Client Guide PDF

Gua del cliente para Symantec Endpoint Protection y Symantec Network Access Control
Gua del cliente para Symantec Endpoint Protection y Symantec Network Access Control
El software que se describe en este manual se suministra con acuerdo de licencia y slo puede utilizarse segn los trminos de dicho acuerdo. Documentacin versin 11.00.02.01.00
Aviso legal
Copyright 2008 Symantec Corporation. Todos los derechos reservados. Symantec, el logotipo de Symantec, LiveUpdate, Sygate, Symantec AntiVirus, Bloodhound, Confidence Online, Digital Immune System, Norton y TruScan son marcas comerciales o marcas registradas de Symantec Corporation o de sus afiliados en los EE. UU. y en otros pases. Otros nombres pueden ser marcas comerciales de sus respectivos propietarios. Este producto de Symantec puede contener software de otros fabricantes para el cual Symantec est obligado a reconocer a estos terceros (Programas de terceros). Algunos de los programas de otros fabricantes estn disponibles mediante licencias de cdigo abierto o software gratuito. El acuerdo de licencia que acompaa el software no altera ningn derecho u obligacin que pueda tener en virtud de esas licencias de cdigo abierto o software gratuito. Para obtener ms informacin sobre los Programas de otros fabricantes, consulte el apndice de esta documentacin Aviso legal sobre otros fabricantes, o bien el archivo Lame TPIP que acompaa este producto de Symantec. El producto descrito en este documento se distribuye de acuerdo con licencias que restringen su uso, copia, distribucin y descompilacin o ingeniera inversa. Est prohibido reproducir cualquier parte de este documento de cualquier forma y mediante cualquier medio sin autorizacin previa por escrito de Symantec Corporation y de los responsables de conceder sus licencias, de haberlos. LA DOCUMENTACIN SE PROPORCIONA TAL CUAL Y NO SE OFRECE NINGN TIPO DE GARANTA EN RELACIN CON CONDICIONES EXPRESAS O IMPLCITAS, REPRESENTACIONES Y GARANTAS, INCLUSO GARANTAS IMPLCITAS DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN DETERMINADO O NO VIOLACIN DE DERECHOS, EXCEPTO QUE SE CONSIDERE QUE DICHA NEGACIN CARECE DE VALIDEZ LEGAL. SYMANTEC CORPORATION NO SER RESPONSABLE DE DAOS INCIDENTALES O INDIRECTOS RELACIONADOS CON EL SUMINISTRO, EL RENDIMIENTO O EL USO DE ESTA DOCUMENTACIN. LA INFORMACIN INCLUIDA EN ESTA DOCUMENTACIN EST SUJETA A CAMBIOS SIN PREVIO AVISO. El Software y la Documentacin con licencia se consideran programas informticos comerciales segn lo definido en la seccin 12.212 de la normativa de adquisiciones de la Administracin Federal de los EE. UU. (FAR) y conforme a derechos restringidos segn lo definido en la seccin 52.227-19 de la FAR sobre derechos restringidos de los programas informticos comerciales, y en la seccin 227.7202 de la normativa de adquisiciones de la Defensa de la Administracin Federal de los EE. UU. (DFARS), sobre los derechos de los programas informticos comerciales y la documentacin de programas informticos
comerciales, segn corresponda, y cualquier normativa siguiente. Cualquier uso, modificacin, versin de reproduccin, rendimiento, visualizacin o divulgacin del Software y de la Documentacin con licencia por parte del Gobierno de los EE. UU. se realizar exclusivamente de acuerdo con los trminos de este acuerdo. Symantec Corporation 20330 Stevens Creek Blvd. Cupertino, CA 95014 http://www.symantec.com.mx
Contenido
Seccin 1
Captulo 1
Introduccin
................................................................... 11
Introduccin del cliente de Symantec ............................ 13

Acerca del cliente ......................................................................... Acerca de los clientes administrados y no administrados ............... Acerca del icono del rea de notificacin .................................... Cmo se mantiene actualizada la proteccin de su equipo .................... Acerca del papel que desempea Symantec Security Response ........................................................................ Cmo se actualiza la proteccin en equipos cliente administrados ................................................................. Cmo se actualiza la proteccin en equipos cliente no administrados ................................................................. Acerca de las polticas de seguridad ................................................. Actualizar la poltica de seguridad ............................................. Sitios donde se puede obtener ms informacin ................................. Acceso a la ayuda en lnea ........................................................ Acceso al sitio Web de Symantec Security Response ..................... 13 14 14 17 18 19 19 19 20 20 20 21
Captulo 2
Respuesta al cliente ............................................................ 23

Acerca de la interaccin con el cliente .............................................. Acciones sobre los archivos infectados ............................................. Acerca del dao provocado por virus ......................................... Acerca de las notificaciones y alertas ............................................... Respuesta a las notificaciones relacionadas con aplicaciones .................................................................... Respuesta a las alertas de seguridad .......................................... Respuesta a las notificaciones de Network Access Control ............. 23 24 26 26 26 29 30
Captulo 3
Administrar el cliente ......................................................... 31

Acerca de LiveUpdate ................................................................... Ejecutar LiveUpdate en intervalos programados ................................ Ejecutar LiveUpdate manualmente .................................................. Probar la seguridad del equipo ........................................................ 31 32 33 33
Contenido
Acerca de las ubicaciones ............................................................... Modificar ubicaciones ................................................................... Acerca de la Proteccin contra intervenciones ................................... Habilitar, inhabilitar y configurar Proteccin contra intervenciones .......................................................................
34 34 35 36
Seccin 2
Captulo 4
Symantec Endpoint Protection ........................... 37

Conceptos generales de Symantec Endpoint Protection .......................................................................
Acerca de Symantec Endpoint Protection ......................................... De qu forma protege Symantec Endpoint Protection el sistema ........... Acerca de la proteccin antivirus y contra software espa .............. Acerca de la proteccin contra amenazas de red ........................... Acerca de la proteccin proactiva contra amenazas ...................... 39 39 40 40 41 41
Captulo 5
Fundamentos del cliente de Symantec Endpoint Protection .......................................................................

Acerca de los virus y los riesgos de seguridad .................................... Respuesta del cliente ante virus y riesgos de seguridad ....................... Habilitar e inhabilitar componentes de proteccin ............................. Habilitar e inhabilitar Proteccin antivirus y contra software espa .............................................................................. Habilitar e inhabilitar Proteccin contra amenazas de red ............. Habilitar e inhabilitar Proteccin proactiva contra amenazas ....................................................................... Usar el cliente con Windows Security Center ..................................... Interrupcin y retraso de anlisis ....................................................
43 43 46 47 48 50 51 51 52
Captulo 6
Administrar la proteccin antivirus y contra software espa ................................................................ 57

Acerca de la proteccin antivirus y contra software espa .................... Acerca del anlisis de archivos ................................................. Cuando el cliente de Symantec Endpoint Protection detecta un virus o un riesgo de seguridad ............................................ Acerca de Auto-Protect ................................................................. Acerca de Auto-Protect y los riesgos de seguridad ........................ Acerca de los anlisis de correo electrnico de Auto-Protect ........... Inhabilitar el uso de Auto-Protect con conexiones de correo electrnico cifradas .......................................................... 58 58 61 62 63 63 65
Contenido
Ver estadsticas de anlisis de Auto-Protect ................................ Ver la lista de riesgos .............................................................. Configurar Auto-Protect para determinar tipos de archivo ............. Habilitar e inhabilitar el bloqueo y anlisis de riesgos de seguridad de Auto-Protect ................................................. Configurar el anlisis de red ..................................................... Usar anlisis antivirus y de software espa ........................................ Cmo el cliente de Symantec Endpoint Protection detecta virus y riesgos de seguridad ....................................................... Acerca de los archivos de definiciones ....................................... Acerca del anlisis de archivos comprimidos ............................... Iniciar anlisis manuales ......................................................... Configurar anlisis antivirus y de software espa ............................... Crear anlisis programados ...................................................... Crear anlisis manuales y de inicio ............................................ Editar y eliminar anlisis de inicio, definidos por el usuario y programados ................................................................... Interpretar los resultados de los anlisis ........................................... Acerca de la interaccin con los resultados del anlisis o los resultados de Auto-Protect ................................................. Enviar informacin sobre anlisis antivirus y de software espa a Symantec Security Response .................................................... Configurar acciones para virus y riesgos de seguridad ......................... Consejos para asignar segundas acciones para virus ..................... Consejos para asignar segundas acciones para riesgos de seguridad ....................................................................... Acerca de la clasificacin de impacto del riesgo ........................... Configurar notificaciones para virus y riesgos de seguridad ................. Configurar excepciones centralizadas para los anlisis antivirus y de software espa ....................................................................... Acerca del rea de cuarentena ........................................................ Acerca de los archivos infectados en la cuarentena ....................... Acerca del tratamiento de los archivos infectados en la cuarentena ..................................................................... Acerca del tratamiento de los archivos infectados por riesgos de seguridad ....................................................................... Administrar la cuarentena ............................................................. Ver archivos y detalles en el rea de cuarentena .......................... Nuevo anlisis de los archivos en cuarentena en busca de virus .............................................................................. Cuando un archivo reparado no se puede devolver a su ubicacin original .......................................................................... Limpiar elementos de copia de respaldo .....................................
66 66 66 67 68 70 71 72 73 73 74 74 77 80 81 82 83 84 88 89 89 90 93 95 96 97 97 97 98 98 99 99
Contenido
Eliminar archivos de la cuarentena .......................................... 100 Borrar automticamente archivos de la cuarentena .................... 100 Enviar un archivo potencialmente infectado a Symantec Security Response para su anlisis ................................................. 101
Captulo 7
Administrar la proteccin proactiva contra amenazas ......................................................................

Acerca de los anlisis de amenazas proactivos TruScan ..................... Procesos y aplicaciones examinados por los anlisis de amenazas proactivos TruScan ......................................................... Acerca de las excepciones para los anlisis de amenazas proactivos TruScan ......................................................... Acerca de las detecciones del anlisis de amenazas proactivo TruScan ........................................................................ Acerca de la actuacin sobre falsos positivos ............................. Configurar la frecuencia de los anlisis de amenazas proactivos TruScan .............................................................................. Administrar detecciones de amenazas proactivas de TruScan ............. Configurar una accin para la deteccin de aplicaciones comerciales ................................................................... Especificar acciones y niveles de sensibilidad para detectar caballos de Troya, gusanos y registradores de pulsaciones ................................................................... Especificar los tipos de procesos que detectan los anlisis de amenazas proactivos TruScan .......................................... Configurar notificaciones para las detecciones del anlisis de amenazas proactivo TruScan .................................................. Enviar informacin sobre anlisis de amenazas proactivos TruScan a Symantec Security Response ................................................ Configurar una excepcin centralizada para los anlisis de amenazas proactivos TruScan ...............................................................
103 103 104 105 106 107 107 108 109
110 111 112 112 113
Captulo 8
Administrar la proteccin contra amenazas de red ................................................................................... 115

Acerca de administrar la proteccin contra amenazas de red .............. Cmo el cliente protege contra ataques de red ............................ Visualizacin de la actividad de red .......................................... Configuracin del firewall ............................................................ Acerca de las normas de firewall ............................................. Adicin de normas ................................................................ Alteracin del orden de las normas .......................................... Habilitar e inhabilitar normas ................................................. 115 116 119 121 122 126 127 128
Contenido
Exportacin e importacin de normas ...................................... Edicin y eliminacin de normas ............................................. Habilitar la configuracin de trfico y de la navegacin oculta por la Web ..................................................................... Habilitar el filtro de trfico inteligente ..................................... Habilitar el uso compartido de archivos e impresoras en la red ............................................................................... Bloquear trfico ................................................................... Configurar las opciones de prevencin de intrusiones ....................... Configurar notificaciones de prevencin de intrusiones ............... Bloquear y desbloquear un equipo atacante ............................... Configurar valores especficos de una aplicacin .............................. Quitar restricciones para una aplicacin ...................................
128 129 130 132 132 134 136 137 138 139 141
Seccin 3
Captulo 9
Symantec Network Access Control ................. 143

Fundamentos de Symantec Network Access Control ........................................................................... 145
Acerca de Symantec Network Access Control ................................... Cmo funciona Symantec Network Access Control ...................... Acerca de la actualizacin de la poltica de integridad del host ............................................................................. Ejecutar una comprobacin de integridad del host ............................ Corregir el equipo ....................................................................... Ver los registros de acceso a la red de Symantec ............................... Acerca de la aplicacin de polticas ................................................ Configurar el cliente para la autenticacin 802.1x ............................ Reautenticar el equipo ........................................................... 145 146 147 147 148 148 149 149 153
Seccin 4
Captulo 10
Supervisin y registro ............................................. 155

Uso y administracin de registros ................................. 157
Acerca de los registros ................................................................. Ver los registros y los detalles de registro ....................................... Filtrar las vistas del registro ................................................... Administrar el tamao del registro ................................................ Configurar el tiempo de retencin para las entradas de los registros de Proteccin antivirus y contra software espa y de Proteccin proactiva contra amenazas ........................... Configurar el tamao de los registros de Proteccin contra amenazas de red y de Administracin de clientes ................. 157 163 164 166
167 167
10
Contenido
Configurar el tiempo de retencin para las entradas de registro de Proteccin contra amenazas de red y Administracin de clientes ......................................................................... Acerca del borrado de contenido del Registro del sistema de Proteccin antivirus y contra software espa ....................... Borrar el contenido de los registros de Proteccin contra amenazas de red y de Administracin de clientes ................. Poner en cuarentena riesgos y amenazas del Registro de riesgos y del Registro de amenazas ............................................................ Usar los registros de Proteccin contra amenazas de red y de Administracin de clientes ..................................................... Actualizar los registros de Proteccin contra amenazas de red y de Administracin de clientes ........................................... Habilitar el Registro de paquetes ............................................. Detener una respuesta activa ................................................. Localizar el origen de los eventos registrados ............................ Usar los registros de Administracin de clientes con Symantec Network Access Control ................................................... Exportar datos de registro ............................................................
168 168 168 169 170 170 170 171 171 173 173
ndice .................................................................................................................. 177
Seccin
Introduccin
Introduccin del cliente de Symantec Respuesta al cliente Administrar el cliente
12
Captulo
Introduccin del cliente de Symantec

En este captulo se incluyen los temas siguientes:

Acerca del cliente Cmo se mantiene actualizada la proteccin de su equipo Acerca de las polticas de seguridad Sitios donde se puede obtener ms informacin
Acerca del cliente

Symantec comercializa dos productos de seguridad de punto final que se pueden utilizar juntos o por separado: Symantec Endpoint Protection y Symantec Network Access Control. Usted o su administrador pueden haber instalado uno o ambos productos de software de cliente de Symantec en su equipo. Si su administrador instal el cliente, el administrador determin los productos que se habilitarn en el cliente. Nota: Si usted o su administrador han instalado solamente uno de estos productos en su equipo, el nombre de dicho producto aparece en la barra de ttulo. Cuando se habilitan ambos tipos de proteccin, en la barra de ttulo aparece Symantec Endpoint Protection. Symantec Endpoint Protection protege su equipo contra amenazas de Internet y riesgos de seguridad. Puede realizar las acciones siguientes:
14
Introduccin del cliente de Symantec Acerca del cliente
Analizar el equipo en busca de virus, amenazas conocidas y riesgos de seguridad. Supervisar los puertos en busca de firmas de ataques conocidas. Supervisar los programas del equipo para detectar comportamiento sospechoso.
Ver "Acerca de Symantec Endpoint Protection" en la pgina 39. Symantec Network Access Control garantiza que la configuracin de seguridad del equipo se ajuste a las polticas de red. La configuracin de seguridad puede incluir software, opciones de configuracin de software, archivos de firmas, parches u otros elementos. Ver "Acerca de Symantec Network Access Control" en la pgina 145.
Acerca de los clientes administrados y no administrados

El administrador de su producto de Symantec puede instalar el cliente como cliente no administrado o como cliente administrado por un administrador. Cliente no administrado significa que un administrador no controla la configuracin ni las acciones en el cliente de Symantec. En un cliente no administrado, usted controla toda la configuracin y las acciones en el cliente. En un entorno administrado, su administrador utiliza Symantec Endpoint Protection Manager para supervisar, configurar y actualizar el cliente remotamente. Este servidor de administracin permite a su administrador determinar la cantidad de control que tiene sobre la configuracin y las acciones en el cliente. Su cliente consulta al servidor de administracin para determinar si hay nueva informacin o actualizaciones de polticas disponibles. En un entorno administrado, es posible que no pueda ver todos los componentes del cliente ni acceder a ellos. Los componentes visibles y las acciones disponibles en el cliente dependen del nivel de acceso que el administrador ha concedido al equipo. La disponibilidad de las opciones del cliente, adems de los valores de configuracin mismos, pueden cambiar peridicamente. Por ejemplo, una opcin puede cambiar cuando el administrador actualiza la poltica que controla su proteccin del cliente. En todos los entornos, el cliente mostrar informacin y preguntas. Es necesario responder a estas indicaciones. Ver "Acerca de la interaccin con el cliente" en la pgina 23.
Acerca del icono del rea de notificacin

El cliente utiliza un icono de rea de notificacin para indicar si el cliente est conectado o desconectado y si el equipo cliente est protegido adecuadamente.
15
Es posible hacer clic con el botn secundario en este icono para visualizar comandos utilizados frecuentemente. El icono se encuentra en la esquina inferior derecha del escritorio. Nota: En clientes administrados, este icono no aparece si el administrador lo ha configurado como no disponible. La Tabla 1-1 muestra los iconos de estado de clientes de Symantec Endpoint Protection. Tabla 1-1 Icono Iconos de estado de Symantec Endpoint Protection Descripcin
El cliente se ejecuta sin problemas. Est desconectado o no administrado. Los clientes no administrados no estn conectados a un servidor de administracin. El cliente se ejecuta sin problemas. Est conectado y se comunica con el servidor de administracin. Todos los componentes de la poltica de seguridad protegen el equipo. El icono muestra un punto verde. El cliente tiene un problema menor. Por ejemplo, las definiciones de antivirus pueden ser obsoletas. El icono muestra un punto amarillo con un signo de exclamacin negro. El cliente no se ejecuta, tiene un problema grave o tiene deshabilitado por lo menos un componente de proteccin de polticas de seguridad. Por ejemplo, la proteccin antivirus y contra software espa pueden estar deshabilitadas. El icono muestra un punto blanco con un borde rojo y una lnea roja que cruza el punto.
La Tabla 1-2 muestra los iconos de estado de clientes de Symantec Network Access Control. Tabla 1-2 Icono Iconos de estado de Symantec Network Access Control Descripcin
El cliente se ejecuta sin problemas, aprob la comprobacin de integridad del host y actualiz la poltica de seguridad. Est desconectado o no administrado. Los clientes no administrados no estn conectados a un servidor de administracin. El cliente se ejecuta sin problemas, aprob la comprobacin de integridad del host y actualiz la poltica de seguridad. Se comunica con el servidor de administracin. El icono muestra un punto verde.
16
Icono
Descripcin
El cliente no super la comprobacin de integridad del host o no actualiz la poltica de seguridad. El icono muestra un punto rojo con una "x" blanca.
La Tabla 1-3 describe los comandos que estn disponibles desde el icono del rea de notificacin. Tabla 1-3 Opcin
Abrir Symantec Endpoint Protection Abrir Symantec Network Access Control Actualizar poltica Obtiene las polticas de seguridad ms recientes del servidor.
Comandos del icono del rea de notificacin Descripcin

Abre la ventana principal.
Nota: Este comando est disponible en equipos cliente

administrados solamente. Reautenticacin Vuelve a autenticar el equipo cliente.
Nota: Este comando est disponible solamente cuando el

administrador configura el cliente como suplicante de 802.1x integrado. Este comando no est disponible para clientes de Symantec Endpoint Protection. Ver "Reautenticar el equipo" en la pgina 153. Inhabilitar Symantec Endpoint Protection Desactiva las protecciones que el administrador le ha permitido inhabilitar. Despus de inhabilitar el cliente, el texto del comando cambia de Deshabilitar por Habilitar. Es posible seleccionar este comando para activar toda la proteccin del cliente.
Ocultar y visualizar el icono del rea de notificacin

Es posible ocultar el icono del rea de notificacin, si es necesario. Por ejemplo, se puede ocultarlo si se necesita ms espacio en la barra de tareas de Windows. Nota: En clientes administrados, no es posible ocultar el icono del rea de notificacin si el administrador ha restringido esta funcin.
Introduccin del cliente de Symantec Cmo se mantiene actualizada la proteccin de su equipo
17
Para ocultar el icono del rea de notificacin
1 2 3
En la ventana principal, en la barra lateral, haga clic en Cambiar configuracin. En la pgina Cambiar configuracin, al lado de Administracin de clientes, haga clic en Configurar opciones. En el cuadro de dilogo Configuracin de administracin de clientes, en la ficha General, bajo Opciones de visualizacin, deje sin marcar Mostrar icono de seguridad de Symantec en el rea de notificacin. Haga clic en Aceptar.
Para visualizar el icono del rea de notificacin
1 2 3
En la ventana principal, en la barra lateral, haga clic en Cambiar configuracin. En la pgina Cambiar configuracin, al lado de Administracin de clientes, haga clic en Configurar opciones. En el cuadro de dilogo Configuracin de administracin de clientes, en la ficha General, bajo Opciones de visualizacin, marque Mostrar icono de seguridad de Symantec en el rea de notificacin. Haga clic en Aceptar.
Cmo se mantiene actualizada la proteccin de su equipo

Los ingenieros de Symantec hacen un seguimiento de los ataques de virus para identificar virus nuevos. Tambin investigan amenazas combinadas, riesgos de seguridad tales como software espa, y otras vulnerabilidades que puedan ser explotadas cuando su equipo se conecta a Internet. Despus de identificar un riesgo, escriben una firma (informacin sobre el riesgo) y la almacenan en un archivo de definiciones. Este archivo de definiciones contiene la informacin necesaria para detectar, eliminar y reparar los efectos del riesgo. Cuando Symantec Endpoint Protection realiza anlisis en busca de virus y riesgos de seguridad, lleva a cabo bsquedas de estos tipos de firmas. Otros elementos que deben mantenerse actualizados en el cliente son las listas de procesos permitidos y restringidos, y de firmas de ataques. Las listas de procesos ayudan a los anlisis de amenazas proactivos TruScan a identificar comportamiento de programas sospechoso, incluso si el cliente no reconoce una amenaza especfica. Las firmas de ataques proporcionan la informacin que el sistema de prevencin de intrusiones necesita para mantener el equipo a salvo de intrusos.
18
Introduccin del cliente de Symantec Cmo se mantiene actualizada la proteccin de su equipo
Adems de los archivos de definiciones, las listas de procesos y las firmas de ataques, el cliente necesita actualizar sus componentes de vez en cuando. Tales componentes pueden incluir el motor de Proteccin antivirus y contra software espa, el motor de anlisis de amenazas proactivo TruScan y el firewall de Proteccin contra amenazas de red. Estas actualizaciones pueden consistir en reparaciones de defectos de menor importancia o en mejoras del producto. Symantec pone actualizaciones a disposicin de los usuarios de manera frecuente y constante. Las definiciones se actualizan diariamente en el sitio Web de Symantec Security Response. Las nuevas definiciones de virus se ponen a disposicin de los usuarios semanalmente (como mnimo) para que las descarguen mediante LiveUpdate, as como en el instante en que surja la amenaza de un nuevo virus destructivo. Nota: El administrador puede controlar la frecuencia de actualizacin de las definiciones de su cliente. Ver "Acerca de LiveUpdate" en la pgina 31.
Acerca del papel que desempea Symantec Security Response

La potencia de Symantec Endpoint Protection reside en Symantec Security Response. Los investigadores de Symantec Security Response desensamblan las muestras de virus y de riesgos de seguridad para descubrir su comportamiento y caractersticas singulares. Con esta informacin, desarrollan las definiciones que los productos de Symantec utilizan para detectar, eliminar y reparar los efectos de virus y de riesgos de seguridad. Debido a la velocidad con que se extienden los nuevos virus, Symantec Security Response ha desarrollado herramientas de anlisis de software automatizadas. El envo de archivos infectados desde su equipo a Symantec Security Response reduce perceptiblemente el tiempo que transcurre entre la deteccin, el anlisis y la reparacin. Los investigadores de Symantec Security Response tambin investigan y desarrollan tecnologas para proteger los equipos frente a riesgos de seguridad, como las aplicaciones de publicidad no deseada, el software espa y las herramientas de hackeo. Symantec Security Response mantiene una enciclopedia que proporciona informacin detallada acerca de los virus y los riesgos de seguridad. En los casos en que sea necesario, la enciclopedia proporciona informacin acerca de cmo eliminar un riesgo. La enciclopedia se puede consultar desde el sitio Web de Symantec Security Response en la URL siguiente:
Introduccin del cliente de Symantec Acerca de las polticas de seguridad
19
http://www.symantec.com/es/mx/security_response/
Cmo se actualiza la proteccin en equipos cliente administrados

El administrador es quien determina el modo en que se actualizan las definiciones de virus y riesgos de seguridad. Lo ms probable es que usted no tenga que hacer nada para recibir las nuevas definiciones. Su administrador puede configurar la funcin LiveUpdate en Symantec Endpoint Protection para garantizar que la proteccin contra virus y riesgos de seguridad se mantenga actualizada. LiveUpdate se conecta a un equipo que guarda las actualizaciones, determina si su cliente necesita ser actualizado y descarga e instala los archivos apropiados. El equipo que almacena las actualizaciones puede ser un servidor de Symantec Endpoint Protection Manager interno de su compaa. Alternativamente, puede usarse un servidor de Symantec LiveUpdate al que se accede por Internet. Ver "Acerca de LiveUpdate" en la pgina 31.
Cmo se actualiza la proteccin en equipos cliente no administrados

Los administradores no actualizan la proteccin en los clientes no administrados. Es posible actualizar el software y los archivos de definiciones usando LiveUpdate. Si su cliente no administrado utiliza la configuracin predeterminada de LiveUpdate, una vez por semana verifica a travs de Internet si hay actualizaciones en un servidor de Symantec. Es posible modificar la frecuencia con la cual LiveUpdate verifica si hay actualizaciones. Se puede tambin ejecutar LiveUpdate manualmente si usted sabe que hubo un ataque de virus u otro riesgo de seguridad. Ver "Acerca de LiveUpdate" en la pgina 31.
Acerca de las polticas de seguridad

Una poltica de seguridad es una coleccin de opciones de seguridad que el administrador de un cliente administrado configura y distribuye en los clientes. Las polticas de seguridad determinan la configuracin del cliente, incluso qu opciones es posible ver y a cules se puede acceder. Los clientes administrados se conectan al servidor de administracin y reciben automticamente las polticas de seguridad ms recientes. Si tiene dificultad con el acceso de red, su administrador puede darle instrucciones para actualizar manualmente su poltica de seguridad. Ver "Actualizar la poltica de seguridad" en la pgina 20.
20
Introduccin del cliente de Symantec Sitios donde se puede obtener ms informacin
Actualizar la poltica de seguridad

Las opciones que controlan la proteccin en el cliente se almacenan en el equipo en un archivo de polticas. Este archivo de polticas de seguridad normalmente se actualiza automticamente. Sin embargo, su administrador puede darle instrucciones para actualizar la poltica de seguridad manualmente bajo ciertas circunstancias. Nota: Es posible ver el registro del sistema para verificar que la operacin actualiz la poltica correctamente. Ver "Ver los registros y los detalles de registro" en la pgina 163. Para actualizar la poltica de seguridad
1 2
En el rea de notificacin de Windows, haga clic con el botn secundario en el icono del cliente. En el men emergente, haga clic en Actualizar poltica.
Sitios donde se puede obtener ms informacin

Si necesita ms informacin, puede acceder a la Ayuda en lnea. Es posible obtener informacin adicional sobre virus y riesgos de seguridad del sitio Web de Symantec Security Response en la URL siguiente: http://www.symantec.com/es/mx/security_response/
Acceso a la ayuda en lnea

El sistema Ayuda en lnea del cliente contiene informacin de carcter general y pasos para ayudarlo a mantener su equipo protegido de virus y riesgos de seguridad. Nota: Es posible que su administrador haya optado por no instalar los archivos de ayuda. Para tener acceso a la Ayuda en lnea
En la ventana principal, realice una de las siguientes acciones:

Haga clic en Ayuda & Soporte y despus haga clic en Temas de ayuda. Haga clic en Ayuda en cualquiera de los cuadros de dilogo individuales.
21
La ayuda contextual slo est disponible en las pantallas en las que se pueden realizar acciones.
Presione F1 en cualquier ventana. Si hay ayuda contextual disponible para esa ventana, aparecer. Si la ayuda contextual no est disponible, aparece el sistema de Ayuda completo.
Acceso al sitio Web de Symantec Security Response

Si est conectado a Internet, podr visitar el sitio Web de Symantec Security Response para acceder a recursos como los siguientes:
La enciclopedia de virus, que contiene informacin acerca de todos los virus conocidos. Informacin acerca de virus falsos. Informacin general acerca de virus y de amenazas de virus. Informacin general y detallada sobre riesgos de seguridad.
Para acceder al sitio Web de Symantec Security Response, utilice la URL siguiente:
En su navegador de Internet, escriba la siguiente direccin Web: http://www.symantec.com/es/mx/security_response/
22
Captulo
Respuesta al cliente

Acerca de la interaccin con el cliente Acciones sobre los archivos infectados Acerca de las notificaciones y alertas
Acerca de la interaccin con el cliente

El cliente funciona en el segundo plano para mantener el equipo protegido contra actividad maliciosa. El cliente necesita a veces notificar al usuario sobre una actividad o solicitarle una respuesta. Si Symantec Endpoint Protection est habilitado en el cliente, es posible que se experimenten los tipos siguientes de interaccin con el cliente:
Deteccin de virus o riesgos de seguridad Si Auto-Protect o un anlisis detectan un virus o un riesgo de seguridad, aparece el cuadro de dilogo de resultados de la deteccin de Symantec Endpoint Protection con los detalles sobre la infeccin. El cuadro de dilogo tambin muestra la accin que Symantec Endpoint Protection realiz sobre el riesgo. Generalmente no es necesario tomar ms medidas, con excepcin de revisar la actividad y cerrar el cuadro de dilogo. Es posible tomar medidas si es necesario, sin embargo. Ver "Acciones sobre los archivos infectados" en la pgina 24.
24
Respuesta al cliente Acciones sobre los archivos infectados
Notificaciones relacionadas con aplicaciones
Cuando un programa del equipo intenta acceder a una red, Symantec Endpoint Protection puede solicitarle que permita o niegue el permiso para hacerlo. Ver "Respuesta a las notificaciones relacionadas con aplicaciones" en la pgina 26.
Alertas de seguridad
Symantec Endpoint Protection le informa cuando bloquea un programa o cuando detecta un ataque contra su equipo. Ver "Respuesta a las alertas de seguridad" en la pgina 29.
Si Symantec Network Access Control est habilitado en el cliente, es posible que vea un mensaje de Network Access Control. Este mensaje aparece cuando su configuracin de seguridad no se ajusta a los estndares que su administrador ha configurado. Ver "Respuesta a las notificaciones de Network Access Control" en la pgina 30.
Acciones sobre los archivos infectados

De forma predeterminada, Auto-Protect se ejecuta continuamente en el equipo. Para los clientes no administrados, un Active Scan generado automticamente se ejecuta al iniciar el equipo. Para los clientes administrados, su administrador configura tpicamente un anlisis completo que se ejecuta por lo menos una vez a la semana. Auto-Protect muestra un cuadro de dilogo de los resultados cuando hace una deteccin. Cuando se ejecutan anlisis, aparece un cuadro de dilogo para mostrar los resultados del anlisis. Para los equipos administrados, el administrador puede desactivar estos tipos de notificaciones. Si recibe estos tipos de notificaciones, es posible que necesite actuar sobre un archivo infectado. La opcin predeterminada para Auto-Protect y todos los tipos de anlisis es limpiar el virus del archivo infectado al detectarlo. Si el cliente no puede limpiar un archivo, registra el incidente y mueve el archivo infectado a la cuarentena. La cuarentena local es una ubicacin especial reservada para los archivos infectados y los efectos secundarios del sistema relacionados. Para los riesgos de seguridad, el cliente pone en cuarentena los archivos infectados y quita o repara sus efectos secundarios. El cliente registra la deteccin si no puede reparar el archivo.
Respuesta al cliente Acciones sobre los archivos infectados
25
Nota: En la cuarentena, el virus no puede propagarse. Cuando el cliente mueve un archivo al rea de cuarentena, no tiene acceso al archivo. Cuando Symantec Endpoint Protection repara un archivo infectado por virus, no es necesario tomar otras medidas para proteger el equipo. Si el cliente pone en cuarentena un archivo infectado por un riesgo de seguridad y luego lo quita y repara, no es necesario tomar medidas adicionales. Puede no ser necesario actuar sobre un archivo, pero es posible que quiera realizar una accin adicional sobre l. Por ejemplo, puede optar por eliminar un archivo que haya sido limpiado porque desea sustituirlo por un archivo original. Es posible utilizar las notificaciones para actuar sobre el archivo inmediatamente. Es posible tambin utilizar la vista del registro o la cuarentena para actuar sobre el archivo en otro momento. Ver "Interpretar los resultados de los anlisis" en la pgina 81. Ver "Poner en cuarentena riesgos y amenazas del Registro de riesgos y del Registro de amenazas" en la pgina 169. Ver "Acerca del rea de cuarentena" en la pgina 95. Para realizar acciones sobre los archivos infectados
Realice una de las acciones siguientes:
En el cuadro de dilogo de progreso del anlisis, seleccione los archivos que desee una vez que el anlisis haya finalizado. En el cuadro de dilogo de los resultados de anlisis, seleccione los archivos que usted desee. En el cliente, en la barra lateral, haga clic en Ver registros y, a continuacin, junto a Proteccin antivirus y contra software espa, haga clic en Ver registros. En la vista del registro, seleccione los archivos que usted desee.
Haga clic con el botn secundario en el archivo o los archivos en cuestin y, a continuacin, haga clic en una de las opciones siguientes. Recuerde que, en algunos casos, el cliente no podr realizar la accin que usted seleccion.

