Documente Academic
Documente Profesional
Documente Cultură
Gua del cliente para Symantec Endpoint Protection y Symantec Network Access Control
El software que se describe en este manual se suministra con acuerdo de licencia y slo puede utilizarse segn los trminos de dicho acuerdo. Documentacin versin 11.00.02.01.00
Aviso legal
Copyright 2008 Symantec Corporation. Todos los derechos reservados. Symantec, el logotipo de Symantec, LiveUpdate, Sygate, Symantec AntiVirus, Bloodhound, Confidence Online, Digital Immune System, Norton y TruScan son marcas comerciales o marcas registradas de Symantec Corporation o de sus afiliados en los EE. UU. y en otros pases. Otros nombres pueden ser marcas comerciales de sus respectivos propietarios. Este producto de Symantec puede contener software de otros fabricantes para el cual Symantec est obligado a reconocer a estos terceros (Programas de terceros). Algunos de los programas de otros fabricantes estn disponibles mediante licencias de cdigo abierto o software gratuito. El acuerdo de licencia que acompaa el software no altera ningn derecho u obligacin que pueda tener en virtud de esas licencias de cdigo abierto o software gratuito. Para obtener ms informacin sobre los Programas de otros fabricantes, consulte el apndice de esta documentacin Aviso legal sobre otros fabricantes, o bien el archivo Lame TPIP que acompaa este producto de Symantec. El producto descrito en este documento se distribuye de acuerdo con licencias que restringen su uso, copia, distribucin y descompilacin o ingeniera inversa. Est prohibido reproducir cualquier parte de este documento de cualquier forma y mediante cualquier medio sin autorizacin previa por escrito de Symantec Corporation y de los responsables de conceder sus licencias, de haberlos. LA DOCUMENTACIN SE PROPORCIONA TAL CUAL Y NO SE OFRECE NINGN TIPO DE GARANTA EN RELACIN CON CONDICIONES EXPRESAS O IMPLCITAS, REPRESENTACIONES Y GARANTAS, INCLUSO GARANTAS IMPLCITAS DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN DETERMINADO O NO VIOLACIN DE DERECHOS, EXCEPTO QUE SE CONSIDERE QUE DICHA NEGACIN CARECE DE VALIDEZ LEGAL. SYMANTEC CORPORATION NO SER RESPONSABLE DE DAOS INCIDENTALES O INDIRECTOS RELACIONADOS CON EL SUMINISTRO, EL RENDIMIENTO O EL USO DE ESTA DOCUMENTACIN. LA INFORMACIN INCLUIDA EN ESTA DOCUMENTACIN EST SUJETA A CAMBIOS SIN PREVIO AVISO. El Software y la Documentacin con licencia se consideran programas informticos comerciales segn lo definido en la seccin 12.212 de la normativa de adquisiciones de la Administracin Federal de los EE. UU. (FAR) y conforme a derechos restringidos segn lo definido en la seccin 52.227-19 de la FAR sobre derechos restringidos de los programas informticos comerciales, y en la seccin 227.7202 de la normativa de adquisiciones de la Defensa de la Administracin Federal de los EE. UU. (DFARS), sobre los derechos de los programas informticos comerciales y la documentacin de programas informticos
comerciales, segn corresponda, y cualquier normativa siguiente. Cualquier uso, modificacin, versin de reproduccin, rendimiento, visualizacin o divulgacin del Software y de la Documentacin con licencia por parte del Gobierno de los EE. UU. se realizar exclusivamente de acuerdo con los trminos de este acuerdo. Symantec Corporation 20330 Stevens Creek Blvd. Cupertino, CA 95014 http://www.symantec.com.mx
Contenido
Seccin 1
Captulo 1
Introduccin
................................................................... 11
Captulo 2
Captulo 3
Contenido
Acerca de las ubicaciones ............................................................... Modificar ubicaciones ................................................................... Acerca de la Proteccin contra intervenciones ................................... Habilitar, inhabilitar y configurar Proteccin contra intervenciones .......................................................................
34 34 35 36
Seccin 2
Captulo 4
Captulo 5
43 43 46 47 48 50 51 51 52
Captulo 6
Contenido
Ver estadsticas de anlisis de Auto-Protect ................................ Ver la lista de riesgos .............................................................. Configurar Auto-Protect para determinar tipos de archivo ............. Habilitar e inhabilitar el bloqueo y anlisis de riesgos de seguridad de Auto-Protect ................................................. Configurar el anlisis de red ..................................................... Usar anlisis antivirus y de software espa ........................................ Cmo el cliente de Symantec Endpoint Protection detecta virus y riesgos de seguridad ....................................................... Acerca de los archivos de definiciones ....................................... Acerca del anlisis de archivos comprimidos ............................... Iniciar anlisis manuales ......................................................... Configurar anlisis antivirus y de software espa ............................... Crear anlisis programados ...................................................... Crear anlisis manuales y de inicio ............................................ Editar y eliminar anlisis de inicio, definidos por el usuario y programados ................................................................... Interpretar los resultados de los anlisis ........................................... Acerca de la interaccin con los resultados del anlisis o los resultados de Auto-Protect ................................................. Enviar informacin sobre anlisis antivirus y de software espa a Symantec Security Response .................................................... Configurar acciones para virus y riesgos de seguridad ......................... Consejos para asignar segundas acciones para virus ..................... Consejos para asignar segundas acciones para riesgos de seguridad ....................................................................... Acerca de la clasificacin de impacto del riesgo ........................... Configurar notificaciones para virus y riesgos de seguridad ................. Configurar excepciones centralizadas para los anlisis antivirus y de software espa ....................................................................... Acerca del rea de cuarentena ........................................................ Acerca de los archivos infectados en la cuarentena ....................... Acerca del tratamiento de los archivos infectados en la cuarentena ..................................................................... Acerca del tratamiento de los archivos infectados por riesgos de seguridad ....................................................................... Administrar la cuarentena ............................................................. Ver archivos y detalles en el rea de cuarentena .......................... Nuevo anlisis de los archivos en cuarentena en busca de virus .............................................................................. Cuando un archivo reparado no se puede devolver a su ubicacin original .......................................................................... Limpiar elementos de copia de respaldo .....................................
66 66 66 67 68 70 71 72 73 73 74 74 77 80 81 82 83 84 88 89 89 90 93 95 96 97 97 97 98 98 99 99
Contenido
Eliminar archivos de la cuarentena .......................................... 100 Borrar automticamente archivos de la cuarentena .................... 100 Enviar un archivo potencialmente infectado a Symantec Security Response para su anlisis ................................................. 101
Captulo 7
Captulo 8
Contenido
Exportacin e importacin de normas ...................................... Edicin y eliminacin de normas ............................................. Habilitar la configuracin de trfico y de la navegacin oculta por la Web ..................................................................... Habilitar el filtro de trfico inteligente ..................................... Habilitar el uso compartido de archivos e impresoras en la red ............................................................................... Bloquear trfico ................................................................... Configurar las opciones de prevencin de intrusiones ....................... Configurar notificaciones de prevencin de intrusiones ............... Bloquear y desbloquear un equipo atacante ............................... Configurar valores especficos de una aplicacin .............................. Quitar restricciones para una aplicacin ...................................
128 129 130 132 132 134 136 137 138 139 141
Seccin 3
Captulo 9
Seccin 4
Captulo 10
167 167
10
Contenido
Configurar el tiempo de retencin para las entradas de registro de Proteccin contra amenazas de red y Administracin de clientes ......................................................................... Acerca del borrado de contenido del Registro del sistema de Proteccin antivirus y contra software espa ....................... Borrar el contenido de los registros de Proteccin contra amenazas de red y de Administracin de clientes ................. Poner en cuarentena riesgos y amenazas del Registro de riesgos y del Registro de amenazas ............................................................ Usar los registros de Proteccin contra amenazas de red y de Administracin de clientes ..................................................... Actualizar los registros de Proteccin contra amenazas de red y de Administracin de clientes ........................................... Habilitar el Registro de paquetes ............................................. Detener una respuesta activa ................................................. Localizar el origen de los eventos registrados ............................ Usar los registros de Administracin de clientes con Symantec Network Access Control ................................................... Exportar datos de registro ............................................................
168 168 168 169 170 170 170 171 171 173 173
Seccin
Introduccin
12
Captulo
Acerca del cliente Cmo se mantiene actualizada la proteccin de su equipo Acerca de las polticas de seguridad Sitios donde se puede obtener ms informacin
14
Analizar el equipo en busca de virus, amenazas conocidas y riesgos de seguridad. Supervisar los puertos en busca de firmas de ataques conocidas. Supervisar los programas del equipo para detectar comportamiento sospechoso.
Ver "Acerca de Symantec Endpoint Protection" en la pgina 39. Symantec Network Access Control garantiza que la configuracin de seguridad del equipo se ajuste a las polticas de red. La configuracin de seguridad puede incluir software, opciones de configuracin de software, archivos de firmas, parches u otros elementos. Ver "Acerca de Symantec Network Access Control" en la pgina 145.
15
Es posible hacer clic con el botn secundario en este icono para visualizar comandos utilizados frecuentemente. El icono se encuentra en la esquina inferior derecha del escritorio. Nota: En clientes administrados, este icono no aparece si el administrador lo ha configurado como no disponible. La Tabla 1-1 muestra los iconos de estado de clientes de Symantec Endpoint Protection. Tabla 1-1 Icono Iconos de estado de Symantec Endpoint Protection Descripcin
El cliente se ejecuta sin problemas. Est desconectado o no administrado. Los clientes no administrados no estn conectados a un servidor de administracin. El cliente se ejecuta sin problemas. Est conectado y se comunica con el servidor de administracin. Todos los componentes de la poltica de seguridad protegen el equipo. El icono muestra un punto verde. El cliente tiene un problema menor. Por ejemplo, las definiciones de antivirus pueden ser obsoletas. El icono muestra un punto amarillo con un signo de exclamacin negro. El cliente no se ejecuta, tiene un problema grave o tiene deshabilitado por lo menos un componente de proteccin de polticas de seguridad. Por ejemplo, la proteccin antivirus y contra software espa pueden estar deshabilitadas. El icono muestra un punto blanco con un borde rojo y una lnea roja que cruza el punto.
La Tabla 1-2 muestra los iconos de estado de clientes de Symantec Network Access Control. Tabla 1-2 Icono Iconos de estado de Symantec Network Access Control Descripcin
El cliente se ejecuta sin problemas, aprob la comprobacin de integridad del host y actualiz la poltica de seguridad. Est desconectado o no administrado. Los clientes no administrados no estn conectados a un servidor de administracin. El cliente se ejecuta sin problemas, aprob la comprobacin de integridad del host y actualiz la poltica de seguridad. Se comunica con el servidor de administracin. El icono muestra un punto verde.
16
Icono
Descripcin
El cliente no super la comprobacin de integridad del host o no actualiz la poltica de seguridad. El icono muestra un punto rojo con una "x" blanca.
La Tabla 1-3 describe los comandos que estn disponibles desde el icono del rea de notificacin. Tabla 1-3 Opcin
Abrir Symantec Endpoint Protection Abrir Symantec Network Access Control Actualizar poltica Obtiene las polticas de seguridad ms recientes del servidor.
17
1 2 3
En la ventana principal, en la barra lateral, haga clic en Cambiar configuracin. En la pgina Cambiar configuracin, al lado de Administracin de clientes, haga clic en Configurar opciones. En el cuadro de dilogo Configuracin de administracin de clientes, en la ficha General, bajo Opciones de visualizacin, deje sin marcar Mostrar icono de seguridad de Symantec en el rea de notificacin. Haga clic en Aceptar.
1 2 3
En la ventana principal, en la barra lateral, haga clic en Cambiar configuracin. En la pgina Cambiar configuracin, al lado de Administracin de clientes, haga clic en Configurar opciones. En el cuadro de dilogo Configuracin de administracin de clientes, en la ficha General, bajo Opciones de visualizacin, marque Mostrar icono de seguridad de Symantec en el rea de notificacin. Haga clic en Aceptar.
18
Adems de los archivos de definiciones, las listas de procesos y las firmas de ataques, el cliente necesita actualizar sus componentes de vez en cuando. Tales componentes pueden incluir el motor de Proteccin antivirus y contra software espa, el motor de anlisis de amenazas proactivo TruScan y el firewall de Proteccin contra amenazas de red. Estas actualizaciones pueden consistir en reparaciones de defectos de menor importancia o en mejoras del producto. Symantec pone actualizaciones a disposicin de los usuarios de manera frecuente y constante. Las definiciones se actualizan diariamente en el sitio Web de Symantec Security Response. Las nuevas definiciones de virus se ponen a disposicin de los usuarios semanalmente (como mnimo) para que las descarguen mediante LiveUpdate, as como en el instante en que surja la amenaza de un nuevo virus destructivo. Nota: El administrador puede controlar la frecuencia de actualizacin de las definiciones de su cliente. Ver "Acerca de LiveUpdate" en la pgina 31.
19
http://www.symantec.com/es/mx/security_response/
20
1 2
En el rea de notificacin de Windows, haga clic con el botn secundario en el icono del cliente. En el men emergente, haga clic en Actualizar poltica.
Haga clic en Ayuda & Soporte y despus haga clic en Temas de ayuda. Haga clic en Ayuda en cualquiera de los cuadros de dilogo individuales.
21
La ayuda contextual slo est disponible en las pantallas en las que se pueden realizar acciones.
Presione F1 en cualquier ventana. Si hay ayuda contextual disponible para esa ventana, aparecer. Si la ayuda contextual no est disponible, aparece el sistema de Ayuda completo.
La enciclopedia de virus, que contiene informacin acerca de todos los virus conocidos. Informacin acerca de virus falsos. Informacin general acerca de virus y de amenazas de virus. Informacin general y detallada sobre riesgos de seguridad.
Para acceder al sitio Web de Symantec Security Response, utilice la URL siguiente:
22
Captulo
Respuesta al cliente
En este captulo se incluyen los temas siguientes:
Acerca de la interaccin con el cliente Acciones sobre los archivos infectados Acerca de las notificaciones y alertas
24
Cuando un programa del equipo intenta acceder a una red, Symantec Endpoint Protection puede solicitarle que permita o niegue el permiso para hacerlo. Ver "Respuesta a las notificaciones relacionadas con aplicaciones" en la pgina 26.
Alertas de seguridad
Symantec Endpoint Protection le informa cuando bloquea un programa o cuando detecta un ataque contra su equipo. Ver "Respuesta a las alertas de seguridad" en la pgina 29.
Si Symantec Network Access Control est habilitado en el cliente, es posible que vea un mensaje de Network Access Control. Este mensaje aparece cuando su configuracin de seguridad no se ajusta a los estndares que su administrador ha configurado. Ver "Respuesta a las notificaciones de Network Access Control" en la pgina 30.
25
Nota: En la cuarentena, el virus no puede propagarse. Cuando el cliente mueve un archivo al rea de cuarentena, no tiene acceso al archivo. Cuando Symantec Endpoint Protection repara un archivo infectado por virus, no es necesario tomar otras medidas para proteger el equipo. Si el cliente pone en cuarentena un archivo infectado por un riesgo de seguridad y luego lo quita y repara, no es necesario tomar medidas adicionales. Puede no ser necesario actuar sobre un archivo, pero es posible que quiera realizar una accin adicional sobre l. Por ejemplo, puede optar por eliminar un archivo que haya sido limpiado porque desea sustituirlo por un archivo original. Es posible utilizar las notificaciones para actuar sobre el archivo inmediatamente. Es posible tambin utilizar la vista del registro o la cuarentena para actuar sobre el archivo en otro momento. Ver "Interpretar los resultados de los anlisis" en la pgina 81. Ver "Poner en cuarentena riesgos y amenazas del Registro de riesgos y del Registro de amenazas" en la pgina 169. Ver "Acerca del rea de cuarentena" en la pgina 95. Para realizar acciones sobre los archivos infectados
En el cuadro de dilogo de progreso del anlisis, seleccione los archivos que desee una vez que el anlisis haya finalizado. En el cuadro de dilogo de los resultados de anlisis, seleccione los archivos que usted desee. En el cliente, en la barra lateral, haga clic en Ver registros y, a continuacin, junto a Proteccin antivirus y contra software espa, haga clic en Ver registros. En la vista del registro, seleccione los archivos que usted desee.
