Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Queda prohibida la reproducción, transmisión, transcripción, almacenamiento en un sistema de recuperación o traducción a ningún idioma, de este
documento o parte del mismo, de ninguna forma ni por ningún medio, sin el consentimiento previo por escrito de McAfee, Inc., sus proveedores o sus
empresas filiales.
INFORMACIÓN DE LICENCIA
Acuerdo de licencia
AVISO A TODOS LOS USUARIOS: LEA DETENIDAMENTE EL ACUERDO LEGAL CORRESPONDIENTE A LA LICENCIA QUE HA ADQUIRIDO, QUE ESTIPULA
LOS TÉRMINOS Y CONDICIONES GENERALES PARA EL USO DEL SOFTWARE CON LICENCIA. SI NO SABE QUÉ TIPO DE LICENCIA HA ADQUIRIDO,
CONSULTE LOS DOCUMENTOS DE VENTA Y OTROS DOCUMENTOS RELACIONADOS CON LA CONCESIÓN DE LA LICENCIA O CON LA ORDEN DE COMPRA
QUE ACOMPAÑAN AL PAQUETE DE SOFTWARE, O QUE HAYA RECIBIDO POR SEPARADO COMO PARTE DE LA COMPRA (POR EJEMPLO, UN MANUAL, UN
ARCHIVO DEL CD DEL PRODUCTO O UN ARCHIVO DISPONIBLE EN EL SITIO WEB DESDE EL QUE DESCARGÓ EL PAQUETE DE SOFTWARE). SI NO
ACEPTA TODOS LOS TÉRMINOS DESCRITOS EN EL ACUERDO, NO INSTALE EL SOFTWARE. SI PROCEDE, PUEDE DEVOLVER EL PRODUCTO A MCAFEE O
AL LUGAR DONDE LO ADQUIRIÓ CON EL FIN DE OBTENER SU REEMBOLSO ÍNTEGRO.
Prefacio 5
Acerca de esta guía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Destinatarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Convenciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Búsqueda de documentación del producto . . . . . . . . . . . . . . . . . . . . . . . . 6
A Despliegue del software McAfee Data Loss Prevention Endpoint con SMS 37
Creación de un paquete de instalación . . . . . . . . . . . . . . . . . . . . . . . . . 37
Creación de un anuncio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Creación del paquete de desinstalación de SMS . . . . . . . . . . . . . . . . . . . . . 39
Creación de un paquete de desinstalación de SMS para su ejecución desde una línea de comando
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
Índice 53
Información detallada para la instalación, verificación y configuración del software McAfee DLP
Endpoint.
En esta guía se proporciona la información necesaria para instalar el software McAfee® Data Loss
Prevention Endpoint. Incluye pasos detallados y procedimientos de verificación del proceso de
instalación. En la guía se demuestra cómo configurar la arquitectura recomendada; una vez finalizado
el proceso, el usuario tendrá una implementación del software McAfee DLP Endpoint completamente
funcional configurada adecuadamente.
El software McAfee DLP Endpoint es muy flexible a la hora de ajustarse a variadas arquitecturas de
implementación. Reconocemos que son muchas las posibilidades de configuración existentes, y que la
arquitectura recomendada representa sólo una de ellas.
Contenido
Acerca de esta guía
Búsqueda de documentación del producto
Destinatarios
La documentación de McAfee se investiga y escribe cuidadosamente para sus destinatarios.
La información de esta guía va dirigida principalmente a:
Convenciones
En esta guía se utilizan las convenciones tipográficas y los iconos siguientes.
Procedimiento
1 Vaya a McAfee Technical Support ServicePortal en http://mysupport.mcafee.com.
McAfee® Data Loss Prevention Endpoint (McAfee DLP Endpoint) protege a las empresas frente a los
riesgos asociados con la transferencia de datos sin autorización desde dentro o fuera de la organización.
El software McAfee DLP Endpoint es una solución de endpoint basada en contenido que supervisa las
acciones de los usuarios de la empresa que afectan al contenido de carácter confidencial en su propio
entorno de trabajo y en sus equipos. Utiliza tecnología de descubrimiento avanzada, así como
diccionarios predefinidos para la identificación de este contenido, e incorpora administración de
dispositivos y cifrado de capas adicionales de control.
El software McAfee DLP Endpoint impide la transmisión de datos confidenciales desde equipos de
sobremesa y desde portátiles, estén o no conectados a la red de la empresa. Protege frente a la fuga
de datos con independencia del formato en que éstos se almacenen o manipulen.
El software McAfee DLP Endpoint se gestiona desde la consola de administración McAfee® ePolicy
Orchestrator® (McAfee ePO™).
Contenido
Instalación recomendada
Selección de una configuración de McAfee DLP
Instalación compatible con versiones anteriores
Instalación recomendada
La instalación recomendada para el software McAfee Data Loss Prevention Endpoint versión 9.x es en
un único servidor junto con McAfee ePO y la base de datos de McAfee ePO. El servicio WCF de McAfee
DLP puede instalarse en un servidor independiente de la base de datos de McAfee ePO.
• Servidor de McAfee ePO: alberga las interfaces incrustadas, (McAfee DLP Monitor y consola de
directivas de McAfee DLP Endpoint) y se comunica con los McAfee Agent.
• Informes de McAfee ePO: lista de eventos de McAfee DLP Endpoint dentro del servicio de generación
de informes de ePolicy Orchestrator.
• Analizador de eventos de DLP: recopila eventos de McAfee DLP Endpoint procedentes del
Analizador de eventos de ePolicy Orchestrator y los almacena en tablas en la base de datos de
SQL.
• Estación de trabajo del administrador: accede a ePolicy Orchestrator, al McAfee DLP Monitor y
a la consola de directivas de McAfee DLP Endpoint en un navegador a través del servicio WCF de
McAfee DLP.
• Estación de trabajo gestionada: aplica las directivas de seguridad mediante el software siguiente:
• McAfee DLP Endpoint : complemento de McAfee Agent que proporciona los procesos de DLP.