Deshacer accin: anula el efecto de la accin tomada. Limpiar (slo para virus): elimina el virus del archivo. Suprimir permanentemente: elimina el archivo infectado y todos los efectos secundarios. Para los riesgos de seguridad, utilice esta accin con precaucin. En algunos casos, si usted borra riesgos de seguridad, es posible que cause la prdida de funcionalidad de alguna aplicacin.
26
Respuesta al cliente Acerca de las notificaciones y alertas
Poner en cuarentena: pone en cuarentena los archivos infectados. Para los riesgos de seguridad, el cliente tambin intenta quitar o reparar los efectos secundarios. Propiedades: muestra informacin sobre el virus o riesgo de seguridad.
Acerca del dao provocado por virus

Si Symantec Endpoint Protection encuentra una infeccin poco despus de que sta ocurra, el archivo infectado puede seguir funcionando correctamente despus de que el cliente lo limpie. A veces, sin embargo, Symantec Endpoint Protection puede limpiar un archivo infectado que ya fue daado por un virus. Por ejemplo, Symantec Endpoint Protection puede encontrar un virus que daa un archivo de documento. Symantec Endpoint Protection quita el virus, pero no puede reparar el dao dentro del archivo infectado.
Acerca de las notificaciones y alertas

Es posible ver diversos tipos de notificaciones en el equipo. Estas notificaciones generalmente describen una situacin e indican cmo el cliente intenta resolver el problema. Es posible ver los tipos de notificaciones siguientes:

Notificaciones relacionadas con aplicaciones Alertas de seguridad
Respuesta a las notificaciones relacionadas con aplicaciones

Es posible ver una notificacin que le pregunte si desea permitir la ejecucin de una aplicacin o un servicio. Este tipo de notificacin aparece por uno de los motivos siguientes:

La aplicacin pide acceder a su conexin de red. Se ha actualizado una aplicacin que ha accedido a su conexin de red. El cliente conmut a los usuarios con la funcin de Cambio rpido de usuario. Su administrador actualiz el software de cliente.
Es posible ver el tipo siguiente de mensaje, que le dice cuando una aplicacin o un servicio intenta acceder a su equipo:
27
Internet Explorer (IEXPLORE.EXE) est intentando conectarse a www.symantec.com.mx mediante el puerto remoto 80 (HTTP - World Wide Web). Desea permitir que este programa acceda a la red?
Para responder a las aplicaciones que intentan acceder a la red
En el cuadro de mensaje, haga clic en Detalle. Es posible ver ms informacin sobre la conexin y la aplicacin, tal como el nombre de archivo, el nmero de versin y el nombre de ruta.
Si desea que el cliente recuerde su opcin la prxima vez que esta aplicacin intente acceder a su conexin de red, haga clic en Recordar mi respuesta y no solicitarla nuevamente para esta aplicacin. Realice una de las tareas siguientes:
Para permitir que la aplicacin acceda a la conexin de red, haga clic en S. Haga clic en S solamente si usted reconoce la aplicacin y est seguro de que desea que acceda a la conexin de red. Si no est seguro acerca de permitir el acceso de la aplicacin a la conexin de red, consulte a su administrador. Para bloquear el acceso de la aplicacin a la conexin de red, haga clic en No.
La Tabla 2-1 muestra cmo es posible responder a las notificaciones que le preguntan si desea permitir o bloquear una aplicacin. Tabla 2-1 Si hace clic en
S
Notificaciones de permiso para aplicaciones Si marca la casilla de verificacin El cliente Recordar mi respuesta
S Permite la aplicacin y no vuelve a preguntar. Permite la aplicacin y pregunta cada vez. Bloquea la aplicacin y no pregunta de nuevo. Bloquea la aplicacin y pregunta cada vez.
No
No
No
No
Es posible tambin modificar la accin para la aplicacin en el campo Aplicaciones en ejecucin o en la lista Aplicaciones.
28
Ver "Configurar valores especficos de una aplicacin" en la pgina 139.
Notificaciones de modificacin de aplicaciones

De vez en cuando, es posible que vea un mensaje que indica que una aplicacin se ha modificado.
Telnet Program se ha modificado desde la ltima vez que se abri Esto puede deberse a que lo actualiz recientemente. Desea permitirle el acceso a la red?
La aplicacin que se menciona en el mensaje anterior intenta acceder a su conexin de red. Aunque el cliente reconozca el nombre de la aplicacin, algn elemento de la aplicacin se ha modificado desde la ltima vez que el cliente la detect. Muy probablemente, se ha actualizado el producto recientemente. Cada nueva versin del producto utiliza un archivo de huella digital diferente al de la versin anterior. El cliente detecta que el archivo de huella digital se modific.
Notificaciones de cambio rpido de usuario

Si utiliza Windows Vista/XP, es posible que vea una de las notificaciones siguientes:
Symantec Endpoint Protection no puede mostrar la interfaz de usuario. Si est utilizando la funcin de cambio rpido de usuario de Windows XP, asegrese de todos los usuarios cierren sesin en Windows e intente desconectarse de Windows y despus volver a iniciar sesin. Si est utilizando los servicios de terminal, la interfaz de usuario no se admite.
o
Symantec Endpoint Protection no estaba funcionando, pero ser iniciado. Sin embargo, Symantec Endpoint Protection no puede mostrar la interfaz de usuario. Si est utilizando la funcin de cambio rpido de usuario de Windows XP, asegrese de todos los usuarios cierren sesin en Windows e intente desconectarse de Windows y despus volver a iniciar sesin. Si est utilizando los servicios de terminal, la interfaz de usuario no se admite.
La funcin de cambio rpido de usuario es una funcin de Windows que permite alternar rpidamente entre los usuarios sin tener que desconectar el equipo. Varios usuarios pueden compartir un equipo simultneamente y alternar entre ellos sin cerrar las aplicaciones que estn usando. Una de estas ventanas aparece al alternar usuarios usando la funcin Cambio rpido de usuario.
29
Para responder a un mensaje de cambio rpido de usuario, siga las instrucciones del cuadro de dilogo.
Respuesta a notificaciones de actualizacin automtica

Si el software de cliente se actualiza automticamente, es posible ver la notificacin siguiente:
Symantec Endpoint Protection ha detectado que existe una versin ms reciente del software desde Symantec Endpoint Protection Manager. Desea descargarla ahora?
Para responder a una notificacin de actualizacin automtica

Para descargar el software inmediatamente, haga clic en Descargar ahora. Para recibir un recordatorio despus de un tiempo especificado, haga clic en Recordrmelo ms tarde.
Si aparece un mensaje despus de que comience el proceso de instalacin para el software actualizado, haga clic en Aceptar.
Respuesta a las alertas de seguridad

Las alertas de seguridad muestran una notificacin en el icono del rea de notificacin. Slo es necesario reconocer que ley el mensaje haciendo clic en Aceptar. Las notificaciones aparecen por alguno de los motivos siguientes:
Mensajes de aplicaciones bloqueadas Una aplicacin que se ha iniciado desde su equipo se ha bloqueado de acuerdo con las normas configuradas por su administrador. Por ejemplo, es posible ver el mensaje siguiente: La aplicacin Internet Explorer fue bloqueada, el nombre de archivo es IEXPLORE.EXE. Estas notificaciones indican que su cliente ha bloqueado el trfico que usted especific como que no es de confianza. Si el cliente se configura para bloquear todo el trfico, estas notificaciones aparecen con frecuencia. Si su cliente est configurado para permitir todo el trfico, estas notificaciones no aparecen.
30
Intrusiones
Se inici un ataque contra su equipo y una alerta le informa la situacin o proporciona instrucciones sobre cmo tratar el ataque. Por ejemplo, es posible ver el mensaje siguiente: El trfico de la direccin IP 192.168.0.3 est bloqueado de 10/10/2006 15:37:58 a 10/10/2006 15:47:58. El ataque de anlisis de puertos ha sido registrado. Su administrador pudo haber inhabilitado las notificaciones de prevencin de intrusiones en el equipo cliente. Para ver qu tipos de ataques detecta su cliente, puede permitir al cliente que muestre notificaciones de prevencin de intrusiones. Ver "Configurar notificaciones de prevencin de intrusiones" en la pgina 137.
Respuesta a las notificaciones de Network Access Control

Si el cliente de Symantec Network Access Control no cumple con las polticas de seguridad, es posible que no pueda acceder a la red. En este caso, es posible que se muestre un mensaje que indica que Symantec Enforcer bloque el trfico porque la comprobacin de integridad del host fall. Su administrador de redes puede haber agregado texto a este mensaje que sugiere acciones de correccin posibles. Despus de cerrar el cuadro de mensaje, abra el cliente para ver si se muestran pasos sugeridos para restaurar el acceso a la red. Para responder a las notificaciones de Network Access Control
1 2
Siga los pasos sugeridos que aparezcan en el cuadro de mensaje. En el cuadro de mensaje, haga clic en Aceptar.
Captulo
Administrar el cliente

Acerca de LiveUpdate Ejecutar LiveUpdate en intervalos programados Ejecutar LiveUpdate manualmente Probar la seguridad del equipo Acerca de las ubicaciones Modificar ubicaciones Acerca de la Proteccin contra intervenciones Habilitar, inhabilitar y configurar Proteccin contra intervenciones
Acerca de LiveUpdate
LiveUpdate obtiene actualizaciones de programa y de proteccin para su equipo usando su conexin de Internet. Las actualizaciones de programa son mejoras menores a su producto instalado. stas son diferentes de las actualizaciones del producto, que son versiones ms recientes de todos los productos. Las actualizaciones de programa se crean generalmente para ampliar la compatibilidad del sistema operativo o del hardware, para ajustar un problema de rendimiento o para reparar errores de programa. Las actualizaciones de programa aparecen cuando son necesarias. Nota: Algunas actualizaciones de programa pueden requerir que se reinicie el equipo despus de instalarlas.
32
Administrar el cliente Ejecutar LiveUpdate en intervalos programados
LiveUpdate automatiza la recuperacin y la instalacin de actualizaciones de programa. Encuentra y obtiene los archivos en un sitio de Internet, los instala y, a continuacin, borra los archivos sobrantes del equipo. Las actualizaciones de la proteccin son los archivos que mantienen sus productos de Symantec actualizados con la tecnologa de proteccin contra amenazas ms reciente. Las actualizaciones de proteccin que usted recibe dependen de los productos instalados en su equipo. De forma predeterminada, LiveUpdate se ejecuta automticamente en los intervalos programados. De acuerdo con su configuracin de seguridad, es posible ejecutar LiveUpdate manualmente. Es posible que tambin pueda inhabilitar LiveUpdate o modificar la programacin de LiveUpdate.
Ejecutar LiveUpdate en intervalos programados

Es posible crear una programacin de modo que LiveUpdate se ejecute automticamente en intervalos programados. Para ejecutar LiveUpdate en intervalos programados
1 2 3 4 5 6 7
En el cliente, en la barra lateral, haga clic en Cambiar configuracin. Al lado de Administracin de clientes, haga clic en Configurar opciones. En el cuadro de dilogo Configuracin de administracin de clientes, haga clic en Actualizaciones programadas. En la ficha Actualizaciones programadas, marque Habilitar actualizaciones automticas. En el cuadro de grupo Frecuencia, seleccione si desea que las actualizaciones se ejecuten diaria, semanal o mensualmente. En el cuadro de grupo Cundo, seleccione el da o la semana y la hora en la que usted quisiera que las actualizaciones se ejecutaran. En el cuadro de grupo Opciones de eventos no realizados marque la opcin de seguir intentando y especifique el nmero de horas o das durante los cuales el cliente debe volver a intentar efectuar un evento perdido. En el cuadro del grupo Opciones del clculo aleatorio, marque Hora de inicio aleatoria antes o despus de y especifique el nmero de horas o das anteriores o posteriores a la actualizacin programada. Esto configura un rango de tiempo durante el cual la actualizacin se inicia aleatoriamente. Haga clic en Aceptar.
Administrar el cliente Ejecutar LiveUpdate manualmente
33
Ejecutar LiveUpdate manualmente

Es posible actualizar el software y los archivos de definiciones usando LiveUpdate. LiveUpdate obtiene los nuevos archivos de definiciones desde un sitio de Symantec y reemplaza los archivos de definiciones anteriores. Los productos de Symantec dependen de la informacin ms actual para proteger el sistema de nuevas amenazas descubiertas. Symantec pone a su disposicin esa informacin a travs de LiveUpdate. Para obtener actualizaciones mediante LiveUpdate
En el cliente, en la barra lateral, haga clic en LiveUpdate. LiveUpdate se conecta con el servidor de Symantec, comprueba si hay actualizaciones disponibles y las descarga e instala automticamente.
Probar la seguridad del equipo

Es posible analizar el equipo para probar su eficacia frente a las amenazas exteriores y de virus. Este anlisis es una medida importante que es posible tomar para asegurarse de que su equipo est protegido contra posibles intrusos. Los resultados pueden ayudarlo a configurar varias opciones en el cliente a fin de proteger su equipo contra ataques. Para probar la seguridad de su equipo
1 2 3 4
En el cliente, en la barra lateral, haga clic en Estado. Al lado de Proteccin contra amenazas de red, haga clic en Opciones > Ver actividad de la red. Haga clic en Herramientas > Prueba de seguridad de red. En el sitio Web de Symantec AntiVirus Check, realice una de las siguientes acciones:
Para comprobar si hay amenazas en lnea, haga clic en Anlisis de seguridad. Para comprobar si hay virus, haga clic en Deteccin de virus.
En el cuadro de dilogo Contrato de licencia de usuario final, haga clic en Acepto y despus haga clic en Siguiente. Si hizo clic en Deteccin de virus en el paso 4, haga clic en Consiento y despus haga clic en Siguiente. Si desea detener el anlisis en cualquier momento, haga clic en Detener.
Cuando el anlisis haya terminado, cierre el cuadro de dilogo.
34
Administrar el cliente Acerca de las ubicaciones
Acerca de las ubicaciones

Una ubicacin se refiere a una poltica de seguridad basada en su entorno de red. Por ejemplo, si usted se conecta a la red de la oficina usando su equipo porttil desde su domicilio, el administrador puede configurar una ubicacin denominada Hogar. Si utiliza el equipo porttil en la oficina, es posible utilizar una ubicacin denominada Oficina. Otras ubicaciones pueden incluir una VPN, una sucursal o un hotel. El cliente conmuta entre estas ubicaciones porque sus necesidades de seguridad y uso pueden variar entre los entornos de red. Por ejemplo, cuando su equipo porttil se conecta a la red de la oficina, el cliente puede utilizar un grupo de polticas restrictivas que su administrador configur. Cuando se conecta a la red domstica, sin embargo, el cliente puede utilizar un grupo de polticas que le da acceso a ms opciones de configuracin. Su administrador planea y configura su cliente como corresponde, de modo que el cliente salva esas diferencias automticamente. Nota: En un entorno administrado, puede modificar ubicaciones solamente si su administrador le ha proporcionado el acceso necesario.
Modificar ubicaciones
Es posible modificar una ubicacin si es necesario. Por ejemplo, puede ser necesario pasar a una ubicacin que permita a un colega acceder a los archivos en su equipo. La lista de ubicaciones disponibles depende de sus polticas de seguridad y de la red activa de su equipo. Nota: De acuerdo con las polticas de seguridad disponibles, puede tener acceso a ms de una ubicacin, o no. Puede ocurrir que cuando usted haga clic en una ubicacin, no pase a esa ubicacin. Esto significa que su configuracin de red no es apropiada para esa ubicacin. Por ejemplo, una ubicacin denominada Oficina puede estar disponible solamente cuando detecta la red de rea local (LAN) de la oficina. Si no est actualmente en esa red, no es posible pasar a esa ubicacin. Para modificar una ubicacin
1 2
En el cliente, en la barra lateral, haga clic en Cambiar configuracin. En la pgina Cambiar configuracin, al lado de Administracin de clientes, haga clic en Configurar opciones.
Administrar el cliente Acerca de la Proteccin contra intervenciones
35
3 4
En la ficha General, bajo Opciones de la ubicacin, seleccione la ubicacin a la cual usted desea pasar. Haga clic en Aceptar.
Acerca de la Proteccin contra intervenciones

Proteccin contra intervenciones ofrece proteccin en tiempo real para las aplicaciones de Symantec. Frustra ataques de software malicioso tal como gusanos, caballos de Troya, virus y riesgos de seguridad. Es posible configurar Proteccin contra intervenciones para que tome las medidas siguientes:

Bloquear los intentos de intervencin y registrar el evento. Registrar el evento de intervencin, pero no interferir con el evento de intervencin.
Proteccin contra intervenciones est habilitada para los clientes administrados y no administrados, a menos que su administrador haya modificado la configuracin predeterminada. Cuando Proteccin contra intervenciones detecta un intento de intervencin, la accin predeterminada es registrar el evento en el registro de proteccin contra intervenciones. Es posible configurar Proteccin contra intervenciones para que muestre una notificacin en el equipo cuando detecte un intento de intervencin. Es posible personalizar el mensaje. Proteccin contra intervenciones no notifica sobre intentos de intervencin, a menos que usted habilite esa funcin. Si utiliza un cliente no administrado, es posible modificar su configuracin de Proteccin contra intervenciones. Si utiliza un cliente administrado, es posible modificar esta configuracin si su administrador lo permite. Las mejores prcticas cuando usted utiliza inicialmente Symantec Endpoint Protection son dejar la accin predeterminada Slo registrar y supervisar los registros una vez a la semana. Cuando est seguro de que no ve ningn falso positivo, configure Proteccin contra intervenciones en Bloquear y registrar. Nota: Si se utiliza un analizador de riesgos de seguridad de otro fabricante que detecte y proteja contra publicidad no deseada y software espa, el analizador afecta tpicamente los procesos de Symantec. Si Proteccin contra intervenciones est habilitada al tiempo que se ejecuta un analizador de riesgos de seguridad de otro fabricante, Proteccin contra intervenciones genera una gran cantidad de notificaciones y de entradas de registro. Las mejores prcticas son siempre dejar Proteccin contra intervenciones habilitada y utilizar el filtro de registro si el nmero de eventos que se generan es demasiado grande.
36
Administrar el cliente Habilitar, inhabilitar y configurar Proteccin contra intervenciones
Habilitar, inhabilitar y configurar Proteccin contra intervenciones

Es posible habilitar e inhabilitar Proteccin contra intervenciones. Si se habilita Proteccin contra intervenciones, es posible elegir las medidas que se tomarn cuando se detecta un intento de manipular el software de Symantec. Es posible tambin configurar Proteccin contra intervenciones para que muestre un mensaje que notifique sobre intentos de intervencin. Si desea personalizar el mensaje, puede utilizar las variables predefinidas que Proteccin contra intervenciones completa con la informacin apropiada. Para obtener informacin sobre las variables predefinidas, haga clic en Ayuda en la ficha Proteccin contra intervenciones. Para habilitar o inhabilitar Proteccin contra intervenciones
1 2 3
En la ventana principal, en la barra lateral, haga clic en Cambiar configuracin. Al lado de Administracin de clientes, haga clic en Configurar opciones. En la ficha Proteccin contra intervenciones, marque o deje sin marcar Proteger el software de seguridad de Symantec contra intervenciones o intentos de cierre. Haga clic en Aceptar.
Para configurar Proteccin contra intervenciones
1 2 3
En la ventana principal, en la barra lateral, haga clic en Cambiar configuracin. Al lado de Administracin de clientes, haga clic en Configurar opciones. En la ficha Proteccin contra intervenciones, en el cuadro de lista Accin que se efectuar en caso de que una aplicacin intente intervenir o cerrar el software de seguridad de Symantec, haga clic en Bloquear y registrar el evento o Registrar el evento solamente. Si desea ser notificado cuando Proteccin contra intervenciones detecta comportamiento sospechoso, marque Mostrar un mensaje de notificacin al detectar una intervencin. Si habilita estos mensajes de notificacin, es posible recibir notificaciones sobre los procesos de Windows, adems de los procesos de Symantec.
5 6
Para personalizar el mensaje que aparece, actualice el texto en el campo del mensaje. Haga clic en Aceptar.
Seccin
Symantec Endpoint Protection
Conceptos generales de Symantec Endpoint Protection Fundamentos del cliente de Symantec Endpoint Protection Administrar la proteccin antivirus y contra software espa Administrar la proteccin proactiva contra amenazas Administrar la proteccin contra amenazas de red
38
Captulo
Conceptos generales de Symantec Endpoint Protection


Acerca de Symantec Endpoint Protection De qu forma protege Symantec Endpoint Protection el sistema
Acerca de Symantec Endpoint Protection

Es posible instalar Symantec Endpoint Protection como instalacin independiente o como instalacin administrada. Una instalacin independiente significa que un administrador no administra su software de Symantec Endpoint Protection, por lo tanto, es un cliente independiente. Si administra su propio equipo, ste debe ser de uno de los siguientes tipos:
Un equipo independiente que no se conecta a una red, tal como un equipo personal o un equipo porttil. El equipo debe incluir una instalacin de Symantec Endpoint Protection que utilice las opciones predeterminadas o una configuracin preestablecida por un administrador. Un equipo remoto que se conecte a una red corporativa y que deba cumplir los requisitos de seguridad para conectarse.
Las opciones predeterminadas para Symantec Endpoint Protection proporcionan proteccin antivirus y contra software espa, proteccin proactiva contra amenazas y proteccin contra amenazas de red.. Es posible ajustar las opciones predeterminadas para adaptarlas a las necesidades de su compaa, optimizar el rendimiento del sistema e inhabilitar las opciones que no se aplican.
40
Conceptos generales de Symantec Endpoint Protection De qu forma protege Symantec Endpoint Protection el sistema
Si un administrador administra su equipo, algunas opciones pueden estar bloqueadas o no disponibles, segn la poltica de seguridad del administrador. En este tipo de instalaciones, el administrador es el encargado de ejecutar anlisis en el equipo y de configurar los anlisis programados. El administrador le informar acerca de las tareas que debe realizar utilizando Symantec Endpoint Protection.
De qu forma protege Symantec Endpoint Protection el sistema

Symantec Endpoint Protection proporciona una poltica de seguridad que contiene varios tipos de proteccin para su equipo. Los tipos siguientes de proteccin funcionan juntos para proteger su equipo contra riesgos:

Proteccin antivirus y contra software espa Proteccin contra amenazas de red Proteccin proactiva contra amenazas
Acerca de la proteccin antivirus y contra software espa

La proteccin antivirus y contra software espa se cerciora de que su equipo est protegido contra virus y riesgos de seguridad conocidos. Los virus que se detecten y eliminen de forma precoz de la mquina no podrn propagarse a otros archivos y causar daos. Los efectos de los virus y riesgos de seguridad pueden repararse. Cuando el cliente de Symantec Endpoint Protection detecta un virus o un riesgo de seguridad, de forma predeterminada, el cliente notifica sobre la deteccin. Si no se desea mostrar una notificacin, tanto el usuario como el administrador podrn configurar el cliente para que trate el riesgo automticamente. La proteccin antivirus y contra software espa proporciona anlisis basados en firmas e incluye lo siguiente:
Anlisis de Auto-Protect Auto-Protect se ejecuta constantemente y proporciona proteccin en tiempo real supervisando la actividad de su equipo. Auto-Protect busca virus y riesgos de seguridad cuando se ejecuta o se abre un archivo. Tambin busca virus y riesgos de seguridad cuando se hace cualquier modificacin a un archivo. Por ejemplo, al cambiar el nombre de un archivo, guardarlo, moverlo o copiarlo en distintas carpetas Anlisis programados, de inicio y manuales
41
Usted o su administrador pueden configurar otros anlisis para ejecutarlos en el equipo. Estos anlisis buscan firmas de virus residuales en archivos infectados. Estos anlisis tambin buscan firmas de riesgos de seguridad en archivos infectados e informacin del sistema. Usted o su administrador pueden iniciar anlisis que verifiquen sistemticamente los archivos de su equipo en busca de virus y riesgos de seguridad. Los riesgos de seguridad pueden incluir publicidad no deseada o software espa.
Acerca de la proteccin contra amenazas de red

El cliente de Symantec Endpoint Protection proporciona un firewall personalizable que protege su equipo contra intrusiones y uso errneo, ya sea malicioso o involuntario. Detecta e identifica anlisis de puertos conocidos y otros ataques comunes. En respuesta, el firewall permite o bloquea selectivamente los distintos servicios de red, aplicaciones, puertos y componentes. Incluye varios tipos de normas y opciones de seguridad de firewall para proteger los equipos cliente contra el trfico de red que pueda causar dao. La proteccin contra amenazas de red proporciona un firewall y las firmas de prevencin de intrusiones para evitar ataques de intrusin y contenido malicioso. El firewall permite o bloquea el trfico segn varios criterios. Las normas de firewall determinan si el equipo permite o bloquea una aplicacin o un servicio entrante o saliente que intente acceder a su equipo mediante su conexin de red. Las normas de firewall permiten o bloquean sistemticamente las aplicaciones entrantes o salientes y el trfico desde direcciones IP y puertos especficos o hacia ellos. La configuracin de seguridad detecta e identifica ataques comunes, enva mensajes de correo electrnico despus de un ataque, muestra mensajes personalizables y realiza otras tareas de seguridad relacionadas.
Acerca de la proteccin proactiva contra amenazas

Proteccin proactiva contra amenazas incluye los anlisis de amenazas proactivos TruScan, que aseguran que su equipo tenga proteccin de da cero contra amenazas desconocidas. Estos anlisis utilizan la heurstica para analizar la estructura de un programa, su comportamiento y otros atributos en busca de caractersticas tpicas de los virus. En muchos casos puede proteger contra amenazas tales como gusanos de correo masivos y virus de macro. Es posible que se encuentren gusanos y virus de macro antes de actualizar sus definiciones de virus y riesgos de seguridad. Los anlisis de amenazas proactivos buscan amenazas basadas en scripts en archivos HTML, de VBScript y de JavaScript. Los anlisis de amenazas proactivos tambin detectan las aplicaciones comerciales que se pueden utilizar con propsitos maliciosos. Estas aplicaciones comerciales incluyen programas de control remoto o registradores de pulsaciones.
42
Es posible configurar los anlisis de amenazas proactivos para que pongan en cuarentena las detecciones. Es posible restaurar manualmente los elementos puestos en cuarentena por los anlisis de amenazas proactivos. El cliente puede tambin restaurar automticamente los elementos de la cuarentena.
Captulo
Fundamentos del cliente de Symantec Endpoint Protection


Acerca de los virus y los riesgos de seguridad Respuesta del cliente ante virus y riesgos de seguridad Habilitar e inhabilitar componentes de proteccin Usar el cliente con Windows Security Center Interrupcin y retraso de anlisis
Acerca de los virus y los riesgos de seguridad

El cliente de Symantec Endpoint Protection puede analizar en busca tanto de virus como de riesgos de seguridad, tales como software espa o publicidad no deseada. Estos riesgos pueden poner su equipo, as como una red, en riesgo. Los anlisis antivirus y contra software espa tambin detectan rootkits del nivel de ncleo. Los rootkits son programas que intentan ocultarse del sistema operativo de un equipo y podran utilizarse para propsitos maliciosos. De forma predeterminada, todos los anlisis de antivirus y de software espa, incluso los de Auto-Protect, buscan virus, caballos de Troya, gusanos y todas las categoras de riesgos de seguridad. La Tabla 5-1 describe los tipos de virus y riesgos de seguridad.
44
Fundamentos del cliente de Symantec Endpoint Protection Acerca de los virus y los riesgos de seguridad
Tabla 5-1 Riesgo

Virus
Virus y riesgos de seguridad
Descripcin
Programa o cdigo que adjunta una copia de s mismo a otro programa informtico o documento cuando se ejecuta. Siempre que el programa infectado se ejecute o un usuario abra un documento que contenga un virus de macro, el programa de virus asociado se activa. El virus puede entonces asociarse a otros programas y documentos. Por regla general, los virus entregan una carga, como puede ser mostrar un mensaje en una fecha concreta. Sin embargo, otros estn programados para destruir datos, daar programas, borrar archivos o formatear unidades.
Bots maliciosos de Programas que ejecutan tareas automatizadas en Internet con propsitos maliciosos. Internet Los bots se pueden utilizar para automatizar ataques en los equipos o para recoger informacin de sitios Web. Gusanos Programas que se reproducen sin infectar otros programas. Algunos gusanos se propagan copindose a s mismos de disco a disco, mientras que otros slo se reproducen en la memoria para ralentizar el equipo. Programas que contienen cdigo daino que se oculta o disimula tras una aplicacin benigna, como un juego o una utilidad. Amenazas que combinan las caractersticas de virus, gusanos, caballos de Troya y cdigo con los puntos vulnerables de Internet y de los servidores para iniciar, transmitir y extender un ataque. Las amenazas combinadas emplean diversos mtodos y tcnicas para propagarse con rapidez, y causan un dao generalizado en toda la red. Programas independientes o anexos a otros que recogen, de forma secreta, informacin personal a travs de Internet y la transmiten a otro equipo. La publicidad no deseada puede realizar un seguimiento de los hbitos de navegacin del usuario con intereses comerciales. Este tipo de aplicaciones tambin puede enviar contenido publicitario. Tambin es posible descargarlas de sitios Web sin advertirlo, por lo general, dentro de aplicaciones gratuitas o de uso compartido, y recibirlas a travs de mensajes de correo electrnico o programas de mensajera instantnea. A menudo, un usuario descarga, sin saberlo, publicidad no deseada cuando acepta un acuerdo de licencia de usuario final de un programa de software. Marcadores Programas que utilizan un equipo, sin el permiso o el conocimiento del usuario, para marcar un nmero telefnico o comunicarse con un sitio ftp. Estos programas suelen aumentar los costos. Programas utilizados por un hacker para tener acceso no autorizado al equipo de un usuario. Por ejemplo, una clase de herramienta de hackeo es un registrador de pulsaciones del teclado, el cual realiza un seguimiento de las pulsaciones individuales del teclado, las registra y enva esta informacin al hacker. Entonces, el hacker puede realizar anlisis de puerto y de puntos dbiles. Las herramientas de hackeo se pueden emplear tambin para desarrollar virus.
Caballos de Troya
Amenazas combinadas
Publicidad no deseada
Herramientas de hackeo
Fundamentos del cliente de Symantec Endpoint Protection Acerca de los virus y los riesgos de seguridad
45
Riesgo
Descripcin
Programas broma Programas que alteran o interrumpen el funcionamiento de un equipo con el fin de gastar una broma o asustar al usuario. Por ejemplo, se puede descargar un programa mediante un sitio Web, correo electrnico o programa de mensajera instantnea. Este programa puede entonces alejar la papelera de reciclaje del mouse cuando el usuario intenta borrarlo. Puede tambin invertir los clics del mouse. Otros Cualesquiera otros riesgos de seguridad que no se ajusten exactamente a las definiciones de virus, caballos de Troya, gusanos u otras categoras de riesgos de seguridad. Programas que permiten acceder a travs de Internet desde otro equipo, de manera que pueden recopilar informacin del equipo de un usuario, o bien atacarlo o alterar su contenido. Es posible que se instale un programa de acceso remoto legtimo. Un proceso puede instalar este tipo de aplicacin sin su conocimiento. Este programa puede utilizarse con fines dainos, modificando o no el programa original de acceso remoto. Programas independientes que pueden supervisar, de forma secreta, la actividad del sistema, adems de detectar contraseas y otro tipo de informacin confidencial para transmitirla a otro equipo. Tambin es posible descargarlos de sitios Web sin advertirlo, por lo general dentro de aplicaciones gratuitas o de uso compartido, y recibirlos a travs de mensajes de correo electrnico o programas de mensajera instantnea. A menudo, un usuario descarga, sin saberlo, software espa cuando acepta un acuerdo de licencia de usuario final de un programa de software. Programas de seguimiento Aplicaciones independientes o anexas a otras que realizan un seguimiento de la ruta del usuario en Internet y envan la informacin al sistema de destino. Por ejemplo, la aplicacin puede descargarse mediante un sitio Web, un mensaje de correo electrnico o un programa de mensajera instantnea. Posteriormente, sta puede obtener informacin confidencial relativa al comportamiento del usuario.
Programas de acceso remoto
Software espa
De forma predeterminada, los anlisis antivirus y de software espa hacen lo siguiente:
Detectan, eliminan y reparan los efectos secundarios de virus, gusanos, caballos de Troya y amenazas combinadas. Detectan, eliminan y reparan los efectos secundarios de riesgos de seguridad, como publicidad no deseada, marcadores, herramientas de hackeo, programas broma, programas de acceso remoto, software espa, programas de seguimiento, etc.
El sitio Web de Symantec Security Response ofrece la informacin ms reciente sobre amenazas y riesgos de seguridad. Tambin incluye amplia informacin de referencia, tal como un glosario general e informacin detallada acerca de virus y riesgos de seguridad.
46
Fundamentos del cliente de Symantec Endpoint Protection Respuesta del cliente ante virus y riesgos de seguridad
La Figura 5-1 muestra informacin sobre una herramienta de hackeo y cul es el mtodo para afrontarla aconsejado por Symantec Security Response. Figura 5-1 Descripcin de riesgos de seguridad de Symantec Security Response
Respuesta del cliente ante virus y riesgos de seguridad

El cliente protege los equipos contra virus y riesgos de seguridad, sea cual fuere su origen. Los equipos quedan protegidos contra virus y riesgos de seguridad que se extienden desde los discos duros y disquetes, o que viajan a travs de las redes,
Fundamentos del cliente de Symantec Endpoint Protection Habilitar e inhabilitar componentes de proteccin
47
y tambin contra aqullos que se propagan a travs de archivos adjuntos de correo electrnico o cualquier otro medio. Por ejemplo, un riesgo de seguridad podra instalarse en el equipo sin su conocimiento cuando acceda a Internet. Se analizan los archivos incluidos dentro de archivos comprimidos para eliminar virus y riesgos de seguridad. No es necesario ningn programa adicional ni modificar las opciones para los virus transmitidos por Internet. Auto-Protect analiza los programas descomprimidos y los archivos de documentos automticamente cuando se descargan. Cuando el cliente detecta un virus, de forma predeterminada, intenta limpiar el virus del archivo infectado. El cliente tambin intenta reparar los efectos del virus. Si el cliente limpia el archivo, quita totalmente el riesgo del equipo. Si el cliente no puede limpiar el archivo, mueve el archivo infectado a la cuarentena. El virus no puede propagarse desde la cuarentena. Cuando se actualiza su equipo con nuevas definiciones de virus, el cliente verifica automticamente la cuarentena. Es posible volver a explorar los elementos de la cuarentena. Las definiciones ms recientes pueden limpiar o reparar los archivos puestos previamente en cuarentena. Nota: El administrador puede configurar el programa para que analice automticamente los archivos existentes en el rea de cuarentena. De forma predeterminada, para los riesgos de seguridad, el cliente pone en cuarentena los archivos infectados. El cliente tambin recupera la informacin del sistema que el riesgo de seguridad ha modificado. Algunos riesgos de seguridad no pueden eliminarse totalmente sin generar errores en otros programas del sistema, como un explorador Web. Es posible que la configuracin de la proteccin antivirus y contra software espa no pueda manejar el riesgo automticamente. En ese caso, el cliente pregunta antes de detener un proceso o reiniciar el equipo. Otra alternativa es configurar las opciones para emplear la accin de slo registro para los riesgos de seguridad. Cuando el software de cliente detecta riesgos de seguridad, incluye un vnculo en la ventana del anlisis a Symantec Security Response. En el sitio Web de Symantec Security Response es posible aprender ms sobre el riesgo de seguridad. El administrador tambin puede enviar un mensaje personalizado.
Habilitar e inhabilitar componentes de proteccin

Es posible habilitar e inhabilitar las protecciones en su equipo. Cuando se inhabilita alguna de las protecciones, la barra de estado en la parte superior de la pgina de estado indica que la proteccin est desactivada. Es posible
48
hacer clic en la opcin Reparar para habilitar todas las protecciones inhabilitadas. O es posible habilitar protecciones individuales por separado.
Habilitar e inhabilitar Proteccin antivirus y contra software espa

En caso de que no se haya modificado la configuracin predeterminada, Auto-Protect se carga de forma automtica al iniciar el sistema con el fin de protegerlo frente a los virus y los riesgos de seguridad. Auto-Protect analiza los programas en busca de virus y riesgos de seguridad cuando se ejecutan. Tambin supervisa su equipo en busca de cualquier actividad que pudiera indicar la presencia de un virus o de un riesgo de seguridad. Cuando se detecte un virus, una actividad vrica (un evento que pudiera estar provocado por un virus) o un riesgo de seguridad, Auto-Protect emitir una alerta. Es posible habilitar e inhabilitar Auto-Protect para archivos y procesos. Es posible tambin habilitar e inhabilitar Auto-Protect para el correo electrnico de Internet y Auto-Protect para aplicaciones de grupo de correo electrnico. En entornos administrados, su administrador puede bloquear estas opciones.
Cundo es posible inhabilitar Auto-Protect

En algunos casos, Auto-Protect puede alertar acerca de una actividad vrica que el usuario sepa con seguridad que no est ocasionada por un virus. Por ejemplo, es posible que se muestre un aviso cuando se instalan nuevos programas informticos. Si planea instalar ms aplicaciones y desea evitar el aviso, es posible inhabilitar temporalmente Auto-Protect. Asegrese de habilitar Auto-Protect cuando haya completado la tarea para que su equipo siga estando protegido. Si inhabilita Auto-Protect, otros tipos de anlisis (programados o de inicio) an se ejecutan si usted o su administrador los han configurado para hacerlo. Su administrador puede bloquear Auto-Protect de modo que usted no pueda inhabilitarlo por ningn motivo. En cambio, el administrador puede especificar que sea posible inhabilitar Auto-Protect temporalmente, pero que Auto-Protect se habilite automticamente despus de una cantidad de tiempo especificada.
Acerca del estado de Auto-Protect y la proteccin antivirus y contra software espa

Su configuracin de Auto-Protect determina el estado de la proteccin antivirus y contra software espa en el cliente y en el rea de notificacin de Windows. Cuando cualquier tipo de Auto-Protect se inhabilita, el estado de la proteccin antivirus y contra software espa aparece en rojo en la pgina de estado.
49
El icono del cliente aparece como un escudo completo en la barra de tareas en la esquina inferior derecha de su escritorio de Windows. En algunas configuraciones, el icono no aparece. Cuando se haga clic con el botn secundario en el icono, una marca de verificacin aparece al lado de Habilitar Auto-Protect cuando Auto-Protect para archivos y procesos est habilitado. Cuando se inhabilita Auto-Protect para archivos y procesos, el icono del cliente aparece con un signo de negacin, un crculo rojo con una raya diagonal. Un punto verde aparece con el icono cuando se habilita Auto-Protect para el sistema de archivos, incluso si Auto-Protect para el correo electrnico est inhabilitado.
Habilitacin o inhabilitacin de Auto-Protect para el sistema de archivos

Es posible habilitar e inhabilitar la supervisin de Auto-Protect para el sistema de archivos, a menos que su administrador bloquee la configuracin. Para habilitar o inhabilitar Auto-Protect para el sistema de archivos desde la barra de tareas
En el escritorio de Windows, en el rea de notificacin, haga clic con el botn secundario en el icono del cliente y realice una de las siguientes acciones:

Haga clic en Habilitar Symantec Endpoint Protection. Haga clic en Inhabilitar Symantec Endpoint Protection.
Para habilitar o inhabilitar Auto-Protect para el sistema de archivos desde el cliente
En el cliente, en la pgina Estado, al lado de Proteccin antivirus y contra software espa, realice una de las siguientes acciones:
Haga clic en Opciones > Habilitar Proteccin antivirus y contra software espa. Haga clic en Opciones > Deshabilitar Proteccin antivirus y contra software espa.
Habilitacin o inhabilitacin de Auto-Protect para el correo electrnico