Haga clic con el botn secundario en el archivo o los archivos en cuestin y, a continuacin, haga clic en una de las opciones siguientes. Recuerde que, en algunos casos, el cliente no podr realizar la accin que usted seleccion.
Deshacer accin: anula el efecto de la accin tomada. Limpiar (slo para virus): elimina el virus del archivo. Suprimir permanentemente: elimina el archivo infectado y todos los efectos secundarios. Para los riesgos de seguridad, utilice esta accin con precaucin. En algunos casos, si usted borra riesgos de seguridad, es posible que cause la prdida de funcionalidad de alguna aplicacin.
26
Poner en cuarentena: pone en cuarentena los archivos infectados. Para los riesgos de seguridad, el cliente tambin intenta quitar o reparar los efectos secundarios. Propiedades: muestra informacin sobre el virus o riesgo de seguridad.
La aplicacin pide acceder a su conexin de red. Se ha actualizado una aplicacin que ha accedido a su conexin de red. El cliente conmut a los usuarios con la funcin de Cambio rpido de usuario. Su administrador actualiz el software de cliente.
Es posible ver el tipo siguiente de mensaje, que le dice cuando una aplicacin o un servicio intenta acceder a su equipo:
27
Internet Explorer (IEXPLORE.EXE) est intentando conectarse a www.symantec.com.mx mediante el puerto remoto 80 (HTTP - World Wide Web). Desea permitir que este programa acceda a la red?
En el cuadro de mensaje, haga clic en Detalle. Es posible ver ms informacin sobre la conexin y la aplicacin, tal como el nombre de archivo, el nmero de versin y el nombre de ruta.
Si desea que el cliente recuerde su opcin la prxima vez que esta aplicacin intente acceder a su conexin de red, haga clic en Recordar mi respuesta y no solicitarla nuevamente para esta aplicacin. Realice una de las tareas siguientes:
Para permitir que la aplicacin acceda a la conexin de red, haga clic en S. Haga clic en S solamente si usted reconoce la aplicacin y est seguro de que desea que acceda a la conexin de red. Si no est seguro acerca de permitir el acceso de la aplicacin a la conexin de red, consulte a su administrador. Para bloquear el acceso de la aplicacin a la conexin de red, haga clic en No.
La Tabla 2-1 muestra cmo es posible responder a las notificaciones que le preguntan si desea permitir o bloquear una aplicacin. Tabla 2-1 Si hace clic en
S
Notificaciones de permiso para aplicaciones Si marca la casilla de verificacin El cliente Recordar mi respuesta
S Permite la aplicacin y no vuelve a preguntar. Permite la aplicacin y pregunta cada vez. Bloquea la aplicacin y no pregunta de nuevo. Bloquea la aplicacin y pregunta cada vez.
No
No
No
No
Es posible tambin modificar la accin para la aplicacin en el campo Aplicaciones en ejecucin o en la lista Aplicaciones.
28
La aplicacin que se menciona en el mensaje anterior intenta acceder a su conexin de red. Aunque el cliente reconozca el nombre de la aplicacin, algn elemento de la aplicacin se ha modificado desde la ltima vez que el cliente la detect. Muy probablemente, se ha actualizado el producto recientemente. Cada nueva versin del producto utiliza un archivo de huella digital diferente al de la versin anterior. El cliente detecta que el archivo de huella digital se modific.
o
Symantec Endpoint Protection no estaba funcionando, pero ser iniciado. Sin embargo, Symantec Endpoint Protection no puede mostrar la interfaz de usuario. Si est utilizando la funcin de cambio rpido de usuario de Windows XP, asegrese de todos los usuarios cierren sesin en Windows e intente desconectarse de Windows y despus volver a iniciar sesin. Si est utilizando los servicios de terminal, la interfaz de usuario no se admite.
La funcin de cambio rpido de usuario es una funcin de Windows que permite alternar rpidamente entre los usuarios sin tener que desconectar el equipo. Varios usuarios pueden compartir un equipo simultneamente y alternar entre ellos sin cerrar las aplicaciones que estn usando. Una de estas ventanas aparece al alternar usuarios usando la funcin Cambio rpido de usuario.
29
Para responder a un mensaje de cambio rpido de usuario, siga las instrucciones del cuadro de dilogo.
Para descargar el software inmediatamente, haga clic en Descargar ahora. Para recibir un recordatorio despus de un tiempo especificado, haga clic en Recordrmelo ms tarde.
Si aparece un mensaje despus de que comience el proceso de instalacin para el software actualizado, haga clic en Aceptar.
30
Intrusiones
Se inici un ataque contra su equipo y una alerta le informa la situacin o proporciona instrucciones sobre cmo tratar el ataque. Por ejemplo, es posible ver el mensaje siguiente: El trfico de la direccin IP 192.168.0.3 est bloqueado de 10/10/2006 15:37:58 a 10/10/2006 15:47:58. El ataque de anlisis de puertos ha sido registrado. Su administrador pudo haber inhabilitado las notificaciones de prevencin de intrusiones en el equipo cliente. Para ver qu tipos de ataques detecta su cliente, puede permitir al cliente que muestre notificaciones de prevencin de intrusiones. Ver "Configurar notificaciones de prevencin de intrusiones" en la pgina 137.
1 2
Siga los pasos sugeridos que aparezcan en el cuadro de mensaje. En el cuadro de mensaje, haga clic en Aceptar.
Captulo
Administrar el cliente
En este captulo se incluyen los temas siguientes:
Acerca de LiveUpdate Ejecutar LiveUpdate en intervalos programados Ejecutar LiveUpdate manualmente Probar la seguridad del equipo Acerca de las ubicaciones Modificar ubicaciones Acerca de la Proteccin contra intervenciones Habilitar, inhabilitar y configurar Proteccin contra intervenciones
Acerca de LiveUpdate
LiveUpdate obtiene actualizaciones de programa y de proteccin para su equipo usando su conexin de Internet. Las actualizaciones de programa son mejoras menores a su producto instalado. stas son diferentes de las actualizaciones del producto, que son versiones ms recientes de todos los productos. Las actualizaciones de programa se crean generalmente para ampliar la compatibilidad del sistema operativo o del hardware, para ajustar un problema de rendimiento o para reparar errores de programa. Las actualizaciones de programa aparecen cuando son necesarias. Nota: Algunas actualizaciones de programa pueden requerir que se reinicie el equipo despus de instalarlas.
32
LiveUpdate automatiza la recuperacin y la instalacin de actualizaciones de programa. Encuentra y obtiene los archivos en un sitio de Internet, los instala y, a continuacin, borra los archivos sobrantes del equipo. Las actualizaciones de la proteccin son los archivos que mantienen sus productos de Symantec actualizados con la tecnologa de proteccin contra amenazas ms reciente. Las actualizaciones de proteccin que usted recibe dependen de los productos instalados en su equipo. De forma predeterminada, LiveUpdate se ejecuta automticamente en los intervalos programados. De acuerdo con su configuracin de seguridad, es posible ejecutar LiveUpdate manualmente. Es posible que tambin pueda inhabilitar LiveUpdate o modificar la programacin de LiveUpdate.
1 2 3 4 5 6 7
En el cliente, en la barra lateral, haga clic en Cambiar configuracin. Al lado de Administracin de clientes, haga clic en Configurar opciones. En el cuadro de dilogo Configuracin de administracin de clientes, haga clic en Actualizaciones programadas. En la ficha Actualizaciones programadas, marque Habilitar actualizaciones automticas. En el cuadro de grupo Frecuencia, seleccione si desea que las actualizaciones se ejecuten diaria, semanal o mensualmente. En el cuadro de grupo Cundo, seleccione el da o la semana y la hora en la que usted quisiera que las actualizaciones se ejecutaran. En el cuadro de grupo Opciones de eventos no realizados marque la opcin de seguir intentando y especifique el nmero de horas o das durante los cuales el cliente debe volver a intentar efectuar un evento perdido. En el cuadro del grupo Opciones del clculo aleatorio, marque Hora de inicio aleatoria antes o despus de y especifique el nmero de horas o das anteriores o posteriores a la actualizacin programada. Esto configura un rango de tiempo durante el cual la actualizacin se inicia aleatoriamente. Haga clic en Aceptar.
33
En el cliente, en la barra lateral, haga clic en LiveUpdate. LiveUpdate se conecta con el servidor de Symantec, comprueba si hay actualizaciones disponibles y las descarga e instala automticamente.
1 2 3 4
En el cliente, en la barra lateral, haga clic en Estado. Al lado de Proteccin contra amenazas de red, haga clic en Opciones > Ver actividad de la red. Haga clic en Herramientas > Prueba de seguridad de red. En el sitio Web de Symantec AntiVirus Check, realice una de las siguientes acciones:
Para comprobar si hay amenazas en lnea, haga clic en Anlisis de seguridad. Para comprobar si hay virus, haga clic en Deteccin de virus.
En el cuadro de dilogo Contrato de licencia de usuario final, haga clic en Acepto y despus haga clic en Siguiente. Si hizo clic en Deteccin de virus en el paso 4, haga clic en Consiento y despus haga clic en Siguiente. Si desea detener el anlisis en cualquier momento, haga clic en Detener.
34
Modificar ubicaciones
Es posible modificar una ubicacin si es necesario. Por ejemplo, puede ser necesario pasar a una ubicacin que permita a un colega acceder a los archivos en su equipo. La lista de ubicaciones disponibles depende de sus polticas de seguridad y de la red activa de su equipo. Nota: De acuerdo con las polticas de seguridad disponibles, puede tener acceso a ms de una ubicacin, o no. Puede ocurrir que cuando usted haga clic en una ubicacin, no pase a esa ubicacin. Esto significa que su configuracin de red no es apropiada para esa ubicacin. Por ejemplo, una ubicacin denominada Oficina puede estar disponible solamente cuando detecta la red de rea local (LAN) de la oficina. Si no est actualmente en esa red, no es posible pasar a esa ubicacin. Para modificar una ubicacin
1 2
En el cliente, en la barra lateral, haga clic en Cambiar configuracin. En la pgina Cambiar configuracin, al lado de Administracin de clientes, haga clic en Configurar opciones.
35
3 4
En la ficha General, bajo Opciones de la ubicacin, seleccione la ubicacin a la cual usted desea pasar. Haga clic en Aceptar.
Bloquear los intentos de intervencin y registrar el evento. Registrar el evento de intervencin, pero no interferir con el evento de intervencin.
Proteccin contra intervenciones est habilitada para los clientes administrados y no administrados, a menos que su administrador haya modificado la configuracin predeterminada. Cuando Proteccin contra intervenciones detecta un intento de intervencin, la accin predeterminada es registrar el evento en el registro de proteccin contra intervenciones. Es posible configurar Proteccin contra intervenciones para que muestre una notificacin en el equipo cuando detecte un intento de intervencin. Es posible personalizar el mensaje. Proteccin contra intervenciones no notifica sobre intentos de intervencin, a menos que usted habilite esa funcin. Si utiliza un cliente no administrado, es posible modificar su configuracin de Proteccin contra intervenciones. Si utiliza un cliente administrado, es posible modificar esta configuracin si su administrador lo permite. Las mejores prcticas cuando usted utiliza inicialmente Symantec Endpoint Protection son dejar la accin predeterminada Slo registrar y supervisar los registros una vez a la semana. Cuando est seguro de que no ve ningn falso positivo, configure Proteccin contra intervenciones en Bloquear y registrar. Nota: Si se utiliza un analizador de riesgos de seguridad de otro fabricante que detecte y proteja contra publicidad no deseada y software espa, el analizador afecta tpicamente los procesos de Symantec. Si Proteccin contra intervenciones est habilitada al tiempo que se ejecuta un analizador de riesgos de seguridad de otro fabricante, Proteccin contra intervenciones genera una gran cantidad de notificaciones y de entradas de registro. Las mejores prcticas son siempre dejar Proteccin contra intervenciones habilitada y utilizar el filtro de registro si el nmero de eventos que se generan es demasiado grande.
36
1 2 3
En la ventana principal, en la barra lateral, haga clic en Cambiar configuracin. Al lado de Administracin de clientes, haga clic en Configurar opciones. En la ficha Proteccin contra intervenciones, marque o deje sin marcar Proteger el software de seguridad de Symantec contra intervenciones o intentos de cierre. Haga clic en Aceptar.
1 2 3
En la ventana principal, en la barra lateral, haga clic en Cambiar configuracin. Al lado de Administracin de clientes, haga clic en Configurar opciones. En la ficha Proteccin contra intervenciones, en el cuadro de lista Accin que se efectuar en caso de que una aplicacin intente intervenir o cerrar el software de seguridad de Symantec, haga clic en Bloquear y registrar el evento o Registrar el evento solamente. Si desea ser notificado cuando Proteccin contra intervenciones detecta comportamiento sospechoso, marque Mostrar un mensaje de notificacin al detectar una intervencin. Si habilita estos mensajes de notificacin, es posible recibir notificaciones sobre los procesos de Windows, adems de los procesos de Symantec.
5 6
Para personalizar el mensaje que aparece, actualice el texto en el campo del mensaje. Haga clic en Aceptar.
Seccin
Conceptos generales de Symantec Endpoint Protection Fundamentos del cliente de Symantec Endpoint Protection Administrar la proteccin antivirus y contra software espa Administrar la proteccin proactiva contra amenazas Administrar la proteccin contra amenazas de red
38
Captulo
Acerca de Symantec Endpoint Protection De qu forma protege Symantec Endpoint Protection el sistema
Un equipo independiente que no se conecta a una red, tal como un equipo personal o un equipo porttil. El equipo debe incluir una instalacin de Symantec Endpoint Protection que utilice las opciones predeterminadas o una configuracin preestablecida por un administrador. Un equipo remoto que se conecte a una red corporativa y que deba cumplir los requisitos de seguridad para conectarse.
Las opciones predeterminadas para Symantec Endpoint Protection proporcionan proteccin antivirus y contra software espa, proteccin proactiva contra amenazas y proteccin contra amenazas de red.. Es posible ajustar las opciones predeterminadas para adaptarlas a las necesidades de su compaa, optimizar el rendimiento del sistema e inhabilitar las opciones que no se aplican.
40
Conceptos generales de Symantec Endpoint Protection De qu forma protege Symantec Endpoint Protection el sistema
Si un administrador administra su equipo, algunas opciones pueden estar bloqueadas o no disponibles, segn la poltica de seguridad del administrador. En este tipo de instalaciones, el administrador es el encargado de ejecutar anlisis en el equipo y de configurar los anlisis programados. El administrador le informar acerca de las tareas que debe realizar utilizando Symantec Endpoint Protection.
Proteccin antivirus y contra software espa Proteccin contra amenazas de red Proteccin proactiva contra amenazas
Anlisis de Auto-Protect Auto-Protect se ejecuta constantemente y proporciona proteccin en tiempo real supervisando la actividad de su equipo. Auto-Protect busca virus y riesgos de seguridad cuando se ejecuta o se abre un archivo. Tambin busca virus y riesgos de seguridad cuando se hace cualquier modificacin a un archivo. Por ejemplo, al cambiar el nombre de un archivo, guardarlo, moverlo o copiarlo en distintas carpetas Anlisis programados, de inicio y manuales
Conceptos generales de Symantec Endpoint Protection De qu forma protege Symantec Endpoint Protection el sistema
41
Usted o su administrador pueden configurar otros anlisis para ejecutarlos en el equipo. Estos anlisis buscan firmas de virus residuales en archivos infectados. Estos anlisis tambin buscan firmas de riesgos de seguridad en archivos infectados e informacin del sistema. Usted o su administrador pueden iniciar anlisis que verifiquen sistemticamente los archivos de su equipo en busca de virus y riesgos de seguridad. Los riesgos de seguridad pueden incluir publicidad no deseada o software espa.
42
Conceptos generales de Symantec Endpoint Protection De qu forma protege Symantec Endpoint Protection el sistema
Es posible configurar los anlisis de amenazas proactivos para que pongan en cuarentena las detecciones. Es posible restaurar manualmente los elementos puestos en cuarentena por los anlisis de amenazas proactivos. El cliente puede tambin restaurar automticamente los elementos de la cuarentena.