Destinos Web No Sí
Repositorio de lista blanca Sí Sí
Administración de
dispositivos
Clases de dispositivos Sí Sí
Definiciones de dispositivos Sí Sí
Reglas de dispositivos Sí Sí
Aplicaciones admitidas Sí Sí
Asignación de directivas
Grupos de asignación de Sí Sí
usuarios
Usuarios con permisos Sí Sí
Gestión de derechos y
cifrado
Reglas de marcado No Sí
McAfee DLP Endpoint versión 9.2 utiliza un formato de directiva XML estandarizado, presentado en la
versión 9.0. Este formato es más intuitivo y facilita la integración con otras aplicaciones de ePolicy
Orchestrator. Como resultado, la opción de compatibilidad con versiones anteriores, que permite la
comunicación tanto con agentes antiguos como nuevos, tiene cinco niveles:
• Sin compatibilidad (todos los agentes son de la versión 9.2)
La opción de compatibilidad "Agente de DLP 3.0.5 o versión actual" hace referencia a un HotFix
concreto. A menos que sepa concretamente que está usando este HotFix, seleccione la compatibilidad
del Agente de DLP 3.0 para todos los agentes de versión 3.x.
Contenido
Verificación de requisitos de sistema
Configuración del servidor
Instalación de McAfee ePolicy Orchestrator
Instalación del servicio WCF de McAfee DLP
Antes de instalar la extensión
Instalación de la extensión de McAfee Data Loss Prevention Endpoint
Trabajo en un entorno de clúster
Red LAN de 100 Mbits para todas las estaciones de trabajo y el servidor de McAfee ePO
• Es preciso que los sistemas endpoint puedan acceder al puerto 8731 del
servidor en el que se ejecute el Servicio WCF.
• Los administradores que ejecuten el Supervisor de eventos deben tener
acceso al puerto 8731 del servidor en el que se ejecute el Servicio WCF.
El usuario que instale el software McAfee DLP Endpoint en los servidores debe ser miembro del grupo
de administradores locales.
Sistema de ayuda de McAfee ePO Descargue la extensión de ayuda de McAfee DLP Endpoint 9.2.
Microsoft SQL Server 2005 o 2008, Advanced Express o Enterprise, (32 o 64 bits)
El paquete del software McAfee DLP Endpoint versión 9.2 incluye lo siguiente:
• McAfee Data Loss Prevention Endpoint (complemento McAfee Agent)
• Extensión de McAfee DLP Endpoint (contiene los componentes instalados a través de ePolicy
Orchestrator)
Procedimiento
1 Instale Microsoft Windows Server 2003 SP1 o Windows Server 2008. Consulte los Requisitos del
sistema para sistemas compatibles con Windows.
2 Instale Windows Installer 3.0 (Windows 2003) o 4.5 (Windows 2008) y reinicie el sistema. Instale
los Service Packs de Microsoft Windows.
• En Windows 2008, abra el Administrador del servidor y, seguidamente, seleccione Configurar ESC
de Internet Explorer en la sección Información de seguridad.
Este producto de Microsoft puede dificultar la correcta instalación de los componentes de McAfee
DLP Endpoint. Desactívelo antes de la instalación y, en caso necesario, vuelva a configurarlo cuando
finalice.
Recomendamos que para la prueba inicial se utilice una subred distinta a la red de producción de la
empresa. Si va a configurar un entorno de producción, defina la dirección IP fija del servidor dentro
de ese intervalo.
Algunas secuencias de comandos de instalación requieren que la cuenta SERVICIO DE RED tenga
permiso de escritura para la carpeta C:\Windows\Temp. En sistemas seguros, esta carpeta puede estar
bloqueada. En ese caso, deben cambiarse temporalmente los permisos para esa carpeta. Si no se hace,
la instalación no se realizará correctamente. Recomendamos llevar a cabo todas las instalaciones de
software antes de restablecer los permisos.
Cuenta de servidor Recomendamos utilizar una cuenta de SQL Server. Si lo prefiere, también
de base de datos puede utilizar una cuenta de NT.
2 Durante la instalación, es posible que aparezca un mensaje de advertencia sobre los sitios de
confianza. Anote los nombres de los sitios de confianza que desea añadir a la lista correspondiente
en Microsoft Internet Explorer antes de hacer clic en Aceptar. Tendrá que agregarlos más adelante.
Cuando la consola de directivas de McAfee DLP Endpoint intenta conectarse a WCF, suplanta al usuario
que ha iniciado sesión. Una vez autenticado el nombre de usuario, WCF comprueba si el usuario es
miembro del WAAG antes de conectarse a la base de datos.
El usuario debe estar definido en la base de datos de SQL. Consulte Incorporación de un usuario en
SQL Server.
Antes de empezar
Antes de instalar el servicio WCF de McAfee DLP, cree un usuario en Microsoft SQL Server.
Debe hacer esto incluso si va a utilizar autenticación de Windows.
Procedimientos
• Incorporación de un usuario en Microsoft SQL Server en la página 19
Para utilizar la autenticación de SQL o de Windows con WCF y con la base de datos de
ePolicy Orchestrator, se debe definir un usuario autorizado en la base de datos de MS SQL.
El usuario autorizado puede ser un usuario de Windows o un usuario de SQL.
Normalmente, se crea una cuenta con permisos mínimos para ejecutar WCF.
• Ejecución del instalador WCF de McAfee DLP en la página 20
El servicio Windows Communication Foundation (WCF) de McAfee DLP se usa para la
comunicación entre ePolicy Orchestrator, McAfee DLP Endpoint y el McAfee DLP Monitor.
Para realizar este procedimiento, debe tener instalado Microsoft SQL Server Management Studio. Si
utiliza Microsoft SQL Server Express, debe instalar la versión Express de Management Studio. El
administrador que realice el procedimiento debe tener derechos de administrador del sistema en los
servidores implicados.
Procedimiento
1 Abra SQL Server Management Studio (Express) y conéctese a la instancia de EPOSERVER.
2 En el Explorador de objetos, haga clic con el botón derecho en el nombre de la base de datos y
seleccione Propiedades.
3 En la página de seguridad, seleccione Modo de autenticación de Windows o Modo de autenticación de SQL Server y
de Windows, en función del tipo de autenticación que quiera usar. Haga clic en Aceptar.