Es posible habilitar o deshabilitar Auto-Protect para el correo electrnico de Internet, de Microsoft Outlook o de Lotus Notes. El administrador puede bloquear estos valores.
50
Para habilitar o inhabilitar Auto-Protect para el correo electrnico
1 2 3
En el cliente, en la barra lateral, haga clic en Cambiar configuracin. Junto a Proteccin antivirus y contra software espa, haga clic en Configurar opciones. Realice una de las acciones siguientes:
En la ficha Auto-Protect para correo electrnico de Internet, marque o deje sin marcar Habilitar Auto-Protect para correo electrnico de Internet. En la ficha Auto-Protect para Microsoft Outlook, marque o deje sin marcar Habilitar Auto-Protect para Microsoft Outlook. En la ficha Auto-Protect para Lotus Notes, marque o deje sin marcar Habilitar Auto-Protect para Lotus Notes.
Haga clic en Aceptar.
Habilitar e inhabilitar Proteccin contra amenazas de red

Es posible que desee inhabilitar la proteccin contra amenazas de red en ciertas circunstancias. Por ejemplo, es posible instalar una aplicacin que puede hacer que el cliente la bloquee. Su administrador pudo haber configurado los lmites siguientes para el momento y la duracin posibles para inhabilitar la proteccin:

Si el cliente permite todo el trfico o todo el trfico saliente solamente. La duracin del perodo durante el que se inhabilita la proteccin. Cuntas veces es posible inhabilitar la proteccin antes de reiniciar el cliente.
Si es posible inhabilitar la proteccin, es posible volver a habilitarla en cualquier momento. El administrador puede tambin habilitar e inhabilitar la proteccin en cualquier momento, incluso si reemplaza el estado que usted establece para la proteccin. Ver "Acerca de administrar la proteccin contra amenazas de red" en la pgina 115. Ver "Bloquear y desbloquear un equipo atacante" en la pgina 138. Para habilitar o inhabilitar Proteccin contra amenazas de red
En el cliente, en la pgina Estado, al lado de Proteccin contra amenazas de red, realice una de las siguientes acciones:
Haga clic en Opciones > Habilitar Proteccin contra amenazas de red.
Fundamentos del cliente de Symantec Endpoint Protection Usar el cliente con Windows Security Center
51
Haga clic en Opciones > Deshabilitar Proteccin contra amenazas de red.
Habilitar e inhabilitar Proteccin proactiva contra amenazas

Se habilita Proteccin proactiva contra amenazas cuando se habilitan las opciones Analizar en busca de caballos de Troya y gusanos, y Analizar en busca de registradores de pulsaciones. Si una de las opciones se inhabilita, el cliente muestra el estado de Proteccin proactiva contra amenazas como inhabilitado. Ver "Acerca de los anlisis de amenazas proactivos TruScan" en la pgina 103. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en el procedimiento. Para habilitar o inhabilitar Proteccin proactiva contra amenazas
En el cliente, en la pgina Estado, al lado de Proteccin proactiva contra amenazas, realice una de las siguientes acciones:

Haga clic en Opciones > Habilitar proteccin proactiva contra amenazas. Haga clic en Opciones > Deshabilitar proteccin proactiva contra amenazas.
Usar el cliente con Windows Security Center

Si utiliza Windows Security Center en Windows XP con Service Pack 2 para supervisar el estado de la seguridad, es posible ver el estado de Symantec Endpoint Protection en WSC. La Tabla 5-2 muestra el informe del estado de proteccin en WSC. Tabla 5-2 Informe del estado de proteccin en WSC Estado de proteccin
NO ENCONTRADO (rojo)
Estado de los productos de Symantec

Symantec Endpoint Protection no est instalado
Symantec Endpoint Protection est instalado con la proteccin ACTIVADO (verde) completa Symantec Endpoint Protection est instalado y las definiciones CADUCADO (rojo) de virus y riesgos de seguridad no estn actualizadas Symantec Endpoint Protection est instalado y Auto-Protect para DESACTIVADO (rojo) el sistema de archivos no est habilitado
52
Fundamentos del cliente de Symantec Endpoint Protection Interrupcin y retraso de anlisis
Estado de proteccin
Symantec Endpoint Protection est instalado, Auto-Protect para DESACTIVADO (rojo) el sistema de archivos no est habilitado y las definiciones de virus y riesgos de seguridad no estn actualizadas Symantec Endpoint Protection est instalado y Rtvscan se desactiv manualmente DESACTIVADO (rojo)
La Tabla 5-3 muestra el informe del estado del firewall de Symantec Endpoint Protection en WSC. Tabla 5-3 Informe del estado del firewall en WSC Estado del firewall
NO ENCONTRADO (rojo) ACTIVADO (verde) DESACTIVADO (rojo)

El firewall de Symantec no est instalado
El firewall de Symantec est instalado y habilitado El firewall de Symantec est instalado pero no habilitado
El firewall de Symantec no est instalado o habilitado, pero est ACTIVADO (verde) instalado y habilitado un firewall de otro fabricante
Nota: En Symantec Endpoint Protection, el firewall de Windows est desactivado de forma predeterminada. Si hay ms de un firewall activado, WSC informa que hay mltiples firewalls instalados y habilitados.
Interrupcin y retraso de anlisis

La funcin de interrupcin de anlisis permite detener la ejecucin de un anlisis en cualquier punto y continuarla despus. Un usuario puede interrumpir cualquier anlisis que haya iniciado. El administrador de red es quien determina si los usuarios pueden interrumpir los anlisis programados por l. Tambin existe la posibilidad de permitir que los usuarios retrasen los anlisis programados que inicie el administrador. Si el administrador habilita la funcin Posponer, los usuarios podrn retrasar los anlisis programados del administrador por un intervalo de tiempo determinado. Cuando se reanude el anlisis, ste volver a empezar desde el principio.
53
Interrumpa momentneamente el anlisis para reanudarlo despus de un tiempo. Utilice la funcin Posponer para retrasar el anlisis durante un perodo ms largo. Utilice los pasos siguientes para interrumpir momentneamente un anlisis que usted o su administrador inici. Si la opcin Interrumpir el anlisis no est disponible es debido a que el administrador de red ha inhabilitado esta funcin. Nota: Si interrumpe momentneamente un anlisis al mismo tiempo que el cliente analiza un archivo comprimido, el cliente puede tardar varios minutos para responder a la solicitud de interrupcin.
54
Para interrumpir un anlisis
Mientras el anlisis se est ejecutando, haga clic en el icono de interrupcin en el cuadro de dilogo de anlisis.
Si usted inici el anlisis, el anlisis se detiene donde est y el cuadro de dilogo del anlisis permanece abierto hasta que se inicie el anlisis de nuevo. Si su administrador inici el anlisis, aparece el cuadro de dilogo Interrupcin del anlisis programado.
En el cuadro de dilogo Interrupcin del anlisis programado, haga clic en Interrumpir. El anlisis programado por el administrador se detendr en el preciso lugar en que se encuentre y el cuadro de dilogo permanecer abierto hasta que se reanude.
En el cuadro de dilogo del anlisis, haga clic en el icono de inicio para reanudarlo.
55
Para retrasar un anlisis programado por el administrador
1 2
Mientras el anlisis programado se est ejecutando, haga clic en Interrumpir el anlisis en el cuadro de dilogo. En el cuadro de dilogo Interrupcin del anlisis programado, haga clic en Posponer 1 hora o Posponer 3 horas. El administrador es quien determina el tiempo durante el que se puede retrasar el anlisis. Cuando la pausa alcanza el lmite, el anlisis vuelve a comenzar desde el principio. El administrador tambin determina el nmero de veces que se puede retrasar un anlisis programado antes de que esta funcin quede inhabilitada.
56
Captulo
Administrar la proteccin antivirus y contra software espa


Acerca de la proteccin antivirus y contra software espa Acerca de Auto-Protect Usar anlisis antivirus y de software espa Configurar anlisis antivirus y de software espa Interpretar los resultados de los anlisis Enviar informacin sobre anlisis antivirus y de software espa a Symantec Security Response Configurar acciones para virus y riesgos de seguridad Configurar notificaciones para virus y riesgos de seguridad Configurar excepciones centralizadas para los anlisis antivirus y de software espa Acerca del rea de cuarentena Administrar la cuarentena
58
Administrar la proteccin antivirus y contra software espa Acerca de la proteccin antivirus y contra software espa
Acerca de la proteccin antivirus y contra software espa

El cliente de Symantec Endpoint Protection incluye la configuracin predeterminada antivirus y contra software espa apropiada para la mayora de los usuarios. Puede modificar la configuracin a fin de personalizarla para su red de seguridad. Es posible personalizar la configuracin de las polticas para los anlisis de Auto-Protect, programados, de inicio y manuales. La configuracin antivirus y contra software espa incluye las opciones siguientes:

Qu elementos analizar Qu hacer cuando se detecta un virus o un riesgo de seguridad
Acerca del anlisis de archivos

Los anlisis antivirus y contra software espa analizan todos los tipos de archivos de forma predeterminada. Los anlisis programados, de inicio y manuales tambin examinan todos los tipos de archivos de forma predeterminada. Es posible optar por analizar los archivos por la extensin de archivo, pero se reduce la proteccin contra virus y riesgos de seguridad. Si selecciona las extensiones de archivo que se analizarn, Auto-Protect puede determinar el tipo de un archivo incluso si un virus modifica la extensin del archivo. Ver "Configurar Auto-Protect para determinar tipos de archivo" en la pgina 66. Tambin existe la posibilidad de excluir del anlisis archivos determinados. Por ejemplo, puede saber que un archivo no activa una alerta de virus durante un anlisis. Es posible excluir el archivo de los anlisis subsecuentes.
Si la aplicacin de correo electrnico utiliza un solo archivo de bandeja de entrada

Si su aplicacin de correo electrnico almacena todo el correo electrnico en un solo archivo, es necesario crear una excepcin centralizada para excluir de los anlisis el archivo de la bandeja de entrada. Las aplicaciones de correo electrnico que almacenan todo el correo electrnico en un solo archivo de bandeja de entrada incluyen Outlook Express, Eudora, Mozilla o Netscape. El cliente se puede configurar para poner en cuarentena los virus que detecta. Si el cliente detecta el virus en el archivo de la bandeja de entrada, pone en cuarentena la bandeja de entrada entera. Si el cliente pone en cuarentena la bandeja de entrada, no es posible acceder al correo electrnico.
59
Generalmente, Symantec no recomienda excluir archivos de los anlisis. Sin embargo, cuando usted excluye de los anlisis el archivo de la bandeja de entrada, el cliente puede an detectar cualquier virus cuando se abren los mensajes de correo electrnico. Si el cliente encuentra un virus cuando usted abre un mensaje de correo electrnico, puede poner en cuarentena o borrar con seguridad el mensaje. Es posible excluir el archivo mediante la configuracin de una excepcin centralizada. Ver "Configurar excepciones centralizadas para los anlisis antivirus y de software espa" en la pgina 93.
Acerca de los anlisis por extensin

El cliente puede analizar el equipo por extensiones. Es posible seleccionar los tipos de extensiones de archivos siguientes:
Archivos de documento Se incluyen los documentos de Microsoft Word y Excel y los archivos de plantilla asociados con esos documentos. El cliente busca infecciones de virus de macro en los archivos de documentos. Se incluyen las bibliotecas de vnculos dinmicos (.dll), los archivos por lotes (.bat), los archivos de comandos (.com), los archivos ejecutables (.exe) y otros archivos de programa. El cliente analiza los archivos de programa en busca de infecciones de virus de archivo.
Archivos de programa
Para agregar extensiones de archivo a la lista de anlisis de Auto-Protect
1 2 3
En el cliente, en la barra lateral, haga clic en Cambiar configuracin. Junto a Proteccin antivirus y contra software espa, haga clic en Configurar opciones. En el cuadro de dilogo Configuracin de la proteccin antivirus y contra software espa, en la ficha Auto-Protect para el sistema de archivos, bajo Tipos de archivos, haga clic en Seleccionados. Haga clic en Extensiones. En el cuadro de texto, escriba la extensin que desea agregar y despus haga clic en Agregar. Repita el paso 5 segn sea necesario y despus haga clic en Aceptar. Haga clic en Aceptar.
4 5 6 7
60
Para agregar extensiones de archivo a la lista de un anlisis manual, programado o de inicio
1 2
En el cliente, en la barra lateral, haga clic en Analizar en busca de amenazas. Haga clic con el botn secundario en el anlisis en el cual desea agregar extensiones de archivo y despus seleccione Editar. Los cambios slo se aplicarn al anlisis que haya seleccionado.
3 4 5 6
En la ficha Opciones de anlisis, bajo Tipos de archivos, seleccione Extensiones seleccionadas y haga clic en Extensiones. Escriba la extensin que desea agregar y, a continuacin, haga clic en Agregar. Repita el paso 4 segn sea necesario y despus haga clic en Aceptar. Haga clic en Aceptar.
Acerca del anlisis de todos los tipos de archivos

El cliente puede analizar todos los archivos del equipo, sea cual sea la extensin. Este tipo de anlisis ofrece la mxima exhaustividad. El anlisis de todos los archivos requiere mucho ms tiempo para realizarse que el anlisis segn las extensiones, pero tambin ofrece mayor proteccin contra virus y riesgos de seguridad.
Acerca de la exclusin de elementos de los anlisis

Es posible configurar el cliente para que excluya un riesgo de seguridad de los anlisis. Puede desear excluir un riesgo del anlisis. Por ejemplo, es posible que necesite un elemento determinado de publicidad no deseada en su trabajo. Puede ocurrir que el cliente no permita ese elemento de software. Si la poltica de seguridad de su compaa permite la publicidad no deseada, puede excluir el riesgo de los anlisis. El cliente puede sealar un archivo como infectado; sin embargo, el archivo no contiene un virus. Esto puede llegar a ocurrir porque las definiciones de virus se disean para detectar cualquier posible variacin de un virus. Puesto que la definicin de virus debe ser amplia necesariamente, el cliente alerta en algunos casos acerca de un archivo infectado cuando en realidad no lo est. Si los anlisis antivirus y de software espa continan sealando un archivo limpio como infectado, es posible excluir el archivo de los anlisis. Al hablar de exclusiones, se hace referencia a aquellos elementos que no se necesita o no se desea incluir en los anlisis.
61
Su poltica de seguridad corporativa puede permitirle ejecutar el software que el cliente marca como riesgo. En ese caso, es posible excluir las carpetas que contienen el software. Se utiliza una excepcin centralizada para excluir elementos de los anlisis. La excepcin se aplica a todos los anlisis antivirus y de software espa que se ejecutan. El administrador puede tambin configurar excepciones. Las excepciones definidas por el administrador toman precedencia sobre las excepciones definidas por el usuario. Ver "Configurar excepciones centralizadas para los anlisis antivirus y de software espa" en la pgina 93. Advertencia: Utilice con cuidado la funcin de exclusin. Si excluye un archivo de los anlisis, el cliente no ejecutar accin alguna para limpiarlo si se ve infectado en algn momento. Esto supone un riesgo potencial para la seguridad del equipo.
Acerca de la prevencin de infecciones causadas por virus de macro

El cliente detecta y elimina automticamente la mayora de los virus de macro de Microsoft Word y Excel. Cuando se ejecutan regularmente anlisis programados, es posible proteger el equipo contra infecciones de virus de macro. Auto-Protect tambin busca y limpia regularmente cualquier virus de macro que detecte. Si desea prevenir las infecciones causadas por virus de macro de forma ms eficaz, lleve a cabo las siguientes acciones:
Active Auto-Protect. Auto-Protect analiza constantemente los archivos a los que se accede o que se modifican. Utilice Auto-Protect con el correo electrnico si est disponible. Proteja los archivos de plantillas globales mediante la desactivacin de macros automticas.
Cuando el cliente de Symantec Endpoint Protection detecta un virus o un riesgo de seguridad

Cuando los virus y los riesgos de seguridad infectan los archivos, el cliente responde a los tipos de riesgo de diversas maneras. Para cada tipo de riesgo, el cliente utiliza una primera accin y despus aplica una segunda accin si la primera accin falla.
62
Administrar la proteccin antivirus y contra software espa Acerca de Auto-Protect
De forma predeterminada, cuando el cliente detecta un virus, intenta primero limpiar el virus del archivo infectado. Si el cliente no puede limpiar un archivo, registra el incidente y mueve el archivo infectado a la cuarentena. De forma predeterminada, cuando el cliente detecta un riesgo de seguridad, pone en cuarentena el riesgo. Tambin intenta quitar o reparar cualquier cambio que el riesgo de seguridad haya realizado. Si el cliente no puede poner en cuarentena un riesgo de seguridad, registra el riesgo y no aplica ninguna accin. Nota: En la cuarentena, el riesgo no puede propagarse. Cuando un cliente mueve un archivo al rea de cuarentena, no tiene acceso al archivo. El cliente puede tambin invertir los cambios para los elementos que pone en cuarentena. Para cada tipo de anlisis, es posible modificar la configuracin de cmo el cliente trata los virus y riesgos de seguridad. Es posible configurar diversas acciones para cada categora de riesgo y para los riesgos de seguridad individuales. Nota: En algunos casos, puede llegar a instalar inadvertidamente una aplicacin que incluya un riesgo de seguridad, como aplicaciones de publicidad no deseada o software espa. Si Symantec ha determinado que poner en cuarentena el riesgo no daa el equipo, el cliente pone en cuarentena el riesgo. Si el cliente pone en cuarentena el riesgo inmediatamente, su accin puede dejar el equipo en un estado inestable. En cambio, el cliente espera hasta que la instalacin de la aplicacin se complete antes de poner en cuarentena el riesgo. Despus se reparan los efectos del riesgo.
Acerca de Auto-Protect
Auto-Protect es la mejor defensa contra los ataques de virus. Cuando se copia, guarda, mueve o abre un archivo, o cuando se accede a l, Auto-Protect lo analiza para garantizar que no est infectado por un virus. Auto-Protect analiza las extensiones de archivo que contienen cdigo ejecutable y todos los archivos .exe y .doc. Auto-Protect puede determinar el tipo de un archivo, incluso aunque un virus haya cambiado su extensin. Por ejemplo, un virus puede cambiar una extensin de archivo por una diferente de las extensiones de archivo configuradas para los anlisis de Auto-Protect. Es posible habilitar e inhabilitar Auto-Protect si su administrador no bloquea esta opcin. Ver "Habilitar e inhabilitar Proteccin antivirus y contra software espa" en la pgina 48.
63
Acerca de Auto-Protect y los riesgos de seguridad

De forma predeterminada, Auto-Protect hace las acciones siguientes:
Analiza en busca de riesgos de seguridad, tales como publicidad no deseada y software espa. Pone en cuarentena los archivos infectados. Quita o repara los efectos secundarios de los riesgos de seguridad.
Puede inhabilitar el anlisis de riesgos de seguridad en Auto-Protect. Ver "Habilitar e inhabilitar el bloqueo y anlisis de riesgos de seguridad de Auto-Protect " en la pgina 67. Si Auto-Protect detecta un proceso que descarga continuamente un riesgo de seguridad al equipo, Auto-Protect muestra una notificacin y registra la deteccin. (Auto-Protect se debe configurar para enviar notificaciones). Si el proceso contina descargando el mismo riesgo de seguridad, varias notificaciones aparecen en el equipo y Auto-Protect registra varios eventos. Para evitar el exceso de notificaciones y eventos registrados, Auto-Protect detiene automticamente el envo de notificaciones sobre el riesgo de seguridad despus de tres detecciones. Auto-Protect tambin deja de registrar el evento despus de tres detecciones. En algunas situaciones, Auto-Protect no detiene el envo de notificaciones y el registro de eventos para el riesgo de seguridad. Auto-Protect contina enviando notificaciones y registrando eventos cuando cualquiera de las siguientes situaciones son verdades:
En los equipos cliente, usted o el administrador pueden inhabilitar el bloqueo de la instalacin de riesgos de seguridad (habilitada de forma predeterminada). La accin para el tipo de riesgo de seguridad que descarga el proceso tienen la accin No hacer nada.
Acerca de los anlisis de correo electrnico de Auto-Protect

Auto-Protect tambin analiza clientes de correo electrnico para trabajo en grupo compatibles. Se proporciona proteccin para los siguientes clientes de correo electrnico:

Lotus Notes 4.5x, 4.6, 5.0 y 6.x Microsoft Outlook 98/2000/2002/2003/2007 (MAPI e Internet) Cliente de Microsoft Exchange 5.0 y 5.5
64
Nota: Auto-Protect slo funciona con los clientes de correo electrnico admitidos y no ofrece proteccin para los servidores de correo. La Proteccin antivirus y contra software espa tambin incluye anlisis de Auto-Protect para programas de correo electrnico por Internet adicionales, gracias a la supervisin de todo el trfico que utilice los protocolos de comunicaciones POP3 o SMTP. Es posible configurar el software de cliente para que analice los mensajes entrantes y salientes en busca de los riesgos. Los anlisis del correo saliente ayudan a evitar la propagacin de las amenazas que utilizan clientes de correo electrnico para reproducirse y para distribuirse a travs de una red. Nota: Los equipos de 64 bits no admiten el anlisis de correo electrnico de Internet. Para los anlisis del correo electrnico de Lotus Notes y de Microsoft Exchange, Auto-Protect analiza solamente los archivos adjuntos asociados al correo electrnico. Para el anlisis de correo electrnico de Internet de los mensajes que utilizan los protocolos POP3 o SMTP, Auto-Protect analiza los elementos siguientes:

El cuerpo del mensaje Cualesquiera archivos adjuntos al mensaje
Cuando se abre un mensaje con un archivo adjunto, el archivo adjunto se descarga inmediatamente al equipo y se analiza cuando se dan las siguientes situaciones:

Se utiliza un cliente de Microsoft Exchange o Microsoft Outlook sobre MAPI. Auto-Protect est habilitado para el correo electrnico.
Si se dispone de una conexin lenta, la descarga de mensajes con archivos adjuntos de gran tamao puede afectar el rendimiento del correo electrnico. Si suele recibir regularmente archivos adjuntos extensos, tal vez prefiera inhabilitar esta funcin. Ver "Habilitar e inhabilitar el bloqueo y anlisis de riesgos de seguridad de Auto-Protect " en la pgina 67. Nota: Si se detecta un virus al abrir un correo electrnico, es posible que tarde varios segundos en abrirlo mientras Auto-Protect termina el anlisis. El anlisis del correo electrnico no es compatible con los siguientes clientes de correo:
Clientes IMAP
65
Clientes AOL Clientes de correo basados en Web, como Hotmail, Yahoo! Mail y GMAIL
Inhabilitar el uso de Auto-Protect con conexiones de correo electrnico cifradas

Es posible enviar y recibir correo electrnico a travs de un vnculo seguro. De forma predeterminada, Auto-Protect para el correo electrnico de Internet admite contraseas cifradas y correo electrnico sobre conexiones POP3 y SMTP. Si utiliza POP3 o SMTP con Secure Sockets Layer (SSL), el cliente detecta las conexiones seguras, pero no analiza los mensajes cifrados. Aunque Auto-Protect no analiza el correo electrnico que utiliza conexiones seguras, Auto-Protect contina protegiendo los equipos contra riesgos en archivos adjuntos. Auto-Protect analiza los archivos adjuntos de correo electrnico al guardarlos en el disco duro. Nota: Por motivos de rendimiento, no se admite Auto-Protect para el correo electrnico de Internet para POP3 en los sistemas operativos de servidor. Es posible inhabilitar el procesamiento de correo electrnico cifrado, de ser necesario. Cuando se inhabilitan estas opciones, Auto-Protect analiza el correo electrnico sin cifrar que se enva o que se recibe, pero bloquea el correo electrnico cifrado. Si habilitar las opciones y despus intenta enviar correo electrnico cifrado, Auto-Protect bloquear el correo electrnico hasta que se reinicie la aplicacin de correo electrnico. Nota: Si inhabilita las conexiones cifradas para Auto-Protect, el cambio no surte efecto hasta que se cierra la sesin de Windows y se inicia sesin de nuevo. Si necesita asegurarse de que los cambios se apliquen en el momento, cierre la sesin y vuelva a iniciarla. Para inhabilitar Auto-Protect con conexiones de correo electrnico cifradas
1 2 3
En el cliente, en la barra lateral, haga clic en Cambiar configuracin. Junto a Proteccin antivirus y contra software espa, haga clic en Configurar opciones. En la ficha Auto-Protect para correo electrnico de Internet, haga clic en Avanzadas.
66
4 5
Bajo Configuracin de conexin, deje sin marcar Permitir conexiones POP3 cifradas y Permitir conexiones SMTP cifradas. Haga clic en Aceptar.
Ver estadsticas de anlisis de Auto-Protect

Las estadsticas de anlisis de Auto-Protect muestran el estado del anlisis ms reciente de Auto-Protect, el ltimo archivo analizado e informacin acerca de la infeccin de virus y riesgos de seguridad. Para ver las estadsticas de anlisis de Auto-Protect
En el cliente, en la pgina Estado, al lado de Proteccin antivirus y contra software espa, haga clic en Opciones > Ver estadsticas de Auto-Protect para el sistema de archivos.
Ver la lista de riesgos

Es posible ver los riesgos que la Proteccin antivirus y contra software espa detecta actualmente. La lista corresponde a las definiciones de virus actuales. Para ver la lista de riesgos
En el cliente, en la pgina Estado, al lado de Proteccin antivirus y contra software espa, haga clic en Opciones > Ver lista de amenazas.
Configurar Auto-Protect para determinar tipos de archivo

Auto-Protect est preconfigurado para analizar todos los archivos. Los anlisis se pueden realizar en menos tiempo si slo se analizan los archivos de determinadas extensiones. Por ejemplo, es posible que quiera analizar solamente las extensiones siguientes:

.exe .com .dll .doc .xls
Tpicamente, los virus afectan solamente ciertos tipos de archivos. Si analiza extensiones seleccionadas, sin embargo, se obtiene menos proteccin porque Auto-Protect no analiza todos los archivos. La lista predeterminada de extensiones representa a aquellos archivos que normalmente sufren riesgo de infeccin por virus.
67
Auto-Protect analiza las extensiones de archivo que contienen cdigo ejecutable y todos los archivos .exe y .doc. Tambin puede determinar el tipo de un archivo, incluso aunque un virus haya cambiado su extensin. Por ejemplo, analiza los archivos .doc incluso si un virus modifica la extensin del archivo. Es necesario configurar Auto-Protect para que analice todos los tipos de archivos a fin de asegurarse de que su equipo recibe la mayor proteccin contra virus y riesgos de seguridad. Para configurar Auto-Protect para determinar tipos de archivos
1 2 3
En el cliente, en la barra lateral, haga clic en Cambiar configuracin. Junto a Proteccin antivirus y contra software espa, haga clic en Configurar opciones. En cualquier ficha Auto-Protect, bajo Tipos de archivos, realice una de las siguientes acciones:

Haga clic en Todos los tipos para analizar todos los archivos. Haga clic en Seleccionados para analizar slo los archivos que coincidan con las extensiones de archivo enumeradas y, a continuacin, haga clic en Extensiones para cambiar la lista predeterminada de extensiones.
4 5
Si eligi Seleccionados, marque o deje sin marcar Determinar tipos de archivos segn su contenido. Haga clic en Aceptar.
Habilitar e inhabilitar el bloqueo y anlisis de riesgos de seguridad de Auto-Protect

De forma predeterminada, Auto-Protect hace las acciones siguientes:
Analiza en busca de riesgos de seguridad, tales como publicidad no deseada y software espa. Pone en cuarentena los archivos infectados. Intenta quitar o reparar los efectos del riesgo de seguridad
En los casos en que bloquear la instalacin de un riesgo de seguridad no afecta la estabilidad del equipo, Auto-Protect tambin bloquea la instalacin, de forma predeterminada. Si Symantec determina que el bloqueo de un riesgo de seguridad podra poner en peligro la estabilidad de un equipo, Auto-Protect permite la instalacin del riesgo. Auto-Protect tambin toma inmediatamente la medida que se configura para el riesgo. De vez en cuando, sin embargo, es posible que necesite inhabilitar temporalmente el anlisis en busca de riesgos de seguridad en los anlisis de Auto-Protect de
68
archivos, y despus volver a habilitarlo. Puede tambin ser necesario deshabilitar el bloqueo de riesgos de seguridad para controlar el momento en que Auto-Protect reacciona ante ciertos riesgos de seguridad. Nota: El administrador puede bloquear estos valores. Para inhabilitar y habilitar el bloqueo y anlisis de riesgos de seguridad de Auto-Protect
1 2 3
En el cliente, en la barra lateral, haga clic en Cambiar configuracin. Junto a Proteccin antivirus y contra software espa, haga clic en Configurar opciones. En la ficha Auto-Protect para el sistema de archivos, bajo Opciones, realice alguna de las siguientes acciones:

Marque o deje sin marcar Analizar en busca de riesgos de seguridad. Marque o deje sin marcar Bloquear la instalacin de riesgos de seguridad. Marque o deje sin marcar Analizar archivos de unidades de red.
Configurar el anlisis de red

La configuracin de los anlisis de red incluye las siguientes opciones:
Configurar si Auto-Protect confa en los archivos de equipos remotos con Auto-Protect. Especificar si su equipo debe utilizar una memoria cach para almacenar un registro de los archivos que Auto-Protect analiza en una red.
De forma predeterminada, Auto-Protect analiza los archivos al tiempo que se transmiten de su equipo a un equipo remoto. Auto-Protect tambin analiza los archivos cuando se transmiten de un equipo remoto a su equipo. Cuando se leen archivos en un equipo remoto, sin embargo, Auto-Protect no puede analizar los archivos. De forma predeterminada, Auto-Protect intenta confiar en las versiones remotas de Auto-Protect. Si la opcin de confianza est habilitada en ambos equipos, la instancia local de Auto-Protect comprueba la configuracin de Auto-Protect del equipo remoto. Si la configuracin de Auto-Protect del equipo remoto proporciona un nivel de seguridad al menos igual al de la configuracin local, la instancia local de Auto-Protect confa en la instancia remota de Auto-Protect. Cuando la instancia local de Auto-Protect confa en la instancia remota de Auto-Protect, la instancia local no analiza los archivos que lee del equipo
69
remoto. El equipo local confa en que Auto-Protect del equipo remoto ya analiz los archivos. Nota: La instancia local de Auto-Protect analiza siempre los archivos que se copian de un equipo remoto. La opcin de confianza est habilitada de forma predeterminada. Si inhabilita la opcin de confianza, es posible que se reduzca el rendimiento de la red. Para inhabilitar la confianza en versiones remotas de Auto-Protect
1 2 3 4 5 6
En el cliente, en la barra lateral, haga clic en Cambiar configuracin. Junto a Proteccin antivirus y contra software espa, haga clic en Configurar opciones. En la ficha Auto-Protect para el sistema de archivos, haga clic en Avanzadas. En el cuadro de dilogo Opciones avanzadas de Auto-Protect, bajo Opciones avanzadas adicionales, haga clic en Red. Bajo Configuracin del anlisis de red, deje sin marcar Confiar en archivos de equipos remotos en los que se est ejecutando Auto-Protect. Haga clic en Aceptar hasta que aparezca la ventana principal. Es posible configurar su equipo para utilizar una memoria cach de red. Una memoria cach de red almacena un registro de los archivos que Auto-Protect analiz de un equipo remoto. Si utiliza una memoria cach de red, se evita que Auto-Protect analice el mismo archivo ms de una vez. Cuando se previene el anlisis mltiple del mismo archivo, es posible que mejore el rendimiento del sistema. Puede establecer la cantidad de archivos (entradas) que Auto-Protect analiza y registra. Es posible tambin configurar el tiempo de espera antes de que su equipo quite las entradas de la memoria cach. Cuando expira el tiempo de espera, su equipo quita las entradas. Auto-Protect entonces analiza los archivos si se vuelven a solicitar del equipo remoto.
Para configurar una memoria cach de red
1 2 3 4
En el cliente, en la barra lateral, haga clic en Cambiar configuracin. Junto a Proteccin antivirus y contra software espa, haga clic en Configurar opciones. En el cuadro de dilogo Configuracin de antivirus y software espa, en la ficha Auto-Protect para el sistema de archivos, haga clic en Avanzadas. En el cuadro de dilogo Opciones avanzadas de Auto-Protect, bajo Opciones avanzadas adicionales, haga clic en Red.
70
Administrar la proteccin antivirus y contra software espa Usar anlisis antivirus y de software espa
5 6
En el cuadro de dilogo Configuracin del anlisis de red , marque o deje sin marcar Cach de red. Si habilit la memoria cach de red, utilice la configuracin predeterminada o realice una de las siguientes acciones:
Utilice las flechas o escriba el nmero de archivos (entradas) que desea que Auto-Protect analice y registre. Escriba el nmero de segundos durante los cuales usted quisiera que las entradas permanecieran en la memoria cach antes de que el equipo la borre.
Haga clic en Aceptar hasta que aparezca la ventana principal.
Usar anlisis antivirus y de software espa

Auto-Protect es la defensa de mayor alcance contra la infeccin por virus y riesgos de seguridad. Adems de Auto-Protect, la Proteccin antivirus y contra software espa incluye diversos tipos de anlisis para proporcionar proteccin adicional. La Tabla 6-1 describe los anlisis disponibles Tabla 6-1 Tipo
Anlisis personalizado
Anlisis disponibles Descripcin

Analiza archivos, carpetas, unidades o la totalidad del sistema en cualquier momento. El usuario selecciona las partes del equipo que desea analizar. Permite realizar un anlisis rpido de la memoria del sistema y las ubicaciones ms comunes atacadas por virus y riesgos de seguridad. Permite analizar todo el sistema, incluso el sector de arranque y la memoria del sistema. Es posible que tenga que introducir una contrasea para analizar las unidades de red. Se ejecutan en segundo plano segn una frecuencia establecida.
Active Scan
Anlisis completo
Anlisis programados Anlisis de inicio Definido por el usuario
Se ejecuta cada vez que se enciende el equipo y se inicia sesin. Analiza grupos de archivos especficos en cualquier momento.
Mientras Auto-Protect est habilitado, un Active Scan diario y un anlisis programado semanal de todos los archivos proporcionan suficiente proteccin.
71
Si los virus atacan con frecuencia su equipo, considere agregar un anlisis completo en el inicio o un anlisis programado diario. Es posible tambin configurar la frecuencia de los anlisis que buscan comportamiento sospechoso en lugar de riesgos conocidos. Ver "Configurar la frecuencia de los anlisis de amenazas proactivos TruScan" en la pgina 107.
Cmo el cliente de Symantec Endpoint Protection detecta virus y riesgos de seguridad

El cliente previene las infecciones vricas mediante el anlisis del sector de arranque, la memoria y los archivos de los equipos en busca de virus y riesgos de seguridad. El motor de anlisis utiliza firmas de virus y riesgos de seguridad que se encuentran en los archivos de definiciones. El motor de anlisis realiza una bsqueda exhaustiva de cualquier virus conocido que est dentro de los archivos ejecutables. Los anlisis antivirus y de software espa analizan las porciones ejecutables de los archivos de documento para encontrar virus de macro. Puede ejecutar un anlisis manual, o bien programarlo en momentos en los que se ausente de la mesa de trabajo. La Tabla 6-2 describe los componentes del equipo que el cliente analiza. Tabla 6-2 Componente Componentes del equipo que el cliente analiza Descripcin
Memoria del equipo El cliente analiza la memoria del equipo. Todos los virus de archivo, de arranque y de macro pueden ser residentes en memoria. Los virus se convierten en residentes en memoria al copiarse en la memoria de una mquina. De esta forma, se pueden ocultar hasta que se produzca un evento desencadenante. Cuando esto ocurre, el virus puede propagarse a un disquete que se encuentre en la disquetera, o al disco duro. Si un virus est en la memoria, no puede limpiarse. Sin embargo, para eliminar un virus de la memoria se debe reiniciar el equipo cuando se le solicite. Sector de arranque El cliente verifica el sector de arranque del equipo en busca de virus de arranque. Se comprueban dos elementos: las tablas de particiones y el registro de arranque maestro.
72
Componente
Descripcin
Unidad de disquetes Una manera comn en la que un virus se propaga es mediante los disquetes. Un disquete puede permanecer en una unidad de disco cuando se enciende o desactiva el equipo. Cuando un anlisis se inicia, el cliente busca el sector de arranque y las tablas de particiones de un disquete que se encuentre en la unidad de disco. Cuando se desactiva el equipo, se le pedir que quite el disco para evitar posibles infecciones. Archivos seleccionados El cliente analiza archivos individuales. En la mayor parte de los anlisis, se seleccionan los archivos que se desea analizar. El software de cliente utiliza el anlisis basado en patrones para buscar rastros de virus dentro de los archivos. Los rastros de virus se llaman patrones o firmas. Cada archivo se compara con las firmas inofensivas contenidas en un archivo de definiciones como mtodo de identificacin de virus especficos. Si se detecta un virus, el cliente intenta eliminarlo totalmente del archivo infectado de forma predeterminada. Si no consigue eliminarlo, pone el archivo en cuarentena para evitar que la infeccin se extienda a otras reas del equipo. El cliente utiliza un anlisis basado en patrones para buscar signos de riesgos de seguridad dentro de los archivos y las claves de registro. Si se detecta un riesgo de seguridad, el cliente pone en cuarentena los archivos infectados y repara los efectos del riesgo de forma predeterminada. Si el cliente no puede poner en cuarentena los archivos, registra el intento.
Acerca de los archivos de definiciones