Captulo
Acerca de los virus y los riesgos de seguridad Respuesta del cliente ante virus y riesgos de seguridad Habilitar e inhabilitar componentes de proteccin Usar el cliente con Windows Security Center Interrupcin y retraso de anlisis
44
Fundamentos del cliente de Symantec Endpoint Protection Acerca de los virus y los riesgos de seguridad
Descripcin
Programa o cdigo que adjunta una copia de s mismo a otro programa informtico o documento cuando se ejecuta. Siempre que el programa infectado se ejecute o un usuario abra un documento que contenga un virus de macro, el programa de virus asociado se activa. El virus puede entonces asociarse a otros programas y documentos. Por regla general, los virus entregan una carga, como puede ser mostrar un mensaje en una fecha concreta. Sin embargo, otros estn programados para destruir datos, daar programas, borrar archivos o formatear unidades.
Bots maliciosos de Programas que ejecutan tareas automatizadas en Internet con propsitos maliciosos. Internet Los bots se pueden utilizar para automatizar ataques en los equipos o para recoger informacin de sitios Web. Gusanos Programas que se reproducen sin infectar otros programas. Algunos gusanos se propagan copindose a s mismos de disco a disco, mientras que otros slo se reproducen en la memoria para ralentizar el equipo. Programas que contienen cdigo daino que se oculta o disimula tras una aplicacin benigna, como un juego o una utilidad. Amenazas que combinan las caractersticas de virus, gusanos, caballos de Troya y cdigo con los puntos vulnerables de Internet y de los servidores para iniciar, transmitir y extender un ataque. Las amenazas combinadas emplean diversos mtodos y tcnicas para propagarse con rapidez, y causan un dao generalizado en toda la red. Programas independientes o anexos a otros que recogen, de forma secreta, informacin personal a travs de Internet y la transmiten a otro equipo. La publicidad no deseada puede realizar un seguimiento de los hbitos de navegacin del usuario con intereses comerciales. Este tipo de aplicaciones tambin puede enviar contenido publicitario. Tambin es posible descargarlas de sitios Web sin advertirlo, por lo general, dentro de aplicaciones gratuitas o de uso compartido, y recibirlas a travs de mensajes de correo electrnico o programas de mensajera instantnea. A menudo, un usuario descarga, sin saberlo, publicidad no deseada cuando acepta un acuerdo de licencia de usuario final de un programa de software. Marcadores Programas que utilizan un equipo, sin el permiso o el conocimiento del usuario, para marcar un nmero telefnico o comunicarse con un sitio ftp. Estos programas suelen aumentar los costos. Programas utilizados por un hacker para tener acceso no autorizado al equipo de un usuario. Por ejemplo, una clase de herramienta de hackeo es un registrador de pulsaciones del teclado, el cual realiza un seguimiento de las pulsaciones individuales del teclado, las registra y enva esta informacin al hacker. Entonces, el hacker puede realizar anlisis de puerto y de puntos dbiles. Las herramientas de hackeo se pueden emplear tambin para desarrollar virus.
Caballos de Troya
Amenazas combinadas
Publicidad no deseada
Herramientas de hackeo
Fundamentos del cliente de Symantec Endpoint Protection Acerca de los virus y los riesgos de seguridad
45
Riesgo
Descripcin
Programas broma Programas que alteran o interrumpen el funcionamiento de un equipo con el fin de gastar una broma o asustar al usuario. Por ejemplo, se puede descargar un programa mediante un sitio Web, correo electrnico o programa de mensajera instantnea. Este programa puede entonces alejar la papelera de reciclaje del mouse cuando el usuario intenta borrarlo. Puede tambin invertir los clics del mouse. Otros Cualesquiera otros riesgos de seguridad que no se ajusten exactamente a las definiciones de virus, caballos de Troya, gusanos u otras categoras de riesgos de seguridad. Programas que permiten acceder a travs de Internet desde otro equipo, de manera que pueden recopilar informacin del equipo de un usuario, o bien atacarlo o alterar su contenido. Es posible que se instale un programa de acceso remoto legtimo. Un proceso puede instalar este tipo de aplicacin sin su conocimiento. Este programa puede utilizarse con fines dainos, modificando o no el programa original de acceso remoto. Programas independientes que pueden supervisar, de forma secreta, la actividad del sistema, adems de detectar contraseas y otro tipo de informacin confidencial para transmitirla a otro equipo. Tambin es posible descargarlos de sitios Web sin advertirlo, por lo general dentro de aplicaciones gratuitas o de uso compartido, y recibirlos a travs de mensajes de correo electrnico o programas de mensajera instantnea. A menudo, un usuario descarga, sin saberlo, software espa cuando acepta un acuerdo de licencia de usuario final de un programa de software. Programas de seguimiento Aplicaciones independientes o anexas a otras que realizan un seguimiento de la ruta del usuario en Internet y envan la informacin al sistema de destino. Por ejemplo, la aplicacin puede descargarse mediante un sitio Web, un mensaje de correo electrnico o un programa de mensajera instantnea. Posteriormente, sta puede obtener informacin confidencial relativa al comportamiento del usuario.
Software espa
Detectan, eliminan y reparan los efectos secundarios de virus, gusanos, caballos de Troya y amenazas combinadas. Detectan, eliminan y reparan los efectos secundarios de riesgos de seguridad, como publicidad no deseada, marcadores, herramientas de hackeo, programas broma, programas de acceso remoto, software espa, programas de seguimiento, etc.
El sitio Web de Symantec Security Response ofrece la informacin ms reciente sobre amenazas y riesgos de seguridad. Tambin incluye amplia informacin de referencia, tal como un glosario general e informacin detallada acerca de virus y riesgos de seguridad.
46
Fundamentos del cliente de Symantec Endpoint Protection Respuesta del cliente ante virus y riesgos de seguridad
La Figura 5-1 muestra informacin sobre una herramienta de hackeo y cul es el mtodo para afrontarla aconsejado por Symantec Security Response. Figura 5-1 Descripcin de riesgos de seguridad de Symantec Security Response
Fundamentos del cliente de Symantec Endpoint Protection Habilitar e inhabilitar componentes de proteccin
47
y tambin contra aqullos que se propagan a travs de archivos adjuntos de correo electrnico o cualquier otro medio. Por ejemplo, un riesgo de seguridad podra instalarse en el equipo sin su conocimiento cuando acceda a Internet. Se analizan los archivos incluidos dentro de archivos comprimidos para eliminar virus y riesgos de seguridad. No es necesario ningn programa adicional ni modificar las opciones para los virus transmitidos por Internet. Auto-Protect analiza los programas descomprimidos y los archivos de documentos automticamente cuando se descargan. Cuando el cliente detecta un virus, de forma predeterminada, intenta limpiar el virus del archivo infectado. El cliente tambin intenta reparar los efectos del virus. Si el cliente limpia el archivo, quita totalmente el riesgo del equipo. Si el cliente no puede limpiar el archivo, mueve el archivo infectado a la cuarentena. El virus no puede propagarse desde la cuarentena. Cuando se actualiza su equipo con nuevas definiciones de virus, el cliente verifica automticamente la cuarentena. Es posible volver a explorar los elementos de la cuarentena. Las definiciones ms recientes pueden limpiar o reparar los archivos puestos previamente en cuarentena. Nota: El administrador puede configurar el programa para que analice automticamente los archivos existentes en el rea de cuarentena. De forma predeterminada, para los riesgos de seguridad, el cliente pone en cuarentena los archivos infectados. El cliente tambin recupera la informacin del sistema que el riesgo de seguridad ha modificado. Algunos riesgos de seguridad no pueden eliminarse totalmente sin generar errores en otros programas del sistema, como un explorador Web. Es posible que la configuracin de la proteccin antivirus y contra software espa no pueda manejar el riesgo automticamente. En ese caso, el cliente pregunta antes de detener un proceso o reiniciar el equipo. Otra alternativa es configurar las opciones para emplear la accin de slo registro para los riesgos de seguridad. Cuando el software de cliente detecta riesgos de seguridad, incluye un vnculo en la ventana del anlisis a Symantec Security Response. En el sitio Web de Symantec Security Response es posible aprender ms sobre el riesgo de seguridad. El administrador tambin puede enviar un mensaje personalizado.
48
Fundamentos del cliente de Symantec Endpoint Protection Habilitar e inhabilitar componentes de proteccin
hacer clic en la opcin Reparar para habilitar todas las protecciones inhabilitadas. O es posible habilitar protecciones individuales por separado.
Fundamentos del cliente de Symantec Endpoint Protection Habilitar e inhabilitar componentes de proteccin
49
El icono del cliente aparece como un escudo completo en la barra de tareas en la esquina inferior derecha de su escritorio de Windows. En algunas configuraciones, el icono no aparece. Cuando se haga clic con el botn secundario en el icono, una marca de verificacin aparece al lado de Habilitar Auto-Protect cuando Auto-Protect para archivos y procesos est habilitado. Cuando se inhabilita Auto-Protect para archivos y procesos, el icono del cliente aparece con un signo de negacin, un crculo rojo con una raya diagonal. Un punto verde aparece con el icono cuando se habilita Auto-Protect para el sistema de archivos, incluso si Auto-Protect para el correo electrnico est inhabilitado.
En el escritorio de Windows, en el rea de notificacin, haga clic con el botn secundario en el icono del cliente y realice una de las siguientes acciones:
Haga clic en Habilitar Symantec Endpoint Protection. Haga clic en Inhabilitar Symantec Endpoint Protection.
En el cliente, en la pgina Estado, al lado de Proteccin antivirus y contra software espa, realice una de las siguientes acciones:
Haga clic en Opciones > Habilitar Proteccin antivirus y contra software espa. Haga clic en Opciones > Deshabilitar Proteccin antivirus y contra software espa.
50
Fundamentos del cliente de Symantec Endpoint Protection Habilitar e inhabilitar componentes de proteccin
1 2 3
En el cliente, en la barra lateral, haga clic en Cambiar configuracin. Junto a Proteccin antivirus y contra software espa, haga clic en Configurar opciones. Realice una de las acciones siguientes:
En la ficha Auto-Protect para correo electrnico de Internet, marque o deje sin marcar Habilitar Auto-Protect para correo electrnico de Internet. En la ficha Auto-Protect para Microsoft Outlook, marque o deje sin marcar Habilitar Auto-Protect para Microsoft Outlook. En la ficha Auto-Protect para Lotus Notes, marque o deje sin marcar Habilitar Auto-Protect para Lotus Notes.
Si el cliente permite todo el trfico o todo el trfico saliente solamente. La duracin del perodo durante el que se inhabilita la proteccin. Cuntas veces es posible inhabilitar la proteccin antes de reiniciar el cliente.
Si es posible inhabilitar la proteccin, es posible volver a habilitarla en cualquier momento. El administrador puede tambin habilitar e inhabilitar la proteccin en cualquier momento, incluso si reemplaza el estado que usted establece para la proteccin. Ver "Acerca de administrar la proteccin contra amenazas de red" en la pgina 115. Ver "Bloquear y desbloquear un equipo atacante" en la pgina 138. Para habilitar o inhabilitar Proteccin contra amenazas de red
En el cliente, en la pgina Estado, al lado de Proteccin contra amenazas de red, realice una de las siguientes acciones:
Fundamentos del cliente de Symantec Endpoint Protection Usar el cliente con Windows Security Center
51
En el cliente, en la pgina Estado, al lado de Proteccin proactiva contra amenazas, realice una de las siguientes acciones:
Haga clic en Opciones > Habilitar proteccin proactiva contra amenazas. Haga clic en Opciones > Deshabilitar proteccin proactiva contra amenazas.
Symantec Endpoint Protection est instalado con la proteccin ACTIVADO (verde) completa Symantec Endpoint Protection est instalado y las definiciones CADUCADO (rojo) de virus y riesgos de seguridad no estn actualizadas Symantec Endpoint Protection est instalado y Auto-Protect para DESACTIVADO (rojo) el sistema de archivos no est habilitado
52
Estado de proteccin
Symantec Endpoint Protection est instalado, Auto-Protect para DESACTIVADO (rojo) el sistema de archivos no est habilitado y las definiciones de virus y riesgos de seguridad no estn actualizadas Symantec Endpoint Protection est instalado y Rtvscan se desactiv manualmente DESACTIVADO (rojo)
La Tabla 5-3 muestra el informe del estado del firewall de Symantec Endpoint Protection en WSC. Tabla 5-3 Informe del estado del firewall en WSC Estado del firewall
NO ENCONTRADO (rojo) ACTIVADO (verde) DESACTIVADO (rojo)
El firewall de Symantec est instalado y habilitado El firewall de Symantec est instalado pero no habilitado
El firewall de Symantec no est instalado o habilitado, pero est ACTIVADO (verde) instalado y habilitado un firewall de otro fabricante
Nota: En Symantec Endpoint Protection, el firewall de Windows est desactivado de forma predeterminada. Si hay ms de un firewall activado, WSC informa que hay mltiples firewalls instalados y habilitados.
53
Interrumpa momentneamente el anlisis para reanudarlo despus de un tiempo. Utilice la funcin Posponer para retrasar el anlisis durante un perodo ms largo. Utilice los pasos siguientes para interrumpir momentneamente un anlisis que usted o su administrador inici. Si la opcin Interrumpir el anlisis no est disponible es debido a que el administrador de red ha inhabilitado esta funcin. Nota: Si interrumpe momentneamente un anlisis al mismo tiempo que el cliente analiza un archivo comprimido, el cliente puede tardar varios minutos para responder a la solicitud de interrupcin.
54
Mientras el anlisis se est ejecutando, haga clic en el icono de interrupcin en el cuadro de dilogo de anlisis.
Si usted inici el anlisis, el anlisis se detiene donde est y el cuadro de dilogo del anlisis permanece abierto hasta que se inicie el anlisis de nuevo. Si su administrador inici el anlisis, aparece el cuadro de dilogo Interrupcin del anlisis programado.
En el cuadro de dilogo Interrupcin del anlisis programado, haga clic en Interrumpir. El anlisis programado por el administrador se detendr en el preciso lugar en que se encuentre y el cuadro de dilogo permanecer abierto hasta que se reanude.
En el cuadro de dilogo del anlisis, haga clic en el icono de inicio para reanudarlo.
55
1 2
Mientras el anlisis programado se est ejecutando, haga clic en Interrumpir el anlisis en el cuadro de dilogo. En el cuadro de dilogo Interrupcin del anlisis programado, haga clic en Posponer 1 hora o Posponer 3 horas. El administrador es quien determina el tiempo durante el que se puede retrasar el anlisis. Cuando la pausa alcanza el lmite, el anlisis vuelve a comenzar desde el principio. El administrador tambin determina el nmero de veces que se puede retrasar un anlisis programado antes de que esta funcin quede inhabilitada.
56
Captulo
Acerca de la proteccin antivirus y contra software espa Acerca de Auto-Protect Usar anlisis antivirus y de software espa Configurar anlisis antivirus y de software espa Interpretar los resultados de los anlisis Enviar informacin sobre anlisis antivirus y de software espa a Symantec Security Response Configurar acciones para virus y riesgos de seguridad Configurar notificaciones para virus y riesgos de seguridad Configurar excepciones centralizadas para los anlisis antivirus y de software espa Acerca del rea de cuarentena Administrar la cuarentena
58
Administrar la proteccin antivirus y contra software espa Acerca de la proteccin antivirus y contra software espa
Administrar la proteccin antivirus y contra software espa Acerca de la proteccin antivirus y contra software espa
59
Generalmente, Symantec no recomienda excluir archivos de los anlisis. Sin embargo, cuando usted excluye de los anlisis el archivo de la bandeja de entrada, el cliente puede an detectar cualquier virus cuando se abren los mensajes de correo electrnico. Si el cliente encuentra un virus cuando usted abre un mensaje de correo electrnico, puede poner en cuarentena o borrar con seguridad el mensaje. Es posible excluir el archivo mediante la configuracin de una excepcin centralizada. Ver "Configurar excepciones centralizadas para los anlisis antivirus y de software espa" en la pgina 93.
Archivos de programa
1 2 3
En el cliente, en la barra lateral, haga clic en Cambiar configuracin. Junto a Proteccin antivirus y contra software espa, haga clic en Configurar opciones. En el cuadro de dilogo Configuracin de la proteccin antivirus y contra software espa, en la ficha Auto-Protect para el sistema de archivos, bajo Tipos de archivos, haga clic en Seleccionados. Haga clic en Extensiones. En el cuadro de texto, escriba la extensin que desea agregar y despus haga clic en Agregar. Repita el paso 5 segn sea necesario y despus haga clic en Aceptar. Haga clic en Aceptar.