4 Vaya a Seguridad | Inicios de sesión. Haga clic con el botón derecho del ratón en la página Inicios de
sesión y seleccione Nuevo inicio de sesión.
5 En la página General del cuadro de diálogo Propiedades de inicio de sesión, seleccione Autenticación
de SQL Server o Autenticación de Windows y escriba un nombre de inicio de sesión. Establezca la base de
datos predeterminada en ePO4_SERVER. La aplicación de una directiva de contraseña es opcional.
6 En la página General del cuadro de diálogo Propiedades de inicio de sesión, seleccione Autenticación
de SQL Server y escriba el nombre de inicio de sesión ndlpuser y una contraseña. Defina la base de
datos predeterminada como ePO4_SERVER y el idioma predeterminado como Inglés. Haga clic en
Aceptar.
10 Vaya a Bases de datos | ePO4_SERVER | Seguridad | Usuarios. Haga doble clic en el nombre de usuario de
inicio de sesión.
11 En la página Protegibles, haga clic en Agregar. Seleccione Objetos específicos y haga clic en Aceptar.
12 En el cuadro de diálogo Seleccionar objetos, haga clic en Tipos de objeto y seleccione Bases de datos.
Haga clic en Aceptar.
13 Haga clic en Examinar. Seleccione [ePO4_SERVER] y haga clic en Aceptar dos veces.
14 Si no ve los seis permisos efectivos, examine la lista de permisos explícitos para localizarlos y
otorgarlos. Haga clic en Aceptar. Repita los pasos 7 a 11 para verificar los Permisos efectivos.
Al instalar o ampliar el software McAfee DLP Endpoint, debe ampliar el servicio de McAfee DLP Windows
Communication Foundation a la versión más reciente. De no ampliar el servicio WCF de McAfee DLP,
pueden producirse errores al tratar de guardar la directiva global en la base de datos de informes o al
actualizar las credenciales de la base de datos. Para impedir esto, la nueva versión comprueba las
versiones de servidor y cliente y muestra un mensaje de error en caso de que no coincidan.
Añada el usuario conectado a la base de datos de Microsoft SQL como un usuario de Windows o de
SQL, en función de la forma de autorización que piense usar. Cierre la sesión de ePolicy Orchestrator.
Procedimiento
1 Localice y ejecute el archivo del instalador de McAfee DLP, WCFServiceInstaller.msi.
Verifique que la versión del instalador del servicio Windows Communication Foundation de McAfee
DLP coincide con la versión del software McAfee DLP Endpoint que está instalando.
2 En el paso 4 del asistente de instalación (Configuración del servicio WCF), realice lo siguiente:
a Use el valor predeterminado Puerto de servidor de WCF. Si debe cambiar el puerto del servidor, pida
instrucciones a su representante de McAfee.
b Recomendamos configurar un grupo o grupos en Windows Active Directory con los nombres de
usuarios autorizados a iniciar sesión en la base de datos. Debe cambiar la entrada
predeterminada de Grupos autorizados a acceder a la Web de Todos para un grupo o usuario con acceso
autorizado, tal como se describe en Opciones e instalación de WCF.
3 En el paso 5 del asistente de instalación (base de datos de Microsoft SQL), realice lo siguiente:
a Revise las opciones predeterminadas de Servidor de base de datos y Nombre de base de datos. Escriba
otros valores si es necesario.
b Seleccione Autenticación de Windows o Autenticación de SQL y rellene los campos que estén relacionados.
Para solucionar cualquier problema del servicio WCF de McAfee DLP, utilice la página del navegador
http://localhost:8731/DLPWCF/Admin/Testing.
No ejecute esta página de prueba antes de instalar la suite de software McAfee DLP Endpoint en McAfee
ePolicy Orchestrator. Las pruebas no resultarán satisfactorias si la base de datos de McAfee DLP
Endpoint no está instalada aún.
Proponemos las siguientes rutas y nombres de carpetas, y los siguientes nombres de recursos
compartidos, pero puede crear otros según las necesidades de su propio entorno.
• c:\dlp_resources\
• c:\dlp_resources\Pruebas
• c:\dlp_resources\Listablanca
• Carpeta Pruebas: determinadas reglas de protección permiten almacenar pruebas, por lo que
debe designar con antelación dónde situarlas. Por ejemplo, cuando se bloquea un mensaje de
correo electrónico, se puede incluir una copia del mensaje en la carpeta Pruebas.
• Carpeta Lista blanca: las huellas digitales de texto que debe omitir DLP Endpoint se colocan en
una carpeta repositorio de la lista blanca. Un ejemplo sería el texto repetitivo, como las notas de
descargo de responsabilidad o derechos de autor. El software McAfee DLP Endpoint ahorra tiempo
al omitir estos fragmentos de texto que se sabe que no incluyen contenido de carácter confidencial.
Funciones y permisos
Piense en las funciones de administrador que necesita para gestionar el sistema y cree los perfiles de
usuario necesarios. Es posible que se necesiten funciones tales como administradores de McAfee DLP,
creadores de directivas, visores de monitores, marcadores manuales y otras, dependiendo del tamaño
del sistema y de la centralización que desee para el control. El sistema se puede modificar en
cualquier momento, por lo que la lista no tiene que estar completa.
Véase también
Creación y definición de conjuntos de permisos en la página 42
Creación y definición de administradores de McAfee DLP en la página 41
Procedimientos
• Configuración de carpetas en Windows 2003 Server en la página 23
La configuración de las carpetas de repositorio en Windows 2003 Server requiere una
configuración de seguridad específica.
• Configuración de carpetas en Windows 2008 Server en la página 24
La configuración de las carpetas de repositorio en Windows 2008 Server requiere una
configuración de seguridad específica.
Antes de empezar
Cree las carpetas de pruebas y de la lista blanca, como se describe en Antes de instalar la
extensión.
Ambas carpetas se configuran del mismo modo. Repita esta tarea para cada carpeta.
Procedimiento
1 Haga clic con el botón derecho del ratón en el icono de la carpeta de pruebas/carpeta de la lista
blanca y seleccione Uso compartido y seguridad.