Los archivos de virus incluyen bits de cdigo que muestran ciertos patrones cuando se los analiza. Estos patrones se pueden localizar en archivos infectados. Los patrones tambin se denominan firmas. Los riesgos de seguridad, como aplicaciones de publicidad no deseada y software espa, tambin poseen firmas reconocibles. Los archivos de definiciones contienen una lista de firmas de virus conocidas sin el cdigo de virus daino y las firmas conocidas para riesgos de seguridad. El software de anlisis analiza los archivos del equipo en busca de las firmas conocidas incluidas en los archivos de definiciones. Si se detectan coincidencias con un virus, el archivo est infectado. El cliente utiliza el archivo de definiciones para determinar qu virus caus la infeccin y para reparar sus efectos secundarios. Si se encuentra un riesgo de seguridad, el cliente utiliza los archivos de definiciones para poner en cuarentena el riesgo y para reparar sus efectos secundarios.
73
Nuevos virus y riesgos de seguridad se introducen en la comunidad informtica regularmente. Es necesario asegurarse de que los archivos de definiciones del equipo estn actualizados. Es necesario asegurarse de que el cliente puede detectar y limpiar incluso los virus y riesgos de seguridad ms recientes.
Acerca del anlisis de archivos comprimidos

La proteccin antivirus y contra software espa analiza dentro de los archivos comprimidos. Por ejemplo, los anlisis analizan los archivos dentro de los archivos .zip. El administrador del antivirus puede especificar el anlisis de hasta 10 subniveles para los archivos comprimidos que se encuentren en otros archivos comprimidos. Consulte al administrador los tipos de anlisis de archivos comprimidos admitidos en el sistema. Si se habilita Auto-Protect, cualquier archivo dentro de un archivo comprimido se analiza.
Iniciar anlisis manuales

Puede realizar anlisis manuales en busca de virus y riesgos de seguridad, como aplicaciones de publicidad no deseada o software espa, en cualquier momento. Elija qu desea analizar, desde un nico archivo hasta un disquete o todo el sistema. Los anlisis manuales incluyen Active Scan y Anlisis completo. Es posible tambin crear un anlisis personalizado para ejecutarlo cuando lo necesite. Ver "Crear anlisis manuales y de inicio" en la pgina 77. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones de este procedimiento. Para iniciar un anlisis en Windows
Desde la ventana Mi PC o desde el Explorador de Windows, haga clic con el botn secundario en un archivo, carpeta o unidad y, a continuacin, haga clic en Analizar en busca de virus. Esta funcin no es compatible con los sistemas operativos de 64 bits.
Para iniciar un anlisis desde el cliente
En el cliente, en la pgina Estado, al lado de Proteccin antivirus y contra software espa, haga clic en Opciones > Ejecutar Active Scan. En el cliente, en la barra lateral, haga clic en Analizar en busca de amenazas. Realice una de las acciones siguientes:
74
Administrar la proteccin antivirus y contra software espa Configurar anlisis antivirus y de software espa
Bajo Active Scan, haga clic en Active Scan. Bajo Anlisis completo, haga clic en Anlisis completo. En la lista de anlisis, haga clic con el botn secundario en cualquier anlisis y despus haga clic en Analizar ahora. El anlisis comienza. Aparece una ventana de progreso en su equipo para mostrar el progreso del anlisis y los resultados.
Configurar anlisis antivirus y de software espa

Es posible configurar diferentes tipos de anlisis para proteger el equipo contra virus y riesgos de seguridad.
Crear anlisis programados

Los anlisis programados constituyen un importante componente del sistema de proteccin contra amenazas y riesgos de seguridad. Es necesario programar un anlisis que se ejecute por lo menos una vez cada semana para asegurarse de que su equipo se mantenga libre de virus y de riesgos de seguridad. Cuando se crea un nuevo anlisis, el anlisis aparece en la lista de anlisis en la ventana Analizar en busca de amenazas. Nota: Si su administrador ha creado un anlisis programado, ste aparece en la lista de anlisis en la ventana Analizar en busca de amenazas. Es imprescindible que el equipo est en funcionamiento y que los servicios de Symantec Endpoint Protection estn cargados en el momento en que est programado el inicio del anlisis para ejecutarse. De forma predeterminada, los servicios de Symantec Endpoint Protection se cargan cuando se inicia el sistema. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en los procedimientos. Para crear un anlisis programado
1 2
En el cliente, en la barra lateral, haga clic en Analizar en busca de amenazas. Haga clic en Crear un anlisis nuevo.
75
En el cuadro de dilogo Qu elementos analizar, seleccione uno de los siguientes tipos de anlisis para programar:
Activo analiza las reas del equipo que los virus y los riesgos de seguridad infectan comnmente. analiza el equipo entero en busca de virus y riesgos de seguridad.
Completo
Personalizado analiza las reas seleccionadas del equipo en busca de virus y riesgos de seguridad.
4 5
Haga clic en Siguiente. Si seleccion Personalizado, marque las casillas de verificacin apropiadas para especificar dnde analizar. Los smbolos tienen las descripciones siguientes:
El archivo, la unidad o la carpeta no se encuentran seleccionados. Si se trata de una unidad o una carpeta, los archivos y carpetas que contengan tampoco estarn seleccionados. El archivo o la carpeta se encuentran seleccionados.
La carpeta o la unidad se encuentran seleccionadas. Tambin se han seleccionado todos los elementos dentro de ella. La carpeta o la unidad no se encuentran seleccionadas, pero se han seleccionado uno o varios elementos dentro de ella.
6 7
Haga clic en Siguiente. En el cuadro de dilogo Opciones de anlisis, es posible realizar una de las siguientes acciones:
Modificar las opciones predeterminadas de qu elementos se analizan. De forma predeterminada se analizan todos los archivos. Especificar cmo responde el cliente si se detecta un virus o un riesgo de seguridad. De forma predeterminada, el cliente limpia los virus de los archivos infectados y repara cualquier efecto secundario. Si el cliente no puede quitar el virus, pone en cuarentena el archivo.
76
De forma predeterminada, el cliente pone en cuarentena los riesgos de seguridad y quita o repara cualquier efecto secundario. Si el cliente no puede poner en cuarentena y reparar el riesgo, registra el evento.
8 9
Bajo Mejoras de anlisis, seleccione las ubicaciones. Haga clic en Avanzadas.
10 Establezca cualquiera de las siguientes opciones:

Opciones de archivos comprimidos Opciones de copia de respaldo Opciones de cuadros de dilogo Opciones de ajuste Opciones de migracin de almacenamiento
11 Bajo Opciones de cuadros de dilogo, en la lista desplegable, haga clic en

Mostrar el progreso del anlisis y despus haga clic en Aceptar.
12 En el cuadro de dilogo Opciones de anlisis, es posible tambin modificar

las siguientes opciones:
Acciones cambiar la primera y la segunda accin que se llevarn a cabo cuando se detecten riesgos de seguridad. construir un mensaje para visualizar cuando se encuentra un virus o un riesgo de seguridad. Es posible tambin configurar si desea ser notificado antes de que ocurran las acciones de reparacin. crear una excepcin para una deteccin de riesgo de seguridad.
Notificaciones
Excepciones centralizadas
13 Haga clic en Siguiente. 14 En el cuadro de dilogo Cundo analizar, haga clic en En los horarios
especificados y despus haga clic en Siguiente.
15 En el cuadro de dilogo Programar, especifique la frecuencia y el momento

del anlisis.
16 Haga clic en Avanzadas. 17 En el cuadro de dilogo Opciones de programacin avanzadas, realice las
siguientes acciones:
77
Active Volver a intentar anlisis no realizados y, a continuacin, en el campo Mximo de das de espera antes de volver a intentar realizar el anlisis, especifique un valor. Por ejemplo, quizs desee que un anlisis semanal se ejecute slo si se produce en los tres das siguientes a la hora programada para el evento no realizado. Active o desactive Efectuar este anlisis aunque no haya usuarios conectados. Los anlisis definidos por el usuario siempre se ejecutan si el usuario est conectado, independientemente de esta opcin.
En los clientes administrados, el administrador puede anular esta configuracin.
18 Haga clic en Aceptar. 19 En el cuadro de dilogo Programar, haga clic en Siguiente. 20 En el cuadro de dilogo Nombre del anlisis, escriba un nombre y una
descripcin para el anlisis. Por ejemplo, asigne al anlisis el nombre: viernes por la maana.
21 Haga clic en Finalizar.
Acerca de la creacin de varios anlisis programados

Si programa varios anlisis que ocurrirn en el mismo equipo y los anlisis se inician al mismo tiempo, stos se ejecutarn en serie. Despus de que un anlisis finalice, otro anlisis se iniciar. Por ejemplo, es posible programar tres anlisis separados en su equipo para que ocurran a la 1:00 p. m. Cada anlisis analiza una unidad diferente. Un anlisis analiza la unidad C. Otro analiza la unidad D. Otro analiza la unidad E. En este ejemplo, una mejor solucin es crear un anlisis programado que compruebe las unidades C, D y E.
Crear anlisis manuales y de inicio

Algunos usuarios complementan los anlisis programados con un anlisis automtico en el momento en que se enciende el equipo o se inicia una sesin. A menudo, los anlisis de inicio se centran nicamente en carpetas importantes de alto riesgo, como la carpeta Windows o las carpetas donde se almacenan las plantillas de Word y Excel. Nota: En el supuesto que se hayan creado varios anlisis de inicio, stos se ejecutarn de forma secuencial conforme al orden de creacin.
78
La proteccin antivirus y contra software espa tambin incluye un anlisis de inicio que se llama Active Scan autogenerado. El anlisis autogenerado verifica los puntos comunes de infeccin en el equipo cada vez que un usuario inicia sesin en l. Es posible editar este anlisis de la misma manera en que es posible configurar cualquier anlisis manual. Sin embargo, no es posible inhabilitar los anlisis de los archivos en la memoria y los otros puntos comunes de infeccin del equipo. Si normalmente se analiza el mismo conjunto de archivos o carpetas, se puede crear un anlisis manual restringido nicamente a esos elementos. As, en cualquier momento, se podrn analizar de forma rpida esos archivos o carpetas especficos para comprobar que estn libres de virus y riesgos de seguridad. Los anlisis manuales se deben iniciar manualmente. Ver "Iniciar anlisis manuales" en la pgina 73. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en los procedimientos. Para crear un anlisis manual o de inicio
1 2 3 4
En el cliente, en la barra lateral, haga clic en Analizar en busca de amenazas. Haga clic en Crear un anlisis nuevo. Haga clic en Siguiente. En el cuadro de dilogo Qu elementos analizar, seleccione uno de los tipos siguientes de anlisis para programar:

Activo Completo Personalizado
Haga clic en Siguiente.
79
Si seleccion Personalizado, en el cuadro de dilogo de seleccin de archivos, marque los archivos y las carpetas que desea analizar. Los smbolos tienen las descripciones siguientes:
El archivo, la unidad o la carpeta no se encuentran seleccionados. Si se trata de una unidad o una carpeta, los archivos y carpetas que contengan tampoco estarn seleccionados. El archivo o la carpeta se encuentran seleccionados.
La carpeta o la unidad se encuentran seleccionadas. Tambin se han seleccionado todos los elementos dentro de ella. La carpeta o la unidad no se encuentran seleccionadas, pero se han seleccionado uno o varios elementos dentro de ella.
7 8
Haga clic en Siguiente. En el cuadro de dilogo Opciones de anlisis, es posible realizar una de las siguientes acciones:
Modificar las opciones predeterminadas de qu elementos se analizan. De forma predeterminada se analizan todos los archivos. Especificar cmo responde el cliente si se detecta un virus o un riesgo de seguridad. De forma predeterminada, el cliente limpia los virus de los archivos infectados y repara cualquier efecto secundario. Si el cliente no puede quitar el virus, pone en cuarentena el archivo. De forma predeterminada, el cliente pone en cuarentena los riesgos de seguridad y quita o repara cualquier efecto secundario. Si el cliente no puede poner en cuarentena y reparar el riesgo, registra el evento.
Bajo Mejoras de anlisis, marque las ubicaciones.
10 Haga clic en Avanzadas. 11 En el cuadro de dilogo Opciones de anlisis avanzadas, es posible configurar
cualquiera de las siguientes opciones:

Opciones de archivos comprimidos Opciones de copia de respaldo Opciones de cuadros de dilogo Opciones de ajuste
80
Opciones de migracin de almacenamiento
12 Bajo Opciones de cuadros de dilogo, en la lista desplegable, haga clic en

Mostrar el progreso del anlisis y despus haga clic en Aceptar.
13 Cuando haya finalizado con las opciones avanzadas, haga clic en Aceptar. 14 Es posible tambin modificar las siguientes opciones:
Acciones: cambiar la primera y la segunda accin que se llevarn a cabo cuando se detecten riesgos de seguridad. Notificaciones: construir un mensaje para visualizar cuando se encuentra un virus o un riesgo de seguridad. Es posible tambin configurar si desea ser notificado antes de que ocurran las acciones de reparacin. Excepciones centralizadas: crear excepciones para el anlisis.
15 Cuando haya finalizado con las opciones de anlisis, haga clic en Aceptar. 16 En el cuadro de dilogo Cundo ejecutar el anlisis, realice una de las
siguientes acciones:

Haga clic en De forma manual. Haga clic en Al iniciar.
17 En el cuadro de dilogo Opciones de anlisis, haga clic en Siguiente. 18 Escriba un nombre y una descripcin para el anlisis.
Por ejemplo, asigne al anlisis el nombre: MiAnlisis1
19 Haga clic en Finalizar.
Editar y eliminar anlisis de inicio, definidos por el usuario y programados

Cabe la posibilidad de editar y eliminar los anlisis de inicio, definidos por el usuario y programados existentes. Algunas opciones pueden no estar disponibles si no son configurables para un tipo especfico de anlisis. Para editar un anlisis
1 2
En el cliente, en la barra lateral, haga clic en Analizar en busca de amenazas. En la lista de anlisis, haga clic con el botn secundario en el anlisis que desea editar y despus haga clic en Editar.
Administrar la proteccin antivirus y contra software espa Interpretar los resultados de los anlisis
81
Haga cualquier cambio en las fichas Qu elementos analizar, Opciones y General. Para los anlisis programados, es posible tambin modificar la programacin.
Para eliminar un anlisis
1 2 3
En el cliente, en la barra lateral, haga clic en Analizar en busca de amenazas. En la lista de anlisis, haga clic con el botn secundario en el anlisis que desea eliminar y, a continuacin, haga clic en Eliminar. En el cuadro de dilogo Confirmar eliminacin, haga clic en S.
Interpretar los resultados de los anlisis

Siempre que se ejecuta un anlisis manual, programado, de inicio o definido por el usuario, el software de cliente muestra un cuadro de dilogo de progreso del anlisis para sealar el progreso. Adems, Auto-Protect puede mostrar un cuadro de dilogo de resultados siempre que detecte un virus o un riesgo de seguridad. Es posible inhabilitar estas notificaciones. En redes administradas centralizadas, es posible que el cuadro de dilogo de progreso del anlisis no aparezca tras los anlisis iniciados por el administrador. Semejantemente, el administrador puede elegir no mostrar resultados cuando el cliente detecta un virus o un riesgo de seguridad. Si el cliente detecta riesgos durante el anlisis, el cuadro de dilogo de progreso del anlisis muestra los resultados con la siguiente informacin:

Los nombres de los archivos infectados. Los nombres de los virus o de los riesgos de seguridad. Las acciones que el cliente realiz sobre los riesgos.
De forma predeterminada, se le notificar cada vez que se detecte un virus o un riesgo de seguridad. Nota: Es posible que el idioma del sistema operativo en el cual se ejecuta el cliente no pueda interpretar algunos caracteres en los nombres de virus. Si el sistema operativo no puede interpretar los caracteres, stos aparecen como signos de interrogacin en las notificaciones. Por ejemplo, algunos nombres de virus en unicode pueden contener caracteres de doble byte. En los equipos con el cliente en un sistema operativo en ingls, estos caracteres aparecen como signos de interrogacin.
82
Administrar la proteccin antivirus y contra software espa Interpretar los resultados de los anlisis
Si configura el cliente para que muestre el cuadro de dilogo de progreso del anlisis, podr interrumpir, reiniciar o detener el anlisis. Cuando finalice el anlisis, los resultados aparecern en la lista. Si no se detectan virus ni riesgos de seguridad, la lista permanecer vaca y el estado se mostrar como completado. Ver "Interrupcin y retraso de anlisis" en la pgina 52.
Acerca de la interaccin con los resultados del anlisis o los resultados de Auto-Protect
El cuadro de dilogo de progreso del anlisis y el cuadro de dilogo de resultados de Auto-Protect tienen opciones similares. Si el cliente necesita terminar un proceso o una aplicacin, o detener un servicio, se activar el botn Eliminar riesgo. Es posible que no pueda cerrar el cuadro de dilogo si los riesgos del cuadro de dilogo necesitan que se tomen medidas. La Tabla 6-3 describe las opciones y el cuadro de dilogo de resultados. Tabla 6-3 Botn Opciones del cuadro de dilogo de resultados Descripcin
Suprimir riesgos ahora Muestra el cuadro de dilogo Eliminar riesgo. En el cuadro de dilogo Eliminar riesgo, es posible seleccionar una de las opciones siguientes para cada riesgo: S El cliente quita el riesgo. Al quitar un riesgo puede ser necesario reiniciar. La informacin del cuadro de dilogo indica si un reinicio es obligatorio. No Al cerrar el cuadro de dilogo de resultados, aparece otro cuadro de dilogo. El cuadro de dilogo le recuerda que an se necesita tomar medidas. Sin embargo, se suprime el cuadro de dilogo Eliminar riesgo hasta que reinicie su equipo.
Administrar la proteccin antivirus y contra software espa Enviar informacin sobre anlisis antivirus y de software espa a Symantec Security Response
83
Botn
Cerrar
Descripcin
Cierra el cuadro de dilogo de resultados si no es necesario tomar medidas en los riesgos. Si necesita tomar una accin, aparece una de las siguientes notificaciones: Se requiere eliminar el riesgo. Aparece cuando un riesgo requiere finalizar un proceso. Si opta por quitar el riesgo, volver al cuadro de dilogo de resultados. Si tambin se requiere reiniciar, la informacin en la fila del riesgo en el cuadro de dilogo indica esta necesidad. Debe reiniciar. Aparece cuando un riesgo requiere reiniciar. Debe eliminarse el riesgo y reiniciar. Aparece cuando un riesgo requiere que se finalice un proceso y otro riesgo requiere reiniciar.
Si un reinicio es obligatorio, la eliminacin o la reparacin no se completa hasta que se reinicie el equipo. Es posible que necesite tomar medidas sobre un riesgo, pero puede optar por tomarlas ms adelante. El riesgo se puede quitar o reparar en otro momento de las siguientes maneras:
Es posible abrir el registro del riesgo, hacer clic con el botn secundario en el riesgo y despus tomar medidas. Puede ejecutar un anlisis para detectar el riesgo y abrir el cuadro de dilogo de resultados de nuevo.
Es posible tambin tomar medidas haciendo clic con el botn secundario en un riesgo en el cuadro de dilogo y seleccionando una accin. Las medidas que se pueden tomar dependen de las acciones configuradas para el tipo determinado de riesgo que el anlisis detect. Ver "Acciones sobre los archivos infectados" en la pgina 24.
Enviar informacin sobre anlisis antivirus y de software espa a Symantec Security Response
Es posible especificar que la informacin sobre las tasas de deteccin de Auto-Protect o de los anlisis se enve automticamente a Symantec Security Response. La informacin sobre tasas de deteccin puede ayudar a Symantec a refinar las actualizaciones de las definiciones de virus. Las tasas de deteccin
84
Administrar la proteccin antivirus y contra software espa Configurar acciones para virus y riesgos de seguridad
muestran los virus y los riesgos de seguridad detectados con mayor frecuencia por los clientes. Symantec Security Response puede quitar las firmas que no se detectan y proporcionar una lista de firmas dividida en segmentos para los clientes que la solicitan. Las listas divididas en segmentos aumentan el rendimiento del anlisis antivirus y de software espa. El envo de tasas de deteccin est habilitado de forma predeterminada. Nota: Su administrador puede bloquear la configuracin de envo. Es posible tambin enviar elementos de la cuarentena a Symantec. Ver "Enviar un archivo potencialmente infectado a Symantec Security Response para su anlisis" en la pgina 101. Para enviar informacin sobre anlisis antivirus y de software espa a Symantec Security Response
1 2 3 4
En el cliente, en la barra lateral, haga clic en Cambiar configuracin. Junto a Proteccin antivirus y contra software espa, haga clic en Configurar opciones. En la ficha Envos, marque Enviar automticamente las detecciones antivirus y riesgos de seguridad. Haga clic en Aceptar.
Configurar acciones para virus y riesgos de seguridad

Es posible configurar las acciones que usted quisiera que el cliente de Symantec Endpoint Protection realizara cuando detecta un virus o un riesgo de seguridad. Puede configurar una primera y una segunda accin, en caso de que falle la primera. Nota: Si el equipo est a cargo de un administrador y estas opciones muestran un icono de un candado, no podr cambiarlas porque el administrador las ha bloqueado. Se configuran las acciones para cualquier tipo de anlisis de la misma manera. Cada anlisis tiene su propia configuracin para las acciones. Es posible configurar diversas acciones para diversos anlisis. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en los procedimientos.
85
Para configurar acciones para virus y riesgos de seguridad
1 2 3 4
En el cliente, en la barra lateral, haga clic en Cambiar configuracin. Junto a Proteccin antivirus y contra software espa, haga clic en Configurar opciones. En la ficha Auto-Protect para el sistema de archivos, haga clic en Acciones. En el cuadro de dilogo Acciones de anlisis, seleccione en el rbol un tipo de virus o riesgo de seguridad. De forma predeterminada, cada subcategora de riesgos de seguridad se configura automticamente para utilizar las acciones establecidas para la categora entera de riesgos de seguridad.
Para configurar acciones diferentes para una categora o para elementos particulares de ella, marque Anular acciones configuradas para riesgos de seguridad y, a continuacin, establezca las acciones exclusivas para esa categora.
86
Seleccione una primera y segunda accin entre las siguientes opciones:

Limpiar riesgo Elimina el virus del archivo infectado. sta es la primera accin predeterminada para los virus.
Nota: Esta accin est disponible solamente como primera

accin para los virus. Esta accin no se aplica a los riesgos de seguridad. Esta opcin debe ser siempre la primera accin para los virus. Si el cliente consigue limpiar con xito el virus de un archivo, no ser necesario llevar a cabo ninguna otra accin. El equipo quedar limpio de virus y no se podr propagar la infeccin a otros elementos del sistema. Cuando el cliente limpia un archivo, quita el virus del archivo, del sector de arranque, o de las tablas de particiones infectados. Adems elimina la capacidad de propagacin del virus. El cliente generalmente puede encontrar y limpiar un virus antes de que se dae el equipo. De forma predeterminada, el cliente hace una copia de respaldo del archivo. Sin embargo, es posible que el archivo limpiado no pueda usarse. El virus pudo haber causado demasiado dao. Es necesario tener en cuenta que algunos archivos infectados no se pueden limpiar. Poner riesgo en cuarentena Mueve el archivo infectado desde su ubicacin original y lo lleva hasta el rea de cuarentena. Los virus que se encuentren en los archivos en cuarentena no podrn propagarse. Para los virus, elimina los archivos infectados de su ubicacin original y los lleva hasta el rea de cuarentena. sta es la segunda accin predeterminada para los virus. Para los riesgos de seguridad, el cliente quita los archivos infectados de su ubicacin original, los coloca en el rea de cuarentena e intenta eliminar o reparar cualquier efecto secundario. sta es la primera accin predeterminada para riesgos de seguridad. La cuarentena contiene un registro de todas las acciones que fueron realizadas. Es posible volver el equipo al estado previo a la eliminacin del riesgo.
87
Suprimir riesgo
Elimina de forma permanente el archivo infectado del disco duro del equipo. Si el cliente no puede borrar un archivo, la informacin sobre la accin que el cliente realiz aparece en el cuadro de dilogo Notificacin. La informacin tambin aparece en Registro de eventos. Utilice esta accin solamente si es posible sustituir el archivo por una copia de respaldo que est libre de virus o de riesgos de seguridad. Cuando el cliente borra un riesgo, borra el riesgo permanentemente. El archivo infectado no se puede recuperar de la papelera de reciclaje.
Nota: Utilice esta accin con precaucin cuando configura

acciones para los riesgos de seguridad. En algunos casos, la eliminacin de riesgos de seguridad provoca la prdida de funcionalidad de algunas aplicaciones. No hacer nada (registrar) Deja el archivo como est. Si utiliza esta accin para los virus, el virus permanece en los archivos infectados. El virus puede propagarse a otras partes de su equipo. Se crea una entrada en el Historial de riesgos para guardar la informacin sobre el archivo infectado. Puede optar por No hacer nada (registrar) como segunda accin tanto para virus de macro como para aquellos que no son de macro. No seleccione esta accin cuando se realizan anlisis en gran escala automatizados, tales como anlisis programados. Es posible que quiera utilizar esta accin si desea ver los resultados de anlisis y tomar medidas adicionales ms adelante. Una accin adicional puede ser mover el archivo a la cuarentena. Para los riesgos de seguridad, esta accin deja los archivos infectados como estn y crea una entrada en el Historial de riesgos para guardar un registro del riesgo. Use esta opcin para controlar de forma manual el modo en que el cliente trata un riesgo de seguridad. sta es la segunda accin predeterminada para los riesgos de seguridad. El administrador puede enviar un mensaje personalizado para informarle acerca de cmo responder.
Ver "Consejos para asignar segundas acciones para virus" en la pgina 88. Ver "Consejos para asignar segundas acciones para riesgos de seguridad" en la pgina 89.
88
7 8
Repita los pasos 1 y 6 para cada categora para la cual desee configurar acciones especficas y despus haga clic en Aceptar. Si seleccion una categora de riesgo de seguridad, es posible seleccionar acciones personalizadas para uno o ms casos especficos de esa categora de riesgo de seguridad. Es posible excluir un riesgo de seguridad del anlisis. Por ejemplo, puede excluir una aplicacin de publicidad no deseada que necesite utilizar en su trabajo. Haga clic en Aceptar.
Consejos para asignar segundas acciones para virus

Al seleccionar una segunda accin para virus, tenga en cuenta las siguientes situaciones:
Cmo se administran los archivos en su equipo Si se encuentran almacenados en el sistema archivos importantes sin copia de respaldo, no se deben emplear acciones permanentes, como Suprimir riesgo. Aunque con este mtodo se pueden eliminar los virus, es posible que se produzcan prdidas de datos. Otro punto de consideracin son los archivos del sistema. Los virus generalmente atacan los archivos ejecutables. Es posible utilizar la accin No hacer nada (registrar) o Poner riesgo en cuarentena de modo que se puedan verificar los archivos infectados. Por ejemplo, un virus puede atacar Command.com. Si el cliente no pudo limpiar la infeccin, puede no ser posible restaurar el archivo. El archivo es fundamental para su sistema. Es posible utilizar la accin No hacer nada para asegurarse de que se pueda acceder al archivo. El tipo de virus que haya infectado el equipo Los distintos tipos de virus infectan reas diferentes del sistema. Los virus de arranque pueden infectar sectores de arranque, tablas de particiones, sectores de arranque maestros y, en ocasiones, la memoria. Cuando los virus de arranque son mltiples, tambin pueden infectar archivos ejecutables y la infeccin puede tratarse como si se debiera a un virus de archivo. Los virus de archivo suelen infectar archivos ejecutables con extensiones .exe, .com o .dll. Los virus de macro suelen infectar archivos de documentos y macros asociadas a ellos. Seleccione las acciones ms adecuadas para los tipos de archivos que necesite recuperar.
89
El tipo de anlisis que En todos los anlisis se desarrollan acciones automticas sin el se ejecuta en su equipo consentimiento expreso del usuario. Si no se modifican las acciones antes de llevar a cabo un anlisis, se ejecutarn las acciones predeterminadas. As pues, las segundas acciones predeterminadas sirven para otorgar un mayor control al usuario en casos de alarmas de virus. Para los anlisis que se ejecutan automticamente, por ejemplo anlisis programados y anlisis de Auto-Protect, no asigne segundas acciones que tengan efectos permanentes. Por ejemplo, es posible realizar un anlisis manual cuando usted sabe ya que un archivo est infectado. Es posible limitar las acciones Suprimir riesgo y Limpiar riesgo a este anlisis manual.
Consejos para asignar segundas acciones para riesgos de seguridad

Al seleccionar una segunda accin para riesgos de seguridad, tenga en cuenta el nivel de control que necesita sobre los archivos. Si en el sistema se almacenan archivos importantes sin copia de respaldo, no se debe efectuar la accin Suprimir riesgo. Aunque con este mtodo se pueden eliminar riesgos de seguridad, es posible que otras aplicaciones del equipo dejen de funcionar. En cambio, con la accin Poner riesgo en cuarentena, podr revertir los cambios que realice el cliente, si fuera necesario.
Acerca de la clasificacin de impacto del riesgo

Symantec evala los riesgos de seguridad para determinar la gravedad de su efecto sobre el equipo. Los siguientes factores se clasifican como bajo, medio o alto:

Impacto en la privacidad Impacto en el rendimiento Ocultacin Dificultad de la eliminacin
Un factor con clasificacin baja tiene un impacto mnimo. Un factor con una clasificacin media tiene cierto impacto. Un factor con una clasificacin alta tiene un impacto significativo en esa rea. Si an no se ha evaluado un riesgo de seguridad especfico, se utiliza la clasificacin predeterminada. Si ya se ha evaluado un riesgo, pero un factor en particular no se aplica, se emplea una clasificacin nula. Estas clasificaciones aparecen en el cuadro de dilogo Excepciones de riesgos de seguridad cuando usted configura una excepcin centralizada para los riesgos de
90
Administrar la proteccin antivirus y contra software espa Configurar notificaciones para virus y riesgos de seguridad
seguridad conocidos. Estas clasificaciones pueden utilizarse como ayuda para determinar qu riesgos de seguridad desea excluir de los anlisis y conservar en el equipo. La Tabla 6-4 describe los factores de clasificacin y qu significa una calificacin alta en cada uno de ellos. Tabla 6-4 Factor de clasificacin
Impacto en la privacidad
Factores de impacto del riesgo Descripcin

Especifica el nivel de privacidad que se pierde debido a la presencia del riesgo de seguridad en el equipo. Una calificacin alta indica que puede ocurrir el robo de informacin personal u otros datos confidenciales.
Impacto en el rendimiento
Especifica hasta qu punto se ver afectado el rendimiento del equipo. Una calificacin alta indica que el rendimiento se ve seriamente afectado.
Clasificacin de ocultacin
Establece cun fcil es determinar la presencia del riesgo de seguridad en el equipo. Una calificacin alta indica que el riesgo de seguridad intenta ocultar su presencia.
Clasificacin de eliminacin
Especifica cun difcil es quitar un riesgo de seguridad de un equipo. Una calificacin alta indica que el riesgo es difcil de eliminar.
Clasificacin general
La clasificacin general es un promedio de los otros factores.
Programa dependiente Esta clasificacin indica si otra aplicacin depende de la presencia de este riesgo de seguridad para funcionar correctamente.
Configurar notificaciones para virus y riesgos de seguridad

De forma predeterminada, recibir una notificacin cuando un anlisis detecte un virus o un riesgo de seguridad. De forma predeterminada, tambin recibir una notificacin cuando el software de anlisis necesita finalizar servicios o detener procesos. El software de anlisis puede tambin necesitar quitar o reparar los efectos del virus o del riesgo de seguridad.
91
Puede configurar las siguientes notificaciones para los anlisis:

Opciones de deteccin Elabore el mensaje que desea ver en el equipo cuando el cliente detecte virus o riesgos de seguridad. Cuando se configura Auto-Protect para el sistema de archivos, es posible seleccionar una opcin adicional para mostrar un cuadro de dilogo. El cuadro de dilogo contiene los resultados cuando Auto-Protect encuentra riesgos en su equipo. Opciones de correccin Configure si desea ser notificado cuando el cliente encuentre un virus o un riesgo de seguridad. Es posible tambin ser notificado cuando el cliente necesita finalizar un proceso o detener un servicio para quitar o para reparar un riesgo.
Es posible construir el mensaje de deteccin que desee mostrar en su equipo. Para construir el mensaje, escriba directamente en el campo del mensaje. Es posible hacer clic con el botn secundario en el campo del mensaje para seleccionar las variables que se incluirn en el mensaje. La Tabla 6-5 describe los campos variables disponibles para los mensajes de notificacin. Tabla 6-5 Campo
NombreVirus AccinEfectuada
Campos variables de mensajes Descripcin

Nombre del virus o del riesgo de seguridad detectado. La accin que el cliente realiz cuando detect el virus o el riesgo de seguridad. Puede ser la primera o la segunda accin configurada. Estado del archivo: Infectado, No infectado o Eliminado. Esta variable de mensaje no se usa de forma predeterminada. Para mostrar esta informacin, agregue manualmente esta variable al mensaje.
Estado
NombreArchivo
Nombre del archivo infectado por el virus o el riesgo de seguridad.
RutaYNombreDeArchivo Nombre y ruta completa del archivo infectado por el virus o el riesgo de seguridad. Ubicacin Unidad del equipo en la que se ubic el virus o el riesgo de seguridad. Nombre del equipo donde se detect el virus o el riesgo de seguridad.
Equipo
92
Campo
Usuario
Descripcin
Nombre del usuario conectado al detectar el virus o el riesgo de seguridad. Tipo de evento, como Riesgo detectado. El tipo de anlisis que detect el virus o el riesgo de seguridad. Fecha en la que se detect el virus o el riesgo de seguridad.
Evento RegistradoPor FechaDeteccin
NombreDeAlmacenamiento El rea afectada de la aplicacin, por ejemplo, Auto-Protect para el sistema de archivos o Auto-Protect para Lotus Notes. DescripcinDeLaAccin Descripcin completa de las acciones efectuadas en respuesta a la deteccin del virus o del riesgo de seguridad.
Es posible configurar notificaciones para los anlisis definidos por el usuario y para Auto-Protect. La configuracin de la notificacin incluye las opciones de correccin. Las opciones de correccin solamente estn disponibles para los anlisis y para Auto-Protect para el sistema de archivos. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en este procedimiento. Para configurar notificaciones de virus y riesgos de seguridad
Para un nuevo anlisis, en el cuadro de dilogo Opciones de anlisis, haga clic en Notificaciones. Para un anlisis existente, en la ficha Opciones de anlisis, haga clic en Notificaciones. Para Auto-Protect, en el cuadro de dilogo Configuracin de la proteccin antivirus y contra software espa, en cualquiera de las fichas de Auto-Protect, haga clic en Notificaciones.
En el cuadro de dilogo Opciones de notificacin, bajo Opciones de deteccin, marque Mostrar un mensaje de notificacin en el equipo infectado. Seleccione esta opcin si desea que aparezca un mensaje en su equipo cuando el anlisis encuentre un virus o un riesgo de seguridad. En el cuadro de mensajes, realice alguna de las siguientes acciones, o todas, para crear el mensaje que desee:

Haga clic para escribir o editar el texto. Haga clic con el botn secundario en Insertar campo y, a continuacin, seleccione el campo de variable que desee insertar.
Administrar la proteccin antivirus y contra software espa Configurar excepciones centralizadas para los anlisis antivirus y de software espa
93
Haga clic con el botn secundario y seleccione Cortar, Copiar, Pegar, Borrar o Deshacer.
Para la configuracin de Auto-Protect, marque o deje sin marcar Mostrar el cuadro de dilogo de resultados de Auto-Protect. Este parmetro permite o suprime el cuadro de dilogo que contiene resultados cuando Auto-Protect para el sistema de archivos encuentra virus y riesgos de seguridad.
Bajo Opciones de correccin, marque las opciones que desea configurar para el anlisis o para Auto-Protect para el sistema de archivos. Estn disponibles las opciones siguientes:
Terminar procesos automticamente Configura el anlisis para que termine los procesos automticamente cuando necesite hacerlo a fin de quitar o reparar un virus o un riesgo de seguridad. No se le solicitar que guarde los datos antes de que el anlisis termine los procesos. Configura el anlisis para que detenga los servicios automticamente cuando necesite hacerlo a fin de quitar o reparar un virus o un riesgo de seguridad. No se le solicitar que guarde los datos antes de que el anlisis detenga los servicios.
Detener servicios automticamente
Configurar excepciones centralizadas para los anlisis antivirus y de software espa