4 5 6 7
60
Administrar la proteccin antivirus y contra software espa Acerca de la proteccin antivirus y contra software espa
1 2
En el cliente, en la barra lateral, haga clic en Analizar en busca de amenazas. Haga clic con el botn secundario en el anlisis en el cual desea agregar extensiones de archivo y despus seleccione Editar. Los cambios slo se aplicarn al anlisis que haya seleccionado.
3 4 5 6
En la ficha Opciones de anlisis, bajo Tipos de archivos, seleccione Extensiones seleccionadas y haga clic en Extensiones. Escriba la extensin que desea agregar y, a continuacin, haga clic en Agregar. Repita el paso 4 segn sea necesario y despus haga clic en Aceptar. Haga clic en Aceptar.
Administrar la proteccin antivirus y contra software espa Acerca de la proteccin antivirus y contra software espa
61
Su poltica de seguridad corporativa puede permitirle ejecutar el software que el cliente marca como riesgo. En ese caso, es posible excluir las carpetas que contienen el software. Se utiliza una excepcin centralizada para excluir elementos de los anlisis. La excepcin se aplica a todos los anlisis antivirus y de software espa que se ejecutan. El administrador puede tambin configurar excepciones. Las excepciones definidas por el administrador toman precedencia sobre las excepciones definidas por el usuario. Ver "Configurar excepciones centralizadas para los anlisis antivirus y de software espa" en la pgina 93. Advertencia: Utilice con cuidado la funcin de exclusin. Si excluye un archivo de los anlisis, el cliente no ejecutar accin alguna para limpiarlo si se ve infectado en algn momento. Esto supone un riesgo potencial para la seguridad del equipo.
Active Auto-Protect. Auto-Protect analiza constantemente los archivos a los que se accede o que se modifican. Utilice Auto-Protect con el correo electrnico si est disponible. Proteja los archivos de plantillas globales mediante la desactivacin de macros automticas.
62
De forma predeterminada, cuando el cliente detecta un virus, intenta primero limpiar el virus del archivo infectado. Si el cliente no puede limpiar un archivo, registra el incidente y mueve el archivo infectado a la cuarentena. De forma predeterminada, cuando el cliente detecta un riesgo de seguridad, pone en cuarentena el riesgo. Tambin intenta quitar o reparar cualquier cambio que el riesgo de seguridad haya realizado. Si el cliente no puede poner en cuarentena un riesgo de seguridad, registra el riesgo y no aplica ninguna accin. Nota: En la cuarentena, el riesgo no puede propagarse. Cuando un cliente mueve un archivo al rea de cuarentena, no tiene acceso al archivo. El cliente puede tambin invertir los cambios para los elementos que pone en cuarentena. Para cada tipo de anlisis, es posible modificar la configuracin de cmo el cliente trata los virus y riesgos de seguridad. Es posible configurar diversas acciones para cada categora de riesgo y para los riesgos de seguridad individuales. Nota: En algunos casos, puede llegar a instalar inadvertidamente una aplicacin que incluya un riesgo de seguridad, como aplicaciones de publicidad no deseada o software espa. Si Symantec ha determinado que poner en cuarentena el riesgo no daa el equipo, el cliente pone en cuarentena el riesgo. Si el cliente pone en cuarentena el riesgo inmediatamente, su accin puede dejar el equipo en un estado inestable. En cambio, el cliente espera hasta que la instalacin de la aplicacin se complete antes de poner en cuarentena el riesgo. Despus se reparan los efectos del riesgo.
Acerca de Auto-Protect
Auto-Protect es la mejor defensa contra los ataques de virus. Cuando se copia, guarda, mueve o abre un archivo, o cuando se accede a l, Auto-Protect lo analiza para garantizar que no est infectado por un virus. Auto-Protect analiza las extensiones de archivo que contienen cdigo ejecutable y todos los archivos .exe y .doc. Auto-Protect puede determinar el tipo de un archivo, incluso aunque un virus haya cambiado su extensin. Por ejemplo, un virus puede cambiar una extensin de archivo por una diferente de las extensiones de archivo configuradas para los anlisis de Auto-Protect. Es posible habilitar e inhabilitar Auto-Protect si su administrador no bloquea esta opcin. Ver "Habilitar e inhabilitar Proteccin antivirus y contra software espa" en la pgina 48.
63
Analiza en busca de riesgos de seguridad, tales como publicidad no deseada y software espa. Pone en cuarentena los archivos infectados. Quita o repara los efectos secundarios de los riesgos de seguridad.
Puede inhabilitar el anlisis de riesgos de seguridad en Auto-Protect. Ver "Habilitar e inhabilitar el bloqueo y anlisis de riesgos de seguridad de Auto-Protect " en la pgina 67. Si Auto-Protect detecta un proceso que descarga continuamente un riesgo de seguridad al equipo, Auto-Protect muestra una notificacin y registra la deteccin. (Auto-Protect se debe configurar para enviar notificaciones). Si el proceso contina descargando el mismo riesgo de seguridad, varias notificaciones aparecen en el equipo y Auto-Protect registra varios eventos. Para evitar el exceso de notificaciones y eventos registrados, Auto-Protect detiene automticamente el envo de notificaciones sobre el riesgo de seguridad despus de tres detecciones. Auto-Protect tambin deja de registrar el evento despus de tres detecciones. En algunas situaciones, Auto-Protect no detiene el envo de notificaciones y el registro de eventos para el riesgo de seguridad. Auto-Protect contina enviando notificaciones y registrando eventos cuando cualquiera de las siguientes situaciones son verdades:
En los equipos cliente, usted o el administrador pueden inhabilitar el bloqueo de la instalacin de riesgos de seguridad (habilitada de forma predeterminada). La accin para el tipo de riesgo de seguridad que descarga el proceso tienen la accin No hacer nada.
Lotus Notes 4.5x, 4.6, 5.0 y 6.x Microsoft Outlook 98/2000/2002/2003/2007 (MAPI e Internet) Cliente de Microsoft Exchange 5.0 y 5.5
64
Nota: Auto-Protect slo funciona con los clientes de correo electrnico admitidos y no ofrece proteccin para los servidores de correo. La Proteccin antivirus y contra software espa tambin incluye anlisis de Auto-Protect para programas de correo electrnico por Internet adicionales, gracias a la supervisin de todo el trfico que utilice los protocolos de comunicaciones POP3 o SMTP. Es posible configurar el software de cliente para que analice los mensajes entrantes y salientes en busca de los riesgos. Los anlisis del correo saliente ayudan a evitar la propagacin de las amenazas que utilizan clientes de correo electrnico para reproducirse y para distribuirse a travs de una red. Nota: Los equipos de 64 bits no admiten el anlisis de correo electrnico de Internet. Para los anlisis del correo electrnico de Lotus Notes y de Microsoft Exchange, Auto-Protect analiza solamente los archivos adjuntos asociados al correo electrnico. Para el anlisis de correo electrnico de Internet de los mensajes que utilizan los protocolos POP3 o SMTP, Auto-Protect analiza los elementos siguientes:
Cuando se abre un mensaje con un archivo adjunto, el archivo adjunto se descarga inmediatamente al equipo y se analiza cuando se dan las siguientes situaciones:
Se utiliza un cliente de Microsoft Exchange o Microsoft Outlook sobre MAPI. Auto-Protect est habilitado para el correo electrnico.
Si se dispone de una conexin lenta, la descarga de mensajes con archivos adjuntos de gran tamao puede afectar el rendimiento del correo electrnico. Si suele recibir regularmente archivos adjuntos extensos, tal vez prefiera inhabilitar esta funcin. Ver "Habilitar e inhabilitar el bloqueo y anlisis de riesgos de seguridad de Auto-Protect " en la pgina 67. Nota: Si se detecta un virus al abrir un correo electrnico, es posible que tarde varios segundos en abrirlo mientras Auto-Protect termina el anlisis. El anlisis del correo electrnico no es compatible con los siguientes clientes de correo:
Clientes IMAP
65
Clientes AOL Clientes de correo basados en Web, como Hotmail, Yahoo! Mail y GMAIL
1 2 3
En el cliente, en la barra lateral, haga clic en Cambiar configuracin. Junto a Proteccin antivirus y contra software espa, haga clic en Configurar opciones. En la ficha Auto-Protect para correo electrnico de Internet, haga clic en Avanzadas.
66
4 5
Bajo Configuracin de conexin, deje sin marcar Permitir conexiones POP3 cifradas y Permitir conexiones SMTP cifradas. Haga clic en Aceptar.
En el cliente, en la pgina Estado, al lado de Proteccin antivirus y contra software espa, haga clic en Opciones > Ver estadsticas de Auto-Protect para el sistema de archivos.
En el cliente, en la pgina Estado, al lado de Proteccin antivirus y contra software espa, haga clic en Opciones > Ver lista de amenazas.
Tpicamente, los virus afectan solamente ciertos tipos de archivos. Si analiza extensiones seleccionadas, sin embargo, se obtiene menos proteccin porque Auto-Protect no analiza todos los archivos. La lista predeterminada de extensiones representa a aquellos archivos que normalmente sufren riesgo de infeccin por virus.
67
Auto-Protect analiza las extensiones de archivo que contienen cdigo ejecutable y todos los archivos .exe y .doc. Tambin puede determinar el tipo de un archivo, incluso aunque un virus haya cambiado su extensin. Por ejemplo, analiza los archivos .doc incluso si un virus modifica la extensin del archivo. Es necesario configurar Auto-Protect para que analice todos los tipos de archivos a fin de asegurarse de que su equipo recibe la mayor proteccin contra virus y riesgos de seguridad. Para configurar Auto-Protect para determinar tipos de archivos
1 2 3
En el cliente, en la barra lateral, haga clic en Cambiar configuracin. Junto a Proteccin antivirus y contra software espa, haga clic en Configurar opciones. En cualquier ficha Auto-Protect, bajo Tipos de archivos, realice una de las siguientes acciones:
Haga clic en Todos los tipos para analizar todos los archivos. Haga clic en Seleccionados para analizar slo los archivos que coincidan con las extensiones de archivo enumeradas y, a continuacin, haga clic en Extensiones para cambiar la lista predeterminada de extensiones.
4 5
Si eligi Seleccionados, marque o deje sin marcar Determinar tipos de archivos segn su contenido. Haga clic en Aceptar.
Analiza en busca de riesgos de seguridad, tales como publicidad no deseada y software espa. Pone en cuarentena los archivos infectados. Intenta quitar o reparar los efectos del riesgo de seguridad
En los casos en que bloquear la instalacin de un riesgo de seguridad no afecta la estabilidad del equipo, Auto-Protect tambin bloquea la instalacin, de forma predeterminada. Si Symantec determina que el bloqueo de un riesgo de seguridad podra poner en peligro la estabilidad de un equipo, Auto-Protect permite la instalacin del riesgo. Auto-Protect tambin toma inmediatamente la medida que se configura para el riesgo. De vez en cuando, sin embargo, es posible que necesite inhabilitar temporalmente el anlisis en busca de riesgos de seguridad en los anlisis de Auto-Protect de
68
archivos, y despus volver a habilitarlo. Puede tambin ser necesario deshabilitar el bloqueo de riesgos de seguridad para controlar el momento en que Auto-Protect reacciona ante ciertos riesgos de seguridad. Nota: El administrador puede bloquear estos valores. Para inhabilitar y habilitar el bloqueo y anlisis de riesgos de seguridad de Auto-Protect
1 2 3
En el cliente, en la barra lateral, haga clic en Cambiar configuracin. Junto a Proteccin antivirus y contra software espa, haga clic en Configurar opciones. En la ficha Auto-Protect para el sistema de archivos, bajo Opciones, realice alguna de las siguientes acciones:
Marque o deje sin marcar Analizar en busca de riesgos de seguridad. Marque o deje sin marcar Bloquear la instalacin de riesgos de seguridad. Marque o deje sin marcar Analizar archivos de unidades de red.
Configurar si Auto-Protect confa en los archivos de equipos remotos con Auto-Protect. Especificar si su equipo debe utilizar una memoria cach para almacenar un registro de los archivos que Auto-Protect analiza en una red.
De forma predeterminada, Auto-Protect analiza los archivos al tiempo que se transmiten de su equipo a un equipo remoto. Auto-Protect tambin analiza los archivos cuando se transmiten de un equipo remoto a su equipo. Cuando se leen archivos en un equipo remoto, sin embargo, Auto-Protect no puede analizar los archivos. De forma predeterminada, Auto-Protect intenta confiar en las versiones remotas de Auto-Protect. Si la opcin de confianza est habilitada en ambos equipos, la instancia local de Auto-Protect comprueba la configuracin de Auto-Protect del equipo remoto. Si la configuracin de Auto-Protect del equipo remoto proporciona un nivel de seguridad al menos igual al de la configuracin local, la instancia local de Auto-Protect confa en la instancia remota de Auto-Protect. Cuando la instancia local de Auto-Protect confa en la instancia remota de Auto-Protect, la instancia local no analiza los archivos que lee del equipo
69
remoto. El equipo local confa en que Auto-Protect del equipo remoto ya analiz los archivos. Nota: La instancia local de Auto-Protect analiza siempre los archivos que se copian de un equipo remoto. La opcin de confianza est habilitada de forma predeterminada. Si inhabilita la opcin de confianza, es posible que se reduzca el rendimiento de la red. Para inhabilitar la confianza en versiones remotas de Auto-Protect
1 2 3 4 5 6
En el cliente, en la barra lateral, haga clic en Cambiar configuracin. Junto a Proteccin antivirus y contra software espa, haga clic en Configurar opciones. En la ficha Auto-Protect para el sistema de archivos, haga clic en Avanzadas. En el cuadro de dilogo Opciones avanzadas de Auto-Protect, bajo Opciones avanzadas adicionales, haga clic en Red. Bajo Configuracin del anlisis de red, deje sin marcar Confiar en archivos de equipos remotos en los que se est ejecutando Auto-Protect. Haga clic en Aceptar hasta que aparezca la ventana principal. Es posible configurar su equipo para utilizar una memoria cach de red. Una memoria cach de red almacena un registro de los archivos que Auto-Protect analiz de un equipo remoto. Si utiliza una memoria cach de red, se evita que Auto-Protect analice el mismo archivo ms de una vez. Cuando se previene el anlisis mltiple del mismo archivo, es posible que mejore el rendimiento del sistema. Puede establecer la cantidad de archivos (entradas) que Auto-Protect analiza y registra. Es posible tambin configurar el tiempo de espera antes de que su equipo quite las entradas de la memoria cach. Cuando expira el tiempo de espera, su equipo quita las entradas. Auto-Protect entonces analiza los archivos si se vuelven a solicitar del equipo remoto.
1 2 3 4
En el cliente, en la barra lateral, haga clic en Cambiar configuracin. Junto a Proteccin antivirus y contra software espa, haga clic en Configurar opciones. En el cuadro de dilogo Configuracin de antivirus y software espa, en la ficha Auto-Protect para el sistema de archivos, haga clic en Avanzadas. En el cuadro de dilogo Opciones avanzadas de Auto-Protect, bajo Opciones avanzadas adicionales, haga clic en Red.
70
Administrar la proteccin antivirus y contra software espa Usar anlisis antivirus y de software espa
5 6
En el cuadro de dilogo Configuracin del anlisis de red , marque o deje sin marcar Cach de red. Si habilit la memoria cach de red, utilice la configuracin predeterminada o realice una de las siguientes acciones:
Utilice las flechas o escriba el nmero de archivos (entradas) que desea que Auto-Protect analice y registre. Escriba el nmero de segundos durante los cuales usted quisiera que las entradas permanecieran en la memoria cach antes de que el equipo la borre.
Active Scan
Anlisis completo
Se ejecuta cada vez que se enciende el equipo y se inicia sesin. Analiza grupos de archivos especficos en cualquier momento.
Mientras Auto-Protect est habilitado, un Active Scan diario y un anlisis programado semanal de todos los archivos proporcionan suficiente proteccin.
Administrar la proteccin antivirus y contra software espa Usar anlisis antivirus y de software espa
71
Si los virus atacan con frecuencia su equipo, considere agregar un anlisis completo en el inicio o un anlisis programado diario. Es posible tambin configurar la frecuencia de los anlisis que buscan comportamiento sospechoso en lugar de riesgos conocidos. Ver "Configurar la frecuencia de los anlisis de amenazas proactivos TruScan" en la pgina 107.
