertira en el propietario de
la tarea asociada. La tarea permanecera en el grupo Tareas publicas y tambien figurara en el
grupo Tareas de usuario de ese usuario.
• Todos los paquetes de distribucion: los paquetes de distribucion del usuario actual y los que
se han marcado como publicos.
• Paquetes de distribucion del usuario: (solo usuarios administrativos) lista de todos los
paquetes de distribucion ordenados segun el propietario o creador (no incluye los paquetes
publicos).
Grupos personalizados
Puede crear grupos personalizados en los grupos Mis paquetes, Paquetes publicos y Paquetes de
distribucion del usuario. Solo un administrador puede realizar cambios en los Paquetes de
distribucion del usuario. Con los grupos personalizados, se pueden agrupar paquetes relacionados
tales como el paquete de Microsoft Office 2007 MSI con el paquete ejecutable de Microsoft Office
2007. Para crear grupos personalizados en los paquetes publicos de distribucion, se deben tener
derechos de Configuracion de distribucion publica.
1214
GUÍA DE USUARIO
Puede mover o copiar paquetes u otros grupos desde todos los grupos de paquetes excepto los
paquetes de distribucion del usuario.
El agente de distribucion de software utiliza el algoritmo hash MD5 para verificar que el paquete y
los archivos adicionales se descarguen correctamente. Al programar un paquete de distribucion, el
producto descarga los archivos y calcula los valores hash asociados con el archivo principal y los
archivos adicionales utilizados por el paquete de distribucion.
Si el hash que se guardo con el paquete no coincide con el valor hash calculado por el agente en el
dispositivo de destino, la descarga es invalida. Si realiza cualquier cambio en el paquete fuera del
producto, tal como la actualizacion del contenido del paquete, debe restablecer el valor hash, caso
contrario fallaran las tareas programadas que utilice el paquete actualizado.
Mover/Copiar paquetes
Puede mover o copiar definiciones de paquetes de distribucion, como un paquete que envfa un
archivo ejecutable a un conjunto de dispositivos de destino.
Mover o copiar un paquete de distribucion solo mueve o copia los ajustes del paquete de
distribucion, no los archivos que se estan distribuyendo.
1215
IVANTI ENDPOINT MANAGER
Antes de programar tareas para un dispositivo, este debe contener el agente IVANTI estandary
encontrarse en la base de datos de inventario. Las configuraciones del servidor IVANTI constituyen
una excepcion. Puede distribuir a un servidor que no tenga el agente de administracion estandar.
Para obtener mas informacion acerca de las opciones individuales del cuadro de dialogo
Propiedades de tareas programadas, consulte "Programacion de tareas [consola Web]" (1205).
NOTE: Al hacer clic en el boton Programar, se crea una tarea. No tiene dispositivos de destino y esta sin
programar. Si cancela este procedimiento de Tarea programada, tenga en cuenta que la tarea figurara de todas
maneras en la Lista de tareas.
1216
GUÍA DE USUARIO
• Metodos de Entrega del usuario: (solo usuarios administrates) lista de todos los metodos de
entrega ordenados segun el propietario o creador (no incluye los metodos de entrega
publicos).
Dentro de cada grupo, los metodos de entrega estan organizados portipo (Polftica de apoyo, Envfo,
Poiftica y Multidifusion).
Para obtener mas informacion sobre como se utilizan los metodos de entrega en la distribucion de
software, consulte "Informacion general sobre la distribucion de software."
Utilice estas paginas para administrar la utilizacion cuando las tareas se estan distribuyendo.
1217
IVANTI ENDPOINT MANAGER
Esta pagina permite configurar si se reinicia el equipo tras instalar o eliminar el software. Estas
opciones son compatibles con dispositivos de Windows, peor no con Linux.
1218
GUÍA DE USUARIO
Constituye el metodo de deteccion predeterminado y el mas rapido. Con UDP, tambien puede
seleccionar los reintentos y el tiempo de espera de ping a UDP. La deteccion UDP no es
compatible con Linux.
• TCP: al seleccionar TCP se utiliza una conexion HTTP al servidor en el puerto 9595. Este
metodo de deteccion tiene la ventaja de que es capaz de funcionar a traves de un servidor de
seguridad si se abre el puerto 9595. No obstante, esta sujeto a los tiempos de espera de
conexion HTTP si no se encuentran los dispositivos. Dichos tiempos de espera pueden ser
de 20 segundos o mas. Si muchos de los dispositivos de destino no responden a la conexion
TCP, la tarea tardara mucho en iniciarse.
• Ambos: al seleccionar Ambos, el servicio intenta la deteccion primero con UDP, luego con
TCPy finalmente con DNS/WINS, si esta habilitado.
• Numero de reintentos: cantidad de intentos que la deteccion realiza para comunicarse con
los dispositivos.