Las excepciones centralizadas son los elementos que se eximen de los anlisis, tal como un riesgo de seguridad determinado o un archivo determinado. Generalmente, no es necesario crear excepciones. Para los clientes administrados, el administrador puede haber creado excepciones centralizadas para los anlisis. Es posible ver excepciones definidas por el administrador, no obstante, no es posible modificarlas. Si crea una excepcin centralizada que est en conflicto con una excepcin definida por el administrador, la excepcin definida por el administrador toma precedencia. Este procedimiento describe la configuracin de una excepcin centralizada desde la pgina Cambiar configuracin. Es posible tambin configurar excepciones cuando crea o modifica un anlisis manual, programado o de inicio, o cuando modifica la configuracin de Auto-Protect. Las excepciones se aplican a todos los
94
Administrar la proteccin antivirus y contra software espa Configurar excepciones centralizadas para los anlisis antivirus y de software espa
anlisis antivirus y de software espa. Si configura una excepcin cuando usted crea o edita un anlisis determinado, la excepcin se aplica a todos los anlisis antivirus y de software espa. Nota: Tambin se pueden configurar excepciones centralizadas para anlisis de amenazas proactivos TruScan. En la instalacin Server Core de Windows Server 2008, los cuadros de dilogo de la interfaz de usuario pueden diferir de los que se describen en estos procedimientos. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en estos procedimientos. Para excluir un riesgo de seguridad de los anlisis
1 2 3
En el cliente, en la barra lateral, haga clic en Cambiar configuracin. Al lado de Excepciones centralizadas, haga clic en Configurar opciones. En el cuadro de dilogo Excepciones centralizadas, en la ficha Excepciones definidas por el usuario, haga clic en Agregar > Excepciones de riesgos de seguridad > Riesgos conocidos. En el cuadro de dilogo Agregar excepciones de riesgos de seguridad conocidos, marque los riesgos de seguridad que desee excluir de los anlisis. Si desea registrar un evento cuando se detecta un riesgo de seguridad y no se hace nada con l, marque Registrar la deteccin del riesgo de seguridad. Haga clic en Aceptar. En el cuadro de dilogo Excepciones centralizadas, haga clic en Cerrar.
4 5 6 7
Para excluir un archivo de los anlisis
1 2 3
En el cliente, en la barra lateral, haga clic en Cambiar configuracin. Al lado de Excepciones centralizadas, haga clic en Configurar opciones. En el cuadro de dilogo Excepciones centralizadas, en la ficha Excepciones definidas por el usuario, haga clic en Agregar > Excepciones de riesgos de seguridad > Archivo. En el cuadro de dilogo Agregar excepcin de archivos de riesgos de seguridad , seleccione el archivo que desea excluir y, a continuacin, haga clic en Agregar. En el cuadro de dilogo Excepciones centralizadas, haga clic en Cerrar.
Administrar la proteccin antivirus y contra software espa Acerca del rea de cuarentena
95
Para excluir una carpeta de los anlisis
1 2 3
En el cliente, en la barra lateral, haga clic en Cambiar configuracin. Al lado de Excepciones centralizadas, haga clic en Configurar opciones. En el cuadro de dilogo Excepciones centralizadas, en la ficha Excepciones definidas por el usuario, haga clic en Agregar > Excepciones de riesgos de seguridad > Carpeta. En el cuadro de dilogo Agregar excepcin de carpetas de riesgos de seguridad, seleccione la carpeta, active o desactive Incluir subcarpetas y a continuacin haga clic en Agregar. En la instalacin Server Core de Windows Server 2008, la interfaz de usuario incluye dos cuadros de dilogo para la seleccin de carpetas. Utilice el primer cuadro de dilogo para seleccionar la carpeta y el segundo para seleccionar si desea incluir las subcarpetas.
En el cuadro de dilogo Excepciones centralizadas, haga clic en Cerrar.
Para excluir extensiones de los anlisis
1 2 3
En el cliente, en la barra lateral, haga clic en Cambiar configuracin. Al lado de Excepciones centralizadas, haga clic en Configurar opciones. En el cuadro de dilogo Excepciones centralizadas, en la ficha Excepciones definidas por el usuario, haga clic en Agregar > Excepciones de extensiones de riesgos de seguridad. En el cuadro de dilogo Agregar Excepciones de extensiones, escriba la extensin que desea excluir. Es posible incluir solamente un nombre de extensin en el cuadro de texto. Si escribe varias extensiones, el cliente trata la entrada como un solo nombre de extensin.
5 6 7 8
Haga clic en Agregar. Repita del paso 4 al 5 para agregar ms extensiones. Haga clic en Aceptar. En el cuadro de dilogo Excepciones centralizadas, haga clic en Cerrar.
Acerca del rea de cuarentena

El cliente detecta a veces un virus desconocido que no puede ser eliminado con el grupo actual de definiciones de virus. Es posible que tenga un archivo que usted cree que est infectado, pero que los anlisis no detecten una infeccin. El rea de cuarentena permite aislar con total seguridad los archivos potencialmente
96
Administrar la proteccin antivirus y contra software espa Acerca del rea de cuarentena
infectados que se encuentren en el sistema. Cuando se pone en cuarentena un virus, ste no puede propagarse en el equipo o a otros equipos en su red.
Acerca de los archivos infectados en la cuarentena

Es posible ver los archivos infectados en la cuarentena. Es posible ver la siguiente informacin sobre los archivos:

Riesgo Nombre del archivo Tipo Ubicacin original Estado Fecha
Nota: Es posible que el idioma del sistema operativo en el cual se ejecuta el cliente no pueda interpretar algunos caracteres en los nombres de riesgos. Si el sistema operativo no puede interpretar los caracteres, stos aparecen como signos de interrogacin en las notificaciones. Por ejemplo, algunos nombres de riesgos en unicode pueden contener caracteres de doble byte. En los equipos con el cliente en un sistema operativo en ingls, estos caracteres aparecen como signos de interrogacin. Cuando el cliente mueve un archivo infectado a la cuarentena, el riesgo no puede copiarse e infectar otros archivos. Esta accin es una de las segundas acciones recomendadas para las infecciones de virus de macro y de virus que no son de macro. Sin embargo, la accin Poner en cuarentena no limpia el riesgo. El riesgo permanece en el equipo hasta que el cliente limpie el riesgo o borre el archivo. Los virus y los virus de macro pueden ser puestos en cuarentena. Los virus de arranque no pueden ser puestos en cuarentena. Normalmente, los virus de arranque se encuentran en el sector de arranque o en la tabla de particiones de las mquinas, y estos elementos no se pueden poner en cuarentena. Tambin se pueden ver las propiedades del archivo infectado. Ver "Ver archivos y detalles en el rea de cuarentena" en la pgina 98.
Administrar la proteccin antivirus y contra software espa Administrar la cuarentena
97
Acerca del tratamiento de los archivos infectados en la cuarentena

Despus de mover un archivo a la cuarentena, es posible realizar una de las siguientes acciones:

Restaurar el archivo seleccionado a su ubicacin original. Borrar permanentemente el archivo seleccionado. Volver a analizar los archivos despus de recibir definiciones de virus actualizadas. Exportar el contenido de la cuarentena a un archivo delimitado por comas (*.csv) o a un archivo de base de datos de Access (*.mdb). Agregar manualmente un archivo a la cuarentena. Es posible desplazarse hasta una ubicacin y seleccionar el archivo que desea pasar a la cuarentena. Enviar un archivo a Symantec Security Response. Siga las instrucciones del asistente en pantalla para enviar el archivo seleccionado para su anlisis.
Ver "Administrar la cuarentena" en la pgina 97.
Acerca del tratamiento de los archivos infectados por riesgos de seguridad

Es posible dejar los archivos con riesgos de seguridad que se colocaron en el rea de cuarentena all o suprimirlos. Se aconseja conservarlos en el rea de cuarentena hasta que est seguro de que las aplicaciones del equipo no han perdido funcionalidad. Si borra los archivos asociados con un riesgo de seguridad, alguna aplicacin del equipo puede dejar de funcionar correctamente. La aplicacin puede depender de los archivos asociados que usted borr. Ponerlos en cuarentena es una opcin ms segura, ya que puede revertirse. Es posible restaurar los archivos si alguna de las aplicaciones del equipo pierde su funcionalidad despus de poner en cuarentena los archivos de programa de los que depende la aplicacin. Nota: Despus de ejecutar la aplicacin correctamente, usted puede querer borrar los archivos para ahorrar espacio libre en el disco.
Administrar la cuarentena
Los archivos se ponen en cuarentena de las siguientes formas:
El cliente se configura para mover a la cuarentena los elementos infectados que se detectan con Auto-Protect o en un anlisis.
98
Seleccionando un archivo y ponindolo en cuarentena manualmente.
La opcin predeterminada para Auto-Protect y todos los tipos de anlisis es limpiar el virus del archivo infectado al detectarlo. El software de anlisis pone el archivo en cuarentena si el archivo no puede ser limpiado. Para los riesgos de seguridad, la opcin predeterminada es colocar los archivos infectados en cuarentena y reparar los efectos secundarios. Para poner en cuarentena un archivo manualmente
1 2 3
En el cliente, en la barra lateral, haga clic en Ver Cuarentena. Haga clic en Agregar. Seleccione el archivo que usted desea agregar a la cuarentena y despus haga clic en Agregar.
Ver archivos y detalles en el rea de cuarentena

Es posible ver los archivos que se han puesto en cuarentena. Es posible ver detalles sobre los archivos. Los detalles incluyen el nombre del virus y el nombre del equipo en el cual fue encontrado el archivo. Para visualizar archivos y detalles sobre archivos en el rea de cuarentena
1 2
En el cliente, en la barra lateral, haga clic en Ver Cuarentena. Haga clic con el botn secundario en el archivo que desee ver y, a continuacin, haga clic en Propiedades.
Nuevo anlisis de los archivos en cuarentena en busca de virus

Al colocar un archivo en cuarentena, actualice sus definiciones. Cuando se actualizan las definiciones, los archivos en cuarentena pueden analizarse, limpiarse y restaurarse automticamente. Es posible volver a analizar los archivos en cuarentena si aparece el Asistente de reparacin. Si el cliente no puede quitar el virus despus de volver a analizar los archivos en la cuarentena, es posible enviar el archivo infectado a Symantec Security Response para su anlisis. Ver "Enviar un archivo potencialmente infectado a Symantec Security Response para su anlisis" en la pgina 101.
99
Para volver a analizar los archivos en cuarentena mediante el Asistente de reparacin
1 2 3
Cuando aparezca el Asistente de reparacin, haga clic en S. Haga clic en Siguiente. Siga las instrucciones que se muestran en la pantalla para volver a analizar los archivos en cuarentena.
Nuevo anlisis manual de archivos

Puede volver a analizar de forma manual un archivo del rea de cuarentena para detectar virus, pero no riesgos de seguridad. Para volver a analizar manualmente un archivo que se encuentre en cuarentena en busca de virus
1 2 3
Actualice las definiciones. En el cliente, en la barra lateral, haga clic en Ver Cuarentena. Seleccione el archivo y despus haga clic en Limpiar.
Cuando un archivo reparado no se puede devolver a su ubicacin original

En algunas ocasiones, no existe una ubicacin a la cual devolver los archivos una vez que se han limpiado. Por ejemplo, en el caso de que se haya separado un archivo infectado adjunto a un mensaje de correo electrnico y se haya puesto en cuarentena. Se debe liberar el archivo y especificar una ubicacin. Para liberar un archivo limpiado desde la cuarentena
1 2 3
En el cliente, en la barra lateral, haga clic en Ver Cuarentena. Haga clic con el botn secundario en el archivo reparado y, despus, haga clic en Restaurar. Especifique la ubicacin en la que desee almacenar el archivo.
Limpiar elementos de copia de respaldo

Antes de intentar limpiar o reparar elementos, el cliente hace copias de respaldo de los elementos infectados, de forma predeterminada. Despus de que el cliente limpie correctamente un virus, es necesario borrar manualmente el elemento de la cuarentena porque la copia de respaldo an est infectada. Tambin se puede establecer un perodo para que los archivos se eliminen de forma automtica. Ver "Borrar automticamente archivos de la cuarentena" en la pgina 100.
100
Para eliminar manualmente los elementos de copia de respaldo
1 2 3
En el cliente, en la barra lateral, haga clic en Ver Cuarentena. Seleccione uno o ms archivos de copia de respaldo. Haga clic en Eliminar.
Eliminar archivos de la cuarentena

Es posible eliminar manualmente los archivos de la cuarentena que dejen de ser necesarios. Tambin se puede establecer un perodo para que los archivos se eliminen de forma automtica. Nota: Puede darse el caso de que el administrador especifique un lmite mximo de das para que los elementos permanezcan en cuarentena. Estos elementos se eliminarn automticamente de la cuarentena una vez superado ese lmite de tiempo. Para eliminar manualmente los archivos de la cuarentena
1 2 3
En el cliente, en la barra lateral, haga clic en Ver Cuarentena. Seleccione uno o ms archivos. Haga clic en Eliminar.
Borrar automticamente archivos de la cuarentena

Es posible configurar el software para que quite automticamente elementos de la lista Cuarentena despus de un intervalo de tiempo especificado. Es posible tambin especificar que el cliente quite los elementos cuando la carpeta donde estn almacenados alcance un tamao determinado. De este modo se evita la concentracin de archivos cuya eliminacin manual puede olvidarse. Para borrar automticamente los archivos
1 2 3
En el cliente, en la barra lateral, haga clic en Ver Cuarentena. Haga clic en Opciones de depuracin. En el cuadro de dilogo Opciones de depuracin, seleccione una de las fichas siguientes:

Elementos en cuarentena Elementos de copia de respaldo Elementos reparados
101
Active o desactive El tiempo de almacenamiento excede para habilitar o para deshabilitar la capacidad del cliente de eliminar los archivos despus de que el tiempo configurado caduque. Si marca la casilla El tiempo de almacenamiento excede:, escriba la cantidad de tiempo o haga clic en una flecha para especificarla. Seleccione la unidad de tiempo de la lista desplegable. El valor predeterminado es 30 das. Si marca la casilla El tamao total de la carpeta excede:, escriba el tamao mximo de la carpeta que se permitir, en megabytes. El valor predeterminado es 50 megabytes. Si marca ambas casillas de verificacin, se eliminarn primero todos los archivos de antigedad mayor a la especificada. Si el tamao de la carpeta an excede el lmite especificado, el cliente borra los archivos ms antiguos individualmente. El cliente borra los archivos ms antiguos hasta que el tamao de la carpeta no exceda el lmite.
5 6 7
8 9
Repita del paso 4 al 7 para cualquiera de las otras fichas. Haga clic en Aceptar.
Enviar un archivo potencialmente infectado a Symantec Security Response para su anlisis

A veces, el cliente no puede limpiar un virus de un archivo. En otros casos, usted sospecha que un archivo est infectado y el cliente no detecta la infeccin. Si enva el archivo a Symantec Security Response, se analizar el archivo para confirmar que no se encuentra infectado. Es preciso disponer de una conexin a Internet para enviar una muestra. Nota: La opcin Enviar a Symantec Security Response no est disponible si su administrador inhabilita estos tipos de envos. Para enviar un archivo a Symantec Security Response desde la cuarentena
1 2 3 4
En el cliente, en la barra lateral, haga clic en Ver Cuarentena. Seleccione el archivo en la lista de elementos en cuarentena. Haga clic en Enviar. Siga las instrucciones que se muestran en la pantalla del asistente para proporcionar la informacin necesaria y enviar el archivo para su anlisis.
102
Captulo
Administrar la proteccin proactiva contra amenazas


Acerca de los anlisis de amenazas proactivos TruScan Configurar la frecuencia de los anlisis de amenazas proactivos TruScan Administrar detecciones de amenazas proactivas de TruScan Configurar notificaciones para las detecciones del anlisis de amenazas proactivo TruScan Enviar informacin sobre anlisis de amenazas proactivos TruScan a Symantec Security Response Configurar una excepcin centralizada para los anlisis de amenazas proactivos TruScan
Acerca de los anlisis de amenazas proactivos TruScan

Los anlisis de amenazas proactivos TruScan ofrecen proteccin contra ataques de da cero. La proteccin contra ataques de da cero significa proteccin contra amenazas desconocidas o vulnerabilidades. Los anlisis de amenazas proactivos examinan su equipo en busca de procesos activos que exhiban comportamiento que pueda ser malicioso. Puesto que las amenazas desconocidas no tienen firmas para identificarlas, los anlisis de amenazas proactivos identifican riesgos potenciales marcando el comportamiento sospechoso.
104
Administrar la proteccin proactiva contra amenazas Acerca de los anlisis de amenazas proactivos TruScan
La configuracin predeterminada de los anlisis de amenazas proactivos es apropiada para muchos usuarios. Es posible modificar la configuracin de acuerdo con el nivel de proteccin heurstica que su equipo necesita. Es necesario hacer las preguntas siguientes antes de realizar cambios en la configuracin de los anlisis de amenazas proactivos:

Desea ser informado cuando ocurre una amenaza en su equipo? Con qu frecuencia y en qu momento desea analizar procesos? Qu cantidad de recursos del equipo desea proporcionar para los anlisis de amenazas proactivos?
Nota: Si su administrador no bloquea la configuracin del anlisis de amenazas proactivo, es posible modificar la configuracin. Las opciones bloqueadas incluyen un icono de candado bloqueado. Las etiquetas de las opciones bloqueadas aparecen en gris.
Procesos y aplicaciones examinados por los anlisis de amenazas proactivos TruScan

Los anlisis de amenazas proactivos se diferencian de los anlisis antivirus y de software espa. Los anlisis de amenazas proactivos examinan ciertos tipos de procesos o de aplicaciones que exhiban comportamiento sospechoso. Los anlisis de amenazas proactivos detectan los procesos que parecen actuar como caballos de Troya o gusanos, o registradores de pulsaciones. Es posible habilitar e inhabilitar la deteccin. Nota: TruScan es el nuevo nombre del anlisis de amenazas proactivo. Adems de caballos de Troya, gusanos y registradores de pulsaciones, los anlisis de amenazas proactivos detectan los procesos que se comportan de forma semejante a la publicidad no deseada y al software espa. No es posible configurar cmo los anlisis de amenazas proactivos manejan estos tipos de detecciones. Si los anlisis de amenazas proactivos detectan publicidad no deseada o software espa que usted desea permitir en sus equipos cliente, usted o su administrador deben crear una excepcin centralizada. Ver "Configurar una excepcin centralizada para los anlisis de amenazas proactivos TruScan" en la pgina 113. Los anlisis de amenazas proactivos tambin detectan las aplicaciones comerciales conocidas que se pueden utilizar con propsitos maliciosos. Symantec mantiene
105
una lista de estas aplicaciones comerciales y la actualiza peridicamente. Estas aplicaciones incluyen las aplicaciones comerciales que supervisan o registran las pulsaciones del teclado de un usuario o que controlan el equipo de un usuario remotamente. Es posible configurar acciones para que Symantec Endpoint Protection administre estas detecciones. La Tabla 7-1 describe los procesos que los anlisis de amenazas proactivos detectan. Tabla 7-1 Procesos detectados por los anlisis de amenazas proactivos TruScan Descripcin
Procesos que exhiben caractersticas de caballos de Troya o de gusanos. Los anlisis de amenazas proactivos utilizan la heurstica para buscar los procesos que se comportan como caballos de Troya o gusanos. Estos procesos pueden ser amenazas o no. Registradores de pulsaciones Procesos con caractersticas de registradores de pulsaciones. Los anlisis de amenazas proactivos detectan registradores de pulsaciones comerciales, pero tambin detectan los procesos desconocidos que exhiben comportamiento de registrador de pulsaciones.
Tipo de procesos
Caballos de Troya y gusanos
Aplicaciones comerciales Aplicaciones comerciales conocidas que se pueden utilizar con propsitos maliciosos. Los anlisis de amenazas proactivos detectan varios tipos de aplicaciones comerciales. Es posible configurar acciones para dos tipos: registradores de pulsaciones y aplicaciones de control remoto. Publicidad no deseada y Procesos que exhiben caractersticas de publicidad no deseada software espa y de software espa Los anlisis de amenazas proactivos utilizan la heurstica para detectar procesos desconocidos que se comportan como publicidad no deseada y software espa. Estos procesos pueden ser riesgos o no.
Acerca de las excepciones para los anlisis de amenazas proactivos TruScan

Es posible crear algunas excepciones para los anlisis de amenazas proactivos, a menos que su administrador haya bloqueado la configuracin de las excepciones centralizadas.
106
Su administrador puede tambin crear excepciones centralizadas para anlisis de amenazas proactivos. No es posible modificar las excepciones que su administrador crea. Ver "Configurar una excepcin centralizada para los anlisis de amenazas proactivos TruScan" en la pgina 113.
Acerca de las detecciones del anlisis de amenazas proactivo TruScan

Los anlisis de amenazas proactivos registran, ponen en cuarentena o terminan los procesos potencialmente maliciosos que detectan. Es posible ver las detecciones usando el cuadro de dilogo de resultados de anlisis, los registros de la proteccin proactiva contra amenazas o la lista de cuarentena. Ver "Acerca de la interaccin con los resultados del anlisis o los resultados de Auto-Protect" en la pgina 82. Ver "Administrar la cuarentena" en la pgina 97. Ver "Ver los registros y los detalles de registro" en la pgina 163. Nota: La configuracin del anlisis de amenazas proactivo no tiene ningn efecto sobre los anlisis antivirus y contra software espa, que utilizan firmas para detectar riesgos conocidos. Symantec Endpoint Protection detecta primero los riesgos conocidos. De forma predeterminada, el cliente hace las acciones siguientes:

Registra la deteccin de aplicaciones comerciales conocidas. Registra la deteccin de procesos que se comportan como caballos de Troya, gusanos o registradores de pulsaciones. Pone en cuarentena los procesos que se comportan como caballos de Troya, gusanos o registradores de pulsaciones y que deben corregirse.
Cuando un anlisis de amenazas proactivo pone en cuarentena una deteccin, trata cualquier efecto secundario del proceso. Si el cliente vuelve a analizar la deteccin despus de descargar actualizaciones de contenido a su equipo, el cliente puede restaurar el proceso a su equipo. El cliente restaura el proceso si el proceso ya no se considera malicioso. El cliente tambin restaura cualquier efecto secundario del proceso. Sin embargo, el cliente no reinicia automticamente el proceso. Para la deteccin de registradores de pulsaciones comerciales o de aplicaciones de control remoto, usted o su administrador pueden especificar una accin diferente. Por ejemplo, es posible que no quiera hacer caso de la deteccin de
Administrar la proteccin proactiva contra amenazas Configurar la frecuencia de los anlisis de amenazas proactivos TruScan
107
aplicaciones comerciales de registradores de pulsaciones. Cuando el cliente no hace caso de una aplicacin, autoriza la aplicacin y no registra su deteccin. Para las detecciones de caballos de Troya, gusanos o registradores de pulsaciones, es posible especificar una accin determinada que el cliente siempre utilice cuando hace una deteccin.
Acerca de la actuacin sobre falsos positivos

Los anlisis de amenazas proactivos TruScan a veces detectan falsos positivos. Estos anlisis buscan aplicaciones y procesos con comportamiento sospechoso en lugar de virus o riesgos de seguridad conocidos. Por su naturaleza, estos anlisis sealan tpicamente elementos que podra no ser necesario detectar. Si un anlisis de amenazas proactivo detecta un proceso que usted determina que no es un problema, es posible crear una excepcin de modo que los anlisis futuros no marquen el proceso. Si hay un conflicto entre una excepcin definida por el usuario y una excepcin definida por el administrador, la excepcin definida por el administrador toma precedencia. Ver "Configurar una excepcin centralizada para los anlisis de amenazas proactivos TruScan" en la pgina 113. Para reducir al mnimo las detecciones positivas falsas, asegrese de que el contenido de Symantec para los anlisis de amenazas proactivos est actualizado. La versin aparece en la pgina Estado, bajo Proteccin proactiva contra amenazas. Es posible descargar el contenido ms reciente ejecutando LiveUpdate. Nota: Su administrador puede programar actualizaciones automticas. Si elige administrar la deteccin de caballos de Troya, gusanos y registradores de pulsaciones usted mismo, es posible modificar la sensibilidad de los anlisis de amenazas proactivos. Sin embargo, modificar la sensibilidad puede no modificar el nmero de falsos positivos, ya que solamente cambia el nmero de detecciones totales. Ver "Administrar detecciones de amenazas proactivas de TruScan" en la pgina 108.
Configurar la frecuencia de los anlisis de amenazas proactivos TruScan

Es posible configurar la frecuencia con la que se ejecutan los anlisis de amenazas proactivos.
108
Administrar la proteccin proactiva contra amenazas Administrar detecciones de amenazas proactivas de TruScan
Nota: Si aumenta la frecuencia de los anlisis de amenazas proactivos, es posible que afecte el rendimiento del equipo. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en el procedimiento. Para configurar la frecuencia de los anlisis de amenazas proactivos TruScan
1 2 3
En el cliente, en la barra lateral, haga clic en Cambiar configuracin. Al lado de Proteccin proactiva contra amenazas, haga clic en Configurar opciones. En el cuadro de dilogo Configuracin de proteccin proactiva contra amenazas, en la ficha Frecuencia del anlisis, marque Con una frecuencia personalizada de anlisis. Haga una o ms de las acciones siguientes:
Al lado de Analizar cada, configure el perodo en nmero de das, horas y minutos entre los procesos de anlisis. Marque Analizar procesos nuevos inmediatamente para analizar nuevos procesos cuando se detectan.
Administrar detecciones de amenazas proactivas de TruScan

Los administradores pueden bloquear la configuracin de la deteccin de amenazas proactiva. Si las opciones estn desbloqueadas, o si usted est ejecutando un cliente no administrado, es posible configurar los tipos de procesos que las detecciones de amenazas proactivas detectan. Nota: La deteccin de caballos de Troya, gusanos y registradores de pulsaciones no se admite actualmente en los sistemas operativos de servidor de Windows. En los clientes con sistemas operativos de servidor, las opciones de anlisis no estn disponibles. Si su administrador modifica estas opciones en una poltica que se aplique a su equipo, las opciones pueden aparecer marcadas y no disponibles. Cuando la deteccin de caballos de Troya, gusanos o registradores de pulsaciones est habilitada, es posible elegir la forma en que se administrarn las detecciones. De forma predeterminada, los anlisis de amenazas proactivos utilizan la configuracin predeterminada de Symantec. Esto significa que el cliente determina
109
la accin para la deteccin. (Las opciones predeterminadas que no estn disponibles en la interfaz de usuario no reflejan la configuracin predeterminada de Symantec. Las opciones no disponibles reflejan la configuracin predeterminada que usted utiliza cuando administra detecciones manualmente). Tpicamente, las opciones predeterminadas de Symantec proporcionan la mejor manera de manejar las detecciones. Sin embargo, si tiene experiencia con los resultados de anlisis en su equipo, puede configurar las acciones y los niveles de sensibilidad manualmente. Para configurar estos parmetros, inhabilite la configuracin predeterminada de Symantec. Para reducir al mnimo las detecciones positivas falsas, Symantec recomienda utilizar la configuracin predeterminada de Symantec inicialmente. Despus de cierto tiempo, es posible observar el nmero de falsos positivos que los clientes detectan. Si el nmero es bajo, se puede ajustar la configuracin del anlisis de amenazas proactivo gradualmente. Por ejemplo, para la deteccin de caballos de Troya y gusanos, es posible mover el control deslizante para aumentar levemente la sensibilidad predeterminada. Es posible observar los resultados de los anlisis de amenazas proactivos que se ejecutan despus de establecer la nueva configuracin. Nota: Para los clientes administrados, el administrador suele configurar las opciones del anlisis de amenazas proactivo apropiadas para su equipo. Para las aplicaciones comerciales, es posible especificar el tipo de accin que se efectuar cuando un anlisis de amenazas proactivo detecta programas registradores de pulsaciones comerciales o programas de control comerciales. Es posible modificar estas opciones sin importar la configuracin para los caballos de Troya, los gusanos o los registradores de pulsaciones.
Configurar una accin para la deteccin de aplicaciones comerciales

Es posible modificar la accin que el cliente efecta cuando un anlisis de amenazas proactivo detecta ciertos tipos de aplicaciones comerciales. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en el procedimiento. Para configurar una accin para las detecciones de aplicaciones comerciales
1 2
En el cliente, en la barra lateral, haga clic en Cambiar configuracin. Al lado de Proteccin proactiva contra amenazas, haga clic en Configurar opciones.
110
En el cuadro de dilogo Configuracin de proteccin proactiva contra amenazas, en la ficha Detalles del anlisis, bajo Aplicaciones comerciales, realice una de las siguientes acciones:
Configure la accin para los registradores de pulsaciones comerciales en Omitir, Registro, Finalizar o Cuarentena. Configure la accin para las aplicaciones de control remoto comerciales en Omitir, Registro, Finalizar o Cuarentena.
Especificar acciones y niveles de sensibilidad para detectar caballos de Troya, gusanos y registradores de pulsaciones
Si elige administrar las detecciones de caballos de Troya, gusanos o registradores de pulsaciones usted mismo, puede configurar la accin que se efectuar cuando se detectan estos procesos. Esa accin se utiliza siempre que los anlisis de amenazas proactivos hacen una deteccin. Por ejemplo, es posible configurar la accin para registrar solamente. Si un anlisis de amenazas proactivo detecta un proceso que se categoriza como positivo verdadero, el cliente registra la deteccin. El cliente no pone en cuarentena el proceso. Es posible tambin configurar diversos niveles de sensibilidad para la deteccin de caballos de Troya y gusanos y las detecciones de registradores de pulsaciones. El nivel de sensibilidad determina cun sensibles son los anlisis de amenazas proactivos cuando analizan procesos. Una mayor sensibilidad genera ms detecciones. Tenga presente que algunas de estas detecciones pueden ser falsos positivos. Es posible que configurar un nivel de sensibilidad ms bajo o ms alto no modifique el porcentaje de falsos positivos que producen los anlisis de amenazas proactivos. Modifica solamente el nmero de detecciones totales. Es posible que quiera mantener el nivel de sensibilidad ms bajo hasta que vea los resultados de los anlisis de amenazas proactivos en su equipo. Si los anlisis de amenazas proactivos no producen ninguna deteccin con un nivel de sensibilidad bajo, es posible aumentar la sensibilidad. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en el procedimiento. Para configurar la accin y el nivel de sensibilidad para los caballos de Troya y los gusanos
1 2
En el cliente, en la barra lateral, haga clic en Cambiar configuracin. Al lado de Proteccin proactiva contra amenazas, haga clic en Configurar opciones.
111
En el cuadro de dilogo Configuracin de proteccin proactiva contra amenazas, en la ficha Detalles del anlisis, bajo Caballos de Troya y gusanos, asegrese de que Analizar en busca de caballos de Troya y gusanos est activada, y despus desactive Usar los valores definidos por Symantec. Bajo Sensibilidad, mueva el control deslizante hacia la izquierda o la derecha para disminuir o aumentar la sensibilidad. En la lista desplegable, haga clic en Registrar, Finalizar o Cuarentena. Haga clic en Aceptar.
4 5 6
Para configurar la accin y el nivel de sensibilidad para los registradores de pulsaciones
1 2 3
En el cliente, en la barra lateral, haga clic en Cambiar configuracin. Al lado de Proteccin proactiva contra amenazas, haga clic en Configurar opciones. En el cuadro de dilogo Configuracin de proteccin proactiva contra amenazas, en la ficha Detalles del anlisis, bajo Registradores de pulsaciones, asegrese de que Analizar en busca de registradores de pulsaciones est marcado, y deje sin marcar Usar los valores definidos por Symantec. Para el nivel de sensibilidad, haga clic en Bajo o Alto. En la lista desplegable, haga clic en Registrar, Finalizar o Cuarentena. Haga clic en Aceptar.
4 5 6
Especificar los tipos de procesos que detectan los anlisis de amenazas proactivos TruScan
Es posible configurar si los anlisis de amenazas proactivos analizan en busca de caballos de Troya y gusanos o registradores de pulsaciones. Su administrador puede bloquear algunas de estas opciones. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en el procedimiento. Para especificar los tipos de procesos que detectan los anlisis de amenazas proactivos TruScan
1 2 3
En el cliente, en la barra lateral, haga clic en Cambiar configuracin. Al lado de Proteccin proactiva contra amenazas, haga clic en Configurar opciones. En el cuadro de dilogo Configuracin de proteccin proactiva contra amenazas, en la ficha Detalles del anlisis, bajo Caballos de Troya y gusanos, marque o deje sin marcar Analizar en busca de caballos de Troya y gusanos.
112
Administrar la proteccin proactiva contra amenazas Configurar notificaciones para las detecciones del anlisis de amenazas proactivo TruScan
4 5
Bajo Registradores de pulsaciones, marque o deje sin marcar Analizar en busca de registradores de pulsaciones. Haga clic en Aceptar.
Configurar notificaciones para las detecciones del anlisis de amenazas proactivo TruScan
Es posible configurar mensajes que aparecern cuando los anlisis de amenazas proactivos hacen detecciones. De forma predeterminada, el cliente muestra mensajes cuando ocurren detecciones. Tambin se notifica cuando una deteccin necesita que el cliente termine servicios o detenga procesos. Nota: El administrador puede bloquear estos valores. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en el procedimiento. Para habilitar o inhabilitar notificaciones para las detecciones del anlisis de amenazas proactivo TruScan
1 2 3
En el cliente, haga clic en Cambiar configuracin. Al lado de Proteccin proactiva contra amenazas, haga clic en Configurar opciones. En el cuadro de dilogo Configuracin de proteccin proactiva contra amenazas, en la ficha Notificaciones, marque Mostrar un mensaje cuando se produzca una deteccin. Marque o deje sin marcar Avisar antes de terminar un proceso y Avisar antes de detener un servicio. Haga clic en Aceptar.
4 5
Enviar informacin sobre anlisis de amenazas proactivos TruScan a Symantec Security Response
De forma predeterminada, los anlisis de amenazas proactivos envan informacin sobre los procesos detectados a Symantec Security Response. Cuando los anlisis envan informacin, Symantec analiza la informacin para determinar si una amenaza es verdadera. Si Symantec determina que la amenaza es verdadera, Symantec puede generar una firma para tratar la amenaza. Symantec incluye la firma en las versiones actualizadas de las definiciones.
Administrar la proteccin proactiva contra amenazas Configurar una excepcin centralizada para los anlisis de amenazas proactivos TruScan
113
Cuando se enva informacin sobre un proceso, el envo incluye la siguiente informacin:

La ruta del archivo ejecutable El archivo ejecutable La informacin sobre el archivo y los puntos de carga del registro relacionados con la amenaza La informacin de estado interno La versin del contenido que utiliz el anlisis de amenazas proactivo
No se enva ninguna informacin personal que permita identificar su equipo. El envo de detecciones de los anlisis de amenazas proactivos a Symantec Security Response est habilitado de forma predeterminada. Nota: Su administrador puede bloquear la configuracin de los envos. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en el procedimiento. Para habilitar o inhabilitar el envo de informacin a Symantec Security Response
1 2 3
En el cliente, en la barra lateral, haga clic en Cambiar configuracin. Junto a Proteccin antivirus y contra software espa, haga clic en Configurar opciones. En el cuadro de dilogo Configuracin de la proteccin antivirus y contra software espa, en la ficha Envos, marque o deje sin marcar Enviar automticamente las detecciones de anlisis de amenazas proactivos TruScan. Haga clic en Aceptar.
Configurar una excepcin centralizada para los anlisis de amenazas proactivos TruScan
Es posible crear excepciones para los anlisis de amenazas proactivos, a menos que el administrador bloquee la configuracin. Para crear una excepcin, seleccione un archivo que est disponible en su equipo actualmente. Cuando un anlisis de amenazas proactivo detecta un proceso activo que utilice el archivo, el cliente aplica la accin especificada en la excepcin.
114
Administrar la proteccin proactiva contra amenazas Configurar una excepcin centralizada para los anlisis de amenazas proactivos TruScan
Por ejemplo, es posible que ejecute una aplicacin en su equipo que utiliza un archivo llamado foo.exe. Un anlisis de amenazas proactivo se ejecuta al ejecutar foo.exe. El cliente determina que foo.exe puede ser malicioso. Aparece el cuadro de dilogo de los resultados del anlisis y se muestra que el cliente puso el archivo foo.exe en cuarentena. Es posible crear una excepcin que especifique que los anlisis de amenazas proactivos omitan el archivo foo.exe. El cliente entonces restaura foo.exe. Cuando se vuelva a ejecutar foo.exe, el cliente lo omitir. Su administrador puede tambin crear excepciones centralizadas para los anlisis. Es posible ver excepciones definidas por el administrador, no obstante, no es posible modificarlas. Si crea una excepcin centralizada que est en conflicto con una excepcin definida por el administrador, la excepcin definida por el administrador toma precedencia. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en el procedimiento. Para configurar una excepcin centralizada para los anlisis de amenazas proactivos TruScan
1 2 3 4
En el cliente, en la barra lateral, haga clic en Cambiar configuracin. Al lado de Excepciones centralizadas, haga clic en Configurar opciones. En la ficha Excepciones definidas por el usuario, haga clic en Agregar y despus seleccione Excepcin de anlisis de amenazas proactivo TruScan. En el cuadro de dilogo Agregar excepcin de anlisis de amenazas proactivo TruScan, escriba un nombre de proceso o seleccione un archivo para el cual quiera crear una excepcin. En la lista desplegable Accin, haga clic en Omitir, Slo registrar, Cuarentena o Finalizar. Haga clic en Agregar.
5 6
Captulo
Administrar la proteccin contra amenazas de red