Memoria del equipo El cliente analiza la memoria del equipo. Todos los virus de archivo, de arranque y de macro pueden ser residentes en memoria. Los virus se convierten en residentes en memoria al copiarse en la memoria de una mquina. De esta forma, se pueden ocultar hasta que se produzca un evento desencadenante. Cuando esto ocurre, el virus puede propagarse a un disquete que se encuentre en la disquetera, o al disco duro. Si un virus est en la memoria, no puede limpiarse. Sin embargo, para eliminar un virus de la memoria se debe reiniciar el equipo cuando se le solicite. Sector de arranque El cliente verifica el sector de arranque del equipo en busca de virus de arranque. Se comprueban dos elementos: las tablas de particiones y el registro de arranque maestro.
72
Administrar la proteccin antivirus y contra software espa Usar anlisis antivirus y de software espa
Componente
Descripcin
Unidad de disquetes Una manera comn en la que un virus se propaga es mediante los disquetes. Un disquete puede permanecer en una unidad de disco cuando se enciende o desactiva el equipo. Cuando un anlisis se inicia, el cliente busca el sector de arranque y las tablas de particiones de un disquete que se encuentre en la unidad de disco. Cuando se desactiva el equipo, se le pedir que quite el disco para evitar posibles infecciones. Archivos seleccionados El cliente analiza archivos individuales. En la mayor parte de los anlisis, se seleccionan los archivos que se desea analizar. El software de cliente utiliza el anlisis basado en patrones para buscar rastros de virus dentro de los archivos. Los rastros de virus se llaman patrones o firmas. Cada archivo se compara con las firmas inofensivas contenidas en un archivo de definiciones como mtodo de identificacin de virus especficos. Si se detecta un virus, el cliente intenta eliminarlo totalmente del archivo infectado de forma predeterminada. Si no consigue eliminarlo, pone el archivo en cuarentena para evitar que la infeccin se extienda a otras reas del equipo. El cliente utiliza un anlisis basado en patrones para buscar signos de riesgos de seguridad dentro de los archivos y las claves de registro. Si se detecta un riesgo de seguridad, el cliente pone en cuarentena los archivos infectados y repara los efectos del riesgo de forma predeterminada. Si el cliente no puede poner en cuarentena los archivos, registra el intento.
Administrar la proteccin antivirus y contra software espa Usar anlisis antivirus y de software espa
73
Nuevos virus y riesgos de seguridad se introducen en la comunidad informtica regularmente. Es necesario asegurarse de que los archivos de definiciones del equipo estn actualizados. Es necesario asegurarse de que el cliente puede detectar y limpiar incluso los virus y riesgos de seguridad ms recientes.
Desde la ventana Mi PC o desde el Explorador de Windows, haga clic con el botn secundario en un archivo, carpeta o unidad y, a continuacin, haga clic en Analizar en busca de virus. Esta funcin no es compatible con los sistemas operativos de 64 bits.
En el cliente, en la pgina Estado, al lado de Proteccin antivirus y contra software espa, haga clic en Opciones > Ejecutar Active Scan. En el cliente, en la barra lateral, haga clic en Analizar en busca de amenazas. Realice una de las acciones siguientes:
74
Administrar la proteccin antivirus y contra software espa Configurar anlisis antivirus y de software espa
Bajo Active Scan, haga clic en Active Scan. Bajo Anlisis completo, haga clic en Anlisis completo. En la lista de anlisis, haga clic con el botn secundario en cualquier anlisis y despus haga clic en Analizar ahora. El anlisis comienza. Aparece una ventana de progreso en su equipo para mostrar el progreso del anlisis y los resultados.
1 2
En el cliente, en la barra lateral, haga clic en Analizar en busca de amenazas. Haga clic en Crear un anlisis nuevo.
Administrar la proteccin antivirus y contra software espa Configurar anlisis antivirus y de software espa
75
En el cuadro de dilogo Qu elementos analizar, seleccione uno de los siguientes tipos de anlisis para programar:
Activo analiza las reas del equipo que los virus y los riesgos de seguridad infectan comnmente. analiza el equipo entero en busca de virus y riesgos de seguridad.
Completo
Personalizado analiza las reas seleccionadas del equipo en busca de virus y riesgos de seguridad.
4 5
Haga clic en Siguiente. Si seleccion Personalizado, marque las casillas de verificacin apropiadas para especificar dnde analizar. Los smbolos tienen las descripciones siguientes:
El archivo, la unidad o la carpeta no se encuentran seleccionados. Si se trata de una unidad o una carpeta, los archivos y carpetas que contengan tampoco estarn seleccionados. El archivo o la carpeta se encuentran seleccionados.
La carpeta o la unidad se encuentran seleccionadas. Tambin se han seleccionado todos los elementos dentro de ella. La carpeta o la unidad no se encuentran seleccionadas, pero se han seleccionado uno o varios elementos dentro de ella.
6 7
Haga clic en Siguiente. En el cuadro de dilogo Opciones de anlisis, es posible realizar una de las siguientes acciones:
Modificar las opciones predeterminadas de qu elementos se analizan. De forma predeterminada se analizan todos los archivos. Especificar cmo responde el cliente si se detecta un virus o un riesgo de seguridad. De forma predeterminada, el cliente limpia los virus de los archivos infectados y repara cualquier efecto secundario. Si el cliente no puede quitar el virus, pone en cuarentena el archivo.
76
Administrar la proteccin antivirus y contra software espa Configurar anlisis antivirus y de software espa
De forma predeterminada, el cliente pone en cuarentena los riesgos de seguridad y quita o repara cualquier efecto secundario. Si el cliente no puede poner en cuarentena y reparar el riesgo, registra el evento.
8 9
Opciones de archivos comprimidos Opciones de copia de respaldo Opciones de cuadros de dilogo Opciones de ajuste Opciones de migracin de almacenamiento
Notificaciones
Excepciones centralizadas
13 Haga clic en Siguiente. 14 En el cuadro de dilogo Cundo analizar, haga clic en En los horarios
especificados y despus haga clic en Siguiente.
16 Haga clic en Avanzadas. 17 En el cuadro de dilogo Opciones de programacin avanzadas, realice las
siguientes acciones:
Administrar la proteccin antivirus y contra software espa Configurar anlisis antivirus y de software espa
77
Active Volver a intentar anlisis no realizados y, a continuacin, en el campo Mximo de das de espera antes de volver a intentar realizar el anlisis, especifique un valor. Por ejemplo, quizs desee que un anlisis semanal se ejecute slo si se produce en los tres das siguientes a la hora programada para el evento no realizado. Active o desactive Efectuar este anlisis aunque no haya usuarios conectados. Los anlisis definidos por el usuario siempre se ejecutan si el usuario est conectado, independientemente de esta opcin.
18 Haga clic en Aceptar. 19 En el cuadro de dilogo Programar, haga clic en Siguiente. 20 En el cuadro de dilogo Nombre del anlisis, escriba un nombre y una
descripcin para el anlisis. Por ejemplo, asigne al anlisis el nombre: viernes por la maana.
78
Administrar la proteccin antivirus y contra software espa Configurar anlisis antivirus y de software espa
La proteccin antivirus y contra software espa tambin incluye un anlisis de inicio que se llama Active Scan autogenerado. El anlisis autogenerado verifica los puntos comunes de infeccin en el equipo cada vez que un usuario inicia sesin en l. Es posible editar este anlisis de la misma manera en que es posible configurar cualquier anlisis manual. Sin embargo, no es posible inhabilitar los anlisis de los archivos en la memoria y los otros puntos comunes de infeccin del equipo. Si normalmente se analiza el mismo conjunto de archivos o carpetas, se puede crear un anlisis manual restringido nicamente a esos elementos. As, en cualquier momento, se podrn analizar de forma rpida esos archivos o carpetas especficos para comprobar que estn libres de virus y riesgos de seguridad. Los anlisis manuales se deben iniciar manualmente. Ver "Iniciar anlisis manuales" en la pgina 73. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en los procedimientos. Para crear un anlisis manual o de inicio
1 2 3 4
En el cliente, en la barra lateral, haga clic en Analizar en busca de amenazas. Haga clic en Crear un anlisis nuevo. Haga clic en Siguiente. En el cuadro de dilogo Qu elementos analizar, seleccione uno de los tipos siguientes de anlisis para programar:
Administrar la proteccin antivirus y contra software espa Configurar anlisis antivirus y de software espa
79
Si seleccion Personalizado, en el cuadro de dilogo de seleccin de archivos, marque los archivos y las carpetas que desea analizar. Los smbolos tienen las descripciones siguientes:
El archivo, la unidad o la carpeta no se encuentran seleccionados. Si se trata de una unidad o una carpeta, los archivos y carpetas que contengan tampoco estarn seleccionados. El archivo o la carpeta se encuentran seleccionados.
La carpeta o la unidad se encuentran seleccionadas. Tambin se han seleccionado todos los elementos dentro de ella. La carpeta o la unidad no se encuentran seleccionadas, pero se han seleccionado uno o varios elementos dentro de ella.
7 8
Haga clic en Siguiente. En el cuadro de dilogo Opciones de anlisis, es posible realizar una de las siguientes acciones:
Modificar las opciones predeterminadas de qu elementos se analizan. De forma predeterminada se analizan todos los archivos. Especificar cmo responde el cliente si se detecta un virus o un riesgo de seguridad. De forma predeterminada, el cliente limpia los virus de los archivos infectados y repara cualquier efecto secundario. Si el cliente no puede quitar el virus, pone en cuarentena el archivo. De forma predeterminada, el cliente pone en cuarentena los riesgos de seguridad y quita o repara cualquier efecto secundario. Si el cliente no puede poner en cuarentena y reparar el riesgo, registra el evento.
10 Haga clic en Avanzadas. 11 En el cuadro de dilogo Opciones de anlisis avanzadas, es posible configurar
cualquiera de las siguientes opciones:
Opciones de archivos comprimidos Opciones de copia de respaldo Opciones de cuadros de dilogo Opciones de ajuste
80
Administrar la proteccin antivirus y contra software espa Configurar anlisis antivirus y de software espa
13 Cuando haya finalizado con las opciones avanzadas, haga clic en Aceptar. 14 Es posible tambin modificar las siguientes opciones:
Acciones: cambiar la primera y la segunda accin que se llevarn a cabo cuando se detecten riesgos de seguridad. Notificaciones: construir un mensaje para visualizar cuando se encuentra un virus o un riesgo de seguridad. Es posible tambin configurar si desea ser notificado antes de que ocurran las acciones de reparacin. Excepciones centralizadas: crear excepciones para el anlisis.
15 Cuando haya finalizado con las opciones de anlisis, haga clic en Aceptar. 16 En el cuadro de dilogo Cundo ejecutar el anlisis, realice una de las
siguientes acciones:
17 En el cuadro de dilogo Opciones de anlisis, haga clic en Siguiente. 18 Escriba un nombre y una descripcin para el anlisis.
Por ejemplo, asigne al anlisis el nombre: MiAnlisis1
1 2
En el cliente, en la barra lateral, haga clic en Analizar en busca de amenazas. En la lista de anlisis, haga clic con el botn secundario en el anlisis que desea editar y despus haga clic en Editar.
Administrar la proteccin antivirus y contra software espa Interpretar los resultados de los anlisis
81
Haga cualquier cambio en las fichas Qu elementos analizar, Opciones y General. Para los anlisis programados, es posible tambin modificar la programacin.
1 2 3
En el cliente, en la barra lateral, haga clic en Analizar en busca de amenazas. En la lista de anlisis, haga clic con el botn secundario en el anlisis que desea eliminar y, a continuacin, haga clic en Eliminar. En el cuadro de dilogo Confirmar eliminacin, haga clic en S.
Los nombres de los archivos infectados. Los nombres de los virus o de los riesgos de seguridad. Las acciones que el cliente realiz sobre los riesgos.
De forma predeterminada, se le notificar cada vez que se detecte un virus o un riesgo de seguridad. Nota: Es posible que el idioma del sistema operativo en el cual se ejecuta el cliente no pueda interpretar algunos caracteres en los nombres de virus. Si el sistema operativo no puede interpretar los caracteres, stos aparecen como signos de interrogacin en las notificaciones. Por ejemplo, algunos nombres de virus en unicode pueden contener caracteres de doble byte. En los equipos con el cliente en un sistema operativo en ingls, estos caracteres aparecen como signos de interrogacin.
82
Administrar la proteccin antivirus y contra software espa Interpretar los resultados de los anlisis
Si configura el cliente para que muestre el cuadro de dilogo de progreso del anlisis, podr interrumpir, reiniciar o detener el anlisis. Cuando finalice el anlisis, los resultados aparecern en la lista. Si no se detectan virus ni riesgos de seguridad, la lista permanecer vaca y el estado se mostrar como completado. Ver "Interrupcin y retraso de anlisis" en la pgina 52.
Acerca de la interaccin con los resultados del anlisis o los resultados de Auto-Protect
El cuadro de dilogo de progreso del anlisis y el cuadro de dilogo de resultados de Auto-Protect tienen opciones similares. Si el cliente necesita terminar un proceso o una aplicacin, o detener un servicio, se activar el botn Eliminar riesgo. Es posible que no pueda cerrar el cuadro de dilogo si los riesgos del cuadro de dilogo necesitan que se tomen medidas. La Tabla 6-3 describe las opciones y el cuadro de dilogo de resultados. Tabla 6-3 Botn Opciones del cuadro de dilogo de resultados Descripcin
Suprimir riesgos ahora Muestra el cuadro de dilogo Eliminar riesgo. En el cuadro de dilogo Eliminar riesgo, es posible seleccionar una de las opciones siguientes para cada riesgo: S El cliente quita el riesgo. Al quitar un riesgo puede ser necesario reiniciar. La informacin del cuadro de dilogo indica si un reinicio es obligatorio. No Al cerrar el cuadro de dilogo de resultados, aparece otro cuadro de dilogo. El cuadro de dilogo le recuerda que an se necesita tomar medidas. Sin embargo, se suprime el cuadro de dilogo Eliminar riesgo hasta que reinicie su equipo.
Administrar la proteccin antivirus y contra software espa Enviar informacin sobre anlisis antivirus y de software espa a Symantec Security Response
83
Botn
Cerrar
Descripcin
Cierra el cuadro de dilogo de resultados si no es necesario tomar medidas en los riesgos. Si necesita tomar una accin, aparece una de las siguientes notificaciones: Se requiere eliminar el riesgo. Aparece cuando un riesgo requiere finalizar un proceso. Si opta por quitar el riesgo, volver al cuadro de dilogo de resultados. Si tambin se requiere reiniciar, la informacin en la fila del riesgo en el cuadro de dilogo indica esta necesidad. Debe reiniciar. Aparece cuando un riesgo requiere reiniciar. Debe eliminarse el riesgo y reiniciar. Aparece cuando un riesgo requiere que se finalice un proceso y otro riesgo requiere reiniciar.
Si un reinicio es obligatorio, la eliminacin o la reparacin no se completa hasta que se reinicie el equipo. Es posible que necesite tomar medidas sobre un riesgo, pero puede optar por tomarlas ms adelante. El riesgo se puede quitar o reparar en otro momento de las siguientes maneras:
Es posible abrir el registro del riesgo, hacer clic con el botn secundario en el riesgo y despus tomar medidas. Puede ejecutar un anlisis para detectar el riesgo y abrir el cuadro de dilogo de resultados de nuevo.
Es posible tambin tomar medidas haciendo clic con el botn secundario en un riesgo en el cuadro de dilogo y seleccionando una accin. Las medidas que se pueden tomar dependen de las acciones configuradas para el tipo determinado de riesgo que el anlisis detect. Ver "Acciones sobre los archivos infectados" en la pgina 24.