2 En el cuadro de diálogo que aparece, seleccione Compartir esta carpeta. Cambie el Nombre del recurso
compartido a pruebas$/listablanca$.
4 En la ficha Permisos del cuadro de diálogo Configuración de seguridad avanzada de pruebas, desactive Permitir
permisos heredables.
5 Haga clic en Eliminar. La ficha Permisos del cuadro de diálogo Configuración de seguridad avanzada
muestra todos los permisos eliminados excepto los de los administradores.
Es necesario establecer permisos para los administradores de la carpeta de la lista blanca. Para la
carpeta de pruebas es opcional, pero pueden añadirse como medida de seguridad. También puede
añadir permisos tan sólo para los administradores que desplieguen directivas.
6 Haga doble clic en la entrada Administradores para abrir el cuadro de diálogo Entrada de permiso. Cambie
la opción Aplicar en a Esta carpeta, subcarpetas y archivos. Haga clic en Aceptar.
8 En el cuadro de texto Escriba el nombre de objeto para seleccionar, escriba Domain Computers (Equipos del
dominio) y, a continuación, haga clic en Aceptar para abrir el cuadro de diálogo Entrada de permiso para.
Compruebe que la opción Aplicar en es Esta carpeta, subcarpetas y archivos y, a continuación, haga clic en
Aceptar.
El cuadro de diálogo Configuración de seguridad avanzada incluye ahora Equipos del dominio.
Antes de empezar
Cree las carpetas de pruebas y de la lista blanca, como se describe en Antes de instalar la
extensión.
Ambas carpetas se configuran del mismo modo. Repita esta tarea para cada carpeta.
Procedimiento
1 Haga clic con el botón derecho del ratón en la carpeta de pruebas/lista blanca y seleccione Permisos.
2 Seleccione la ficha Uso compartido y, a continuación, haga clic en Uso compartido avanzado. Seleccione
la opción Compartir esta carpeta y haga clic en Aplicar.
5 En la ficha Permisos, anule la selección de la opción Incluir permisos heredables del ascendiente del objeto.
La ficha Permisos del cuadro de diálogo Configuración de seguridad avanzada muestra todos los
permisos eliminados.
8 En el cuadro de texto Escriba el nombre de objeto para seleccionar, escriba Domain Computers (Equipos del
dominio) y, a continuación, haga clic en Aceptar.
Compruebe que la opción Aplicar en es Esta carpeta, subcarpetas y archivos y, a continuación, haga clic en
Aceptar.
El cuadro de diálogo Configuración de seguridad avanzada incluye ahora Equipos del dominio.
Es necesario añadir administradores para la carpeta de la lista blanca. Para la carpeta de pruebas es
opcional, pero pueden añadirse como medida de seguridad. También puede añadir permisos tan sólo
para los administradores que desplieguen directivas.
Antes de empezar
Si utiliza McAfee ePolicy Orchestrator 4.6, desplácese a Menú | Software | Administrador de software
para ver, descargar e instalar el software y los módulos de ayuda de McAfee Data Loss
Prevention.
La instalación predeterminada es una licencia de 90 días para el software McAfee Device Control. Si
adquirió una licencia para la versión completa del software McAfee Data Loss Prevention Endpoint,
deberá actualizar la licencia tras completar la instalación.
Procedimiento
1 En ePolicy Orchestrator, seleccione Menú | Software | Extensiones y, a continuación, haga clic en Instalar
extensión.
2 Haga clic en Examinar y seleccione el archivo .zip de McAfee DLP Endpoint (..\HDLP_Extension_9_2
_0_xxx.zip). Haga clic en Abrir y, a continuación, en Aceptar.
El cuadro de diálogo de instalación muestra los parámetros de archivo para verificar que está
instalando la extensión correcta.
4 Vuelva a hacer clic en Instalar extensión, en Examinar y seleccione el archivo .zip de la ayuda (...help
_dlp_920.zip). Haga clic en Abrir y, a continuación, en Aceptar.
Este archivo contiene la extensión de McAfee DLP Endpoint para el sistema de ayuda de ePO.
• Hay configuradas dos unidades independientes para la agrupación: una unidad de quórum y una
unidad de datos.
• Existe un servidor de bases de datos compatible (SQL 2005 o SQL 2008) en la red.
Procedimiento
1 Reinicie el sistema que funcione como nodo activo.
El nodo pasivo se convierte automáticamente en nodo activo.
2 Inicie sesión en McAfee ePolicy Orchestrator, abra Protección de datos | Directiva de DLP y haga clic en
Aplicar para aplicar la directiva.
Si la pantalla de aplicación de directivas finaliza correctamente, puede concluir que el clúster de
DLP ha seguido en funcionamiento durante la conmutación en caso de error.
Son varios los pasos precisos para completar la instalación del software McAfee Data Loss Prevention
Endpoint. Debe configurar la consola de directivas McAfee DLP Endpoint y el McAfee DLP Monitor,
instalar el software McAfee DLP Endpoint en los equipos gestionados, desplegar una directiva de
prueba y verificar la instalación.
Contenido
Inicialización de la consola de directivas de DLP
Ampliación de la licencia
Inicialización del McAfee DLP Monitor
Incorporación del paquete McAfee DLP Endpoint en ePolicy Orchestrator
Despliegue de McAfee DLP Endpoint
El asistente puede ejecutarse en cualquier momento mediante la selección del Asistente Inicialización en el
menú Herramientas de la consola de directivas de McAfee DLP Endpoint.
Procedimiento
1 En la consola de ePolicy Orchestrator, seleccione Menú | Protección de datos | Directiva de DLP.
Se ejecuta el instalador de las herramientas de administración de McAfee DLP Endpoint y, tras una
breve demora, aparecerá la pantalla de Bienvenida del asistente Instalación de Herramientas de administración
de DLP. Realice los pasos del asistente.
2 Una vez finalizada la instalación de las herramientas de administración de McAfee DLP Endpoint,
comienza la carga de la consola de directivas de McAfee DLP Endpoint. Si ya dispone de una
directiva, se le pedirá que la convierta al nuevo formato XML estándar. Haga clic en Convertir y vaya
al paso 4.