• Tiempo de espera de la Deteccion: cantidad de milisegundos para que se agote el tiempo de
espera de reintentos de deteccion.
• Tiempo de espera para las difusiones de la Subred: cantidad de milisegundos para que se
agote el tiempo de espera de difusiones de subred.
• Desactivar la difusion de subred: si se selecciona, se desactiva la deteccion a traves de una
difusion de subred. Si se selecciona, se envfa una difusion dirigida a subredes mediante
UDPy PDS.
• Desactivar busqueda de DNS/WINS: si se selecciona, se desactiva la busqueda del servicio
de nombre para cada dispositivo, si falla el metodo de deteccion TCP/UDP seleccionado.
La distribucion de software proporciona la capacidad para distribuir paquetes a una gran cantidad
de dispositivos al mismo tiempo. Si existe un problema con el paquete o el software que se esta
desplegando tiene conflictos con el software existente, una tarea puede causar problemas de miles
de dispositivos a la vez. Al planear despliegues mediante la distribucion de software, tenga cuidado
de no crear un gran numero de problemas.
Antes de implementar un paquete nuevo, pruebelo en sistemas de prueba. De forma idonea, los
sistemas de prueba deben incluirtodos los sistemas operativos y las aplicaciones que se utilizan en
el entorno. Una vez que se implemente el paquete, confirme que todos los sistemas y las
aplicaciones funcionen de forma prevista.
1219
IVANTI ENDPOINT MANAGER
Una vez que se haya validado el paquete en los sistemas de prueba, realice una implementacion
limitada. Hagalo en una cantidad reducida de dispositivos del entorno. Al decidir la cantidad de
dispositivos de destino, la regla general es que se haga en la cantidad de dispositivos a los que el
departamento de asistencia tecnica pueda dar servicio. Una vez que el paquete se haya
implementado en los dispositivos, pruebe el sistema un par de dfas para ver si los usuarios
encuentran problemas.
Si el paquete esta basado en URL, compruebe que este disponible utilizando un navegador de
Internet. Recuerde, si el DNS se ha configurado para determinarel paquete, tendra queverificarque
este se ha distribuido a todos los servidores Web.
1220
GUÍA DE USUARIO
NOTE: Aunque puede ejecutar rastreos de inventario, parche y cumplimiento desde la herramienta Mis
dispositivos, estas tareas no aparecen en la herramienta Tareas programadas. Solo aparecen mensajes de
estado de estos rastreos en el panel de acciones.
• Mis tareas: tareas que se han programado. Solamente la persona que las programo y los
usuarios administrativos pueden ver estas tareas.
• Tareas publicas: tareas que los usuarios han marcado como publicas. Cualquier usuario que
edite o programe una tarea de este grupo se convertira en el propietario de esa tarea. La
tarea permanecera en el grupo Tareas publicas y tambien figurara en el grupo Tareas de
usuario de ese usuario.
Cuando haga clic en Mis tareas, Tareas comunes o Todas las tareas, la lista de tareas mostrara la
informacion en las siguientes columnas:
• Estado: el estado general de la tarea, el cual puede ser En proceso, Todas realizadas, Sin
realizar, No programada, Disponible para descargar o Fallida.
• Paquete de distribucion: nombre del paquete que la tarea distribuye. Este campo solo aplica
a los paquetes de distribucion.
• Metodos de entrega: el metodo de entrega que utiliza la tarea. Este campo solo aplica a los
paquetes de distribucion.
Cuando se hace doble clic en una tarea programada, el panel de herramientas muestra la siguiente
informacion de progreso:
1221
IVANTI ENDPOINT MANAGER
Las tareas se pueden reprogramar, modificar o eliminar bien sea mediante la herramienta Tareas
programadas o el panel de acciones de la herramienta espedfica. Para modificar alguna plantilla,
seleccionela y haga clic en el boton Modificar de la barra de herramientas.
Traslado de tareas
Utilice el boton de la barra de herramientas Mover para mover la tarea desde un grupo de tareas a
otro, haciendo asf que la tarea sea visible para los usuarios que pueden ver el grupo de tareas al
cual se esta moviendo la tarea.
1222
GUÍA DE USUARIO
Utilice esta pagina para agregar destinos de dispositivos a la tarea que esta configurando. En esta
pestana tambien puede ver los dispositivos de destino, las consultas y los grupos de dispositivos
de la tarea.
Tres listas desplegables contienen las consultas, las consultas de LDAPy los grupos que se han
creado en la vista de red de Endpoint Manager.
• Agregar lista de destinos: agrega los dispositivos que se agregaron a la lista de destino
provenientes de Mis dispositivos. (Consulte Dispositivos de destino para obtener
instrucciones.)
• Agregar lista de LDAP: seleccione el objeto LDAP que se agrego a la lista de destino
proveniente del arbol Administrador de directorios.