Enviar informacin sobre anlisis antivirus y de software espa a Symantec Security Response
Es posible especificar que la informacin sobre las tasas de deteccin de Auto-Protect o de los anlisis se enve automticamente a Symantec Security Response. La informacin sobre tasas de deteccin puede ayudar a Symantec a refinar las actualizaciones de las definiciones de virus. Las tasas de deteccin
84
Administrar la proteccin antivirus y contra software espa Configurar acciones para virus y riesgos de seguridad
muestran los virus y los riesgos de seguridad detectados con mayor frecuencia por los clientes. Symantec Security Response puede quitar las firmas que no se detectan y proporcionar una lista de firmas dividida en segmentos para los clientes que la solicitan. Las listas divididas en segmentos aumentan el rendimiento del anlisis antivirus y de software espa. El envo de tasas de deteccin est habilitado de forma predeterminada. Nota: Su administrador puede bloquear la configuracin de envo. Es posible tambin enviar elementos de la cuarentena a Symantec. Ver "Enviar un archivo potencialmente infectado a Symantec Security Response para su anlisis" en la pgina 101. Para enviar informacin sobre anlisis antivirus y de software espa a Symantec Security Response
1 2 3 4
En el cliente, en la barra lateral, haga clic en Cambiar configuracin. Junto a Proteccin antivirus y contra software espa, haga clic en Configurar opciones. En la ficha Envos, marque Enviar automticamente las detecciones antivirus y riesgos de seguridad. Haga clic en Aceptar.
Administrar la proteccin antivirus y contra software espa Configurar acciones para virus y riesgos de seguridad
85
1 2 3 4
En el cliente, en la barra lateral, haga clic en Cambiar configuracin. Junto a Proteccin antivirus y contra software espa, haga clic en Configurar opciones. En la ficha Auto-Protect para el sistema de archivos, haga clic en Acciones. En el cuadro de dilogo Acciones de anlisis, seleccione en el rbol un tipo de virus o riesgo de seguridad. De forma predeterminada, cada subcategora de riesgos de seguridad se configura automticamente para utilizar las acciones establecidas para la categora entera de riesgos de seguridad.
Para configurar acciones diferentes para una categora o para elementos particulares de ella, marque Anular acciones configuradas para riesgos de seguridad y, a continuacin, establezca las acciones exclusivas para esa categora.
86
Administrar la proteccin antivirus y contra software espa Configurar acciones para virus y riesgos de seguridad
Administrar la proteccin antivirus y contra software espa Configurar acciones para virus y riesgos de seguridad
87
Suprimir riesgo
Elimina de forma permanente el archivo infectado del disco duro del equipo. Si el cliente no puede borrar un archivo, la informacin sobre la accin que el cliente realiz aparece en el cuadro de dilogo Notificacin. La informacin tambin aparece en Registro de eventos. Utilice esta accin solamente si es posible sustituir el archivo por una copia de respaldo que est libre de virus o de riesgos de seguridad. Cuando el cliente borra un riesgo, borra el riesgo permanentemente. El archivo infectado no se puede recuperar de la papelera de reciclaje.
Ver "Consejos para asignar segundas acciones para virus" en la pgina 88. Ver "Consejos para asignar segundas acciones para riesgos de seguridad" en la pgina 89.
88
Administrar la proteccin antivirus y contra software espa Configurar acciones para virus y riesgos de seguridad
7 8
Repita los pasos 1 y 6 para cada categora para la cual desee configurar acciones especficas y despus haga clic en Aceptar. Si seleccion una categora de riesgo de seguridad, es posible seleccionar acciones personalizadas para uno o ms casos especficos de esa categora de riesgo de seguridad. Es posible excluir un riesgo de seguridad del anlisis. Por ejemplo, puede excluir una aplicacin de publicidad no deseada que necesite utilizar en su trabajo. Haga clic en Aceptar.
Administrar la proteccin antivirus y contra software espa Configurar acciones para virus y riesgos de seguridad
89
El tipo de anlisis que En todos los anlisis se desarrollan acciones automticas sin el se ejecuta en su equipo consentimiento expreso del usuario. Si no se modifican las acciones antes de llevar a cabo un anlisis, se ejecutarn las acciones predeterminadas. As pues, las segundas acciones predeterminadas sirven para otorgar un mayor control al usuario en casos de alarmas de virus. Para los anlisis que se ejecutan automticamente, por ejemplo anlisis programados y anlisis de Auto-Protect, no asigne segundas acciones que tengan efectos permanentes. Por ejemplo, es posible realizar un anlisis manual cuando usted sabe ya que un archivo est infectado. Es posible limitar las acciones Suprimir riesgo y Limpiar riesgo a este anlisis manual.
Un factor con clasificacin baja tiene un impacto mnimo. Un factor con una clasificacin media tiene cierto impacto. Un factor con una clasificacin alta tiene un impacto significativo en esa rea. Si an no se ha evaluado un riesgo de seguridad especfico, se utiliza la clasificacin predeterminada. Si ya se ha evaluado un riesgo, pero un factor en particular no se aplica, se emplea una clasificacin nula. Estas clasificaciones aparecen en el cuadro de dilogo Excepciones de riesgos de seguridad cuando usted configura una excepcin centralizada para los riesgos de
90
Administrar la proteccin antivirus y contra software espa Configurar notificaciones para virus y riesgos de seguridad
seguridad conocidos. Estas clasificaciones pueden utilizarse como ayuda para determinar qu riesgos de seguridad desea excluir de los anlisis y conservar en el equipo. La Tabla 6-4 describe los factores de clasificacin y qu significa una calificacin alta en cada uno de ellos. Tabla 6-4 Factor de clasificacin
Impacto en la privacidad
Impacto en el rendimiento
Especifica hasta qu punto se ver afectado el rendimiento del equipo. Una calificacin alta indica que el rendimiento se ve seriamente afectado.
Clasificacin de ocultacin
Establece cun fcil es determinar la presencia del riesgo de seguridad en el equipo. Una calificacin alta indica que el riesgo de seguridad intenta ocultar su presencia.
Clasificacin de eliminacin
Especifica cun difcil es quitar un riesgo de seguridad de un equipo. Una calificacin alta indica que el riesgo es difcil de eliminar.
Clasificacin general
Programa dependiente Esta clasificacin indica si otra aplicacin depende de la presencia de este riesgo de seguridad para funcionar correctamente.
Administrar la proteccin antivirus y contra software espa Configurar notificaciones para virus y riesgos de seguridad
91
Es posible construir el mensaje de deteccin que desee mostrar en su equipo. Para construir el mensaje, escriba directamente en el campo del mensaje. Es posible hacer clic con el botn secundario en el campo del mensaje para seleccionar las variables que se incluirn en el mensaje. La Tabla 6-5 describe los campos variables disponibles para los mensajes de notificacin. Tabla 6-5 Campo
NombreVirus AccinEfectuada
Estado
NombreArchivo
RutaYNombreDeArchivo Nombre y ruta completa del archivo infectado por el virus o el riesgo de seguridad. Ubicacin Unidad del equipo en la que se ubic el virus o el riesgo de seguridad. Nombre del equipo donde se detect el virus o el riesgo de seguridad.
Equipo
92
Administrar la proteccin antivirus y contra software espa Configurar notificaciones para virus y riesgos de seguridad
Campo
Usuario
Descripcin
Nombre del usuario conectado al detectar el virus o el riesgo de seguridad. Tipo de evento, como Riesgo detectado. El tipo de anlisis que detect el virus o el riesgo de seguridad. Fecha en la que se detect el virus o el riesgo de seguridad.
NombreDeAlmacenamiento El rea afectada de la aplicacin, por ejemplo, Auto-Protect para el sistema de archivos o Auto-Protect para Lotus Notes. DescripcinDeLaAccin Descripcin completa de las acciones efectuadas en respuesta a la deteccin del virus o del riesgo de seguridad.
Es posible configurar notificaciones para los anlisis definidos por el usuario y para Auto-Protect. La configuracin de la notificacin incluye las opciones de correccin. Las opciones de correccin solamente estn disponibles para los anlisis y para Auto-Protect para el sistema de archivos. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en este procedimiento. Para configurar notificaciones de virus y riesgos de seguridad
Para un nuevo anlisis, en el cuadro de dilogo Opciones de anlisis, haga clic en Notificaciones. Para un anlisis existente, en la ficha Opciones de anlisis, haga clic en Notificaciones. Para Auto-Protect, en el cuadro de dilogo Configuracin de la proteccin antivirus y contra software espa, en cualquiera de las fichas de Auto-Protect, haga clic en Notificaciones.
En el cuadro de dilogo Opciones de notificacin, bajo Opciones de deteccin, marque Mostrar un mensaje de notificacin en el equipo infectado. Seleccione esta opcin si desea que aparezca un mensaje en su equipo cuando el anlisis encuentre un virus o un riesgo de seguridad. En el cuadro de mensajes, realice alguna de las siguientes acciones, o todas, para crear el mensaje que desee:
Haga clic para escribir o editar el texto. Haga clic con el botn secundario en Insertar campo y, a continuacin, seleccione el campo de variable que desee insertar.
Administrar la proteccin antivirus y contra software espa Configurar excepciones centralizadas para los anlisis antivirus y de software espa
93
Haga clic con el botn secundario y seleccione Cortar, Copiar, Pegar, Borrar o Deshacer.
Para la configuracin de Auto-Protect, marque o deje sin marcar Mostrar el cuadro de dilogo de resultados de Auto-Protect. Este parmetro permite o suprime el cuadro de dilogo que contiene resultados cuando Auto-Protect para el sistema de archivos encuentra virus y riesgos de seguridad.
Bajo Opciones de correccin, marque las opciones que desea configurar para el anlisis o para Auto-Protect para el sistema de archivos. Estn disponibles las opciones siguientes:
Terminar procesos automticamente Configura el anlisis para que termine los procesos automticamente cuando necesite hacerlo a fin de quitar o reparar un virus o un riesgo de seguridad. No se le solicitar que guarde los datos antes de que el anlisis termine los procesos. Configura el anlisis para que detenga los servicios automticamente cuando necesite hacerlo a fin de quitar o reparar un virus o un riesgo de seguridad. No se le solicitar que guarde los datos antes de que el anlisis detenga los servicios.
94
Administrar la proteccin antivirus y contra software espa Configurar excepciones centralizadas para los anlisis antivirus y de software espa
anlisis antivirus y de software espa. Si configura una excepcin cuando usted crea o edita un anlisis determinado, la excepcin se aplica a todos los anlisis antivirus y de software espa. Nota: Tambin se pueden configurar excepciones centralizadas para anlisis de amenazas proactivos TruScan. En la instalacin Server Core de Windows Server 2008, los cuadros de dilogo de la interfaz de usuario pueden diferir de los que se describen en estos procedimientos. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en estos procedimientos. Para excluir un riesgo de seguridad de los anlisis
1 2 3
En el cliente, en la barra lateral, haga clic en Cambiar configuracin. Al lado de Excepciones centralizadas, haga clic en Configurar opciones. En el cuadro de dilogo Excepciones centralizadas, en la ficha Excepciones definidas por el usuario, haga clic en Agregar > Excepciones de riesgos de seguridad > Riesgos conocidos. En el cuadro de dilogo Agregar excepciones de riesgos de seguridad conocidos, marque los riesgos de seguridad que desee excluir de los anlisis. Si desea registrar un evento cuando se detecta un riesgo de seguridad y no se hace nada con l, marque Registrar la deteccin del riesgo de seguridad. Haga clic en Aceptar. En el cuadro de dilogo Excepciones centralizadas, haga clic en Cerrar.
4 5 6 7
1 2 3
En el cliente, en la barra lateral, haga clic en Cambiar configuracin. Al lado de Excepciones centralizadas, haga clic en Configurar opciones. En el cuadro de dilogo Excepciones centralizadas, en la ficha Excepciones definidas por el usuario, haga clic en Agregar > Excepciones de riesgos de seguridad > Archivo. En el cuadro de dilogo Agregar excepcin de archivos de riesgos de seguridad , seleccione el archivo que desea excluir y, a continuacin, haga clic en Agregar. En el cuadro de dilogo Excepciones centralizadas, haga clic en Cerrar.
Administrar la proteccin antivirus y contra software espa Acerca del rea de cuarentena
95
1 2 3
En el cliente, en la barra lateral, haga clic en Cambiar configuracin. Al lado de Excepciones centralizadas, haga clic en Configurar opciones. En el cuadro de dilogo Excepciones centralizadas, en la ficha Excepciones definidas por el usuario, haga clic en Agregar > Excepciones de riesgos de seguridad > Carpeta. En el cuadro de dilogo Agregar excepcin de carpetas de riesgos de seguridad, seleccione la carpeta, active o desactive Incluir subcarpetas y a continuacin haga clic en Agregar. En la instalacin Server Core de Windows Server 2008, la interfaz de usuario incluye dos cuadros de dilogo para la seleccin de carpetas. Utilice el primer cuadro de dilogo para seleccionar la carpeta y el segundo para seleccionar si desea incluir las subcarpetas.
1 2 3
En el cliente, en la barra lateral, haga clic en Cambiar configuracin. Al lado de Excepciones centralizadas, haga clic en Configurar opciones. En el cuadro de dilogo Excepciones centralizadas, en la ficha Excepciones definidas por el usuario, haga clic en Agregar > Excepciones de extensiones de riesgos de seguridad. En el cuadro de dilogo Agregar Excepciones de extensiones, escriba la extensin que desea excluir. Es posible incluir solamente un nombre de extensin en el cuadro de texto. Si escribe varias extensiones, el cliente trata la entrada como un solo nombre de extensin.
5 6 7 8
Haga clic en Agregar. Repita del paso 4 al 5 para agregar ms extensiones. Haga clic en Aceptar. En el cuadro de dilogo Excepciones centralizadas, haga clic en Cerrar.
96
Administrar la proteccin antivirus y contra software espa Acerca del rea de cuarentena
infectados que se encuentren en el sistema. Cuando se pone en cuarentena un virus, ste no puede propagarse en el equipo o a otros equipos en su red.
Nota: Es posible que el idioma del sistema operativo en el cual se ejecuta el cliente no pueda interpretar algunos caracteres en los nombres de riesgos. Si el sistema operativo no puede interpretar los caracteres, stos aparecen como signos de interrogacin en las notificaciones. Por ejemplo, algunos nombres de riesgos en unicode pueden contener caracteres de doble byte. En los equipos con el cliente en un sistema operativo en ingls, estos caracteres aparecen como signos de interrogacin. Cuando el cliente mueve un archivo infectado a la cuarentena, el riesgo no puede copiarse e infectar otros archivos. Esta accin es una de las segundas acciones recomendadas para las infecciones de virus de macro y de virus que no son de macro. Sin embargo, la accin Poner en cuarentena no limpia el riesgo. El riesgo permanece en el equipo hasta que el cliente limpie el riesgo o borre el archivo. Los virus y los virus de macro pueden ser puestos en cuarentena. Los virus de arranque no pueden ser puestos en cuarentena. Normalmente, los virus de arranque se encuentran en el sector de arranque o en la tabla de particiones de las mquinas, y estos elementos no se pueden poner en cuarentena. Tambin se pueden ver las propiedades del archivo infectado. Ver "Ver archivos y detalles en el rea de cuarentena" en la pgina 98.
97
Restaurar el archivo seleccionado a su ubicacin original. Borrar permanentemente el archivo seleccionado. Volver a analizar los archivos despus de recibir definiciones de virus actualizadas. Exportar el contenido de la cuarentena a un archivo delimitado por comas (*.csv) o a un archivo de base de datos de Access (*.mdb). Agregar manualmente un archivo a la cuarentena. Es posible desplazarse hasta una ubicacin y seleccionar el archivo que desea pasar a la cuarentena. Enviar un archivo a Symantec Security Response. Siga las instrucciones del asistente en pantalla para enviar el archivo seleccionado para su anlisis.
Administrar la cuarentena
Los archivos se ponen en cuarentena de las siguientes formas:
El cliente se configura para mover a la cuarentena los elementos infectados que se detectan con Auto-Protect o en un anlisis.
98
La opcin predeterminada para Auto-Protect y todos los tipos de anlisis es limpiar el virus del archivo infectado al detectarlo. El software de anlisis pone el archivo en cuarentena si el archivo no puede ser limpiado. Para los riesgos de seguridad, la opcin predeterminada es colocar los archivos infectados en cuarentena y reparar los efectos secundarios. Para poner en cuarentena un archivo manualmente
1 2 3
En el cliente, en la barra lateral, haga clic en Ver Cuarentena. Haga clic en Agregar. Seleccione el archivo que usted desea agregar a la cuarentena y despus haga clic en Agregar.
1 2
En el cliente, en la barra lateral, haga clic en Ver Cuarentena. Haga clic con el botn secundario en el archivo que desee ver y, a continuacin, haga clic en Propiedades.