Acerca de administrar la proteccin contra amenazas de red Configuracin del firewall Configurar las opciones de prevencin de intrusiones Configurar valores especficos de una aplicacin
Acerca de administrar la proteccin contra amenazas de red

Los ataques de red se aprovechan del modo en que los equipos transfieren informacin. Symantec Endpoint Protection puede proteger su equipo al supervisar la informacin que entra en el equipo y sale de l, y al bloquear cualquier intento de ataque. La informacin viaja por Internet en forma de paquetes. Cada paquete incluye un encabezado con informacin acerca del equipo remitente, del equipo al que va dirigida la informacin, del modo en que los datos del paquete deben ser procesados y del puerto que debe recibir el paquete. Los puertos son los canales que dividen la secuencia de informacin que viene de Internet en rutas separadas que manejan las aplicaciones individuales. Cuando las aplicaciones de Internet se ejecutan en un equipo, acuden a uno o ms puertos y aceptan la informacin enviada a dichos puertos. Los ataques de red se aprovechan de las debilidades de determinados programas de Internet. Los atacantes utilizan las herramientas que envan los paquetes que
116
Administrar la proteccin contra amenazas de red Acerca de administrar la proteccin contra amenazas de red
contienen cdigos de programacin maliciosos a un puerto determinado. Si una aplicacin vulnerable a este ataque est recibiendo informacin por ese puerto, el cdigo puede dejar que el atacante acceda al equipo, lo desactive o incluso llegue a controlarlo. El cdigo de programacin que se utiliza para generar los ataques puede ubicarse dentro de un paquete o de varios. Su cliente se instala con la configuracin predeterminada para la proteccin contra amenazas de red. En la mayora de los casos no es necesario modificar la configuracin. Por lo general, resulta seguro dejar la configuracin como est. Sin embargo, si tiene conocimientos profundos sobre redes, puede efectuar varios cambios en el firewall del cliente para personalizar la proteccin.
Cmo el cliente protege contra ataques de red

El cliente incluye las herramientas siguientes que protegen el equipo contra intentos de intrusin:
Firewall Supervisa todas las comunicaciones de Internet y crea un escudo que bloquea o limita los intentos de visualizar la informacin del equipo. El firewall protege a los usuarios remotos contra ataques de hacker y evita que los hackers utilicen la puerta trasera para acceder a la red corporativa a travs de estos equipos. Analiza toda la informacin entrante y la informacin saliente para los modelos de los datos que son tpicos de un ataque.
Prevencin de intrusiones
Para evaluar cmo proteger mejor el equipo, es posible comprobar su vulnerabilidad a los ataques de red exteriores y a los virus. Para hacerlo, se pueden ejecutar varios anlisis. Ver "Probar la seguridad del equipo" en la pgina 33.
Acerca del firewall de Symantec Endpoint Protection

Un firewall es un software que proporciona una barrera entre el equipo e Internet. Un firewall impide a los usuarios no autorizados el acceso a equipos privados y redes conectadas a Internet. Detecta posibles ataques de hacker, protege la informacin personal y elimina fuentes no deseadas de trfico de red, tales como intentos de intrusin.
117
El firewall supervisa los intentos de acceso desde Internet
Equipo cliente
Internet
El firewall permite o bloquea el trfico de red especificado en la poltica de firewall
Toda la informacin que ingresa en la red privada o sale de ella debe pasar por el firewall. El firewall examina los paquetes de informacin y bloquea aquellos que no cumplen los criterios de seguridad especificados. Examina los paquetes de informacin mediante normas de firewall. Las polticas de firewall tienen una o ms normas que trabajan juntas para permitir o bloquear el acceso de usuarios a la red. Solamente el trfico autorizado puede pasar a travs del firewall. Las polticas de firewall definen el trfico autorizado. El firewall se ejecuta en segundo plano. El administrador determina el nivel de interaccin que usted tiene con el cliente al permitir o bloquear su capacidad de configurar las normas de firewall y los valores del firewall. Se puede interactuar con el cliente solamente cuando le notifica que existen nuevas conexiones de red y problemas posibles, o se puede tener acceso completo a la interfaz de usuario.
Cmo el firewall supervisa comunicaciones

Cuando el firewall se encuentra activo, supervisa las comunicaciones entre el equipo y los otros equipos de Internet. El firewall lo protege de intentos de conexin indebidos mediante cualquiera de los mtodos siguientes:

Bloquea el trfico entrante y saliente. Advierte tanto de los intentos de conexin procedentes de otros equipos como de los intentos de las aplicaciones instaladas en su sistema de conectarse a otros equipos.
118
Es posible controlar el nivel de proteccin personalizando la proteccin del firewall.
Acerca del sistema de prevencin de intrusiones

El sistema de prevencin de intrusiones (IPS) es la segunda lnea de defensa del cliente Symantec Endpoint Protection despus del firewall. El sistema de prevencin de intrusiones es un sistema basado en redes que funciona en todos los equipos en que se instale el cliente y se habilite el sistema de IPS. Si se detecta un ataque conocido, una o ms tecnologas de prevencin de intrusiones pueden bloquearlo automticamente. El sistema de prevencin de intrusiones analiza toda la informacin entrante y saliente en busca de los patrones de datos tpicos de un ataque. Detecta y bloquea el trfico malintencionado y los intentos de ataque al equipo por parte de usuarios externos. La prevencin de intrusiones tambin controla el trfico saliente y evita la propagacin de gusanos. La Tabla 8-1 detalla los problemas de seguridad comunes que supervisa el sistema de prevencin de intrusiones. Tabla 8-1 Problema
Anlisis de puertos
Problemas de seguridad habituales Proteccin

Oculta los puertos inactivos del equipo y detecta anlisis de puertos.
Ataque de negacin de Examina todos los paquetes de red en busca de ataques conocidos servicio especficos que limitan el uso de los servicios normales del equipo. Intrusiones Detecta y bloquea el trfico malicioso y los intentos de usuarios externos por atacar el equipo, y analiza el trfico saliente para evitar la propagacin de gusanos.
Cmo analiza el trfico la funcin prevencin de intrusiones

El sistema de prevencin de intrusiones analiza todos los paquetes que ingresan en los equipos de la red y salen de ellos en busca de firmas de ataques y secuencias de paquetes que identifican el intento de un atacante de explotar una vulnerabilidad conocida del sistema operativo o del programa. Si la informacin coincide con un ataque conocido, IPS desecha automticamente el paquete. IPS puede tambin separar la conexin con el equipo que envi los datos por una cantidad de tiempo especificada. Esta funcin se llama respuesta activa y protege los equipos de la red. El cliente incluye los tipos siguientes de motores IPS que identifican firmas de ataques:
119
Firmas IPS de Symantec Las firmas IPS de Symantec utilizan un motor basado en secuencias que analiza varios paquetes. Las firmas IPS de Symantec interceptan datos de red en los segmentos de la capa y capturan segmentos de mensajes que se envan entre una aplicacin y la pila de red. El IPS de Symantec examina los paquetes de dos maneras. Analiza todos los paquetes de forma individual en busca de patrones que no se ajusten a las especificaciones y que puedan dejar fuera de servicio la pila TCP/IP. Tambin supervisa los paquetes en forma de flujo de informacin en busca de comandos dirigidos a un servicio particular para aprovecharse de alguna vulnerabilidad del sistema o dejarlo fuera de servicio. Adems, puede recordar la lista de patrones o de patrones parciales de paquetes anteriores y aplicar esta informacin a inspecciones posteriores de paquetes. IPS se basa en una detallada lista de firmas de ataques para detectar y bloquear las actividades de red sospechosas. Symantec proporciona la lista de amenazas conocidas, la cual se puede actualizar en el cliente mediante Symantec LiveUpdate. El motor IPS de Symantec y el correspondiente grupo de firmas IPS se instalan en el cliente de forma predeterminada. Firmas IPS personalizadas Las firmas IPS personalizadas utilizan un motor basado en paquetes que analiza cada paquete individualmente. Los motores basados en secuencias y en paquetes detectan firmas en los datos de red que atacan la pila TCP/IP, los componentes del sistema operativo y la capa de aplicacin. Sin embargo, las firmas basadas en paquetes pueden detectar ataques a la pila TCP/IP antes que las firmas basadas en secuencias. El motor basado en paquetes no detecta las firmas que abarcan varios paquetes. El motor IPS basado en paquetes es ms limitado, porque no almacena coincidencias parciales y analiza solamente cargas de un solo paquete.
El sistema de prevencin de intrusiones registra los ataques detectados en los registros de seguridad. Las firmas IPS personalizadas pueden registrar ataques detectados en el registro de paquetes. Ver "Configurar las opciones de prevencin de intrusiones" en la pgina 136.
Visualizacin de la actividad de red

Es posible ver la informacin sobre trfico entrante y saliente del equipo. Tambin es posible ver una lista de aplicaciones y de servicios que se han ejecutado desde que el servicio cliente se inici. La Tabla 8-2 describe las medidas que el cliente
120
toma respecto del trfico y muestra los iconos que representan medidas que el cliente toma para las aplicaciones que acceden al equipo cliente o la red. Tabla 8-2 Medidas que toma el cliente cuando las aplicaciones acceden al cliente o a la red Accin
Permitir
Icono
Descripcin
Permite que el trfico entrante acceda al equipo cliente y el trfico saliente acceda a la red. Si el cliente recibe trfico, el icono aparecer con un pequeo punto azul en la esquina inferior izquierda. Si el cliente enva trfico, el icono aparecer con el punto en la esquina inferior derecha.
Bloquear
Impide que el trfico entrante y saliente acceda a la red o a una conexin de Internet.
Nota: El cliente no detecta trfico de red de los dispositivos PDA (ayudante personal digital). Para ver el historial de actividad de la red
1 2
En el cliente, en la barra lateral, haga clic en Estado. Al lado de Proteccin contra amenazas de red, haga clic en Opciones > Ver actividad de la red. Para obtener ms informacin sobre los grficos y los campos, haga clic en Ayuda.
Haga clic en Cerrar. Es posible visualizar la actividad de red como trfico de difusin o trfico de unidifusin. El trfico de difusin es el trfico de red que se enva a cada equipo de una subred determinada y no se dirige especficamente a su equipo. El trfico de unidifusin es el trfico que se dirige especficamente a su equipo.
Para mostrar u ocultar los servicios de Windows y el trfico de difusin
1 2 3
En el cliente, en la barra lateral, haga clic en Estado. Al lado de Proteccin contra amenazas de red, haga clic en Opciones > Ver actividad de la red. En el cuadro de dilogo Actividad de red, haga clic con el botn secundario en el campo Aplicaciones en ejecucin y realice lo siguiente:
Administrar la proteccin contra amenazas de red Configuracin del firewall
121
Para mostrar u ocultar los servicios de Windows, marque o deje sin marcar Mostrar servicios de Windows. Para visualizar trfico de difusin, marque Mostrar trfico de difusin. Para visualizar trfico de unidifusin, deje sin marcar Mostrar trfico de difusin.
Haga clic en Cerrar.
Para modificar la apariencia del icono de la aplicacin
1 2 3
En el cliente, en la barra lateral, haga clic en Estado. Al lado de Proteccin contra amenazas de red, haga clic en Opciones > Ver actividad de la red. En el campo Aplicaciones en ejecucin, haga clic con el botn secundario en la aplicacin y, a continuacin, haga clic en una de las siguientes visualizaciones:

Iconos grandes Iconos pequeos Lista Detalles de la aplicacin Detalles de la conexin
Haga clic en Cerrar.
Configuracin del firewall

La configuracin predeterminada del firewall protege su equipo. Si la configuracin predeterminada no es la correcta, se podrn personalizar las polticas de firewall. Para personalizar las polticas de firewall, deber agregar o modificar las siguientes funciones del firewall:
Normas de firewall Controlan el modo en que el cliente protege el equipo cliente de trfico entrante saliente malicioso. Permiten los tipos de trfico especficos necesarios para la mayora de las redes. Este tipo de trfico incluye trfico DHCP, DNS y WINS.
Filtros de trfico inteligentes
Configuracin de trfico Habilita las funciones adicionales del trfico tales como y ocultacin proteccin de NetBIOS, trfico de token ring, operaciones de bsqueda inversa de DNS y configuracin del modo de ocultacin.
122
Su administrador puede haberle dado permiso para personalizar normas y configuraciones del firewall o no. Si no tiene permiso, el administrador crea normas de firewall y habilita la configuracin en polticas de firewall que distribuye al cliente. Si tiene permiso, podr crear normas y modificar la configuracin del cliente para adaptarlo a su entorno de red. Su administrador puede haber configurado el cliente para combinar las normas creadas por su administrador y las creadas por usted. Usted podr inhabilitar la proteccin en determinados momentos, por ejemplo, durante la instalacin de software nuevo. Es posible configurar una notificacin que aparezca cuando el firewall bloquea una aplicacin en el equipo cliente. Ver "Habilitar e inhabilitar Proteccin contra amenazas de red" en la pgina 50.
Acerca de las normas de firewall

Cuando un equipo intenta conectarse a otro equipo, el firewall compara el tipo de conexin con su lista de normas de firewall. El firewall comprueba automticamente todos los paquetes de trfico entrante y saliente con estas normas. A continuacin, el firewall permite o bloquea los paquetes que se basan en la informacin que se especifica en las normas.
Acerca de los elementos de una norma de firewall

Una norma de firewall describe las condiciones en las cuales una conexin de red se puede permitir o bloquear. Por ejemplo, una norma puede indicar que el puerto remoto 80 puede acceder a la direccin IP 192.58.74.0, entre 9 AM y 5 PM todos los das. La Tabla 8-3 describe los criterios que utiliza para definir una norma de firewall. Tabla 8-3 Condicin
Activadores
Condiciones de las normas de firewall Descripcin

Aplicaciones, hosts, protocolos y adaptadores de red. Es posible combinar las definiciones de activacin para crear normas ms complejas, por ejemplo, para identificar un protocolo determinado en lo referente a una direccin de destino especfica. Cundo el firewall evala la norma, todos los activadores deben ser verdaderos para que se produzca una coincidencia. Si un activador no es verdadero en relacin con el paquete actual, el firewall no podr aplicar la norma.
123
Condicin
Condiciones
Descripcin
Estado de programacin y protector de pantalla. Los parmetros condicionales no describen un aspecto de una conexin de red. Por el contrario, los parmetros condicionales determinan el estado activo de una norma. Los parmetros condicionales son opcionales y si no se definen, no son significativos. Es posible configurar una programacin o identificar un estado del protector de pantalla que indique cuando una norma se considera activa o inactiva. El firewall no evala las normas inactivas cuando recibe los paquetes.
Acciones
Permitir o bloquear, y registrar o no registrar. Los parmetros de accin especifican qu medidas toma el firewall cuando una norma coincide. Si la norma se selecciona en respuesta a un paquete recibido, el firewall realiza todas las acciones. El firewall permite o bloquea el paquete, y registra o no el paquete. Si el firewall permite el trfico, permite que el trfico especificado por la norma acceda a su red. Si el firewall bloquea el trfico, bloquea el trfico especificado por la norma para que no acceda a su red.
La Tabla 8-4 describe los disparadores que se pueden definir en una norma de firewall. Tabla 8-4 Disparador
Aplicacin
Disparadores de la norma de firewall Descripcin

Cuando la aplicacin es el nico disparador que usted define en una norma de permiso de trfico, el firewall permite que la aplicacin realice cualquier operacin de red. La aplicacin es el valor significativo, no las operaciones de red que la aplicacin realiza. Por ejemplo: se permite Internet Explorer y no se define ningn otro disparador. Los usuarios podrn acceder a los sitios remotos que utilizan HTTP, HTTPS, FTP, Gopher y cualquier otro protocolo compatible con el navegador Web. Es posible definir activadores adicionales para describir los hosts y protocolos de red con los que se permite comunicacin. El host local es siempre el equipo cliente local, y el host remoto es siempre un equipo remoto que se coloca en otra parte en la red. Esta expresin del vnculo del puerto es independiente de la direccin del trfico. Cuando se definen disparadores de hosts, se especifica el host del componente remoto de la conexin de red descrita.
Host
124
Disparador
Protocolo
Descripcin
Un disparador de protocolo identifica uno o ms protocolos de red significativos en relacin con el trfico de red descrito. El equipo host local maneja siempre el puerto local y el equipo remoto maneja siempre el puerto remoto. Esta expresin del vnculo del puerto es independiente de la direccin del trfico. Es posible definir las siguientes clases de protocolos:
Todos los protocolos IP Cualquier protocolo. TCP Puerto o intervalos de puerto. UDP Puerto o intervalos de puerto. ICMP Tipo y cdigo. Protocolo IP especfico Nmero de protocolo (tipo de IP). Ejemplos: Tipo 1 = ICMP, Tipo 6 = TCP, Tipo 17 = UDP
Adaptador de red
Si define un disparador de adaptador de red, la norma es relevante solamente para el trfico transmitido o recibido usando el tipo especificado de adaptador. Es posible especificar cualquier adaptador o el que se asocia actualmente al equipo cliente.
Acerca de la inspeccin de estado

El firewall utiliza la inspeccin de estado, un proceso que realiza un seguimiento de la informacin sobre conexiones actuales, como direcciones IP de fuente y destino, puertos, aplicaciones, etc. El cliente toma decisiones sobre el flujo de trfico usando esta informacin de conexin antes de examinar las normas de firewall. Por ejemplo, si una norma de firewall permite que un cliente se conecte a un servidor Web, el firewall registra informacin sobre la conexin. Cuando el servidor responde, el firewall detecta que se espera una respuesta del servidor Web al cliente y permite el flujo del trfico del servidor Web hacia el cliente que inici la comunicacin sin inspeccionar la base de normas. Una norma debe permitir al trfico saliente inicial antes de que el firewall registre la conexin. La inspeccin de estado permite simplificar las bases de normas, dado que evita la necesidad de crear normas que permitan el trfico en las dos direcciones para el trfico que normalmente slo se inicia en una direccin. El trfico del cliente que se inicia normalmente en una direccin incluye Telnet (puerto 23), HTTP
125
(puerto 80) y HTTPS (puerto 443). Los clientes inician este trfico saliente, de forma que slo es necesario crear una norma que permita el trfico saliente para estos protocolos. El firewall permite el trfico de retorno. Al configurar solamente las normas de salida, se aumenta la seguridad del cliente de las siguientes maneras:

Se reduce la complejidad de las bases de normas. Se elimina la posibilidad de que un gusano o cualquier otro programa malicioso pueda iniciar conexiones con clientes en puertos configurados slo para el trfico de salida. Tambin se pueden configurar slo las normas de entrada para el trfico con los clientes que no haya sido iniciado por ellos.
La inspeccin de estado es compatible con todas las normas que dirigen el trfico TCP. No es compatible con las normas que filtran el trfico ICMP. Para ICMP, se deben crear normas que permitan el trfico en ambas direcciones cuando sea necesario. Por ejemplo, si desea que los clientes usen el comando ping y reciban respuestas, deber crear una norma que permita el trfico ICMP en ambas direcciones.
Acerca de las conexiones UDP

Para las comunicaciones UDP, el cliente analiza el primer datagrama UDP y aplica la accin que se efecta sobre el datagrama inicial a los siguientes datagramas UDP de la sesin de programa en curso. El trfico entrante o saliente entre los mismos equipos se considera parte de la conexin UDP. Para el trfico de estado de UDP, cuando se establece una conexin UDP, se permite la comunicacin UDP entrante, incluso si la norma de firewall la bloquea. Por ejemplo, si una norma bloquea las comunicaciones UDP entrantes para una aplicacin especfica, pero usted elige permitir un datagrama UDP saliente, se permiten todas las comunicaciones UDP entrantes para la sesin actual de la aplicacin. Para UDP sin estado, es necesario crear una norma de firewall para permitir la respuesta entrante de la comunicacin UDP. El tiempo de espera de una sesin de UDP finaliza a los 60 segundos si la aplicacin cierra el puerto.
Acerca del orden de procesamiento de normas

Las normas de firewall se ordenan secuencialmente, desde la prioridad ms alta hasta la prioridad ms baja, o desde arriba abajo en la lista de normas. El firewall examina las normas en este orden. Si la primera norma no especifica cmo administrar un paquete, el firewall examina la segunda norma para la informacin acerca de cmo administrar un paquete. Este proceso contina hasta que el firewall encuentre una coincidencia. Despus de que encuentra una coincidencia, el firewall toma las medidas que la norma especifica, y no se examinan las normas
126
subsecuentes de una prioridad ms baja. Por ejemplo, si una norma que bloquea todo el trfico se enumera primero, seguida por una norma que permita todo el trfico, el cliente bloquea todo el trfico. Es posible ordenar las normas dentro de categoras de prioridad, de modo que el firewall evale las normas en una secuencia lgica. Es posible ordenar las normas para que se evalen en funcin de la exclusividad, de forma que las normas ms restrictivas se evalen primero y, las menos restrictivas, al final. Por ejemplo, si se crean normas que bloquean trfico, es necesario poner estas normas en la parte superior, ya que otras normas pueden permitir el trfico. La Tabla 8-5 muestra el orden en el que el firewall procesa las normas y la configuracin. Tabla 8-5 Orden en el que el firewall procesa normas, opciones de firewall, firmas IPS y opciones de IPS Opcin
Firmas IPS personalizadas Configuracin de la prevencin de intrusiones, configuracin del trfico y modo de ocultacin Filtros de trfico inteligentes Normas de firewall Comprobaciones de anlisis de puertos Firmas IPS que se descargan con LiveUpdate
Prioridad
Primer lugar Segundo lugar
Tercer lugar Cuarto lugar Quinto lugar Sexto lugar
Adicin de normas
Cuando se agrega una norma de firewall, es necesario decidir qu efecto debe tener la norma. Por ejemplo, es posible permitir todo el trfico de una fuente determinada o bloquear los paquetes de UDP de un sitio Web. Para agregar normas
1 2 3 4
En el cliente, en la barra lateral, haga clic en Estado. Al lado de Proteccin contra amenazas de red, haga clic en Opciones > Configurar normas de firewall. En el cuadro de dilogo Configurar normas de firewall, haga clic en Agregar. En la ficha General, escriba un nombre para la norma y despus haga clic en Bloquear este trfico o Permitir este trfico.
127
5 6
Para definir el adaptador de red para la norma, en la lista desplegable Aplicar esta norma al siguiente adaptador de red, seleccione un adaptador de red. Para elegir si desea que el estado del protector de pantalla active la norma, seleccione una opcin en la lista desplegable Aplicar esta norma cuando el protector de pantalla est. Para definir los disparadores para la norma, seleccione de las siguientes fichas:

Hosts Puertos y protocolos Aplicaciones Programacin
Para obtener ms informacin sobre las opciones de cada ficha, haga clic en Ayuda.
8 9
Para definir el plazo cuando la norma se encuentra activa o inactiva, haga clic en Programacin y despus configure una programacin. Cuando termine de realizar los cambios, haga clic en Aceptar. columna Nombre de la norma tenga una marca de verificacin para que la norma quede habilitada.
10 En el cuadro de dilogo Configurar normas de firewall, compruebe que la
11 Haga clic en Aceptar.
Alteracin del orden de las normas

El firewall procesa la lista de normas de firewall desde abajo hacia arriba. Es posible determinar cmo el firewall procesa las normas de firewall modificando su orden. Las alteraciones de orden slo afectan el orden de la ubicacin seleccionada en ese momento. Ver "Acerca del orden de procesamiento de normas" en la pgina 125. Para modificar el orden de normas
1 2 3 4
En el cliente, en la barra lateral, haga clic en Estado. Al lado de Proteccin contra amenazas de red, haga clic en Opciones > Configurar normas de firewall. En el cuadro de dilogo Configurar normas de firewall, seleccione la norma que desea cambiar de lugar. Realice una de las acciones siguientes:
128
Para que el firewall procese esta norma antes de la norma que se encuentra encima de ella, haga clic en la flecha hacia arriba. Para que el firewall procese esta norma despus de la norma que se encuentra debajo de ella, haga clic en la flecha hacia abajo.
Cuando haya terminado de cambiar las normas de lugar, haga clic en Aceptar.
Habilitar e inhabilitar normas

Es necesario habilitar las normas para que el firewall pueda procesarlas. Cuando se agregan normas, quedan automticamente habilitadas. Puede inhabilitar una norma de firewall si necesita permitir el acceso especfico de un programa o equipo. Para habilitar o inhabilitar normas
1 2 3
En el cliente, en la barra lateral, haga clic en Estado. Al lado de Proteccin contra amenazas de red, haga clic en Opciones > Configurar normas de firewall. En el cuadro de dilogo Configurar normas de firewall, en la columna Nombre de la norma, marque o deje sin marcar la casilla de verificacin ubicada al lado de la norma que desea habilitar e inhabilitar. Haga clic en Aceptar.
Exportacin e importacin de normas

Es posible compartir las normas con otro cliente para no tener que volver a crearlas. Es posible exportar las normas de otro equipo e importarlas en su equipo. Cuando se importan normas, se agregan a la parte inferior de la lista de normas de firewall. Las normas importadas no sobrescriben las normas existentes, incluso si una norma importada es idntica a una norma existente. Las normas exportadas y las normas importadas se guardan en un archivo .sar. Para exportar normas
1 2 3 4
En el cliente, en la barra lateral, haga clic en Estado. Al lado de Proteccin contra amenazas de red, haga clic en Opciones > Configurar normas de firewall. En el cuadro de dilogo Configurar normas de firewall, seleccione las normas que desea exportar. Haga clic con el botn secundario en las normas y, a continuacin, haga clic en Exportar normas seleccionadas.
129
5 6
En el cuadro de dilogo Exportar, escriba un nombre de archivo y despus haga clic en Guardar. Haga clic en Aceptar.
Para importar normas
1 2 3
En el cliente, en la barra lateral, haga clic en Estado. Al lado de Proteccin contra amenazas de red, haga clic en Opciones > Configurar normas de firewall. En el cuadro de dilogo Configurar normas de firewall, haga clic con el botn secundario en la lista de normas de firewall y despus haga clic en Importar norma. En el cuadro de dilogo Importar, localice el archivo .sar que contiene las normas que desea importar. Haga clic en Abrir. Haga clic en Aceptar.
4 5 6
Edicin y eliminacin de normas

Es posible modificar las normas si no funcionan de la manera que usted desea. Es posible quitar las normas de firewall que usted ha agregado cuando ya no son necesarias. Para editar las normas
1 2 3 4 5
En el cliente, en la barra lateral, haga clic en Estado. Al lado de Proteccin contra amenazas de red, haga clic en Opciones > Configurar normas de firewall. En el cuadro de dilogo Configurar normas de firewall, seleccione la norma y despus haga clic en Editar. Modifique la configuracin de cualquier ficha. Cuando termine de modificar las normas, haga clic en Aceptar.
Para borrar las normas
1 2 3
En el cliente, en la barra lateral, haga clic en Estado. Al lado de Proteccin contra amenazas de red, haga clic en Opciones > Configurar normas de firewall. En el cuadro de dilogo Configurar normas de firewall, seleccione una o ms normas y haga clic en Eliminar.
130
4 5
En el cuadro de mensaje que aparece, haga clic en S. Haga clic en Aceptar.
Habilitar la configuracin de trfico y de la navegacin oculta por la Web

Es posible habilitar diversas configuraciones de trfico y de navegacin oculta por la Web en las polticas de firewall para ofrecer proteccin de ciertos tipos de ataques de red contra el cliente. La Tabla 8-6 define la configuracin de trfico y ocultacin que usted puede habilitar. Tabla 8-6 Opciones Descripcin Configuracin del trfico y navegacin oculta por la Web
Habilitar la proteccin Bloquea el trfico de NetBIOS de una gateway externa. de NetBIOS Es posible utilizar el archivo Entorno de red y compartir el uso de impresoras en una LAN y tambin proteger los puntos vulnerables de NetBIOS del ataque de cualquier red externa. Esta opcin bloquea los paquetes de NetBIOS que se originan en las direcciones IP que no son parte de los intervalos internos ICANN definidos. Los intervalos internos ICANN incluyen 10.x.x.x, 172.16.x.x, 192.168.x.x y 169.254.x.x, a excepcin de las subredes 169.254.0.x y 169.254.255.x. Los paquetes de NetBIOS incluyen UDP 88, UDP 137, UDP 138, TCP 135, TCP 139, TCP 445 y TCP 1026. Permitir el trfico de token ring Permite que los equipos cliente se conecten por un adaptador token ring para acceder a la red, independientemente de las normas de firewall del cliente. Si inhabilita esta configuracin, el trfico que provenga de los equipos que se conectan por un adaptador token ring no podr acceder a la red corporativa. El firewall no filtra trfico de token ring. Permite todo el trfico de token ring o bloquea todo el trfico de token ring. Bloquear todo el trfico hasta que el firewall se inicie y despus de que se detenga Bloquea todo el trfico entrante y trfico saliente del equipo cliente cuando el firewall no est en ejecucin por algn motivo. El equipo no queda protegido en las condiciones siguientes:

Despus de que el equipo cliente se inicia y antes de que comience el servicio de firewall. Despus de que el servicio de firewall se detiene y el equipo cliente se apaga.
Este plazo constituye una pequea vulnerabilidad que puede permitir la comunicacin no autorizada. Esta configuracin evita que las aplicaciones no autorizadas se comuniquen con otros equipos. Permitir trfico inicial Permite el trfico inicial que habilita la conectividad de red. Este trfico incluye el trfico de DHCP y NetBIOS inicial DHCP y NetBIOS que permite que el cliente obtenga una direccin IP.
131
Opciones
Habilitar exploracin Web en modo de ocultacin
Descripcin
Detecta el trfico HTTP de un navegador Web en cualquier puerto y quita el nombre y el nmero de versin del navegador, el sistema operativo y las pginas Web de referencia. Impide que los sitios Web puedan saber qu sistema operativo y navegador utiliza el equipo. No detecta trfico HTTPS (SSL). Impide que un intruso falsifique la direccin IP de un individuo. Los hackers utilizan falsificaciones de direcciones IP para secuestrar una sesin de comunicacin entre dos equipos, tales como equipo A y B. Un hacker puede enviar un paquete de datos que corte la comunicacin del equipo A. A continuacin, el hacker puede fingir ser el equipo A y comunicarse con el equipo B y atacarlo. Para proteger el equipo, la nueva secuencia TCP calcula aleatoriamente nmeros de secuencia TCP.
Habilitar nueva secuencia TCP
Habilitar enmascaramiento de huella digital de SO Habilitar normas contra la falsificacin de MAC
Previene la deteccin del sistema operativo de un equipo cliente. El cliente modifica el valor de identificacin y de TTL de los paquetes TCP/IP para impedir la identificacin de un sistema operativo. Permite el trfico ARP (Address Resolution Protocol) entrante y saliente solamente si una solicitud de ARP fue hecha a ese host especfico. Bloquea el resto del trfico inesperado y lo registra en el registro de seguridad.
Habilitar supervisin Permite al cliente supervisar cambios en las aplicaciones de red que se ejecutan en el equipo de aplicaciones de red cliente. Las aplicaciones de red envan y reciben trfico. El cliente detecta si el contenido de una aplicacin se modifica.
Para habilitar la configuracin de trfico y de navegacin oculta por la Web
1 2 3 4
En el cliente, en la barra lateral, haga clic en Cambiar configuracin. Al lado de Proteccin contra amenazas de red, haga clic en Configurar opciones. En el cuadro de dilogo Configuracin de proteccin contra amenazas de red, haga clic en Firewall. En la ficha Firewall, en los cuadros agrupados Configuracin de trfico y Configuracin de ocultacin, marque las casillas de verificacin para habilitar la configuracin. Haga clic en Aceptar.
132
Habilitar el filtro de trfico inteligente

Es posible permitir que los filtros de trfico inteligentes admitan trfico DHCP, DNS y WINS en la mayora de las redes. Los filtros de trfico inteligentes admiten solicitudes salientes y respuestas entrantes para las conexiones de red que se configuraron para utilizar DHCP, DNS y WINS, respectivamente. Los filtros de trfico inteligentes permiten que un cliente DHCP, DNS o WINS reciba una direccin IP de un servidor al tiempo que protegen al cliente de ataques de una red, como se indica a continuacin:
Si el cliente enva una solicitud al servidor, el cliente espera cinco segundos para permitir una respuesta entrante. Si el cliente no enva una solicitud al servidor, los filtros no admiten el paquete.
Los filtros inteligentes admiten el paquete si efectu una solicitud. No bloquean los paquetes. Las normas de firewall admiten o bloquean los paquetes. Para habilitar los filtros de trfico inteligentes
1 2 3 4
En el cliente, en la barra lateral, haga clic en Cambiar configuracin. Al lado de Proteccin contra amenazas de red, haga clic en Configurar opciones. En el cuadro de dilogo Configuracin de proteccin contra amenazas de red, haga clic en Firewall. Marque una o ms de las casillas siguientes:

Habilitar Smart DHCP Habilitar Smart DNS Habilitar Smart WINS
Habilitar el uso compartido de archivos e impresoras en la red

Es posible habilitar el cliente para que comparta sus archivos o para que busque archivos e impresoras compartidos en la red local. Para impedir ataques basados en red, es posible deshabilitar el uso compartido de archivos e impresoras en la red. Es posible habilitar el uso compartido de archivos e impresoras de red de las siguientes maneras:
Habilite automticamente la configuracin el uso compartido de archivos e impresoras en la red desde la ficha Microsoft Windows Networking.
133
Si una norma de firewall bloquea este trfico, la norma de firewall tiene prioridad sobre esta configuracin.
Habilite manualmente el uso compartido de archivos e impresoras en la red agregando normas de firewall. Es posible agregar las normas de firewall si desea ms flexibilidad que la que la configuracin proporciona. Por ejemplo, cuando se crea una norma, es posible especificar un host determinado y no todos los hosts. Las normas de firewall permiten que el acceso a los puertos para buscar y compartir archivos e impresoras. Es posible crear un conjunto de normas de firewall de modo que el cliente pueda compartir sus archivos. Se crea un segundo conjunto de normas de firewall de modo que el cliente pueda buscar otros archivos e impresoras. Su administrador pudo no haber habilitado esta opcin en el cliente. Usuarios en el cliente puede habilitar esta configuracin automticamente. Para obtener ms informacin, consulte la Gua del cliente para Symantec Endpoint Protection y Symantec Network Access Control.
Para habilitar automticamente el uso compartido de archivos e impresoras de red
1 2 3 4 5 6
En el cliente, en la barra lateral, haga clic en Cambiar configuracin. Al lado de Proteccin contra amenazas de red, haga clic en Configurar opciones. En el cuadro de dilogo Configuracin de proteccin contra amenazas de red, haga clic en Microsoft Windows Networking. En la ficha Microsoft Windows Networking, para buscar otros equipos y otras impresoras de la red, haga clic en Examinar archivos e impresoras en la red. A fin de permitir que otros equipos exploren los archivos de su equipo, haga clic en Compartir mis archivos e impresoras con otros en la red. Haga clic en Aceptar.
Para permitir de forma manual que los clientes busquen archivos e impresoras
1 2 3 4 5 6
En el cliente, en la barra lateral, haga clic en Estado. Al lado de Proteccin contra amenazas de red, haga clic en Opciones > Configurar normas de firewall. En el cuadro de dilogo Configurar normas de firewall, haga clic en Agregar. En la ficha General, escriba un nombre para la norma y haga clic en Permitir este trfico. En la ficha Puertos y protocolos, en la lista desplegable Protocolo, haga clic en TCP. En la lista desplegable Puertos remotos, escriba 88, 135, 139, 445..
134
7 8 9
Haga clic en Aceptar. En el cuadro de dilogo Configurar normas de firewall, haga clic en Agregar. En la ficha General, escriba un nombre para la norma y haga clic en Permitir este trfico. en UDP.
10 En la ficha Puertos y protocolos, en la lista desplegable Protocolo, haga clic 11 En la lista desplegable Puertos remotos, escriba 88.. 12 En la lista desplegable Puertos locales, escriba 137, 138.. 13 Haga clic en Aceptar.
Para permitir de forma manual que otros equipos busquen archivos en el cliente
1 2 3 4 5 6 7 8 9
En el cliente, en la barra lateral, haga clic en Estado. Al lado de Proteccin contra amenazas de red, haga clic en Opciones > Configurar normas de firewall. En el cuadro de dilogo Configurar normas de firewall, haga clic en Agregar. En la ficha General, escriba un nombre para la norma y haga clic en Permitir este trfico. En la ficha Puertos y protocolos, en la lista desplegable Protocolo, haga clic en TCP. En la lista desplegable Puertos locales, escriba 88, 135, 139, 445.. Haga clic en Aceptar. En el cuadro de dilogo Configurar normas de firewall, haga clic en Agregar. En la ficha General, escriba un nombre para la norma y haga clic en Permitir este trfico. en UDP.
10 En la ficha Puertos y protocolos, en la lista desplegable Protocolo, haga clic 11 En la lista desplegable Puertos locales, escriba 88, 137, 138.. 12 Haga clic en Aceptar.
Bloquear trfico
Es posible configurar su equipo para bloquear el trfico entrante y saliente en las situaciones siguientes:
Cuando el protector de pantalla de su equipo se activa. Es posible configurar su equipo para que bloquee todo el trfico entrante y saliente del Entorno de red cuando el protector de pantalla de su equipo se
135
activa. Tan pronto como el protector de pantalla se desactiva, su equipo vuelve al nivel de seguridad previamente asignado.
Cuando el firewall no se ejecuta. El equipo no estar protegido hasta que el equipo cliente se active y antes de que el servicio del firewall comience o despus de que el servicio del firewall se detenga y el equipo se desactive. Este plazo constituye una pequea vulnerabilidad que puede permitir la comunicacin no autorizada. Cuando se desea bloquear todo el trfico entrante y saliente en cualquier momento. Es posible para bloquear todo el trfico cuando un virus especialmente destructivo ataca la red o la subred de su compaa. No es necesario bloquear todo el trfico bajo circunstancias normales. Su administrador puede haber configurado esta opcin de forma que no est disponible.
Es posible permitir todo el trfico inhabilitando la Proteccin contra amenazas de red. Ver "Habilitar e inhabilitar Proteccin contra amenazas de red" en la pgina 50. Para bloquear el trfico cuando el protector de pantalla se activa
1 2 3 4
En el cliente, en la barra lateral, haga clic en Cambiar configuracin. Al lado de Proteccin contra amenazas de red, haga clic en Configurar opciones. En el cuadro de dilogo Configuracin de proteccin contra amenazas de red, haga clic en Microsoft Windows Networking. En la ficha Microsoft Windows Networking, haga clic en Bloquear el trfico de Microsoft Windows Networking cuando se ejecute el protector de pantalla. Haga clic en Aceptar.
Para bloquear el trfico cuando el firewall no se ejecuta
1 2 3 4 5 6
En el cliente, en la barra lateral, haga clic en Cambiar configuracin. Al lado de Proteccin contra amenazas de red, haga clic en Configurar opciones. En el cuadro de dilogo Configuracin de proteccin contra amenazas de red, haga clic en Firewall. En la ficha Firewall, haga clic en Bloquear todo el trfico hasta que el firewall se inicie y despus de que se detenga. Puede tambin hacer clic en Permitir trfico inicial de DHCP y NetBIOS. Haga clic en Aceptar.
136
Administrar la proteccin contra amenazas de red Configurar las opciones de prevencin de intrusiones
Para bloquear todo el trfico de red en cualquier momento
1 2 3 4 5
En el cliente, en la barra lateral, haga clic en Estado. Al lado de Proteccin contra amenazas de red, haga clic en Opciones > Ver actividad de la red. Haga clic en Herramientas > Bloquear todo el trfico. Para confirmar, haga clic en S. Para volver a la configuracin anterior del firewall que el cliente utiliza, deje sin marcar Herramientas > Bloquear todo el trfico.
Configurar las opciones de prevencin de intrusiones