3 Si no existe ninguna directiva anterior, aparecerá el mensaje La directiva global de DLP no está disponible.
Cargando una directiva predeterminada. Haga clic en Aceptar para continuar.
4 Cuando aparezca el mensaje Configuración de agente no disponible. Cargando un agente predeterminado, haga clic
en Aceptar.
5 Cuando aparezca el asistente Primera inicialización de la consola de directivas de McAfee DLP Endpoint,
realice los siguientes pasos:
Opción Descripción
Esta opción no estará disponible hasta que actualice su instalación del software McAfee
Data Loss Prevention Endpoint a la versión completa.
Para la solución de problemas, cuando sea necesario revisar una versión de fácil lectura
de la directiva, seleccione Generar directiva detallada. Para la mayoría de las instalaciones,
recomendamos dejar estas casillas de verificación sin seleccionar.
En organizaciones muy grandes en las que la puesta en servicio de McAfee DLP Endpoint
9.2 se realice por fases, las versiones anteriores del complemento deben coexistir.
Seleccione el Modo de compatibilidad con versiones anteriores apropiado:
• Sin compatibilidad (todos los agentes son de la versión 9.2)
La opción de compatibilidad Agente de McAfee DLP Endpoint 3.0.5 o versión actual hace
referencia a un HotFix concreto. A menos que sepa concretamente que está usando este
HotFix, seleccione la compatibilidad del Agente de DLP 3.0 para todos los equipos endpoint
de versión 3.x.
3 de 8
Este paso no está disponible al instalar McAfee Device Control
Opción Descripción
Escriba los nombres de usuario o haga clic en Agregar para buscar los nombres de usuario
(opcional). Haga clic en Siguiente.
6 Aparecerá el cuadro de diálogo del asistente Inicialización con el mensaje ¿Aplicar la configuración inicial?
• Si no ha omitido ninguno de los pasos obligatorios, puede hacer clic en Sí y aplicar la directiva
inicial.
• Si ha omitido alguno de los pasos obligatorios, haga clic en No para completar la inicialización.
Ampliación de la licencia
El software McAfee DLP Endpoint viene en dos versiones, McAfee Device Control y la versión completa
de McAfee Data Loss Prevention Endpoint con dos opciones de licencia para cada una de ellas: 90 días
de prueba y por tiempo ilimitado. La instalación predeterminada es McAfee Device Control con una
licencia de prueba de 90 días.
Antes de empezar
Antes de comenzar esta tarea, adquiera su licencia de ampliación y consiga una clave de
activación de su representante de ventas de McAfee.
Procedimiento
1 En la barra de menús de la consola de directivas de McAfee DLP Endpoint, seleccione Ayuda |
Actualizar licencia.
La ventana Ver y actualizar licencia muestra la clave de activación (predeterminada) actual y la fecha de
caducidad.
Aparecerá un mensaje de advertencia indicando que debe iniciar una sesión de nuevo para que
surta efecto el cambio.
4 Haga clic en Aceptar para cerrar el cuadro de mensaje, y en Cerrar para cerrar la ventana de
actualización de licencia y, a continuación, cierre la sesión en ePolicy Orchestrator.
6 En el menú Configuración de los agentes, seleccione Editar configuración global de los agentes.
7 Vaya a la ficha Seguimiento de archivos y seleccione Protección de contenido completo y control de dispositivos.
8 Vaya a la ficha Varios. Sólo se seleccionan los módulos de bloqueo de dispositivos, servicio de
mensajes emergentes del agente y generación de informes. Seleccione el resto de los módulos
para activarlos y haga clic en Aceptar.
No active módulos que no utilice. Aumentan el tamaño del agente de McAfee DLP Endpoint y
ralentizan el funcionamiento de forma innecesaria.
10 En ePolicy Orchestrator, realice una llamada de activación para desplegar los cambios de directiva
en las estaciones de trabajo.
Procedimiento
1 En McAfee ePolicy Orchestrator, seleccione Menú | Protección de datos | Supervisor de DLP.
La primera vez que selecciona el Supervisor de DLP, una ventana de advertencia solicita la ruta del
servidor de WCF.
3 Para una instalación estándar, acepte la opción predeterminada. Para una instalación compatible
con versiones anteriores, escriba la dirección del servicio WCF en el cuadro de diálogo y, a
continuación, haga clic en Aceptar.
Procedimiento
1 En la consola de McAfee ePolicy Orchestrator, seleccione Menú | Software | Repositorio principal.
Si está realizando una ampliación, se le indicará que el producto ya existe. Haga clic en Aceptar. El
nuevo paquete sustituye al antiguo.
Procedimientos
• Definición de una regla predeterminada en la página 32
Para comprobar que el software McAfee DLP Endpoint se haya desplegado correctamente,
recomendamos definir una regla predeterminada antes de desplegarlo en los equipos
gestionados.
• Despliegue de McAfee DLP Endpoint con ePolicy Orchestrator en la página 33
Antes de poder aplicar directivas, McAfee DLP Endpoint debe desplegarse en equipos
endpoint mediante ePolicy Orchestrator.
• Verificación de la instalación en la página 34
Después de instalar el software McAfee DLP Endpoint, conviene verificar la instalación en el
McAfee DLP Monitor.
• Desinstalación de McAfee DLP Endpoint en la página 34
El software McAfee Data Loss Prevention Endpoint está protegido frente a la eliminación no
autorizada. Existen dos métodos de eliminación autorizada.