99
1 2 3
Cuando aparezca el Asistente de reparacin, haga clic en S. Haga clic en Siguiente. Siga las instrucciones que se muestran en la pantalla para volver a analizar los archivos en cuarentena.
1 2 3
Actualice las definiciones. En el cliente, en la barra lateral, haga clic en Ver Cuarentena. Seleccione el archivo y despus haga clic en Limpiar.
1 2 3
En el cliente, en la barra lateral, haga clic en Ver Cuarentena. Haga clic con el botn secundario en el archivo reparado y, despus, haga clic en Restaurar. Especifique la ubicacin en la que desee almacenar el archivo.
100
1 2 3
En el cliente, en la barra lateral, haga clic en Ver Cuarentena. Seleccione uno o ms archivos de copia de respaldo. Haga clic en Eliminar.
1 2 3
En el cliente, en la barra lateral, haga clic en Ver Cuarentena. Seleccione uno o ms archivos. Haga clic en Eliminar.
1 2 3
En el cliente, en la barra lateral, haga clic en Ver Cuarentena. Haga clic en Opciones de depuracin. En el cuadro de dilogo Opciones de depuracin, seleccione una de las fichas siguientes:
101
Active o desactive El tiempo de almacenamiento excede para habilitar o para deshabilitar la capacidad del cliente de eliminar los archivos despus de que el tiempo configurado caduque. Si marca la casilla El tiempo de almacenamiento excede:, escriba la cantidad de tiempo o haga clic en una flecha para especificarla. Seleccione la unidad de tiempo de la lista desplegable. El valor predeterminado es 30 das. Si marca la casilla El tamao total de la carpeta excede:, escriba el tamao mximo de la carpeta que se permitir, en megabytes. El valor predeterminado es 50 megabytes. Si marca ambas casillas de verificacin, se eliminarn primero todos los archivos de antigedad mayor a la especificada. Si el tamao de la carpeta an excede el lmite especificado, el cliente borra los archivos ms antiguos individualmente. El cliente borra los archivos ms antiguos hasta que el tamao de la carpeta no exceda el lmite.
5 6 7
8 9
Repita del paso 4 al 7 para cualquiera de las otras fichas. Haga clic en Aceptar.
1 2 3 4
En el cliente, en la barra lateral, haga clic en Ver Cuarentena. Seleccione el archivo en la lista de elementos en cuarentena. Haga clic en Enviar. Siga las instrucciones que se muestran en la pantalla del asistente para proporcionar la informacin necesaria y enviar el archivo para su anlisis.
102
Captulo
Acerca de los anlisis de amenazas proactivos TruScan Configurar la frecuencia de los anlisis de amenazas proactivos TruScan Administrar detecciones de amenazas proactivas de TruScan Configurar notificaciones para las detecciones del anlisis de amenazas proactivo TruScan Enviar informacin sobre anlisis de amenazas proactivos TruScan a Symantec Security Response Configurar una excepcin centralizada para los anlisis de amenazas proactivos TruScan
104
Administrar la proteccin proactiva contra amenazas Acerca de los anlisis de amenazas proactivos TruScan
La configuracin predeterminada de los anlisis de amenazas proactivos es apropiada para muchos usuarios. Es posible modificar la configuracin de acuerdo con el nivel de proteccin heurstica que su equipo necesita. Es necesario hacer las preguntas siguientes antes de realizar cambios en la configuracin de los anlisis de amenazas proactivos:
Desea ser informado cuando ocurre una amenaza en su equipo? Con qu frecuencia y en qu momento desea analizar procesos? Qu cantidad de recursos del equipo desea proporcionar para los anlisis de amenazas proactivos?
Nota: Si su administrador no bloquea la configuracin del anlisis de amenazas proactivo, es posible modificar la configuracin. Las opciones bloqueadas incluyen un icono de candado bloqueado. Las etiquetas de las opciones bloqueadas aparecen en gris.
Administrar la proteccin proactiva contra amenazas Acerca de los anlisis de amenazas proactivos TruScan
105
una lista de estas aplicaciones comerciales y la actualiza peridicamente. Estas aplicaciones incluyen las aplicaciones comerciales que supervisan o registran las pulsaciones del teclado de un usuario o que controlan el equipo de un usuario remotamente. Es posible configurar acciones para que Symantec Endpoint Protection administre estas detecciones. La Tabla 7-1 describe los procesos que los anlisis de amenazas proactivos detectan. Tabla 7-1 Procesos detectados por los anlisis de amenazas proactivos TruScan Descripcin
Procesos que exhiben caractersticas de caballos de Troya o de gusanos. Los anlisis de amenazas proactivos utilizan la heurstica para buscar los procesos que se comportan como caballos de Troya o gusanos. Estos procesos pueden ser amenazas o no. Registradores de pulsaciones Procesos con caractersticas de registradores de pulsaciones. Los anlisis de amenazas proactivos detectan registradores de pulsaciones comerciales, pero tambin detectan los procesos desconocidos que exhiben comportamiento de registrador de pulsaciones.
Tipo de procesos
Caballos de Troya y gusanos
Aplicaciones comerciales Aplicaciones comerciales conocidas que se pueden utilizar con propsitos maliciosos. Los anlisis de amenazas proactivos detectan varios tipos de aplicaciones comerciales. Es posible configurar acciones para dos tipos: registradores de pulsaciones y aplicaciones de control remoto. Publicidad no deseada y Procesos que exhiben caractersticas de publicidad no deseada software espa y de software espa Los anlisis de amenazas proactivos utilizan la heurstica para detectar procesos desconocidos que se comportan como publicidad no deseada y software espa. Estos procesos pueden ser riesgos o no.
106
Administrar la proteccin proactiva contra amenazas Acerca de los anlisis de amenazas proactivos TruScan
Su administrador puede tambin crear excepciones centralizadas para anlisis de amenazas proactivos. No es posible modificar las excepciones que su administrador crea. Ver "Configurar una excepcin centralizada para los anlisis de amenazas proactivos TruScan" en la pgina 113.
Registra la deteccin de aplicaciones comerciales conocidas. Registra la deteccin de procesos que se comportan como caballos de Troya, gusanos o registradores de pulsaciones. Pone en cuarentena los procesos que se comportan como caballos de Troya, gusanos o registradores de pulsaciones y que deben corregirse.
Cuando un anlisis de amenazas proactivo pone en cuarentena una deteccin, trata cualquier efecto secundario del proceso. Si el cliente vuelve a analizar la deteccin despus de descargar actualizaciones de contenido a su equipo, el cliente puede restaurar el proceso a su equipo. El cliente restaura el proceso si el proceso ya no se considera malicioso. El cliente tambin restaura cualquier efecto secundario del proceso. Sin embargo, el cliente no reinicia automticamente el proceso. Para la deteccin de registradores de pulsaciones comerciales o de aplicaciones de control remoto, usted o su administrador pueden especificar una accin diferente. Por ejemplo, es posible que no quiera hacer caso de la deteccin de
Administrar la proteccin proactiva contra amenazas Configurar la frecuencia de los anlisis de amenazas proactivos TruScan
107
aplicaciones comerciales de registradores de pulsaciones. Cuando el cliente no hace caso de una aplicacin, autoriza la aplicacin y no registra su deteccin. Para las detecciones de caballos de Troya, gusanos o registradores de pulsaciones, es posible especificar una accin determinada que el cliente siempre utilice cuando hace una deteccin.
108
Administrar la proteccin proactiva contra amenazas Administrar detecciones de amenazas proactivas de TruScan
Nota: Si aumenta la frecuencia de los anlisis de amenazas proactivos, es posible que afecte el rendimiento del equipo. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en el procedimiento. Para configurar la frecuencia de los anlisis de amenazas proactivos TruScan
1 2 3
En el cliente, en la barra lateral, haga clic en Cambiar configuracin. Al lado de Proteccin proactiva contra amenazas, haga clic en Configurar opciones. En el cuadro de dilogo Configuracin de proteccin proactiva contra amenazas, en la ficha Frecuencia del anlisis, marque Con una frecuencia personalizada de anlisis. Haga una o ms de las acciones siguientes:
Al lado de Analizar cada, configure el perodo en nmero de das, horas y minutos entre los procesos de anlisis. Marque Analizar procesos nuevos inmediatamente para analizar nuevos procesos cuando se detectan.
Administrar la proteccin proactiva contra amenazas Administrar detecciones de amenazas proactivas de TruScan
109
la accin para la deteccin. (Las opciones predeterminadas que no estn disponibles en la interfaz de usuario no reflejan la configuracin predeterminada de Symantec. Las opciones no disponibles reflejan la configuracin predeterminada que usted utiliza cuando administra detecciones manualmente). Tpicamente, las opciones predeterminadas de Symantec proporcionan la mejor manera de manejar las detecciones. Sin embargo, si tiene experiencia con los resultados de anlisis en su equipo, puede configurar las acciones y los niveles de sensibilidad manualmente. Para configurar estos parmetros, inhabilite la configuracin predeterminada de Symantec. Para reducir al mnimo las detecciones positivas falsas, Symantec recomienda utilizar la configuracin predeterminada de Symantec inicialmente. Despus de cierto tiempo, es posible observar el nmero de falsos positivos que los clientes detectan. Si el nmero es bajo, se puede ajustar la configuracin del anlisis de amenazas proactivo gradualmente. Por ejemplo, para la deteccin de caballos de Troya y gusanos, es posible mover el control deslizante para aumentar levemente la sensibilidad predeterminada. Es posible observar los resultados de los anlisis de amenazas proactivos que se ejecutan despus de establecer la nueva configuracin. Nota: Para los clientes administrados, el administrador suele configurar las opciones del anlisis de amenazas proactivo apropiadas para su equipo. Para las aplicaciones comerciales, es posible especificar el tipo de accin que se efectuar cuando un anlisis de amenazas proactivo detecta programas registradores de pulsaciones comerciales o programas de control comerciales. Es posible modificar estas opciones sin importar la configuracin para los caballos de Troya, los gusanos o los registradores de pulsaciones.
1 2
En el cliente, en la barra lateral, haga clic en Cambiar configuracin. Al lado de Proteccin proactiva contra amenazas, haga clic en Configurar opciones.
110
Administrar la proteccin proactiva contra amenazas Administrar detecciones de amenazas proactivas de TruScan
En el cuadro de dilogo Configuracin de proteccin proactiva contra amenazas, en la ficha Detalles del anlisis, bajo Aplicaciones comerciales, realice una de las siguientes acciones:
Configure la accin para los registradores de pulsaciones comerciales en Omitir, Registro, Finalizar o Cuarentena. Configure la accin para las aplicaciones de control remoto comerciales en Omitir, Registro, Finalizar o Cuarentena.
Especificar acciones y niveles de sensibilidad para detectar caballos de Troya, gusanos y registradores de pulsaciones
Si elige administrar las detecciones de caballos de Troya, gusanos o registradores de pulsaciones usted mismo, puede configurar la accin que se efectuar cuando se detectan estos procesos. Esa accin se utiliza siempre que los anlisis de amenazas proactivos hacen una deteccin. Por ejemplo, es posible configurar la accin para registrar solamente. Si un anlisis de amenazas proactivo detecta un proceso que se categoriza como positivo verdadero, el cliente registra la deteccin. El cliente no pone en cuarentena el proceso. Es posible tambin configurar diversos niveles de sensibilidad para la deteccin de caballos de Troya y gusanos y las detecciones de registradores de pulsaciones. El nivel de sensibilidad determina cun sensibles son los anlisis de amenazas proactivos cuando analizan procesos. Una mayor sensibilidad genera ms detecciones. Tenga presente que algunas de estas detecciones pueden ser falsos positivos. Es posible que configurar un nivel de sensibilidad ms bajo o ms alto no modifique el porcentaje de falsos positivos que producen los anlisis de amenazas proactivos. Modifica solamente el nmero de detecciones totales. Es posible que quiera mantener el nivel de sensibilidad ms bajo hasta que vea los resultados de los anlisis de amenazas proactivos en su equipo. Si los anlisis de amenazas proactivos no producen ninguna deteccin con un nivel de sensibilidad bajo, es posible aumentar la sensibilidad. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en el procedimiento. Para configurar la accin y el nivel de sensibilidad para los caballos de Troya y los gusanos
1 2
En el cliente, en la barra lateral, haga clic en Cambiar configuracin. Al lado de Proteccin proactiva contra amenazas, haga clic en Configurar opciones.
Administrar la proteccin proactiva contra amenazas Administrar detecciones de amenazas proactivas de TruScan
111
En el cuadro de dilogo Configuracin de proteccin proactiva contra amenazas, en la ficha Detalles del anlisis, bajo Caballos de Troya y gusanos, asegrese de que Analizar en busca de caballos de Troya y gusanos est activada, y despus desactive Usar los valores definidos por Symantec. Bajo Sensibilidad, mueva el control deslizante hacia la izquierda o la derecha para disminuir o aumentar la sensibilidad. En la lista desplegable, haga clic en Registrar, Finalizar o Cuarentena. Haga clic en Aceptar.
4 5 6
1 2 3
En el cliente, en la barra lateral, haga clic en Cambiar configuracin. Al lado de Proteccin proactiva contra amenazas, haga clic en Configurar opciones. En el cuadro de dilogo Configuracin de proteccin proactiva contra amenazas, en la ficha Detalles del anlisis, bajo Registradores de pulsaciones, asegrese de que Analizar en busca de registradores de pulsaciones est marcado, y deje sin marcar Usar los valores definidos por Symantec. Para el nivel de sensibilidad, haga clic en Bajo o Alto. En la lista desplegable, haga clic en Registrar, Finalizar o Cuarentena. Haga clic en Aceptar.
4 5 6
Especificar los tipos de procesos que detectan los anlisis de amenazas proactivos TruScan
Es posible configurar si los anlisis de amenazas proactivos analizan en busca de caballos de Troya y gusanos o registradores de pulsaciones. Su administrador puede bloquear algunas de estas opciones. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en el procedimiento. Para especificar los tipos de procesos que detectan los anlisis de amenazas proactivos TruScan
1 2 3
En el cliente, en la barra lateral, haga clic en Cambiar configuracin. Al lado de Proteccin proactiva contra amenazas, haga clic en Configurar opciones. En el cuadro de dilogo Configuracin de proteccin proactiva contra amenazas, en la ficha Detalles del anlisis, bajo Caballos de Troya y gusanos, marque o deje sin marcar Analizar en busca de caballos de Troya y gusanos.
112
Administrar la proteccin proactiva contra amenazas Configurar notificaciones para las detecciones del anlisis de amenazas proactivo TruScan
4 5
Bajo Registradores de pulsaciones, marque o deje sin marcar Analizar en busca de registradores de pulsaciones. Haga clic en Aceptar.
Configurar notificaciones para las detecciones del anlisis de amenazas proactivo TruScan
Es posible configurar mensajes que aparecern cuando los anlisis de amenazas proactivos hacen detecciones. De forma predeterminada, el cliente muestra mensajes cuando ocurren detecciones. Tambin se notifica cuando una deteccin necesita que el cliente termine servicios o detenga procesos. Nota: El administrador puede bloquear estos valores. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en el procedimiento. Para habilitar o inhabilitar notificaciones para las detecciones del anlisis de amenazas proactivo TruScan
1 2 3
En el cliente, haga clic en Cambiar configuracin. Al lado de Proteccin proactiva contra amenazas, haga clic en Configurar opciones. En el cuadro de dilogo Configuracin de proteccin proactiva contra amenazas, en la ficha Notificaciones, marque Mostrar un mensaje cuando se produzca una deteccin. Marque o deje sin marcar Avisar antes de terminar un proceso y Avisar antes de detener un servicio. Haga clic en Aceptar.
4 5
Enviar informacin sobre anlisis de amenazas proactivos TruScan a Symantec Security Response
De forma predeterminada, los anlisis de amenazas proactivos envan informacin sobre los procesos detectados a Symantec Security Response. Cuando los anlisis envan informacin, Symantec analiza la informacin para determinar si una amenaza es verdadera. Si Symantec determina que la amenaza es verdadera, Symantec puede generar una firma para tratar la amenaza. Symantec incluye la firma en las versiones actualizadas de las definiciones.