• Agregar consulta: seleccione una consulta en la primera lista y haga clic en este boton para
agregar los resultados de la consulta a la lista de destinos.
• Agregar consulta de LDAP: seleccione una consulta de LDAP en la segunda lista y haga clic
en este boton para agregar los resultados de una consulta de LDAP a la lista de destinos.
• Agregar grupo: seleccione un grupo en la tercera lista y haga clic en este boton para agregar
el contenido del grupo a la lista de destinos.
• Reactivar dispositivos: Seleccione esta casilla de verificacion si desea reactivar los
dispositivos de destino (que se encuentren apagados o en un estado de suspension o
hibernacion) cuando se inicie la tarea.
• Quitar: Seleccione un elemento de destino y luego haga clic en este boton para quitar esos
dispositivos de destino.
1223
IVANTI ENDPOINT MANAGER
NOTE: En la consola Web, los grupos de dispositivos no se destinan como grupos. En cambio, si se
selecciona un grupo y un destino, los dispositivos individuales del grupo se agregan a la lista de
dispositivos de destino.
1224
GUÍA DE USUARIO
Para mas informacion sobre las opciones del cuadro de dialogo Tareas programadas - Propiedades,
consulte Ayuda sobre Distribucion de software.
Alertas y monitoreo
Visualizacion del registro de alertas [consola Web]
Utilice la pagina Registro de alertas global para ver las alertas enviadas al servidor central. El
registro
se ordena segun la hora (GMT) y las alertas mas recientes aparecen en la parte superior.
3. Para ver una descripcion mas detallada de una alerta, haga doble clic en la entrada en la
columna Nombre de alerta.
4. Para ver una lista de las entradas de registro por nombre de alerta, estado, instancia, nombre
del dispositivo o direccion IP, seleccione los criterios de la lista de Filtros. Por ejemplo,
seleccione Nombre de alerta y escriba un nombre completo (tal como Desempeno) o uno
parcial con el comodfn 64 65 (tal como Remoto*) en el cuadro de texto de filtro. Para buscar
por fecha, seleccione Habilitar filtro de fecha e introduzca una fecha inicial y final. Cuando
haya agregado el criterio de filtro, haga clic en el boton Buscar.
5. Para borrar el estado de mantenimiento de una alerta, seleccione la columna Nombre de
alerta, haga clic en el boton de Confirmar reception de alerta en la barra de herramientas y
luego en Aceptar.
6. Para eliminar una entrada de registro, haga clic con el boton derecho sobre la alerta y
seleccione Eliminar entrada.
7. Para borrar todas las entradas del registro, haga clic con el boton derecho en cualquier lmea
de la columna Nombre de alerta y seleccione Purgar registro.
NOTE: Si el nombre del dispositivo no aparece como un nombre completo del dominio, esto se debe a que
este producto no puede resolver el nombre completo de dominio para el dispositivo.
Haga clic aqrn para ver las descripciones de las columnas del registro de alertas.
• Nombre de la alerta: nombre asociado con la alerta, tal como se ha definido en la pagina
Configuraciones de alertas.
• Hora: la fecha y hora de generacion de la alerta (GMT).
65 Estado: el estado de severidad de la alerta, el cual es uno de los siguientes:
1225
IVANTI ENDPOINT MANAGER
• Nombre de dispositivo: nombre del dispositivo en el que se genero la alerta. Debe ser un
nombre completamente aceptable.
Consultas
Uso de las consultas [Consola Web]
Las consultas son busquedas personalizadas de las bases de datos centrales. Las consultas
facilitan la administracion de la red, ya que permiten buscar y organizar dispositivos en la base de
datos central, en funcion del sistema operativo y los criterios de busqueda especificados por el
usuario.
Por ejemplo, puede creary ejecutar una consulta que responda solo los dispositivos con una
velocidad de reloj de procesador inferior a 2 GHz, con menos de 4 GB de RAM o un disco duro
inferior a 80 GB. Cree una o varias instrucciones de consulta que representen dichas condiciones y
relacione las instrucciones entre sf utilizando operadores logicos estandar. Al ejecutar las
consultas, puede imprimir los resultados de la consulta y accedery administrar los dispositivos que
coincidan.
En Endpoint Manager, se pueden crear consultas de base de datos sobre dispositivos de la base de
datos central y crear consultas LDAP sobre dispositivos ubicados en otros directorios.
En la consola Web, puede crear consultas de la bases de datos central mediante la herramienta
Consultas. Las consultas LDAPse crean con la herramienta Administrador de directorios.
La pagina de Consultas personalizadas muestra una lista de las consultas que se han creado, ya
sea en la vista de red de Endpoint Manager o en la consola Web.
3. Haga clic con el boton derecho en una consulta para editarla, borrarla o ejecutarla.
1226
GUÍA DE USUARIO
consulta
4. Para imprimir los resultados de la consulta, haga clic en el boton Imprimir vista de la barra
de herramientas. Los resultados completos de la consulta aparecen en formato detabla.