Procedimiento
1 Cree una regla de clasificación:
a En el panel de navegación de la consola de directivas de McAfee DLP Endpoint, en Protección de
contenido, seleccione Reglas de clasificación.
b Haga clic con el botón derecho del ratón en la ventana Reglas de clasificación y seleccione Nuevo |
Regla de clasificación de contenido. Cambie el nombre de la regla "Regla de clasificación de correo
electrónico".
d En el paso 1 del asistente para la creación de reglas, seleccione cualquiera de las opciones (ANY
o ALL), desplácese por los patrones de texto y seleccione Dirección de correo electrónico. Haga clic en
Siguiente tres veces y omita el paso 4.
e En el paso 4 del asistente para la creación de reglas, haga clic en Nuevo para crear una nueva
categoría. Escriba Categoría de correo electrónico como nombre, haga clic en Aceptar para
validar la categoría nueva; a continuación, haga clic en Finalizar.
f Haga clic con el botón derecho del ratón en el icono de la regla y seleccione Activar.
b Haga clic con el botón derecho del ratón en la ventana Reglas de protección y seleccione Nuevo | Regla
de protección de almacenamiento extraíble.
d Haga clic en el paso 2 del asistente para la creación de reglas y agregue la Categoría de correo
electrónico creada al crear la regla de clasificación en la columna Incluido.
e Haga clic en el paso 7 del asistente para la creación de reglas. Seleccione Supervisor y haga clic
en Finalizar.
f Haga clic con el botón derecho del ratón en el icono de la regla y seleccione Activar.
3 En el menú Herramientas, haga clic en Ejecutar Analizador de directivas. Debe recibir advertencias, pero no
errores.
Si recibe errores, probablemente sean debidos a una inicialización incorrecta, por ejemplo a no
haber especificado una carpeta de pruebas o una contraseña de omisión. Puede volver a ejecutar la
inicialización desde el menú Herramientas para corregir esto.
Antes de empezar
McAfee Agent 4.6 o posterior debe instalarse en ePolicy Orchestrator y desplegarse en los
equipos de destino antes de desplegar McAfee DLP Endpoint. Consulte la documentación de
McAfee ePolicy Orchestrator para obtener información acerca de cómo comprobarlo e
instalarlo en caso necesario.
Procedimiento
1 En ePolicy Orchestrator seleccione Menú | Árbol de sistemas.
2 En el árbol de sistemas, seleccione el nivel en el que desea desplegar McAfee DLP Endpoint.
Al dejar el nivel en Mi organización se despliegan en todas las estaciones de trabajo gestionadas por
McAfee ePolicy Orchestrator.
3 Haga clic en la ficha Tareas cliente asignadas. En Acciones, seleccione Nueva asignación de tarea cliente.
4 En el campo Producto, seleccione McAfee Agent . En el campo Tipo de tarea, seleccione Despliegue de
producto. Haga clic en Crear nueva tarea.
5 En el campo Nombre, escriba un nombre apropiado, por ejemplo, Instalar DLP Endpoint. Escriba
una descripción (opcional).
6 En el campo Productos y componentes, seleccione Data Loss Prevention 9.2.0.x. El campo Acción se restablece
de forma automática a Instalar.
9 Revise el resumen de tareas. Cuando considere que todo está correcto, haga clic en Guardar. La
tarea queda programada para la siguiente vez que McAfee Agent actualice la directiva. Para que la
instalación se realice inmediatamente, realice una llamada de activación del agente.
10 Una vez desplegado McAfee DLP Endpoint, reinicie los equipos gestionados.
Verificación de la instalación
Después de instalar el software McAfee DLP Endpoint, conviene verificar la instalación en el McAfee
DLP Monitor.
Procedimiento
1 Seleccione Menú | Protección de datos | Supervisor de DLP.
Aparece el McAfee DLP Monitor con una lista de eventos, entre los que se encontrarán Eventos de
instalación del Agente.
• La desinstalación local mediante la función Agregar o quitar programas de Windows. Este método
requiere una clave de desafío/respuesta obtenida del administrador de McAfee DLP.
Procedimiento
1 En la consola de directivas de McAfee DLP Endpoint, seleccione Herramientas | Generar clave de
desinstalación del agente.
Este paso puede llevarse a cabo también con la herramienta de asistencia de McAfee DLP, usando
la pestaña de generación de clave de desinstalación.
4 Especifique la contraseña de la clave para omitir agente o seleccione Utilizar la contraseña de la directiva
actual. (Paso 3)
5 Haga clic en Generar clave para crear la clave de desinstalación para el usuario.
Este Código de autorización se envía al usuario para que lo introduzca en el cuadro de diálogo de
solicitud de omisión.
Los paquetes Microsoft System Management Server (SMS) pueden usarse para el despliegue del
software McAfee DLP Endpoint en los casos en los que no se desee, o no sea viable, efectuar el
despliegue con ePolicy Orchestrator.
Microsoft Systems Management Server (SMS) ofrece una solución integral para desplegar y gestionar
aplicaciones y sistemas operativos en equipos de sobremesa y servidores de Windows. Para las tareas
siguientes se da por supuesto que se trabaja en un entorno de Microsoft SMS 2003.
Contenido
Creación de un paquete de instalación
Creación de un anuncio
Creación del paquete de desinstalación de SMS
Creación de un paquete de desinstalación de SMS para su ejecución desde una línea de comando
Procedimiento
1 En la consola de Systems Management Server, haga clic con el botón derecho en Paquetes y
seleccione Nuevo | Paquete.
2 En la ficha General, escriba el Nombre del paquete (obligatorio), así como la Versión, el Editor y el Idioma
(opcional).
3 En la ficha Origen de datos, seleccione Este paquete contiene archivos de origen y haga clic en Establecer.
4 En la ventana Establecer directorio de origen de Ubicación del directorio de origen, seleccione el tipo de
conexión con los archivos de instalación en el directorio de origen. Escriba la ruta del directorio de
origen en el cuadro de texto y haga clic en Aceptar.
7 Haga clic con el botón derecho en Puntos de distribución y seleccione Nuevo | Punto de distribución.
Seleccione el servidor o los servidores que desee convertir en puntos de distribución para este
paquete y haga clic en Finalizar.
8 Haga clic con el botón derecho del ratón en Programas y seleccione Nuevo | Programa. Escriba el
nombre de la aplicación.
9 En el cuadro de texto Línea de comandos, escriba el ejecutable de línea de comandos de McAfee DLP,
por ejemplo:
.
El nombre del archivo .msi se extrae manualmente del archivo DLPAgentInstaller.x86.exe.
/forcerestart
/log <ArchivoRegistro>
10 En la ficha Entorno, seleccione Si un usuario ha iniciado sesión o no en la lista desplegable El programa se puede
ejecutar. Haga clic en Aceptar.