Es posible personalizar la configuracin de la prevencin de intrusiones a fin de modificar la proteccin predeterminada. Es posible habilitar la configuracin siguiente:
Firmas del sistema de prevencin de intrusiones que detectan y previenen ataques de red. Opciones de la prevencin de intrusiones que impiden anlisis de puertos y ataques de negacin de servicio. Una respuesta activa, que bloquea automticamente los equipos que envan ataques.
Tpicamente, cuando se inhabilitan las opciones de la prevencin de intrusiones en el equipo, ste es menos seguro. Sin embargo, puede ser necesario inhabilitar esta configuracin para evitar falsos positivos o para solucionar problemas en los equipos cliente. El cliente registra los ataques y los eventos de seguridad que el sistema de prevencin de intrusiones detecta en el Registro de seguridad. El cliente puede registrar los ataques y los eventos en el Registro de paquetes. Nota: Su administrador puede haber configurado estas opciones de forma que no estn disponibles. Para configurar las opciones de prevencin de intrusiones
1 2
En el cliente, en la barra lateral, haga clic en Cambiar configuracin. Al lado de Proteccin contra amenazas de red, haga clic en Configurar opciones.
137
3 4
En el cuadro de dilogo Configuracin de proteccin contra amenazas de red, haga clic en Prevencin de intrusiones. Para habilitar una configuracin, en la ficha Prevencin de intrusiones, active cualquiera de las siguientes casillas de verificacin:

Habilitar prevencin de intrusiones Habilitar la deteccin de negacin de servicio Habilitar la deteccin de anlisis de puertos
Para obtener ms informacin sobre estos valores, haga clic en Ayuda.
Configurar notificaciones de prevencin de intrusiones

Es posible configurar notificaciones que aparecern cuando el cliente detecta un ataque de red en el equipo o cuando el cliente bloquea el acceso de una aplicacin al equipo. Es posible configurar el tiempo durante el que estas notificaciones aparecen y si la notificacin incluye un aviso con audio. Se debe habilitar el sistema de prevencin de intrusiones para que las notificaciones de prevencin de intrusiones aparezcan. Nota: Su administrador puede haber configurado estas opciones de forma que no estn disponibles. Para configurar notificaciones de prevencin de intrusiones
1 2 3 4 5 6 7
En el cliente, en la barra lateral, haga clic en Cambiar configuracin. Al lado de Proteccin contra amenazas de red, haga clic en Configurar opciones. En el cuadro de dilogo Configuracin de proteccin contra amenazas de red, haga clic en Prevencin de intrusiones. Marque Mostrar notificaciones de prevencin de intrusiones. Para or una seal sonora cuando aparece la notificacin, marque Usar sonido al notificar a los usuarios. Escriba una cantidad de tiempo durante la cual aparecern las notificaciones en el campo Nmero de segundos que se deben mostrar las notificaciones. Haga clic en Aceptar.
138
Bloquear y desbloquear un equipo atacante

Cuando el cliente de Symantec Endpoint Protection detecta un ataque de red, puede bloquear automticamente la conexin para asegurarse de que el equipo cliente est seguro. El cliente inicia una respuesta activa, que bloquea automticamente toda la comunicacin hacia la direccin IP del equipo atacante y desde ella por un perodo determinado. La direccin IP del equipo atacante se bloquea para una sola ubicacin. Las firmas de IPS actualizadas, las firmas actualizadas de negacin de servicio y los anlisis de puertos tambin inician una respuesta activa. Es posible ver la direccin IP del equipo atacante en el Registro de seguridad. Es posible tambin desbloquear un ataque deteniendo la respuesta activa en el Registro de seguridad. Para bloquear un equipo atacante
1 2 3 4
En el cliente, en la barra lateral, haga clic en Cambiar configuracin. Al lado de Proteccin contra amenazas de red, haga clic en Configurar opciones. En el cuadro de dilogo Configuracin de proteccin contra amenazas de red, haga clic en Prevencin de intrusiones. Marque Nmero de segundos de bloqueo automtico de la direccin IP de un atacante y despus escriba el nmero de segundos. Escriba un nmero entre 1 y 999 999 segundos. El tiempo predeterminado es de 600 segundos, o 10 minutos.
Haga clic en Aceptar. Si no desea esperar la cantidad de tiempo predeterminada para desbloquear la direccin IP, es posible desbloquearla inmediatamente.
Para desbloquear un equipo atacante
1 2
En el cliente, en la barra lateral, haga clic en Ver registros. Al lado de Administracin de clientes, haga clic en Ver registros > Registro de seguridad.
Administrar la proteccin contra amenazas de red Configurar valores especficos de una aplicacin
139
En el Registro de seguridad, seleccione la fila que contiene la respuesta activa en la columna Tipo de evento y despus haga clic en Accin > Detener respuesta activa. Para desbloquear las direcciones IP bloqueadas, haga clic en Accin > Detener todas las respuestas activas. Si desbloquea una respuesta activa, la columna Tipo de evento indica Respuesta activa cancelada. Si finaliza el tiempo de espera de la respuesta activa, la columna Tipo de evento indica Respuesta activa deshabilitada.
4 5
En el cuadro de mensaje que aparece, haga clic en Aceptar. Haga clic en Archivo > Salir.
Configurar valores especficos de una aplicacin

Es posible configurar las opciones de una aplicacin que se ha ejecutado desde que se inici el servicio del cliente o que ha solicitado permiso para acceder a la red. Puede configurar restricciones, como las direcciones IP y los puertos que la aplicacin puede utilizar. Tambin puede ver y modificar la accin que el cliente realiza para cada aplicacin que intenta acceder a travs de la conexin de red. Al configurar las opciones de una aplicacin especfica, se crea una norma de firewall basada en la aplicacin. Nota: Si hay un conflicto entre una norma de firewall y una configuracin especfica de la aplicacin, la norma de firewall tiene prioridad. Por ejemplo, una norma de firewall que bloquea todo el trfico entre la 1 a. m. y las 8 a. m. anula la programacin de una aplicacin de video especfica. Las aplicaciones que aparecen en el cuadro de dilogo Actividad de red son las aplicaciones y los servicios que se ejecutaron desde que se inici el servicio del cliente. Ver "Visualizacin de la actividad de red" en la pgina 119. Para configurar opciones especficas de una aplicacin
1 2 3
En el cliente, en la barra lateral, haga clic en Estado. Al lado de Proteccin contra amenazas de red, haga clic en Opciones > Ver opciones de aplicacin. En el cuadro de dilogo Ver opciones de aplicacin, seleccione la aplicacin que desea configurar y haga clic en Configurar.
140
4 5 6
En el cuadro de dilogo Configurar opciones de la aplicacin, en el cuadro IP de confianza para la aplicacin, escriba una direccin IP o un intervalo de IP. En los cuadros de grupo de los puertos del servidor remoto o los puertos locales, seleccione un puerto TCP o UDP. Para especificar la direccin del trfico, haga clic en una de las siguientes opciones o en ambas:
Para permitir el trfico saliente, haga clic en Permitir conexiones salientes. Para permitir el trfico entrante, haga clic en Permitir conexiones entrantes.
7 8 9
Para aplicar la norma cuando se ejecute el protector de pantalla, haga clic en Permitir mientras el protector de pantalla est activado. Para configurar una programacin cuando las restricciones estn o no estn activadas, haga clic en Habilitar programacin. Seleccione una de las siguientes opciones:
Para especificar el perodo durante el cual las restricciones estarn activadas, haga clic en Durante el siguiente perodo. Para especificar el perodo durante el cual las restricciones no estarn activadas, haga clic en Excepto el siguiente perodo.
10 Configure la programacin. 11 Haga clic en Aceptar. 12 En el cuadro de dilogo Ver opciones de aplicacin, para modificar la accin,
haga clic con el botn secundario en la aplicacin y, a continuacin, haga clic en Permitir o Bloquear..
13 Haga clic en Aceptar.

Para modificar la accin de una aplicacin en el cuadro de dilogo Actividad de red
1 2 3
En el cliente, en la barra lateral, haga clic en Estado. Al lado de Proteccin contra amenazas de red, haga clic en Opciones > Ver actividad de la red. En el cuadro de dilogo Actividad de red, en el campo Aplicaciones en ejecucin, haga clic con el botn secundario en la aplicacin o el servicio y, a continuacin, haga clic en Permitir o Bloquear.. Haga clic en Cerrar.
141
Para detener una aplicacin o un servicio
1 2 3 4
En el cliente, en la barra lateral, haga clic en Estado. Al lado de Proteccin contra amenazas de red, haga clic en Opciones > Ver actividad de la red. En el campo Aplicaciones en ejecucin, haga clic con el botn secundario en la aplicacin y, a continuacin, haga clic en Terminar. Haga clic en Aceptar.
Quitar restricciones para una aplicacin

Es posible quitar las restricciones de la aplicacin, tales como la hora en que el firewall bloquea una aplicacin. Cuando se quitan las restricciones, la accin que el cliente aplica sobre la aplicacin tambin se borra. Cuando la aplicacin o el servicio intenta conectarse a la red de nuevo, es posible que se le pregunte de nuevo si desea permitir o bloquear la aplicacin. Es posible evitar que una aplicacin o un servicio se ejecute hasta que la aplicacin intente acceder a su equipo de nuevo, por ejemplo, cuando se reinicia el equipo. Para quitar las restricciones de una aplicacin
1 2 3
En el cliente, en la barra lateral, haga clic en Estado. Al lado de Proteccin contra amenazas de red, haga clic en Opciones > Ver opciones de aplicacin. En el cuadro de dilogo Ver opciones de aplicacin, realice una de las siguientes acciones:
Para quitar una aplicacin de la lista, seleccinela y despus haga clic en Eliminar. Para quitar todas las aplicaciones de la lista, haga clic en Eliminar todo.
4 5
Haga clic en S. Haga clic en Aceptar.
142
Seccin
Symantec Network Access Control
Fundamentos de Symantec Network Access Control
144
Captulo
Fundamentos de Symantec Network Access Control


Acerca de Symantec Network Access Control Ejecutar una comprobacin de integridad del host Corregir el equipo Ver los registros de acceso a la red de Symantec Acerca de la aplicacin de polticas Configurar el cliente para la autenticacin 802.1x
Acerca de Symantec Network Access Control

El cliente de Symantec Network Access Control evala si un equipo est protegido correctamente y cumple con las polticas antes de permitirle conectarse a la red corporativa. El cliente se asegura de que el equipo cumpla con una poltica de seguridad configurada por su administrador. La poltica de seguridad comprueba si el equipo utiliza el software de seguridad ms reciente, tal como aplicaciones antivirus y de firewall. Si su equipo no cuenta con el software necesario, usted o el cliente deben actualizar el software. Si su software de seguridad no est actualizado, es posible que se bloquee la conexin de su equipo a la red. El cliente realiza anlisis peridicos para verificar que el equipo contine cumpliendo con la poltica de seguridad.
146
Fundamentos de Symantec Network Access Control Acerca de Symantec Network Access Control
Cmo funciona Symantec Network Access Control

El cliente de Symantec Network Access Control valida y aplica el cumplimiento de polticas para los equipos que intentan conectarse a la red. Este proceso de validacin y aplicacin comienza antes de que el equipo se conecte a la red y contina durante toda la conexin. La poltica de integridad del host es la poltica de seguridad que sirve como base para todas las evaluaciones y acciones. Este proceso de control de acceso a la red incluye los pasos siguientes:
El cliente evala continuamente el cumplimiento. Se activa el equipo cliente. El cliente realiza una comprobacin de integridad del host que compara la configuracin del equipo con la poltica de integridad del host descargada del servidor de administracin. La comprobacin de integridad del host evala el equipo para verificar el cumplimiento de la poltica de integridad del host para el software antivirus, los parches, las correcciones y otros requisitos de seguridad. Por ejemplo, la poltica puede comprobar la antigedad de las definiciones de antivirus y los parches ms recientes aplicados al sistema operativo. Symantec Enforcer autentica el equipo cliente y concede al equipo acceso a la red o bloquea y pone en cuarentena los equipos que no cumplen la poltica. Si el equipo cumple todos los requisitos de la poltica, aprueba la comprobacin de integridad del host. Enforcer concede acceso de red completo a los equipos que aprueban la comprobacin de integridad del host. Si el equipo no cumple los requisitos de la poltica, no aprueba la comprobacin de integridad del host. Cuando no se aprueba una comprobacin de integridad del host, el cliente o Symantec Enforcer bloquean o ponen en cuarentena el equipo hasta que se lo corrija. Los equipos en cuarentena tienen acceso limitado a la red o no tienen ningn acceso. Ver "Acerca de la aplicacin de polticas" en la pgina 149. Su administrador puede haber configurado la poltica de modo que se apruebe la comprobacin de integridad del host incluso si falta un requisito especfico. El cliente puede visualizar una notificacin cada vez que se aprueba la comprobacin de integridad del host. Ver "Respuesta a las notificaciones de Network Access Control" en la pgina 30. El cliente corrige los equipos que no cumplen con la poltica. Si el cliente encuentra que no se cumple un requisito de la poltica de integridad del host, instala o solicita al cliente que instale el software necesario. Despus de corregir el equipo, intenta acceder a la red de nuevo. Si el equipo cumple totalmente con la poltica, se concede al equipo el acceso a la red. Ver "Corregir el equipo" en la pgina 148. El cliente supervisa de forma dinmica el cumplimiento.
Fundamentos de Symantec Network Access Control Ejecutar una comprobacin de integridad del host
147
El cliente supervisa activamente el estado de cumplimiento de todos los equipos cliente. Si en cualquier momento cambia el estado de cumplimiento del equipo, tambin lo hacen los privilegios de acceso a la red red del equipo. Es posible ver ms informacin sobre los resultados de la comprobacin de integridad del host en el Registro de seguridad.
Acerca de la actualizacin de la poltica de integridad del host

El cliente actualiza la poltica de integridad del host en intervalos regulares. Su administrador puede solicitarle que actualice la poltica de integridad del host antes de la prxima actualizacin programada con fines de prueba. Si no, no es necesario actualizar la poltica. Ver "Actualizar la poltica de seguridad" en la pgina 20.
Ejecutar una comprobacin de integridad del host

Su administrador configura la frecuencia que el cliente utiliza para ejecutar una comprobacin de integridad del host. Es posible que necesite ejecutar una comprobacin de integridad del host inmediatamente, en lugar de esperar la comprobacin siguiente. Por ejemplo, una comprobacin de integridad del host puede detectar que es necesario actualizar la aplicacin antivirus del equipo. El cliente puede permitir que usted elija si descargar el software necesario de inmediato o posponer la descarga. Si descarga el software de inmediato, es necesario ejecutar la comprobacin de integridad del host nuevamente para verificar que tiene el software correcto. Puede esperar hasta la prxima comprobacin de integridad del host programada o ejecutar la comprobacin inmediatamente. Para ejecutar una comprobacin de integridad del host
1 2 3
En el cliente, en la barra lateral, haga clic en Estado. Junto a Network Access Control, haga clic en Opciones > Comprobar ahora. Si aparece un mensaje que confirma que se ejecut la comprobacin de integridad del host, haga clic en Aceptar. Si se haba bloqueado el acceso a la red, es necesario recuperar el acceso a ella cuando su equipo se haya actualizado para cumplir con la poltica de seguridad.
148
Fundamentos de Symantec Network Access Control Corregir el equipo
Corregir el equipo
Si el cliente encuentra que no se cumple un requisito de la poltica de integridad del host, responde en una de las maneras siguientes:

El cliente descarga la actualizacin de software automticamente. El cliente le solicita que descargue la actualizacin de software necesaria.
Para corregir el equipo
En el cuadro de dilogo de Symantec Endpoint Protection que aparece, realice una de las siguientes acciones:
Para ver qu requisitos de seguridad no se cumplen en su equipo, haga clic en Detalles. Para instalar inmediatamente el software, haga clic en Restaurar ahora. La opcin para cancelar la instalacin despus de que se haya iniciado puede aparecer o no. Para posponer la instalacin de software, haga clic en Recordrmelo ms tarde y seleccione un intervalo de tiempo en la lista desplegable. El administrador puede configurar el nmero mximo de veces que es posible posponer la instalacin.
Ver los registros de acceso a la red de Symantec

El cliente de Symantec Network Access Control utiliza los registros siguientes para supervisar diversos aspectos de su operacin:
Seguridad Registra los resultados y el estado de las comprobaciones de integridad del host. Registra todos los cambios operacionales del cliente, tales como la conexin al servidor de administracin y las actualizaciones a la poltica de seguridad del cliente.
Sistema
Si se utiliza un cliente administrado, ambos registros se pueden cargar regularmente al servidor. El administrador puede utilizar el contenido de los registros para analizar el estado de seguridad general de la red. Es posible exportar los datos desde estos registros.
Fundamentos de Symantec Network Access Control Acerca de la aplicacin de polticas
149
Para ver los registros de Symantec Network Access Control
1 2 3
En el cliente, en la barra lateral, haga clic en Estado. Para ver el registro del sistema, junto a Network Access Control, haga clic en Opciones > Ver registros. Para ver el Registro de seguridad, en el cuadro de dilogo Registros de Administracin de clientes - Registro del sistema, haga clic en Ver > Registro de seguridad. Haga clic en Archivo > Cerrar. Ver "Acerca de los registros" en la pgina 157.
Acerca de la aplicacin de polticas

El cliente interacta con Symantec Enforcer. Enforcer se asegura de que todos los equipos que se conectan a la red que protege cuenten con el software de cliente y tengan una poltica de seguridad correcta. Enforcer debe autenticar el usuario o el equipo cliente antes de permitir que el equipo cliente acceda a la red. Symantec Network Access Control utiliza varios tipos de mdulos de Enforcer para autenticar el equipo cliente. Symantec Enforcer es el dispositivo de hardware de red que verifica los resultados de la integridad del host y la identidad del equipo cliente antes de permitirle el acceso a la red. Enforcer comprueba la siguiente informacin antes de permitir el acceso de un cliente a la red:

El producto Symantec Network Access Control que el cliente ejecuta. El cliente tiene un identificador nico (UID). El cliente fue actualizado con la poltica de integridad del host ms reciente. El equipo cliente aprob la comprobacin de integridad del host.
Configurar el cliente para la autenticacin 802.1x

Si la red corporativa utiliza LAN Enforcer para la autenticacin, el equipo cliente se debe configurar para realizar la autenticacin 802.1x. Usted o el administrador pueden configurar el cliente. Su administrador puede o no haberle otorgado permisos para configurar la autenticacin 802.1x. El proceso de autenticacin 802.1x incluye los pasos siguientes:
150
Fundamentos de Symantec Network Access Control Configurar el cliente para la autenticacin 802.1x
Un cliente no autenticado o un suplicante de otro fabricante enva la informacin del usuario y del cumplimiento a un conmutador de red 802.1x administrado. El conmutador de red retransmite la informacin a LAN Enforcer. LAN Enforcer enva la informacin del usuario al servidor de autenticacin para su autenticacin. El servidor RADIUS es el servidor de autenticacin. Si el cliente no aprueba la autenticacin de nivel de usuario o no cumple con la poltica de integridad del host, Enforcer puede bloquearle el acceso a la red. Enforcer coloca los equipos cliente que no cumplen en una red de cuarentena donde el equipo puede ser corregido. Una vez que el cliente repara el equipo y alcanza el cumplimiento, el protocolo 802.1x vuelve a autenticar el equipo y le concede acceso a la red.
Para funcionar con LAN Enforcer, el cliente puede utilizar un suplicante de otro fabricante o un suplicante integrado. La Tabla 9-1 describe los tipos de opciones que es posible configurar para la autenticacin 802.1x. Tabla 9-1 Opcin
Suplicante de otro fabricante
Opciones de la autenticacin 802.1x Descripcin

Utiliza un suplicante de 802.1x de otro fabricante. LAN Enforcer funciona con un servidor RADIUS y suplicantes de 802.1x de otro fabricante para realizar la autenticacin de usuarios. El suplicante 802.1x solicita informacin del usuario, que LAN Enforcer transmite al servidor RADIUS para la autenticacin de nivel de usuario. El cliente enva el perfil del cliente y el estado de integridad del host a Enforcer a fin de que Enforcer autentique el equipo.
Nota: Si desea utilizar el cliente de Symantec Network Access

Control con un suplicante de otro fabricante, el mdulo Proteccin contra amenazas de red del cliente de Symantec Endpoint Protection debe estar instalado.
151
Opcin
Modo transparente
Descripcin
Utiliza el cliente para ejecutarse como suplicante de 802.1x. Se utiliza este mtodo si el administrador no desea utilizar un servidor RADIUS para realizar la autenticacin de usuarios. LAN Enforcer se ejecuta en modo transparente y acta como servidor RADIUS falso. El modo transparente implica que el suplicante solicite informacin del usuario. En el modo transparente, el cliente acta como suplicante de 802.1x. El cliente responde a la solicitud de EAP del conmutador con el perfil del cliente y el estado de integridad del host. El conmutador, en su momento, transmite la informacin a LAN Enforcer, que acta como servidor RADIUS falso. LAN Enforcer valida la informacin de integridad del host y del perfil del cliente provista por el conmutador y puede permitir, bloquear o asignar dinmicamente una VLAN, segn sea necesario.
Nota: Para utilizar un cliente como suplicante de 802.1x, es

necesario desinstalar o inhabilitar los suplicantes de 802.1x de otros fabricantes en el equipo cliente. Suplicante integrado Utiliza el suplicante de 802.1x integrado del equipo cliente. Los protocolos de autenticacin integrados incluyen Tarjeta inteligente, PEAP o TLS. Despus de habilitar la autenticacin 802.1x, es necesario especificar qu protocolo de autenticacin se utilizar.
Advertencia: Pngase en contacto con su administrador antes de configurar su cliente para la autenticacin 802.1x. Es necesario saber si su red corporativa utiliza el servidor RADIUS como servidor de autenticacin. Si configura la autenticacin 802.1x incorrectamente, es posible que se corte su conexin a la red. Para configurar el cliente para utilizar un suplicante de otro fabricante
1 2
En el cliente, en la barra lateral, haga clic en Estado. Al lado de Control de acceso a la red, haga clic en Opciones > Configuracin 802.1x.
152
3 4
En el cuadro de dilogo Configuracin de Network Access Control, haga clic en Habilitar la autenticacin 802.1x. Haga clic en Aceptar. Es necesario tambin configurar una norma de firewall que permita controladores de suplicante de 802.1x de otro fabricante en la red. Ver "Adicin de normas" en la pgina 126. Es posible configurar el cliente para que utilice el suplicante integrado. Se habilita el cliente para la autenticacin 802.1x y como suplicante de 802.1x.
Para configurar el cliente para utilizar el modo transparente o un suplicante integrado
1 2 3 4 5
En el cliente, en la barra lateral, haga clic en Estado. Al lado de Control de acceso a la red, haga clic en Opciones > Configuracin 802.1x. En el cuadro de dilogo Configuracin de Network Access Control, haga clic en Habilitar la autenticacin 802.1x. Haga clic en Usar el cliente como suplicante de 802.1x. Realice una de las acciones siguientes:
Para seleccionar el modo transparente, marque Usar modo transparente de Symantec. Para configurar un suplicante integrado, haga clic en Permitir al usuario seleccionar el protocolo de autenticacin. A continuacin, debe elegir el protocolo de autenticacin para su conexin de red.
Para elegir un protocolo de autenticacin
1 2 3
En el equipo cliente, haga clic en Inicio > Configuracin > Conexiones de red y despus haga doble clic en Conexin de rea local. En el cuadro de dilogo Propiedades de conexin de rea local, haga clic en la ficha Autenticacin. En la ficha Autenticacin, haga clic en la lista desplegable Tipo de EAP y seleccione uno de los protocolos de autenticacin siguientes:

Tarjeta inteligente u otro certificado EAP protegido (PEAP) Modo transparente de Symantec
153
Asegrese de que la casilla de verificacin Habilitar el control de acceso a la red mediante IEEE 802.1x est seleccionada.
4 5
Haga clic en Aceptar. Haga clic en Cerrar.
Reautenticar el equipo
Si su equipo aprob la comprobacin de integridad del host, pero Enforcer lo bloquea, puede ser necesario reautenticar el equipo. Bajo circunstancias normales, nunca debera ser necesario reautenticar el equipo. Enforcer puede bloquear el equipo cuando ocurre uno de los siguientes eventos:
El equipo cliente no aprob la autenticacin de usuario porque se escribi el nombre de usuario o la contrasea incorrectamente. El equipo cliente est en la VLAN incorrecta. El equipo cliente no obtiene una conexin de red. Los problemas de conexin de red suceden generalmente porque el conmutador entre el equipo cliente y LAN Enforcer no autentic el nombre de usuario y la contrasea. Es necesario iniciar sesin en un equipo cliente que haya autenticado un usuario anterior. El equipo cliente no aprob la comprobacin de cumplimiento.
Es posible reautenticar el equipo solamente si usted o su administrador configuraron el equipo con un suplicante integrado. Nota: Su administrador puede no haber configurado el cliente para mostrar el comando Reautenticacin. Para reautenticar el equipo
1 2 3 4
Haga clic con el botn secundario en el icono del rea de notificacin. Haga clic en Reautenticacin. En el cuadro de dilogo Reautenticar, escriba su nombre de usuario y contrasea. Haga clic en Aceptar.
154
Seccin
Supervisin y registro
Uso y administracin de registros
156
Captulo
10
Uso y administracin de registros


Acerca de los registros Ver los registros y los detalles de registro Administrar el tamao del registro Poner en cuarentena riesgos y amenazas del Registro de riesgos y del Registro de amenazas Usar los registros de Proteccin contra amenazas de red y de Administracin de clientes Exportar datos de registro
Acerca de los registros

Los registros contienen datos sobre actividades relacionadas con la seguridad del equipo, que incluye las actividades de virus y riesgos de seguridad, cambios de configuracin y errores. Tambin incluyen la informacin sobre los archivos de definiciones de virus y riesgos de seguridad, el estado del equipo y el trfico que entra en el equipo o sale de l. Estos datos se denominan eventos o entradas. Los registros muestran estos eventos con cualquier informacin adicional relevante. Si utiliza un cliente administrado, los registros se pueden cargar regularmente en el servidor de administracin. Un administrador puede utilizar sus datos para analizar el estado general de la seguridad de la red. Los registros son un mtodo importante para conocer la actividad del equipo y su interaccin con otros equipos y redes. Es posible utilizar la informacin de los
158
Uso y administracin de registros Acerca de los registros
registros para realizar seguimientos de las tendencias relacionadas con los virus, los riesgos de seguridad y los ataques al equipo. Si varias personas utilizan el mismo equipo, es posible que pueda identificar quin introduce riesgos, y ayudar a esa persona a tomar mayores precauciones. Los registros de la proteccin de red pueden ayudarlo a detectar actividad potencialmente peligrosa, tal como anlisis de puertos. Pueden tambin ser utilizados para rastrear el origen del trfico. Es posible tambin utilizar los registros de la proteccin de red para ayudar a solucionar problemas de conectividad o posibles ataques de red. Si Symantec Endpoint Protection est instalado, las siguientes vistas del registro estn disponibles:

Registro de anlisis, desde Proteccin antivirus y contra software espa Registro de riesgos, desde Proteccin antivirus y contra software espa Registro del sistema, desde Proteccin antivirus y contra software espa Registro de amenazas, desde Proteccin proactiva contra amenazas Registro del sistema, desde Proteccin proactiva contra amenazas Registro de proteccin contra intervenciones, desde Proteccin contra intervenciones Registro de trfico, desde Proteccin contra amenazas de red Registro de paquetes, desde Proteccin contra amenazas de red Registro de seguridad, desde Administracin de clientes y Proteccin contra amenazas de red Registro de control, desde Administracin de clientes Registro del sistema, desde Administracin de clientes
Si Symantec Network Access Control est instalado, los siguientes registros estn disponibles:

Registro de seguridad Registro del sistema
Los registros pueden indicar cundo el equipo fue bloqueado de la red y ayudarlo a determinar por qu se ha bloqueado su acceso. Para obtener ms informacin sobre un registro, es posible presionar F1 y ver la ayuda para ese registro. La Tabla 10-1 describe cada registro y las acciones que pueden llevarse a cabo con l.
159
Tabla 10-1 Registro

Registro de anlisis
Registros de clientes y descripcin
Descripcin
El Registro de anlisis contiene entradas sobre los anlisis que se han ejecutado en su equipo en un cierto plazo. Es posible realizar las tareas siguientes en el Registro de anlisis: Ver una lista de los anlisis que han ocurrido en su equipo en un cierto plazo. Los anlisis se muestran acompaados de otros datos relevantes. Exportar los datos del registro a un archivo de texto delimitado por comas, para utilizarlos en otras aplicaciones. Hacer clic con el botn secundario en una entrada y ver sus propiedades.
Registro de riesgos
El Registro de riesgos contiene entradas sobre virus y riesgos de seguridad, tales como publicidad no deseada y software espa, que hayan infectado el equipo. Los riesgos de seguridad incluyen un vnculo a la pgina Web de Symantec Security Response que proporciona informacin adicional. Es posible realizar las tareas siguientes en el Registro de riesgos:

Ver una lista de los eventos relacionados con virus y con riesgos de seguridad.
Exportar los datos del registro a un archivo de texto delimitado por comas, para utilizarlos en otras aplicaciones. Limpiar un riesgo del equipo.

Eliminar un riesgo permanentemente del equipo.
Deshacer los cambios que Symantec Endpoint Protection haya hecho al borrar un riesgo o reparar sus efectos secundarios. Poner en cuarentena los riesgos que se han detectado en su equipo.
Hacer clic con el botn secundario en una entrada y ver sus propiedades.
Registro del sistema de El Registro del sistema de Proteccin antivirus y contra software espa contiene informacin Proteccin antivirus y sobre las actividades del sistema en su equipo relacionadas con virus y riesgos de seguridad. contra software espa Esta informacin incluye cambios de configuracin, errores e informacin sobre el archivo de definiciones. Es posible realizar las tareas siguientes en el Registro del sistema de Proteccin antivirus y contra software espa: Ver una lista de eventos relacionados con la proteccin antivirus y contra software espa. Exportar los datos del registro a un archivo de texto delimitado por comas, para utilizarlos en otras aplicaciones. Filtrar la informacin del registro para ver solamente uno o algunos tipos de eventos.

160
Registro
Descripcin
Registro de amenazas El Registro de amenazas contiene informacin sobre las amenazas que los anlisis de amenazas proactivos TruScan han detectado en su equipo. stas incluyen las aplicaciones comerciales que se pueden utilizar con propsitos maliciosos. Algunos ejemplos son los caballos de Troya, gusanos o registradores de pulsaciones, o los gusanos de correo masivos, los virus de macro y las amenazas basadas en scripts. Es posible realizar las tareas siguientes en el Registro de amenazas: Ver la lista de los eventos relacionados con amenazas del anlisis de amenazas proactivo TruScan. Exportar los datos del registro a un archivo de texto delimitado por comas, para utilizarlos en otras aplicaciones. Terminar los programas maliciosos o los procesos maliciosos que se hayan encontrado en su equipo. Restaurar elementos desde la cuarentena.

Poner en cuarentena las amenazas que se han detectado en su equipo. Hacer clic con el botn secundario en una entrada y ver sus propiedades.
Nota: Los botones de accin activos dependen de las acciones apropiadas para la entrada
de registro seleccionada. Registro del sistema de El Registro del sistema de Proteccin proactiva contra amenazas contiene informacin Proteccin proactiva sobre las actividades del sistema en el equipo relacionadas con los anlisis de amenazas contra amenazas proactivos TruScan. Es posible realizar las tareas siguientes en el Registro del sistema de Proteccin proactiva contra amenazas:

Ver los eventos del sistema relacionados con los anlisis de amenazas proactivos TruScan.
Exportar los datos a un archivo de texto delimitado por comas, para utilizarlos en otras aplicaciones. Filtrar la informacin del registro para ver solamente uno o algunos tipos de eventos.
Registro de proteccin El Registro de proteccin contra intervenciones contiene entradas sobre los intentos de contra intervenciones manipulacin de las aplicaciones de Symantec en su equipo. Estas entradas contienen informacin sobre los intentos que Proteccin contra intervenciones detect o detect y frustr. Es posible realizar las tareas siguientes en el Registro de proteccin contra intervenciones:

Ver la lista de eventos relacionados con la Proteccin contra intervenciones.
Exportar los datos del registro a un archivo de texto delimitado por comas, para utilizarlos en otras aplicaciones. Hacer clic con el botn secundario en una entrada y ver sus propiedades.
161
Registro
Registro de trfico
Descripcin
El Registro de trfico contiene informacin sobre las conexiones del equipo a travs de la red. Es posible realizar las tareas siguientes en el Registro de trfico: Ver una lista de eventos de trfico entrante y de eventos de trfico saliente siempre que su equipo est conectado a una red. Desde el men Archivo, borrar todas las entradas del registro.
Desde el men Archivo, exportar los datos del registro a un archivo de texto delimitado por tabulaciones, para utilizarlos en otras aplicaciones. Desde el men Archivo, acceder a la configuracin de Proteccin contra amenazas de red y modificar las opciones disponibles. Desde el men Ver, alternar entre una vista local y una vista de origen.