Utilice la funcion de Impresion del explorador para imprimir la lista.
5. Para guardar los resultados de la consulta en un archivo CSV (valores separados por
comas), haga clic en el boton Guardar como CSV de la barra de herramientas yespecifique
una ubicacion para guardar el archivo.
6. Para ver un breve resumen del inventario de un dispositivo en los resultados de la consulta,
haga clic con el boton derecho en el dispositivo y haga clic en Ver equipo.
NOTE: Si la lista de consultas abarca varias paginas, utilice las flechas de la parte superior a la derecha de la
pagina para navegar entre ellas. Escriba la cantidad de elementos que se visualizaran en cada pagina y haga
clic en Establecer.
Se pueden realizar consultas sobre cualquiera de los elementos del inventario (conocidos como
"atributos") que el rastreador de inventario almacena en la base de datos.
Administracion de consultas
Administrar consultas en el panel de herramientas Consultas. Utilice esta herramienta para crear,
modificary eliminar consultas:
1227
IVANTI ENDPOINT MANAGER
• Para modificar una consulta de la lista, haga doble clic en la misma. Se abre la pagina
Modificar consulta con los parametros de consulta que puede modificar.
2. Seleccionar los atributos que se mostraran: limite o "filtre" la consulta de modo que los
resultados muestren los atributos mas utiles como, porejemplo, las direcciones IPo los
nombres de dispositivos de los equipos.
3. Ordenar resultados por atributo: especifique como desea ordenar los resultados de la
consulta. (Esta opcion solo se aplica si, en el paso 2, selecciono mostrar mas de un tipo de
atributo en los resultados de la consulta.)
4. Ejecutar la consulta: ejecute la consulta que se acaba de crear. Tambien se puede guardar
para utilizarla posteriormente, o borrar toda la informacion que incluya para comenzar de
nuevo.
3. En el paso 1, haga clic en Editar. Aparecera una ventana en la que se muestra una lista que
representa todos los datos de inventario que se encuentran actualmente en la base de datos.
4. Desplacese por la lista para seleccionar los atributos de la condicion de busqueda. Por
ejemplo, para localizar los equipos del cliente que ejecutan un tipo concreto de software,
seleccione Computer.Software.Package.Name.
1228
GUÍA DE USUARIO
5. Despues de seleccionar los atributos, podras ver una serie de campos en la parte derecha de
la ventana. En estos campos, seleccione un operadory un valor para completar la condicion
de busqueda. Por ejemplo, para ubicartodos los clientes que ejecutan Internet Explorer 7.0,
seleccione los atributos "Equipo.Software.Paquete.Nombre", el operador "=" y el valor
"Internet Explorer". Seleccione el operador booleano Y, y luego haga clic en Agregar.
Seleccione los atributos "Equipo.Software.Paquete.Version", el operador "LIKE" y el valor
"8", y haga clic en Agregar.
6. Para ajustar la consulta, cree otra condicion de busqueda y, a continuacion, agreguela a la
primera con un operador booleano (Y u O). Asimismo, utilice los botones adecuados para
agregar, eliminar, sustituir, agrupar o desagrupar las condiciones de busqueda creadas.
7. Una vez que haya finalizado, haga clic en Aceptar.
NOTE: Para ejecutar y almacenar una consulta sobre el estado de la integridad de los servidores
(Computer.Health.State), debe tener en cuenta que el estado se representa con un numero en la base de datos.
Utilice la tabla siguiente para crear condiciones de busqueda. Por ejemplo, para crear una condicion de
busqueda para equipos con una integridad "Desconocida", utilice el operador "NOT EXIST".
Normal 2
Advertencia 3
Cntica 4
En el paso 2, seleccione los atributos que resultaran mas utiles para identificar los equipos
devueltos en los resultados de la consulta. Por ejemplo, para obtener resultados que faciliten la
localizacion ffsica de los equipos que coincidan con los criterios de busqueda definidos en el paso
1, se pueden especificar atributos como el nombre de visualizacion del equipo o la direccion IP.
Para seleccionar los atributos que se van a mostrar
1. En la pagina Modificar consulta, en el Paso 2, haga clic en Modificar. Aparecera una ventana
en la que se muestra una lista que representa todos los datos de inventario que se
encuentran actualmente en la base de datos.
1229
IVANTI ENDPOINT MANAGER
2. Desplacese por la lista para seleccionar el atributo que desea mostrar en la lista de
resultados de consulta. No olvide seleccionar los atributos que le ayudaran a identificar los
equipos del cliente devueltos en la consulta.
NOTE: Si utiliza una base de datos de Oracle, asegurese de seleccionar al menos un atributo que se
haya definido de forma nativa en el rastreador de inventario (por ejemplo, Equipo.Nombre de pantalla,
Equipo.Nombre de dispositivo, Equipo.ID de dispositivo, Equipo.Nombre de acceso, etcetera).