Compruebe que la opción Ejecutar con derechos de administrador esté seleccionada. La configuración del
software McAfee Data Loss Prevention Endpoint requiere derechos de administrador para que la
instalación se lleve a cabo correctamente.
Creación de un anuncio
Los paquetes de SMS se deben "anunciar". Así se crea el anuncio de un paquete de SMS.
Procedimiento
1 En la consola de Systems Management Server, haga clic con el botón derecho del ratón en Anuncios
y seleccione Nuevo | Anuncio. Escriba el nombre para el anuncio.
4 Haga clic en Examinar y seleccione la colección a la que se debe aplicar el paquete de instalación de
McAfee DLP; a continuación, haga clic en Aceptar.
Procedimiento
1 En la consola de Systems Management Server, haga clic con el botón derecho en Paquetes y
seleccione Nuevo | Paquete.
2 En la ficha General, escriba el Nombre del paquete (obligatorio), así como la Versión, el Editor y el Idioma
(opcional).
3 En la ficha Origen de datos, seleccione Este paquete contiene archivos de origen y haga clic en Establecer.
4 En la ventana Establecer directorio de origen de Ubicación del directorio de origen, seleccione el tipo de
conexión con los archivos de instalación en el directorio de origen. Escriba la ruta del directorio de
origen en el cuadro de texto y haga clic en Aceptar.
7 Haga clic con el botón derecho en Puntos de distribución y seleccione Nuevo | Punto de distribución.
Seleccione el servidor o los servidores que desee convertir en puntos de distribución para este
paquete y haga clic en Finalizar.
8 Haga clic con el botón derecho del ratón en Programas y seleccione Nuevo | Programa. Escriba un
nombre para el programa.
9 En el cuadro de texto Línea de comandos, escriba el ejecutable de línea de comandos de DLP, por ejemplo:
Procedimiento
1 En la consola de Systems Management Server, haga clic con el botón derecho en Paquetes y
seleccione Nuevo | Paquete.
2 En la ficha General, escriba el Nombre del paquete (obligatorio), así como la Versión, el Editor y el Idioma
(opcional).
3 En la ficha Origen de datos, desactive la casilla Este paquete contiene archivos de origen y haga clic en
Establecer.
b Haga clic en las entradas hasta encontrar DisplayName: Agente de McAfee DLP.
MsiExec.exe /X{287AAE25-B0F4-4E9E-A7FD-8EA81FF635E1}
<cadena de desinstalación>/qn/forcestart
Contenido
Creación y definición de administradores de McAfee DLP
Creación y definición de conjuntos de permisos
Opciones del conjunto de permisos sobre DLP
Procedimiento
Para ver las definiciones de las opciones, haga clic en ? en la interfaz.
El orden de creación de los conjuntos de permisos y usuarios no es crítico. Si crea primero usuarios,
los nombres de usuario aparecen en el formulario de conjuntos de permisos y puede adjuntarlos al
conjunto. Si crea primero conjuntos de permisos, los nombres de los conjuntos de permisos
aparecen en el formulario de usuario y puede adjuntar el usuario.
Procedimiento
Para ver las definiciones de las opciones, haga clic en ? en la interfaz.
El orden de creación de los conjuntos de permisos y usuarios no es crítico. Si crea primero usuarios,
los nombres de usuario aparecen en el formulario de conjuntos de permisos y puede adjuntarlos al
conjunto. Si crea primero conjuntos de permisos, los nombres de los conjuntos de permisos
aparecen en el formulario de usuario y puede adjuntar el usuario.
5 En el campo Data Loss Prevention (prevención de fuga de datos) del nuevo conjunto de permisos,
haga clic en Editar.
Para desactivar la función de redacción de datos confidenciales, seleccione El usuario puede ver el
Supervisor de DLP en la sección del supervisor.
Aunque la división de funciones suele ser opcional, si utiliza la función de redacción de datos
confidenciales debe crear unos conjuntos de permisos independientes para el revisor de supervisión y
para el administrador que pueden revelar los datos cifrados.
La instalación de ampliaciones es similar a la primera instalación, aunque hay que tener en cuenta los
puntos siguientes.
Contenido
Problemas de ampliación
Ampliación por fases
Ampliación del software McAfee DLP Endpoint
Restauración de la directiva después de la ampliación
Problemas de ampliación
La ampliación del software tiene consecuencias sobre la configuración de ePolicy Orchestrator y del
software McAfee DLP Endpoint. También obliga a ampliar el servicio WCF de McAfee DLP.
Analizador de eventos
Tras ampliar la suite de software McAfee DLP Endpoint en ePolicy Orchestrator, debe reiniciar el
Analizador de eventos de McAfee mediante Herramientas administrativas | Servicios.
Debe ampliar el servicio Windows Communication Foundation (WCF) de McAfee DLP a la versión más
reciente. Si no lo hace, se producirán mensajes de error al intentar guardar la directiva global en la
base de datos de informes o al actualizar las credenciales de la base de datos.
La inicialización de la consola de directivas de McAfee DLP Endpoint versión 9.2 tiene una opción de
compatibilidad con versiones anteriores que, cuando se selecciona, permite la comunicación con
agentes anteriores y nuevos. La compatibilidad con versiones anteriores puede establecerse como "sin
compatibilidad" (sólo McAfee DLP Endpoint 9.2), el agente de Host DLP 9.1 y posterior, el agente de
Host DLP 9.0 y posterior, o el agente de Host DLP 3.0 o posterior.
La opción de compatibilidad "Agente de Host DLP 3.0.5 o versión actual" hace referencia a un HotFix
concreto. A menos que sepa concretamente que está usando este HotFix, seleccione la compatibilidad
del Agente de Host DLP 3.0 para todos los agentes de versión 3.x.
Elementos no admitidos
Si la directiva contiene cualquiera de las opciones siguientes cuando se selecciona el modo de
compatibilidad con versiones anteriores, la directiva no se podrá aplicar a McAfee ePolicy Orchestrator.
Estos elementos no admitidos son acumulativos, es decir, la sección McAfee Data Loss Prevention
Endpoint 9.1 y superior muestra las funciones de la versión 9.2 no admitidas en la versión 9.1. En lo
que respecta a la compatibilidad con agentes de la versión 3.0, se aplican las tres secciones.