Desde el men Filtro, filtrar las entradas seleccionando un intervalo de tiempo. Desde el men Accin, realizar un seguimiento de los paquetes de datos utilizados en intentos de ataques a fin de localizar su origen. Observe que no todas las entradas pueden ser localizadas.
Nota: Las acciones inadecuadas para una entrada determinada, o que no estn permitidas
por el administrador, no estn disponibles. Registro de paquetes El Registro de paquetes contiene informacin sobre los paquetes de datos que ingresan o salen a travs de los puertos del equipo. Es posible realizar las tareas siguientes en el Registro de paquetes: Ver una lista de eventos de trfico entrante y de eventos de trfico saliente siempre que su equipo est conectado a una red. Desde el men Archivo, borrar todas las entradas del registro.
Desde el men Archivo, exportar los datos a un archivo de texto delimitado por tabulaciones, formato de supervisor de red o formato de NetXray, para utilizarlos en otras aplicaciones. Desde el men Archivo, acceder a la configuracin de Proteccin contra amenazas de red y modificar las opciones disponibles. Desde el men Ver, alternar entre una vista local y una vista de origen.

Desde el men Filtro, filtrar las entradas seleccionando un intervalo de tiempo. Desde el men Accin, realizar un seguimiento de los paquetes de datos utilizados en intentos de ataques a fin de localizar su origen. Observe que no todas las entradas pueden ser localizadas.
162
Registro
Registro de control
Descripcin
El Registro de control contiene informacin sobre las claves de registro, los archivos y las DLL a los que accede una aplicacin, adems de las aplicaciones que el equipo ejecuta. Es posible realizar las tareas siguientes en el Registro de control:

Ver una lista de eventos de control. Desde el men Archivo, borrar todas las entradas del registro.
Desde el men Archivo, exportar los datos del registro a un archivo de texto delimitado por tabulaciones, para utilizarlos en otras aplicaciones. Desde el men Ver, alternar entre una vista local y una vista de origen.
Desde el men Filtro, filtrar las entradas seleccionando un intervalo de tiempo.
Registro de seguridad
El Registro de seguridad contiene informacin sobre las actividades dirigidas hacia el equipo que pueden suponer una amenaza potencial. Algunos ejemplos son las actividades tales como los ataques de negacin de servicio, los anlisis de puertos y las alteraciones de archivos ejecutables. Es posible realizar las tareas siguientes en el Registro de seguridad:

Ver eventos relacionados con la seguridad. Desde el men Archivo, borrar todas las entradas del registro.
Desde el men Archivo, exportar los datos del registro a un archivo de texto delimitado por tabulaciones, para utilizarlos en otras aplicaciones. Desde el men Ver, alternar entre una vista local y una vista de origen. Desde el men Filtro, filtrar las entradas, a partir de un intervalo de tiempo o de su gravedad. Desde el men Accin, realizar un seguimiento de los paquetes de datos utilizados en intentos de ataques a fin de localizar su origen. Observe que no todas las entradas pueden ser localizadas. Evitar que el cliente bloquee los ataques realizados por otros equipos.
Registro del sistema
El Registro del sistema contiene informacin sobre todos los cambios operacionales realizados en el equipo. Los ejemplos incluyen actividades como el inicio o la detencin de un servicio, la deteccin de aplicaciones de red en el equipo o la configuracin de software. Es posible realizar las tareas siguientes en el Registro del sistema:

Ver una lista de eventos del sistema siempre que el equipo est conectado a una red. Desde el men Archivo, borrar todas las entradas del registro.
Desde el men Archivo, exportar los datos del registro a un archivo de texto delimitado por tabulaciones, para utilizarlos en otras aplicaciones. Desde el men Filtro, filtrar las entradas, a partir de un intervalo de tiempo o de su gravedad.
Uso y administracin de registros Ver los registros y los detalles de registro
163
Nota: Si se ha iniciado sesin en un cliente administrado, algunas opciones de algunos registros pueden no estar disponibles. La disponibilidad de estas opciones depende de los permisos otorgados por el administrador. Esta nota se aplica a los registros de Proteccin contra amenazas de red, Administracin de clientes, trfico, paquetes, control, seguridad y del sistema. Las opciones que no son adecuadas para una entrada determinada en cualquier registro pueden no estar disponibles.
Ver los registros y los detalles de registro

Es posible ver los registros de su equipo para conocer los detalles de los eventos que han ocurrido. Para ver un registro
1 2
En el cliente, en la barra lateral, haga clic en Ver registros. Al lado del tipo de registro que desea ver, haga clic en Ver registros y despus haga clic en el nombre del registro. Desde una vista de los registros de Proteccin contra amenazas de red o desde algunos registros de Administracin de clientes, es posible alternar a una vista de los otros registros. Utilice el men Ver en la parte superior del cuadro de dilogo para acceder a otros registros.
Si abri una vista para uno de los registros de Proteccin contra amenazas de red o de Administracin de clientes, haga clic en Vista local o Vista de origen. Las columnas del registro cambian de acuerdo con la vista elegida, local o de origen. La vista local muestra el contenido desde la perspectiva del puerto local y del puerto remoto. Esta perspectiva se utiliza ms comnmente en un firewall basado en host. La vista de origen muestra el contenido desde la perspectiva del puerto de origen y del puerto del destino. Esta perspectiva se utiliza ms comnmente en un firewall basado en red. Si las entradas de los registros de Proteccin contra amenazas de red y de Administracin de clientes tienen ms informacin disponible, sta aparece en las ubicaciones siguientes:
La informacin de descripcin aparece en el panel inferior izquierdo de la vista del registro. La informacin de datos aparece en el panel inferior derecho de la vista del registro.
164
Es posible tambin ver los detalles de cualquier entrada de los registros de Proteccin antivirus y contra software espa, de Proteccin contra intervenciones y de Proteccin proactiva contra amenazas. Para el Registro de riesgos, los detalles proporcionan informacin adicional que no est disponible en la ventana de registro principal. Para ver detalles sobre la entrada de los registros de Proteccin antivirus y contra software espa, Proteccin contra intervenciones y Proteccin proactiva contra amenazas
1 2 3 4
En el cliente, en la barra lateral, haga clic en Ver registros. Al lado de Proteccin antivirus y contra software espa, Administracin de clientes o Proteccin proactiva contra amenazas, haga clic en Ver registros. Haga clic en el nombre del registro que desea ver. Haga clic con el botn secundario en una entrada de la lista y despus seleccione Propiedades.
Filtrar las vistas del registro

Es posible filtrar la vista de algunos registros de maneras diferentes. Es posible filtrar los eventos de los registros de Proteccin contra amenazas de red y de Administracin de clientes segn el perodo durante el cual ocurrieron. Es posible filtrar los eventos de algunos de los registros de Proteccin contra amenazas de red segn su nivel de gravedad. Es posible filtrar los eventos del Registro del sistema de Proteccin antivirus y contra software espa y del Registro del sistema de Proteccin proactiva contra amenazas segn el tipo de evento.
Filtrar entradas por perodo

Es posible filtrar algunos registros segn el perodo durante el cual ocurrieron los eventos. Para filtrar entradas de registro por perodo
1 2 3 4
En el cliente, en la barra lateral, haga clic en Ver registros. A la derecha de Proteccin contra amenazas de red o de Administracin de clientes, haga clic en Ver registros. Haga clic en el nombre del registro que desea ver. En la ventana de vista del registro, haga clic en Filtrar y despus seleccione el perodo para el cual desea ver los eventos del registro. Por ejemplo, si selecciona Registros de 2 semanas, el visor de registros muestra los eventos registrados durante los ltimos 14 das.
165
Filtrar entradas por nivel de gravedad

Es posible filtrar la informacin del Registro de seguridad o del Registro del sistema de Proteccin contra amenazas de red y de Administracin de clientes segn el nivel de gravedad. De forma predeterminada, aparecen eventos de todos los niveles de gravedad. Para filtrar entradas de registro por nivel de gravedad
1 2 3 4 5
En el cliente, en la barra lateral, haga clic en Ver registros. A la derecha de Proteccin contra amenazas de red o de Administracin de clientes, haga clic en Ver registros. Haga clic en el nombre del registro que desea ver. En la ventana de visualizacin del registro, haga clic en Filtrar y despus haga clic en Gravedad. Deje sin marcar una de las siguientes opciones:

Crtico (Registro de seguridad solamente) Importante (Registro de seguridad solamente) Menor (Registro de seguridad solamente) Error (Registro del sistema solamente) Advertencia (Registro del sistema solamente) Informacin
Al dejar sin marcar un elemento, se eliminan los eventos de ese nivel de gravedad de la vista.
Es posible hacer clic en Gravedad y seleccionar otro nivel para eliminar niveles adicionales de gravedad de la vista.
Filtrar los Registros del sistema por categora del evento

En el Registro del sistema de Proteccin antivirus y contra software espa y en el Registro del sistema de Proteccin proactiva contra amenazas, se categorizan los eventos como sigue:

Cambio de configuracin Inicio o cierre de Symantec Endpoint Protection Archivo de definiciones de virus Omisiones de anlisis Enviar al servidor de cuarentena
166
Uso y administracin de registros Administrar el tamao del registro
Enviar a Symantec Security Response Carga o descarga de Auto-Protect Administracin y uso mvil de clientes Envo de registros Advertencias de comunicacin no autorizada (acceso denegado) Administracin de certificados e inicio de sesin Cumplimiento del cliente Error de carga del motor de TruScan Error de carga de aplicaciones conocidas de TruScan Sistema operativo de TruScan no compatible
El nmero de eventos que aparece en los dos Registros del sistema se puede reducir mediante la visualizacin de determinados tipos de evento nicamente. Por ejemplo, si desea ver solamente los eventos que se relacionan con Auto-Protect, podra seleccionar solamente el tipo de carga o descarga de Auto-Protect. Si selecciona un tipo, no se detiene la grabacin de eventos en las otras categoras. Slo se ocultan las otras categoras cuando se visualiza el Registro del sistema. Nota: Solamente los eventos relevantes estn disponibles para la exclusin de la vista. Para filtrar los Registros del sistema por categora del evento
1 2 3 4 5 6
En el cliente, en la barra lateral, haga clic en Ver registros. Al lado de Proteccin antivirus y contra software espa o Proteccin proactiva contra amenazas, haga clic en Ver registros. Haga clic en Registro del sistema. Haga clic en Filtrar. Marque o deje sin marcar una o ms categoras de eventos. Haga clic en Aceptar.
Administrar el tamao del registro

Es posible configurar durante cuanto tiempo se conservan las entradas en los registros. Borrar las entradas ms antiguas ayuda a evitar que los registros usen demasiado espacio en el disco. Para los registros de Proteccin contra amenazas
167
de red y los registros de Administracin de clientes, es posible tambin configurar la cantidad de espacio utilizada.
Configurar el tiempo de retencin para las entradas de los registros de Proteccin antivirus y contra software espa y de Proteccin proactiva contra amenazas
Para configurar la cantidad de tiempo que conservan las entradas de registro
En el cliente, en la pgina Estado, al lado de Proteccin antivirus y contra software espa o Proteccin proactiva contra amenazas, haga clic en Opciones y despus haga clic en Cambiar configuracin. En la ficha General, configure el valor numrico y la unidad de tiempo para conservar las entradas en estos registros. Las entradas ms antiguas que el valor asignado se borran. Haga clic en Aceptar.
Configurar el tamao de los registros de Proteccin contra amenazas de red y de Administracin de clientes
Es posible configurar el tamao de cada registro de Proteccin contra amenazas de red y Administracin de clientes. Para modificar el tamao de los registros
1 2
En el cliente, en la pgina Estado, a la derecha de Proteccin contra amenazas de red, haga clic en Opciones y despus haga clic en Cambiar configuracin. En el cuadro de dilogo Configuracin de proteccin contra amenazas de red, en la ficha Registros, en el campo de texto Tamao mximo del archivo de registro, escriba el nmero mximo de kilobytes para el tamao del archivo de registro. Es necesario mantener reducido el tamao del archivo de registro debido al espacio disponible en el equipo. El tamao predeterminado para todos los registros es de 512 KB, a excepcin del registro de control y el registro de paquetes. El tamao predeterminado para el registro de control y el registro de paquetes es de KB 1024.
168
Configurar el tiempo de retencin para las entradas de registro de Proteccin contra amenazas de red y Administracin de clientes
Es posible especificar cuntos das se guardarn las entradas en cada registro. Despus de que se alcanza el nmero mximo de das, las entradas ms antiguas se sustituyen. Sera aconsejable eliminar entradas para ahorrar espacio o conservar entradas para revisar la seguridad de su equipo. Para configurar el nmero de das para conservar entradas de registro
1 2
En el cliente, en la pgina Estado, a la derecha de Proteccin contra amenazas de red, haga clic en Opciones y despus haga clic en Cambiar configuracin. En el cuadro de dilogo Configuracin de proteccin contra amenazas de red, en la ficha Registros, en el campo de texto Guardar cada entrada de registro para, escriba el nmero mximo de das para guardar las entradas de registro. Haga clic en Aceptar.
Acerca del borrado de contenido del Registro del sistema de Proteccin antivirus y contra software espa
No es posible quitar permanentemente registros de eventos del Registro del sistema mediante la interfaz de usuario.
Borrar el contenido de los registros de Proteccin contra amenazas de red y de Administracin de clientes
Si su administrador lo permite, es posible borrar el contenido de los registros de Proteccin contra amenazas de red y de Administracin de clientes. Despus de borrar un registro, ste comienza inmediatamente a guardar entradas de nuevo. Nota: Si la opcin de borrado no est disponible, no tendr permisos para borrar contenido del registro. Si tiene permiso para hacerlo, es posible tambin borrar contenido de un registro desde el men Archivo del registro. Para borrar el contenido de un registro
1 2
En el cliente, en la pgina Estado, a la derecha de Proteccin contra amenazas de red, haga clic en Opciones y despus haga clic en Cambiar configuracin. En el cuadro de dilogo Configurar la proteccin contra amenazas de red, en la ficha de Registros, al lado del registro que desee, haga clic en Borrar registro.
Uso y administracin de registros Poner en cuarentena riesgos y amenazas del Registro de riesgos y del Registro de amenazas
169
3 4
Cuando se le solicite confirmacin, haga clic en S. Haga clic en Aceptar.
Poner en cuarentena riesgos y amenazas del Registro de riesgos y del Registro de amenazas
Es posible poner en cuarentena las amenazas que se han registrado en el historial de amenazas de Proteccin proactiva contra amenazas. Es posible poner en cuarentena riesgos del Registro de riesgos de Proteccin antivirus y contra software espa. Es posible tambin limpiar y borrar riesgos del Registro de riesgos de Proteccin antivirus y contra software espa. Para poner en cuarentena un riesgo o una amenaza
1 2
En el cliente, en la barra lateral, haga clic en Ver registros. Al lado de Proteccin antivirus y contra software espa o Proteccin proactiva contra amenazas, haga clic en Ver registros y despus haga clic en el nombre del registro que desee. Seleccione un riesgo o una amenaza y despus haga clic en Cuarentena. De acuerdo con la accin preseleccionada para una deteccin de riesgo, Symantec Endpoint Protection podr o no podr realizar la accin que usted seleccione. Si la amenaza o el riesgo fueron puestos correctamente en cuarentena, se mostrar un mensaje de resultado correcto. No es necesario tomar ms medidas para mantener el equipo a salvo de este riesgo o amenaza. Es posible dejar los archivos con riesgos que se colocaron en el rea de cuarentena all o suprimirlos. Se aconseja conservarlos en el rea de cuarentena hasta que est seguro de que las aplicaciones del equipo no han perdido funcionalidad. Ver "Acerca de los archivos infectados en la cuarentena" en la pgina 96. En los casos en queSymantec Endpoint Protection no puede poner el riesgo o la amenaza en cuarentena, se muestra un mensaje de error. En estos casos, puede ponerse en contacto con su administrador. Es posible tambin limpiar y borrar riesgos y amenazas, adems de deshacer acciones de estos registros, cuando sea pertinente. Ver "Acciones sobre los archivos infectados" en la pgina 24.
170
Uso y administracin de registros Usar los registros de Proteccin contra amenazas de red y de Administracin de clientes
Usar los registros de Proteccin contra amenazas de red y de Administracin de clientes

Los registros de Proteccin contra amenazas de red y de Administracin de clientes permiten realizar un seguimiento de la actividad de su equipo y su interaccin con otros equipos y redes. Estos registros almacenan informacin sobre el trfico que intenta entrar en su equipo o salir de l mediante su conexin de red. Estos registros tambin contienen informacin sobre los resultados de las polticas de firewall que se aplican al cliente. Es posible administrar los registros de clientes de Proteccin contra amenazas de red y de Administracin de clientes desde una ubicacin central. Los registros de seguridad, de trfico y de paquetes permiten rastrear algunos datos hasta su fuente. Se los localiza usando ICMP para determinar todos los saltos entre su equipo y un intruso en otro equipo. Nota: Algunas opciones para estos registros pueden no estar disponibles, segn el tipo de control que su administrador haya configurado para su cliente.
Actualizar los registros de Proteccin contra amenazas de red y de Administracin de clientes

Para actualizar un registro
1 2
En el cliente, en la barra lateral, haga clic en Ver registros. A la derecha de Proteccin contra amenazas de red o de Administracin de clientes, haga clic en Ver registros y despus haga clic en el nombre del registro que desee. En el men Ver, haga clic en Actualizar.
Habilitar el Registro de paquetes

Todos los registros de Proteccin contra amenazas de red y de Administracin de clientes estn habilitados de forma predeterminada, a excepcin del Registro de paquetes. Si su administrador lo permite, podr habilitar e inhabilitar el Registro de paquetes.
171
Para habilitar el Registro de paquetes
1 2 3 4
En el cliente, en la pgina Estado, a la derecha de Proteccin contra amenazas de red, haga clic en Opciones y despus haga clic en Cambiar configuracin. En el cuadro de dilogo Configuracin de proteccin contra amenazas de red, haga clic en Registros. Marque Habilitar el registro de paquetes. Haga clic en Aceptar.
Detener una respuesta activa

Cualquier intrusin que se detecte en el cliente desencadena una respuesta activa. Esta respuesta activa bloquea automticamente la direccin IP de un intruso conocido durante una cantidad de tiempo especfica. Si su administrador lo permite, puede detener la respuesta activa inmediatamente desde el Registro de seguridad. Ver "Bloquear y desbloquear un equipo atacante" en la pgina 138.
Localizar el origen de los eventos registrados

Es posible rastrear algunos eventos para identificar el origen de datos de un evento registrado. Como un detective que sigue el camino de un criminal en la escena del crimen, un seguimiento regresivo muestra los pasos exactos, o los saltos, realizados por el trfico entrante. Un salto es un punto de transicin, tal como un router, por el que viaja un paquete al ir de un equipo a otro en Internet. Un seguimiento regresivo desanda la ruta de un paquete de datos, detectando los routers que utilizaron los datos para alcanzar su equipo. La Figura 10-1 muestra cmo el cliente encuentra el origen de datos de un evento registrado.
172
Figura 10-1
Realizar el seguimiento regresivo de un paquete
Su equipo
Equipo del hacker
Datos
Salto 1
Salto 2
Salto 3
Salto 4
Salto 5
Salto 6
Routers en la red pblica
Para algunas entradas de registro, es posible localizar un paquete de datos que fue utilizado en un intento de ataque. Cada router por el que pasa un paquete de datos tiene una direccin IP. Es posible ver la direccin IP y otros detalles. La informacin que se visualiza no garantiza que se haya detectado quin es el hacker. La direccin IP del salto final menciona al propietario del router mediante el cual se conectaron los hackers, pero no necesariamente a los hackers mismos. Es posible realizar un seguimiento regresivo de algunos eventos registrados en el Registro de seguridad y el Registro de trfico. Para realizar un seguimiento regresivo de un evento registrado
1 2
En el cliente, en la barra lateral, haga clic en Ver registros. A la derecha de Proteccin contra amenazas de red o de Administracin de clientes, haga clic en Ver registros. A continuacin, haga clic en el registro que contiene la entrada que desea localizar. En la ventana de visualizacin del registro, seleccione la fila de la entrada que usted desea localizar. Haga clic en Accin y despus haga clic en Realizar seguimiento regresivo.
3 4
Uso y administracin de registros Exportar datos de registro
173
En el cuadro de dilogo Informacin de seguimiento regresivo, haga clic en Quin es >> para ver informacin detallada sobre cada salto. Se muestra un panel desplegable con informacin detallada sobre el propietario de la direccin IP en la cual se origin el evento de trfico. Es posible utilizar Ctrl+C y Ctrl+V para cortar y pegar la informacin del panel en un mensaje de correo electrnico para su administrador.
6 7
Haga clic en Quin es << de nuevo para ocultar la informacin. Cuando haya terminado, haga clic en Aceptar.
Usar los registros de Administracin de clientes con Symantec Network Access Control
Si Symantec Network Access Control est instalado, es posible realizar las tareas siguientes desde el men Accin del Registro de seguridad y el Registro del sistema:
Actualizar una poltica Ver "Actualizar la poltica de seguridad" en la pgina 20. Comprobar la integridad del host Ver "Ejecutar una comprobacin de integridad del host" en la pgina 147.
Exportar datos de registro

Es posible exportar la informacin de algunos registros a un archivo de valores separados por comas (.csv) o a un formato de base de datos de Access (*.mdb). El formato csv es un formato de archivo comn que la mayora de los programas de hoja de clculo y de base de datos utilizan para importar datos. Despus de importar los datos en otro programa, es posible utilizarlos para crear presentaciones, grficos o combinarlos con otra informacin. Es posible exportar la informacin de los registros de Proteccin contra amenazas de red y de Administracin de clientes a archivos de texto delimitado por tabulaciones. Nota: Si ejecuta el software de cliente en Windows Server 2008 Server Core, no es posible exportar datos de registro a un archivo .mdb. El formato .mdb necesita aplicaciones de Microsoft que no estn disponibles en Server Core. Es posible exportar los registros siguientes a un archivo .csv o .mdb:

Registro del sistema de Proteccin antivirus y contra software espa Registro de riesgos de Proteccin antivirus y contra software espa Registro de anlisis antivirus y de software espa
174
Registro del sistema de Proteccin proactiva contra amenazas Registro de amenazas de Proteccin proactiva contra amenazas Registro de proteccin contra intervenciones
Nota: Si filtra los datos del registro de cualquier manera y despus los exporta, se exportan solamente los datos filtrados actualmente. Esta restriccin no se aplica a los registros que se exportan a un archivo de texto delimitado por tabulaciones. Todos los datos de esos registros se exportan. Ver "Filtrar las vistas del registro" en la pgina 164. Es posible exportar los registros siguientes a un archivo .txt delimitado por tabulaciones:

Registro de control de Administracin de clientes Registro de paquetes de Proteccin contra amenazas de red Registro de seguridad de Administracin de clientes Registro del sistema de Administracin de clientes Registro de trfico de Proteccin contra amenazas de red
Nota: Adems de un archivo de texto delimitado por tabulaciones, es posible tambin exportar los datos del Registro de paquetes en formato de supervisor de red o formato de NetXray. En la instalacin Server Core de Windows Server 2008, los cuadros de dilogo de la interfaz de usuario pueden diferir de los que se describen en estos procedimientos. Para exportar datos a un archivo .csv
1 2 3 4
En el cliente, en la barra lateral, haga clic en Ver registros. Al lado de Proteccin antivirus y contra software espa o Proteccin proactiva contra amenazas, haga clic en Ver registros. Haga clic en el nombre del registro que desee. En la ventana del registro, asegrese de que aparezcan los datos que desea guardar. Haga clic en Exportar.
En la lista desplegable Guardar en, vaya al directorio donde desea guardar el archivo.
175
6 7
En el cuadro de texto Nombre de archivo, escriba un nombre para el archivo. Haga clic en Guardar.
Para exportar datos de registros de Proteccin contra amenazas de red o de Administracin de clientes a un archivo de texto
1 2 3 4
En el cliente, en la barra lateral, haga clic en Ver registros. A la derecha de Proteccin contra amenazas de red o de Administracin de clientes, haga clic en Ver registros. Haga clic en el nombre del registro del cual desea exportar datos. Haga clic en Archivo y despus haga clic en Exportar. Si seleccion el Registro de paquetes, puede hacer clic en Exportar al formato de supervisor de red o Exportar al formato de NetXray.
5 6 7
En la lista desplegable Guardar en, vaya al directorio donde desea guardar el archivo. En el cuadro de texto Guardar en, escriba un nombre para el archivo. Haga clic en Guardar.
176
ndice
A
acciones asignacin de segundas acciones para virus 88 consejos para asignar segundas acciones para riesgos de seguridad 89 actividad de red visualizacin 119 adaptadores definicin 124 amenazas combinadas 44 amenazas combinadas 44 anlisis. Ver antivirus y software espa anlisis de archivos por extensin 59 archivos 58 archivos comprimidos 73 excepciones centralizadas 93 exclusin de archivos 60 interpretacin de resultados 81 interrupcin 52 opciones de posposicin 55 programados 74 retraso 52 todos los tipos de archivo 60 anlisis de amenazas proactivo. Ver Anlisis de amenazas proactivos TruScan Anlisis de amenazas proactivos TruScan frecuencia 107 anlisis de amenazas proactivos TruScan acciones 110 acerca de 103104 administracin 108 aplicaciones comerciales 109 detecciones 106 envo de informacin 112 excepciones centralizadas 113 falsos positivos 107 nivel de sensibilidad 110 notificaciones 112 registros 160 tipos de procesos que se detectan 111
anlisis de inicio analizar por extensin 59 creacin 77 edicin y eliminacin 80 anlisis de puertos puerto 118 anlisis de red opciones de Auto-Protect 68 anlisis de riesgos de seguridad inhabilitar en Auto-Protect 67 anlisis definidos por el usuario edicin y eliminacin 80 anlisis del correo electrnico. Ver Auto-Protect anlisis manuales analizar por extensin 59 creacin 77 inicio 73 anlisis programados analizar por extensin 59 creacin 74 edicin y eliminacin 80 varios 77 aplicacin acerca de 149 aplicaciones definicin 123 permitir o bloquear 139 aplicaciones de publicidad no deseada 44 archivo de definiciones 17, 72 archivo infectado actuacin 24 archivos anlisis 58 copia de respaldo 99 envo a Symantec Security Response 101 exclusin de anlisis 93 liberacin de archivos desde la cuarentena 99 nuevo anlisis automtico de los archivos en cuarentena 98 nuevo anlisis manual de los archivos en cuarentena 99 ubicacin de reparados 99
178
ndice
uso compartido 132 ataques bloqueo 115 firmas 118 red 118 autenticacin 802.1x acerca de 149 configuracin 151 Auto-Protect analizar por extensin 59 clientes de correo electrnico para trabajo en grupo 63 conexiones cifradas de correo electrnico 65 confiar en versiones remotas 69 configuracin del anlisis de red 68 determinacin de tipos de archivo 67 estado 48 habilitar e inhabilitar para el correo electrnico 49 habilitar e inhabilitar para el sistema de archivos 49 inhabilitacin temporal 48 inhabilitar el anlisis de riesgos de seguridad 67 memoria cach de red 69 para clientes de Microsoft Exchange 63 para correo electrnico de Internet 63 para Lotus Notes 63 riesgos de seguridad 63 utilizacin 62 ver la lista de riesgos 66 visualizacin de las estadsticas de anlisis 66 Ayuda en lnea acceso 20
B
bloquear el trfico 126 bloquear trfico 134, 139 bloquear un equipo atacante 138 bots 44 bots de Internet 44
C
Caballos de Troya 44 carpeta Elementos de copia de respaldo limpieza 99 carpetas exclusin de anlisis 93 categora de riesgo Otros 45
Centro de Seguridad de Windows visualizacin del estado del antivirus 51 visualizacin del estado del firewall 52 clasificacin de impacto del riesgo 89 cliente acerca de 13 apertura 14 deshabilitacin 14 interaccin 23 clientes administrados actualizacin 19 frente a clientes independientes 39 clientes independientes frente a clientes administrados 39 clientes no administrados actualizacin 19 comandos icono del rea de notificacin 14 compartir archivos e impresoras 132 comprobacin de integridad del host ejecucin 147 conexiones UDP acerca de 125 control de acceso a la red acerca de 145146 aplicacin 149 corregir el equipo 148 correo electrnico conexiones cifradas 65 exclusin del archivo de bandeja de entrada de los anlisis 58 liberacin de archivos adjuntos desde la cuarentena 99 cuarentena 96 administracin 98 borrar archivos 97, 100 eliminacin de archivos de copia de respaldo 99 envo de archivos a Symantec Security Response 101 liberacin de archivos 99 nuevo anlisis automtico de archivos 98 nuevo anlisis manual de archivos 99 supresin manual de archivos 100 traslado de archivos 96 tratamiento de archivos infectados 97 tratamiento de archivos infectados por riesgos de seguridad 97 ver archivos infectados 96 visualizacin de detalles de archivo 98
ndice
179
D
definicin anlisis 118 desbloquear un equipo atacante 138
E
enmascaramiento de huella digital del sistema operativo habilitacin 130 entornos administrados acerca de 14 entornos no administrados acerca de 14 equipos de 64 bits 73 excepciones centralizadas exclusin de elementos de anlisis 60 para anlisis antivirus y de software espa 93 para las detecciones del anlisis de amenazas proactivo 113 exclusiones crear para anlisis 60 extensiones exclusin de anlisis 93 incluir en anlisis 59
iconos cliente 14 infecciones de virus de macro prevencin 61 inspeccin de estado acerca de 124 creacin de normas de trfico 124
L
LiveUpdate funcionamiento 19
M
manuales, anlisis. Ver anlisis manuales marcadores 44 memoria cach de red opciones de Auto-Protect 69 mensajes prevencin de intrusiones 137 respuesta 26
N
navegacin oculta por la Web habilitacin 130 Network Access Control notificaciones 30 normas de firewall acerca de 122 creacin 126 edicin 129 eliminacin 129 exportacin 128 habilitar e inhabilitar 128 importacin 129 modificacin del orden de 127 orden de procesamiento 125 programacin 123 registro 123 notificaciones acerca de 23 control de acceso a la red 30 interaccin de los usuarios 82 prevencin de intrusiones 137 respuesta 26 nueva secuencia TCP habilitacin 130
F
filtros de trfico inteligentes definicin 132 firewall acerca de 116 valores 121, 130 firmas 17 firmas IPS acerca de 118
G
gusanos 44
H
herramientas de hackeo 44 host definicin 123
I
icono del rea de notificacin acerca de 14 ocultar y visualizar 16
180
ndice
O
opciones no disponibles 40
R
reautenticacin 153 Registro de amenazas 160 Registro de anlisis 159 Registro de control 162 Registro de paquetes 161 habilitacin 170 Registro de proteccin contra intervenciones 160 Registro de riesgos 159 Registro de seguridad 162 Registro de trfico 161 Registro del sistema 162 Proteccin proactiva contra amenazas 160 supresin de entradas 168 Registro del sistema de Proteccin antivirus y contra software espa 159 registros acerca de 157 actualizacin 170 Administracin de clientes 170 configuracin de por cunto tiempo se guardan las entradas 168 configuracin del tamao 167 configurar por cunto tiempo se guardan las entradas 167 control de acceso a la red 148 descripcin 158 eliminacin 168 exportacin de datos 173 exportacin de entradas de registro filtradas 174 filtrado 164 filtrar por categora del evento 166 filtrar por nivel de gravedad 165 filtrar por perodo 164 formatos de exportacin 173174 habilitar el Registro de paquetes 170 limitacin del tamao 167 localizar entradas 171 poner en cuarentena riesgos y amenazas 169 Proteccin contra amenazas de red 170 Symantec Endpoint Protection 158 Symantec Network Access Control 158 ver propiedades de las entradas 164 visualizacin 163 respuesta activa acerca de 138 riesgos de seguridad 43 configuracin de acciones 84 configuracin de notificaciones 90
P
permitir el trfico 126 permitir trfico 139 polticas acerca de 19 actualizacin 14, 20 prevencin de intrusiones acerca de 118 configuracin 136 habilitacin 136 notificaciones 137 respuesta 29 probar su equipo 33 programas broma 45 programas de acceso remoto 45 programas de seguimiento 45 proteccin actualizacin 17, 19 habilitar e inhabilitar tipos 47 tipos 13 Proteccin antivirus y contra software espa acerca de 40, 58 estado 48 habilitar e inhabilitar 48 Proteccin contra amenazas de red acerca de 41, 115 habilitar e inhabilitar 50 Proteccin contra intervenciones acerca de 35 configuracin 36 habilitar e inhabilitar 36 proteccin contra la falsificacin de direccin MAC habilitacin 130 proteccin de controladores habilitacin 130 proteccin de da cero 103 Proteccin de NetBIOS habilitacin 130 Proteccin proactiva contra amenazas acerca de 41 habilitar e inhabilitar 51 protocolo definicin 124 puertos acerca de 115
ndice
181
consejos para asignar segundas acciones 89 deteccin del cliente 71 exclusin de anlisis 93 opciones 91 Opciones de correccin 91 proceso que contina descargando 63 qu hacer cuando se detectan 62 respuesta del cliente 47 rootkits 43
S
Servicios de Windows demostracin 120 Smart DHCP 132 Smart DNS 132 Smart WINS 132 software espa 45 supervisin de aplicaciones de red habilitacin 130 Symantec Security Response acceso 21 acerca de 18 envo de archivos 101 sitio Web 2021
prevencin de intrusiones 136 virus 4344 asignacin de segundas acciones 88 configuracin de acciones 84 configuracin de notificaciones 90 dao de archivos 26 deteccin del cliente 71 no reconocidos 101 opciones de correccin 91 opciones de deteccin 91 qu hacer cuando se detectan 62 respuesta del cliente 47
T
tasas de deteccin envo de informacin a Symantec 84 tipos de anlisis manual 73 trfico bloqueo 134 permitir o bloquear 139 visualizacin 119 trfico de difusin demostracin 120 trfico de token ring habilitacin 130
U
ubicaciones acerca de 34 modificacin 34 uso compartido de impresoras 132
V
valores firewall 121

Client Guide PDF

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Client Guide PDF

Încărcat de

Drepturi de autor:

Formate disponibile

Gua del cliente para Symantec Endpoint Protection y Symantec Network Access Control

Introduccin del cliente de Symantec ............................ 13

Respuesta al cliente ............................................................ 23

Administrar el cliente ......................................................... 31

Symantec Endpoint Protection ........................... 37

Fundamentos del cliente de Symantec Endpoint Protection .......................................................................

Administrar la proteccin antivirus y contra software espa ................................................................ 57

Administrar la proteccin proactiva contra amenazas ......................................................................

103 103 104 105 106 107 107 108 109

110 111 112 112 113

Administrar la proteccin contra amenazas de red ................................................................................... 115

Symantec Network Access Control ................. 143

Supervisin y registro ............................................. 155

ndice .................................................................................................................. 177

Introduccin del cliente de Symantec Respuesta al cliente Administrar el cliente

Introduccin del cliente de Symantec

Acerca del cliente

Introduccin del cliente de Symantec Acerca del cliente

Acerca de los clientes administrados y no administrados

Acerca del icono del rea de notificacin

Introduccin del cliente de Symantec Acerca del cliente

Introduccin del cliente de Symantec Acerca del cliente

Comandos del icono del rea de notificacin Descripcin

Nota: Este comando est disponible en equipos cliente

Nota: Este comando est disponible solamente cuando el

Ocultar y visualizar el icono del rea de notificacin

Introduccin del cliente de Symantec Cmo se mantiene actualizada la proteccin de su equipo

Para ocultar el icono del rea de notificacin

Para visualizar el icono del rea de notificacin

Cmo se mantiene actualizada la proteccin de su equipo

Introduccin del cliente de Symantec Cmo se mantiene actualizada la proteccin de su equipo

Acerca del papel que desempea Symantec Security Response

Introduccin del cliente de Symantec Acerca de las polticas de seguridad

Cmo se actualiza la proteccin en equipos cliente administrados

Cmo se actualiza la proteccin en equipos cliente no administrados

Acerca de las polticas de seguridad

Introduccin del cliente de Symantec Sitios donde se puede obtener ms informacin

Actualizar la poltica de seguridad

Sitios donde se puede obtener ms informacin

Acceso a la ayuda en lnea

En la ventana principal, realice una de las siguientes acciones:

Introduccin del cliente de Symantec Sitios donde se puede obtener ms informacin

Acceso al sitio Web de Symantec Security Response

En su navegador de Internet, escriba la siguiente direccin Web: http://www.symantec.com/es/mx/security_response/

Introduccin del cliente de Symantec Sitios donde se puede obtener ms informacin

Acerca de la interaccin con el cliente

Respuesta al cliente Acciones sobre los archivos infectados

Notificaciones relacionadas con aplicaciones

Acciones sobre los archivos infectados

Respuesta al cliente Acciones sobre los archivos infectados

Realice una de las acciones siguientes:

Respuesta al cliente Acerca de las notificaciones y alertas

Acerca del dao provocado por virus

Acerca de las notificaciones y alertas

Notificaciones relacionadas con aplicaciones Alertas de seguridad

Respuesta a las notificaciones relacionadas con aplicaciones

Respuesta al cliente Acerca de las notificaciones y alertas

Para responder a las aplicaciones que intentan acceder a la red

Respuesta al cliente Acerca de las notificaciones y alertas

Ver "Configurar valores especficos de una aplicacin" en la pgina 139.

Notificaciones de modificacin de aplicaciones

Notificaciones de cambio rpido de usuario

Respuesta al cliente Acerca de las notificaciones y alertas