3. Tras seleccionar un atributo, haga clic en Agregar para moverlo al cuadro de la mitad inferior
de la ventana.
4. Si desea enumerar la lista de resultados de la consulta, seleccione Incluir recuento.
5. Repita el proceso para agregar mas atributos. Utilice los botones de flecha para agregar o
eliminar atributos y haga clic en Subir o Bajar para cambiar el orden de los atributos.
6. Para permitir que los resultados de la consulta puedan ser el destino de cualquier accion que
se especifique, seleccione Convertir resultados en destinos.
7. Una vez que haya finalizado, haga clic en Aceptar.
En este punto, es conveniente guardar la consulta. El siguiente procedimiento para crear una
consulta es opcional y solo se aplica a los resultados de la consulta quetengan dos o mas
columnas. Para guardar la consulta, haga clic en el boton Guardar de la barra de herramientas.
Escriba un nombre en el cuadro de dialogo Guardar consulta, seleccione un grupoy luego haga clic
en Guardar.
Si se salta este paso, la consulta se ordenara automaticamente por el primer atributo seleccionado
1230
GUÍA DE USUARIO
en el paso 2.
1231
IVANTI ENDPOINT MANAGER
1. En la pagina Modificar consulta, en el Paso 3, haga clic en Modificar. Aparecera una ventana
en la que se muestran los atributos seleccionados en el Paso 2.
2. Seleccione el atributo por el cual desea ordenar y haga clic en >> para desplazarlo al cuadro
de texto Atributos seleccionados.
Despues de crear la consulta, puede ejecutarla, guardarla o borrarla para comenzar de nuevo.
2. Si la consulta es una version modificada de otra, haga clic en el boton Guardar como de la
barra de herramientas para asignarle un nombre nuevo.
De forma predeterminada, solo podra visualizar las consultas guardadas por la persona que las
guardo. Si selecciona Consulta publica antes de guardarla, la consulta guardada sera visible para
todos los usuarios. Unicamente los administradores con derechos de administracion de consultas
publicas pueden hacer una consulta publica.
NOTE: Las instrucciones de consulta se ejecutan en el orden que se muestra. Si no se hacen agrupaciones, las
consultas se ejecutan en orden de abajo hacia arriba. Asegurese de agrupar los elementos de consulta
relacionados para que se evaluen como grupo; de lo contrario, los resultados de la consulta pueden ser
diferentes a los esperados.
Para ver informacion de inventario acerca de un dispositivo en los resultados de una consulta
• Haga clic con el boton derecho en el nombre del dispositivo y seleccione Ver equipo.
1232
GUÍA DE USUARIO
1. Haga clic en el boton Imprimir vista de la barra de herramientas. Los resultados completos
de la consulta aparecen en formato detabla.
Para ver los resultados de una consulta en una aplicacion de hoja de calculo u otra aplicacion,
exporte los datos como un archivo de Valores separados por comas (CSV).
Puede exportar e importar las consultas que ha creado. Todas las consultas se exportan como
archivos XML.
Por ejemplo, puede exportar las consultas y moverlas a un directorio que no se vea afectado
por una reinstalacion de la base de datos. Tras reinstalar la base de datos, puede volver a
mover las consultas al directorio de consultas del servidor Web e importarlas a la base de
datos nueva.
Por ejemplo, puede exportar una consulta a un directorio de consultas del servidor Web y
luego enviarlas a otro administrador de IVANTI. La persona que las reciba puede entonces
situarlas en el directorio de consultas de otro servidor Web e importarlas a una base de
datos diferente.
Efectue estos pasos mientras se encuentre conectado a una base de datos que tenga una consulta
1233
IVANTI ENDPOINT MANAGER
4. Para ver el documento XML para realizar la consulta, haga clic en el enlace del documento
XML.
5. Para guardarel documento XML, haga clic con el boton derechoen el enlace yseleccione
Guardar destino como. Especifique la ubicacion en la cual se va a guardar el archivo.
Efectue estos pasos mientras se encuentre conectado a una base de datos a la que desea importar
una consulta.
Para importar una consulta de regreso a una base de datos, la consulta debe estar en el directorio
de consultas que reconoce el servidor Web. De forma predeterminada, este directorio es
c:\inetpub\wwwroot\IVANTI\LDMS\queries.
5. Haga clic en Importar para importar la consulta. Si desea importar todas las consultas de la
lista, haga clic en Importar todas.
Crear consultas de LDAP mediante el uso del Administrador del directorio [consola Web]
Ademas de tener la capacidad de consultar la base de datos central mediante consultas de bases de
datos, tambien puede utilizar la herramienta Administrador del directorio para ubicar, tener acceso y
administrar dispositivos en otros directorios a traves de LDAP (Protocolo ligero de acceso a
directorios).