Modo de compatibilidad • Una definición de aplicaciones usa el hash del archivo ejecutable.
con versiones anteriores
de McAfee Data Loss • Una regla de marcado o clasificación usa el operador AND para patrones
Prevention 9.0 y de texto o diccionarios.
superior
• Una regla de descubrimiento tiene la acción de marca seleccionada.
• Una regla de protección de correo electrónico contiene un patrón de
texto de asunto (palabra clave de omisión).
• Una regla de protección de almacenamiento extraíble o sistema de
archivos tiene un tipo de documento adjunto (tipo de cifrado)
seleccionado.
• Una regla de almacenamiento extraíble, impresora, escritor de PDF/
imágenes o sistema de archivos tiene la acción Solicitar justificación
seleccionada.
• Una regla de protección o una regla de descubrimiento tiene
seleccionado Microsoft Rights Management o el tipo de archivo adjunto
no admitido.
• Una regla de marcado contiene un diccionario.
• Una regla de marcado contiene definiciones de encabezado/pie de página.
Para personalizar una consulta de muestra, recomendamos utilizar la opción Duplicar, para cambiar el
nombre de la consulta antes de modificarla. Para utilizar las nuevas consultas de muestra de Mis
consultas en un panel, utilice la opción Publicar. Si existe una consulta pública con el mismo nombre,
elimine o cambie el nombre de la consulta pública en primer lugar.
ePolicy Orchestrator necesita que todos los nombres de las consultas sean exclusivos. La primera vez
que instale el software McAfee DLP Endpoint en ePolicy Orchestrator, se instalarán las consultas de
muestra como Consultas públicas. Para verlas, seleccione Informes | Consultas, y desplace hacia abajo las
consultas que aparecen a la izquierda de la pantalla. Al ampliar McAfee DLP Endpoint, ePolicy
Orchestrator detecta que los nombres de las consultas de muestra ya están en uso y, en su lugar,
instala las muestras en Mis consultas. No obstante, para utilizar una consulta en un panel, debe tratarse
de una consulta pública.
Antes de comenzar
Antes de comenzar una ampliación, deberá hacer lo siguiente:
• Compruebe que todos los equipos estén listos para la ampliación. Puede comprobar la
versión de clinet de los equipos en la red en el panel DLP: Resumen de estado de McAfee ePolicy
Orchestrator. Busque en el informe DLP: Versión del agente para asegurarse de que todas las versiones
del producto sean McAfee DLP 3.0 Parche 1 o posterior.
Amplíe todos los agentes a McAfee Data Loss Prevention 3.0 Parche 1 o posterior. No se admiten
versiones de agentes anteriores.
• Guarde la configuración del agente y los grupos de asignación de equipos. Puede guardar
la configuración del agente y los grupos de asignación de equipos desde la página de McAfee
ePolicy Orchestrator Sistema | Catálogo de directivas. Seleccione el producto (Data Loss Prevention x.x.0.0) y la
categoría (Grupo de asignación de equipos o Configuración de los agentes) desde las listas desplegables y edite
la selección. En la página Editar, puede seleccionar Guardar en archivo y especificar un destino para el
archivo de la copia de seguridad.
Antes de empezar
• Desinstale las herramientas de administración de McAfee DLP Endpoint desde el Panel
de control de Windows.
• Actualice el servicio WCF de McAfee DLP. La versión de este servicio que utilice debe
coincidir con la versión de extensión del software.
• Al descargar los archivos desde el sitio de descarga de McAfee para el software McAfee
DLP Endpoint, siga el enlace a la página de descargas correspondiente a la ayuda de
ePolicy Orchestrator, y descargue el archivo .zip de ayuda más reciente.
• Cierre la sesión de ePolicy Orchestrator y cierre la ventana del navegador. (El paso 1 no
puede completarse sin haber hecho esto.)
Si quiere poder ver eventos anteriores en el McAfee DLP Monitor, no elimine la extensión de McAfee DLP
Endpoint existente en ePolicy Orchestrator. Al quitar la extensión, se quitan todos los eventos de la
base de datos de DLP.
Procedimiento
1 En ePolicy Orchestrator, seleccione Software | Extensiones. Haga clic en Instalar extensión y, acto seguido,
haga clic en Examinar y seleccione el archivo .zip del administrador de directivas de McAfee DLP
Endpoint (..\HDLP_Extension_9_2_0_xxx.zip). Haga clic en Abrir y, a continuación, haga clic dos
veces en Aceptar.
Si está realizando la instalación sin eliminar la extensión anterior, aparecerá una advertencia para
indicarle que la nueva extensión sustituirá a la existente. Haga clic en Aceptar.
2 Vuelva a hacer clic en Instalar extensión, Examinar y seleccione el archivo zip de Ayuda (..
\help_dlp_920.zip). Haga clic en Abrir y, a continuación, en Aceptar. El cuadro de diálogo de la
instalación le advierte que se sustituirá el sistema de ayuda existente. Haga clic en Aceptar.
Este archivo contiene la extensión de McAfee DLP Endpoint para el sistema de ayuda de ePolicy
Orchestrator.
Cierre sesión de ePolicy Orchestrator y vuelva a iniciar sesión. De no actuar así, podría ocurrir que no
funcionasen las nuevas funciones no admitidas por la versión instalada anteriormente.
Procedimiento
1 Restaurar la directiva
a Abra la consola de directivas de McAfee DLP Endpoint, seleccione Archivo | Abrir, y localice el lugar
donde guardó la copia de seguridad de la directiva de DLP anterior.
c En la pantalla Verificar la ruta de servicio WCF, haga clic en Probar conexión para comprobar que
WCF esté configurado correctamente.
d Seleccione Herramientas | Opciones y verifique en la sección Modo de compatibilidad con versiones anteriores
que la versión necesaria esté seleccionada.
d Haga clic en Cargar de archivo y vaya al archivo de copia de seguridad del grupo de asignación de
equipos.
d Haga clic en Cargar desde un archivo y vaya al archivo de copia de seguridad de la configuración de
los agentes.
V
verificación de la instalación 34