Para administrar un directorio LDAP, es necesario agregarlo a la lista del Administrador del
directorio. Para ello, se necesitara saber la ubicacion del directorio en la red y un conjunto de
credenciales para tener acceso al directorio.
Para agregar un directorio LDAP al Administrador del directorio
1234
GUÍA DE USUARIO
Cuando haya agregado al menos un directorio, puede ver elementos en el directorio de la vista de
arbol del Administrador del directorio, los cuales muestran todos los directorios y usuarios
registrados.
Hay dos fichas en el panel de acciones, Lista de destinos LDAPy consultas LDAP. Haga clic en ellos
para ver los objetos LDAP que se han seleccionado como destino y las consultas LDAP que se han
definido.
Puede seleccionar objetos en el arbol del Administrador del directorio como destinos. Los
dispositivos contenidos en esos objetos LDAP se pueden seleccionar como destinos de la accion
que se desea aplicarles, como distribucion de software o rastreos de parches ycumplimiento.
4. Seleccione la herramienta que desee aplicar a los dispositivos de destino. Los elementos
que se seleccionaron como destino apareceran en la opcion Lista de destinos de la
herramienta.
Puede crear una consulta que devuelva los resultados de un objeto de directorio, tales como una
organizacion de rafz (o), u componente de dominio (dc) o una unidad organizativa (ou).
Para crear una consulta de agente LDAP
1235
IVANTI ENDPOINT MANAGER
consulta que cree devolvera los resultados desde este punto en el arbol.
3. Haga clic en el boton Nueva consulta LDAP de la barra de herramientas.
4. Escriba un nombre descriptivo para la consulta.
5. Seleccione un atributo de LDAP, el cual sera un criterio de la consulta.
6. Haga clic en un operador de comparacion para la consulta (=,<=,>=) y un valor para el
atributo. Si selecciona Contiene o Existe, no se requiere ningun valor.
7. Si la consulta es compleja, seleccione Y u O para unir una instruccion a la siguiente.
8. Haga clic en Insertar para agregar la instruccion.
9. Cree instrucciones adicionales mediante la repeticion de los pasos 5 a 8.
10. Para negar una instruccion, seleccionela y haga clic en NO. Para eliminar una instruccion,
seleccionela y haga clic en Eliminar.
11. Cuando finalice la consulta, haga clic en Probar para comprobar que la consulta devuelve los
resultados.
12. Si desea modificar la consulta y utilizar sintaxis de formato libre de LDAP, haga clic en
Avanzada. La consulta se abre en una ventana de modificacion que le permite utilizar las
opciones de sintaxis.
13. Cuando haya finalizado, haga clic en Guardar. La consulta guardada aparecera en la ficha
Consultas LDAP en el panel del Administrador del directorio.
Acerca del cuadro de dialogo Consulta LDAP avanzada
En el cuadro de dialogo Consulta basica LDAP, haga clic en Avanzada para abrir el cuadro de
dialogo de Consulta LDAP avanzada. El cuadro de dialogo Consulta LDAP avanzada tambien se
abre cuando se modifica una consulta queya estaba creada.
• Nombre: el nombre de la consulta LDAP. Modifique el nombre para crear una copia de una
consulta existente.
• Ra^z de consulta LDAP: muestra el objeto rafz en el directorio de esta consulta. La consulta
que cree devolvera los resultados desde este punto en el arbol.
• Consulta LDAP: crear una consulta LDAP en formato libre.
• Probar: haga clic para ejecutar una prueba de la consulta que se creo.
1236
GUÍA DE USUARIO
Si un <valor> debe contener uno de los caracteres * o ( o), preceda el caracter del caracter de
escape de barra oblicua (\).
1237
IVANTI ENDPOINT MANAGER
Administracion de inventarios
Administracion de inventarios [consola Web]
Puede utilizar el rastreo de inventario para ver datos de hardware y software de los dispositivos
administrados. Los datos de inventario se almacenan en la base de datos central. Esto incluye la
informacion de hardware, controlador de dispositivos, software, memoria y entorno. Puede utilizar
estos datos de inventario para ayudar a administrary configurar dispositivos, asf como para
identificar rapidamente problemas del sistema.
Puede visualizar, imprimir y exportar datos de inventario. Se puede ademas utilizar para definir
consultas, agrupar dispositivos y generar informes especializados.
1. En el servidor central, haga clicen Inicio > Todos los programas > IVANTI > Servicios de
configuracion de IVANTI.
2. Haga clic en la pestana Inventario.
3. Para cambiar la frecuencia de los rastreo de software, haga clic en Software.
4. Efectue cualquier otro cambios que desee (haga clic en Ayuda para ver las descripciones de
las opciones).
5. Cuando haya finalizado, haga clic en Aceptar.
Tras el rastreo inicial, el rastreador de inventario se puede ejecutar desde la consola como tarea
programada. El agente de administracion estandar debe encontrarse en ejecucion en los
dispositivos remotos para poder programar un rastreo de inventario en los mismos.
NOTE: Un dispositivo que se agrego a la base de datos central mediante la herramienta de Deteccion de
dispositivos no administrados aun no ha rastreado los datos del inventario en dicha base de datos. Debera
ejecutar un rastreo de inventario en cada dispositivo para que aparezcan todos los datos de dicho dispositivo.
1238
GUÍA DE USUARIO
• Personalizar las columnas de la lista Todos los dispositivos para mostrar atributos
especficos del inventario
• Consultar la base de datos central acerca de los dispositivos con atributos espedficos del
inventario
Rastreo delta
Tras el rastreo completo inicial en un dispositivo Windows, la ejecucion siguiente del rastreador de
inventario solo captura los cambios delta y los envfa a la base de datos central. Utilice la opcion del
rastreador/RSS para recopilar informacion de software del registro de Windows. (Esta opcion no se
aplica a los dispositivos Linux.)
3. En el servidor central, haga clic en Inicio > Todos los programas > IVANTI > Servicios de
configuracion de IVANTI.
1239
IVANTI ENDPOINT MANAGER
paquete mayor. por lo que requiere un menor numero de paquetes y se reduce el uso del ancho de
banda. (No se utiliza la compresion de rastreo en los dispositivos Linux.)
1240
GUÍA DE USUARIO
Los rastreos de inventario en dispositivos Windows se cifran (solo los rastreos de TCP/IP). Para
desactivar el cifrado del rastreo de inventario, cambie una opcion en Configuracion de servicios.
1. En el servidor central, haga clicen Inicio > Todos los programas > IVANTI > Servicios de
configuracion de IVANTI.
2. Haga clic en la pestana Inventario y luego en Configuracion avanzada.
NOTE: Si ha agregado un dispositivo a la base de datos central utilizando la herramienta de deteccion, los datos
de su inventario aun no se han rastreado en la base de datos central. Debe ejecutar un rastreo de inventario en
el servidor para que la funcion Inventario resumen finalice correctamente.
2. En el cuadro de herramientas, haga clic en Informacion del sistema > Resumen del sistema.
Datos de resumen
1241
IVANTI ENDPOINT MANAGER
Los dispositivos habilitados para IPMI muestran datos adicionales espedficos a IPMI. Los
dispositivos Linux tambien muestran information adicional en la vista de Resumen.
Un inventario completo proporciona una lista entera de los componentes detallados de hardware y
software de un dispositivo. Dicha lista contiene objetos y atributos de objeto.
En la lista de inventario, puede ver las propiedades de los atributos de los objetos de inventario de
un dispositivo. Estas propiedades le informaran de las caractensticas y valores de un objeto de
inventario. Puede ademas crear atributos personalizados y modificar otros definidos por el usuario.
1242
GUÍA DE USUARIO
En la consola del Monitor e inventario en tiempo real, puede ver y modificar la informacion del
sistema del dispositivo. La informacion en las categories de Hardware, Software, Registros y Otras
son datos almacenados o datos de tiempo real. Si hace clic en un enlace de informacion, podra ver
informacion detallada sobre el componente seleccionado y en los casos correspondientes, definir
umbrales y especificar informacion.
1. En la vista de Todos los dispositivos de la consola Web, haga doble clic en un dispositivo.
1243
IVANTI ENDPOINT MANAGER
Para iniciar una sesion en un servidor central en un entorno de varios servidores centrales
Notas
• Para completar de forma correcta la configuracion completa del cliente, utilice la URL del
servidor central. En caso contrario, no funcionara la configuracion.
• Le puede resultar util agregar entradas para cada servidor central en el menu de Favoritos
del navegador. Esto facilita el intercambio entre servidores centrales.
Cuando utilice un servidor de consola Web que no se encuentra en el servidor central o si desea
utilizar grupos de dominio dentro del grupo de IVANTI Endpoint Manager en el servidor central, hay
una configuracion adicional de servidor que debe realizar para que funcione correctamente la
autenticacion de Endpoint Manager. Los servidores de la consola Web deben obtener la informacion
de conexion de la base de datos y la informacion del servidor central, pero debido a que los
servidores de consola Web utilizan las credenciales Web sin personalizar en IIS, no se pueden
comunicar de forma directa con el servidor central.
Para resolver este problema, el servidor de la consola Web y el servidor central utilizan una
aplicacion COM+ para comunicarse mediante HTTPS, lo que permite al servidor de la consola Web
obtener la informacion de usuario y la base de datos del servidor central. Necesita configurar esta
aplicacion COM+ en el servidor de la consola Web para utilizar una cuenta que tenga los derechos
necesarios, como la cuenta del administrador de dominio. La cuenta que proporcione debe
pertenecer al grupo de IVANTI Endpoint Manager del servidor central (esto le permite el acceso a la
informacion de conexion de base de datos del servidor central) y necesita tener derechos para
enumerar miembros de dominio de Windows.
Si utiliza grupos de dominio dentro del grupo de IVANTI Endpoint Manager del servidor central,
Endpoint Manager tambien necesita tener la capacidad de enumerar los miembros de dominio de
Windows. En este caso, tambien debe proporcionar una cuenta para la aplicacion IVANTI1 COM +
del servidor central.
Para configurar la aplicacion IVANTI1 COM+ en un servidor central o de consola Web remota
3. Haga clic en Servicios de componentes > Equipos > Mi equipo > Aplicaciones COM+.
4. Haga clic con el boton derecho en la aplicacion IVANTI1 COM+ y seleccione Propiedades.
5. En la pestana Identidad, introduzca las credenciales que desea utilizar.
6. Haga clic en Aceptar.
1244
GUÍA DE USUARIO
Inventario Manager
Administrador de inventario de IVANTI
IVANTI Inventario Manager es una version de IVANTI Endpoint Manager 9 que contiene solamente
las caractensticas relacionadas con el inventario:
Cuando selecciona el boton Aceptar, todos los dispositivos de destino seleccionados se actualizan
con la nueva configuracion y aparece un mensaje de estado.
• Tftulo: escriba un tftulo descriptivo del informe.
• Description: agregue cualquier otra informacion descriptiva del informe.
• Cargar desde la consulta de LDMS: seleccione una consulta de Endpoint Manager y util^cela
como base de un nuevo informe.
• Vista previa: vea el informe con las opciones que selecciono en este cuadro de dialogo.
• Regreso al informe principal: si esta viendo un informe secundario, regrese al informe
principal que inicio el informe secundario.
• Mostrar u Ocultar la barra lateral: Activar o desactivar el panel de la barra lateral, el cual
1245
IVANTI ENDPOINT MANAGER
muestra las opciones de busqueda yde parametros, y la vista de mapa del documento.
• Configuracion de pagina: cambiar la configuracion de la pagina, la orientacion y los ajustes
de margen.
Acerca del Antivirus: Pagina de cuarentena/copia de seguridad
Utilice esta pagina para configurar el tamano de la carpeta de cuarentena/copia de seguridad y las
opciones de restauracion de objetos que desee que esten disponibles para los usuarios finales.
NOTA: Los archivos en cuarentena se vuelven a analizar automaticamente con las ultimas
definiciones de virus, siempre que se ejecute un analisis a peticion o que se actualicen
archivos de patrones de antivirus en los dispositivos para ver si se pueden limpiar los
objetos infectados. Si un archivo en cuarentena puede limpiarse, este se restaura
automaticamente y se notifica al usuario.
NOTA: Cuando se detecta una infeccion por virus, primero se hace una copia del archivo
infectado (con una extension * *.bak en la carpeta \LDClient\Antivirus\) y luego se limpia. Si
no puede desinfectarse, el archivo original se mueve a la carpeta cuarentena (con una
extension *.qar en la carpeta \LDClient\Antivirus). Luego se quita la cadena del virus y se
codifica el archivo para que no se pueda acceder a el ni ejecutarlo.
• Permitir abrir desde aplicaciones/cuentas administradas a no administradas: permite al
usuario cambiar de aplicaciones o cuentas no administradas desde una aplicacion o cuenta
administrada. Por ejemplo, si la aplicacion de correo electronico se administra pero la del
explorador, no, el usuario podna hacer clic en un vrnculo del correo electronico que
iniciana el explorador.
Acerca del Antivirus: Pagina de cuarentena/copia de seguridad
Utilice esta pagina para configurar el tamano de la carpeta de cuarentena/copia de seguridad y las
opciones de restauracion de objetos que desee que esten disponibles para los usuarios finales.
1246
GUÍA DE USUARIO
NOTA: Los archivos en cuarentena se vuelven a analizar automaticamente con las ultimas
definiciones de virus, siempre que se ejecute un analisis a peticion o que se actualicen
archivos de patrones de antivirus en los dispositivos para ver si se pueden limpiar los
objetos infectados. Si un archivo en cuarentena puede limpiarse, este se restaura
automaticamente y se notifica al usuario.
NOTA: Cuando se detecta una infeccion por virus, primero se hace una copia del archivo
infectado (con una extension * *.bak en la carpeta \LDClient\Antivirus\) y luego se limpia. Si
no puede desinfectarse, el archivo original se mueve a la carpeta cuarentena (con una
extension *.qar en la carpeta \LDClient\Antivirus). Luego se quita la cadena del virus y se
codifica el archivo para que no se pueda acceder a el ni ejecutarlo.
• Tiene un deposito para el registro de eventos del sistema (SEL)
1247