Administrar la proteccin proactiva contra amenazas Configurar una excepcin centralizada para los anlisis de amenazas proactivos TruScan
113
La ruta del archivo ejecutable El archivo ejecutable La informacin sobre el archivo y los puntos de carga del registro relacionados con la amenaza La informacin de estado interno La versin del contenido que utiliz el anlisis de amenazas proactivo
No se enva ninguna informacin personal que permita identificar su equipo. El envo de detecciones de los anlisis de amenazas proactivos a Symantec Security Response est habilitado de forma predeterminada. Nota: Su administrador puede bloquear la configuracin de los envos. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en el procedimiento. Para habilitar o inhabilitar el envo de informacin a Symantec Security Response
1 2 3
En el cliente, en la barra lateral, haga clic en Cambiar configuracin. Junto a Proteccin antivirus y contra software espa, haga clic en Configurar opciones. En el cuadro de dilogo Configuracin de la proteccin antivirus y contra software espa, en la ficha Envos, marque o deje sin marcar Enviar automticamente las detecciones de anlisis de amenazas proactivos TruScan. Haga clic en Aceptar.
Configurar una excepcin centralizada para los anlisis de amenazas proactivos TruScan
Es posible crear excepciones para los anlisis de amenazas proactivos, a menos que el administrador bloquee la configuracin. Para crear una excepcin, seleccione un archivo que est disponible en su equipo actualmente. Cuando un anlisis de amenazas proactivo detecta un proceso activo que utilice el archivo, el cliente aplica la accin especificada en la excepcin.
114
Administrar la proteccin proactiva contra amenazas Configurar una excepcin centralizada para los anlisis de amenazas proactivos TruScan
Por ejemplo, es posible que ejecute una aplicacin en su equipo que utiliza un archivo llamado foo.exe. Un anlisis de amenazas proactivo se ejecuta al ejecutar foo.exe. El cliente determina que foo.exe puede ser malicioso. Aparece el cuadro de dilogo de los resultados del anlisis y se muestra que el cliente puso el archivo foo.exe en cuarentena. Es posible crear una excepcin que especifique que los anlisis de amenazas proactivos omitan el archivo foo.exe. El cliente entonces restaura foo.exe. Cuando se vuelva a ejecutar foo.exe, el cliente lo omitir. Su administrador puede tambin crear excepciones centralizadas para los anlisis. Es posible ver excepciones definidas por el administrador, no obstante, no es posible modificarlas. Si crea una excepcin centralizada que est en conflicto con una excepcin definida por el administrador, la excepcin definida por el administrador toma precedencia. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en el procedimiento. Para configurar una excepcin centralizada para los anlisis de amenazas proactivos TruScan
1 2 3 4
En el cliente, en la barra lateral, haga clic en Cambiar configuracin. Al lado de Excepciones centralizadas, haga clic en Configurar opciones. En la ficha Excepciones definidas por el usuario, haga clic en Agregar y despus seleccione Excepcin de anlisis de amenazas proactivo TruScan. En el cuadro de dilogo Agregar excepcin de anlisis de amenazas proactivo TruScan, escriba un nombre de proceso o seleccione un archivo para el cual quiera crear una excepcin. En la lista desplegable Accin, haga clic en Omitir, Slo registrar, Cuarentena o Finalizar. Haga clic en Agregar.
5 6
Captulo
Acerca de administrar la proteccin contra amenazas de red Configuracin del firewall Configurar las opciones de prevencin de intrusiones Configurar valores especficos de una aplicacin
116
Administrar la proteccin contra amenazas de red Acerca de administrar la proteccin contra amenazas de red
contienen cdigos de programacin maliciosos a un puerto determinado. Si una aplicacin vulnerable a este ataque est recibiendo informacin por ese puerto, el cdigo puede dejar que el atacante acceda al equipo, lo desactive o incluso llegue a controlarlo. El cdigo de programacin que se utiliza para generar los ataques puede ubicarse dentro de un paquete o de varios. Su cliente se instala con la configuracin predeterminada para la proteccin contra amenazas de red. En la mayora de los casos no es necesario modificar la configuracin. Por lo general, resulta seguro dejar la configuracin como est. Sin embargo, si tiene conocimientos profundos sobre redes, puede efectuar varios cambios en el firewall del cliente para personalizar la proteccin.
Prevencin de intrusiones
Para evaluar cmo proteger mejor el equipo, es posible comprobar su vulnerabilidad a los ataques de red exteriores y a los virus. Para hacerlo, se pueden ejecutar varios anlisis. Ver "Probar la seguridad del equipo" en la pgina 33.
Administrar la proteccin contra amenazas de red Acerca de administrar la proteccin contra amenazas de red
117
Equipo cliente
Internet
Toda la informacin que ingresa en la red privada o sale de ella debe pasar por el firewall. El firewall examina los paquetes de informacin y bloquea aquellos que no cumplen los criterios de seguridad especificados. Examina los paquetes de informacin mediante normas de firewall. Las polticas de firewall tienen una o ms normas que trabajan juntas para permitir o bloquear el acceso de usuarios a la red. Solamente el trfico autorizado puede pasar a travs del firewall. Las polticas de firewall definen el trfico autorizado. El firewall se ejecuta en segundo plano. El administrador determina el nivel de interaccin que usted tiene con el cliente al permitir o bloquear su capacidad de configurar las normas de firewall y los valores del firewall. Se puede interactuar con el cliente solamente cuando le notifica que existen nuevas conexiones de red y problemas posibles, o se puede tener acceso completo a la interfaz de usuario.
Bloquea el trfico entrante y saliente. Advierte tanto de los intentos de conexin procedentes de otros equipos como de los intentos de las aplicaciones instaladas en su sistema de conectarse a otros equipos.
118
Administrar la proteccin contra amenazas de red Acerca de administrar la proteccin contra amenazas de red
Ataque de negacin de Examina todos los paquetes de red en busca de ataques conocidos servicio especficos que limitan el uso de los servicios normales del equipo. Intrusiones Detecta y bloquea el trfico malicioso y los intentos de usuarios externos por atacar el equipo, y analiza el trfico saliente para evitar la propagacin de gusanos.
Administrar la proteccin contra amenazas de red Acerca de administrar la proteccin contra amenazas de red
119
Firmas IPS de Symantec Las firmas IPS de Symantec utilizan un motor basado en secuencias que analiza varios paquetes. Las firmas IPS de Symantec interceptan datos de red en los segmentos de la capa y capturan segmentos de mensajes que se envan entre una aplicacin y la pila de red. El IPS de Symantec examina los paquetes de dos maneras. Analiza todos los paquetes de forma individual en busca de patrones que no se ajusten a las especificaciones y que puedan dejar fuera de servicio la pila TCP/IP. Tambin supervisa los paquetes en forma de flujo de informacin en busca de comandos dirigidos a un servicio particular para aprovecharse de alguna vulnerabilidad del sistema o dejarlo fuera de servicio. Adems, puede recordar la lista de patrones o de patrones parciales de paquetes anteriores y aplicar esta informacin a inspecciones posteriores de paquetes. IPS se basa en una detallada lista de firmas de ataques para detectar y bloquear las actividades de red sospechosas. Symantec proporciona la lista de amenazas conocidas, la cual se puede actualizar en el cliente mediante Symantec LiveUpdate. El motor IPS de Symantec y el correspondiente grupo de firmas IPS se instalan en el cliente de forma predeterminada. Firmas IPS personalizadas Las firmas IPS personalizadas utilizan un motor basado en paquetes que analiza cada paquete individualmente. Los motores basados en secuencias y en paquetes detectan firmas en los datos de red que atacan la pila TCP/IP, los componentes del sistema operativo y la capa de aplicacin. Sin embargo, las firmas basadas en paquetes pueden detectar ataques a la pila TCP/IP antes que las firmas basadas en secuencias. El motor basado en paquetes no detecta las firmas que abarcan varios paquetes. El motor IPS basado en paquetes es ms limitado, porque no almacena coincidencias parciales y analiza solamente cargas de un solo paquete.
El sistema de prevencin de intrusiones registra los ataques detectados en los registros de seguridad. Las firmas IPS personalizadas pueden registrar ataques detectados en el registro de paquetes. Ver "Configurar las opciones de prevencin de intrusiones" en la pgina 136.
120
Administrar la proteccin contra amenazas de red Acerca de administrar la proteccin contra amenazas de red
toma respecto del trfico y muestra los iconos que representan medidas que el cliente toma para las aplicaciones que acceden al equipo cliente o la red. Tabla 8-2 Medidas que toma el cliente cuando las aplicaciones acceden al cliente o a la red Accin
Permitir
Icono
Descripcin
Permite que el trfico entrante acceda al equipo cliente y el trfico saliente acceda a la red. Si el cliente recibe trfico, el icono aparecer con un pequeo punto azul en la esquina inferior izquierda. Si el cliente enva trfico, el icono aparecer con el punto en la esquina inferior derecha.
Bloquear
Impide que el trfico entrante y saliente acceda a la red o a una conexin de Internet.
Nota: El cliente no detecta trfico de red de los dispositivos PDA (ayudante personal digital). Para ver el historial de actividad de la red
1 2
En el cliente, en la barra lateral, haga clic en Estado. Al lado de Proteccin contra amenazas de red, haga clic en Opciones > Ver actividad de la red. Para obtener ms informacin sobre los grficos y los campos, haga clic en Ayuda.
Haga clic en Cerrar. Es posible visualizar la actividad de red como trfico de difusin o trfico de unidifusin. El trfico de difusin es el trfico de red que se enva a cada equipo de una subred determinada y no se dirige especficamente a su equipo. El trfico de unidifusin es el trfico que se dirige especficamente a su equipo.
1 2 3
En el cliente, en la barra lateral, haga clic en Estado. Al lado de Proteccin contra amenazas de red, haga clic en Opciones > Ver actividad de la red. En el cuadro de dilogo Actividad de red, haga clic con el botn secundario en el campo Aplicaciones en ejecucin y realice lo siguiente:
121
Para mostrar u ocultar los servicios de Windows, marque o deje sin marcar Mostrar servicios de Windows. Para visualizar trfico de difusin, marque Mostrar trfico de difusin. Para visualizar trfico de unidifusin, deje sin marcar Mostrar trfico de difusin.
1 2 3
En el cliente, en la barra lateral, haga clic en Estado. Al lado de Proteccin contra amenazas de red, haga clic en Opciones > Ver actividad de la red. En el campo Aplicaciones en ejecucin, haga clic con el botn secundario en la aplicacin y, a continuacin, haga clic en una de las siguientes visualizaciones:
Configuracin de trfico Habilita las funciones adicionales del trfico tales como y ocultacin proteccin de NetBIOS, trfico de token ring, operaciones de bsqueda inversa de DNS y configuracin del modo de ocultacin.
122
Su administrador puede haberle dado permiso para personalizar normas y configuraciones del firewall o no. Si no tiene permiso, el administrador crea normas de firewall y habilita la configuracin en polticas de firewall que distribuye al cliente. Si tiene permiso, podr crear normas y modificar la configuracin del cliente para adaptarlo a su entorno de red. Su administrador puede haber configurado el cliente para combinar las normas creadas por su administrador y las creadas por usted. Usted podr inhabilitar la proteccin en determinados momentos, por ejemplo, durante la instalacin de software nuevo. Es posible configurar una notificacin que aparezca cuando el firewall bloquea una aplicacin en el equipo cliente. Ver "Habilitar e inhabilitar Proteccin contra amenazas de red" en la pgina 50.
123
Condicin
Condiciones
Descripcin
Estado de programacin y protector de pantalla. Los parmetros condicionales no describen un aspecto de una conexin de red. Por el contrario, los parmetros condicionales determinan el estado activo de una norma. Los parmetros condicionales son opcionales y si no se definen, no son significativos. Es posible configurar una programacin o identificar un estado del protector de pantalla que indique cuando una norma se considera activa o inactiva. El firewall no evala las normas inactivas cuando recibe los paquetes.
Acciones
Permitir o bloquear, y registrar o no registrar. Los parmetros de accin especifican qu medidas toma el firewall cuando una norma coincide. Si la norma se selecciona en respuesta a un paquete recibido, el firewall realiza todas las acciones. El firewall permite o bloquea el paquete, y registra o no el paquete. Si el firewall permite el trfico, permite que el trfico especificado por la norma acceda a su red. Si el firewall bloquea el trfico, bloquea el trfico especificado por la norma para que no acceda a su red.
La Tabla 8-4 describe los disparadores que se pueden definir en una norma de firewall. Tabla 8-4 Disparador
Aplicacin
Host
124
Disparador
Protocolo
Descripcin
Un disparador de protocolo identifica uno o ms protocolos de red significativos en relacin con el trfico de red descrito. El equipo host local maneja siempre el puerto local y el equipo remoto maneja siempre el puerto remoto. Esta expresin del vnculo del puerto es independiente de la direccin del trfico. Es posible definir las siguientes clases de protocolos:
Todos los protocolos IP Cualquier protocolo. TCP Puerto o intervalos de puerto. UDP Puerto o intervalos de puerto. ICMP Tipo y cdigo. Protocolo IP especfico Nmero de protocolo (tipo de IP). Ejemplos: Tipo 1 = ICMP, Tipo 6 = TCP, Tipo 17 = UDP
Adaptador de red
Si define un disparador de adaptador de red, la norma es relevante solamente para el trfico transmitido o recibido usando el tipo especificado de adaptador. Es posible especificar cualquier adaptador o el que se asocia actualmente al equipo cliente.
125
(puerto 80) y HTTPS (puerto 443). Los clientes inician este trfico saliente, de forma que slo es necesario crear una norma que permita el trfico saliente para estos protocolos. El firewall permite el trfico de retorno. Al configurar solamente las normas de salida, se aumenta la seguridad del cliente de las siguientes maneras:
Se reduce la complejidad de las bases de normas. Se elimina la posibilidad de que un gusano o cualquier otro programa malicioso pueda iniciar conexiones con clientes en puertos configurados slo para el trfico de salida. Tambin se pueden configurar slo las normas de entrada para el trfico con los clientes que no haya sido iniciado por ellos.
La inspeccin de estado es compatible con todas las normas que dirigen el trfico TCP. No es compatible con las normas que filtran el trfico ICMP. Para ICMP, se deben crear normas que permitan el trfico en ambas direcciones cuando sea necesario. Por ejemplo, si desea que los clientes usen el comando ping y reciban respuestas, deber crear una norma que permita el trfico ICMP en ambas direcciones.
126
subsecuentes de una prioridad ms baja. Por ejemplo, si una norma que bloquea todo el trfico se enumera primero, seguida por una norma que permita todo el trfico, el cliente bloquea todo el trfico. Es posible ordenar las normas dentro de categoras de prioridad, de modo que el firewall evale las normas en una secuencia lgica. Es posible ordenar las normas para que se evalen en funcin de la exclusividad, de forma que las normas ms restrictivas se evalen primero y, las menos restrictivas, al final. Por ejemplo, si se crean normas que bloquean trfico, es necesario poner estas normas en la parte superior, ya que otras normas pueden permitir el trfico. La Tabla 8-5 muestra el orden en el que el firewall procesa las normas y la configuracin. Tabla 8-5 Orden en el que el firewall procesa normas, opciones de firewall, firmas IPS y opciones de IPS Opcin
Firmas IPS personalizadas Configuracin de la prevencin de intrusiones, configuracin del trfico y modo de ocultacin Filtros de trfico inteligentes Normas de firewall Comprobaciones de anlisis de puertos Firmas IPS que se descargan con LiveUpdate
Prioridad
Primer lugar Segundo lugar
Adicin de normas
Cuando se agrega una norma de firewall, es necesario decidir qu efecto debe tener la norma. Por ejemplo, es posible permitir todo el trfico de una fuente determinada o bloquear los paquetes de UDP de un sitio Web. Para agregar normas
1 2 3 4
En el cliente, en la barra lateral, haga clic en Estado. Al lado de Proteccin contra amenazas de red, haga clic en Opciones > Configurar normas de firewall. En el cuadro de dilogo Configurar normas de firewall, haga clic en Agregar. En la ficha General, escriba un nombre para la norma y despus haga clic en Bloquear este trfico o Permitir este trfico.
127
5 6
Para definir el adaptador de red para la norma, en la lista desplegable Aplicar esta norma al siguiente adaptador de red, seleccione un adaptador de red. Para elegir si desea que el estado del protector de pantalla active la norma, seleccione una opcin en la lista desplegable Aplicar esta norma cuando el protector de pantalla est. Para definir los disparadores para la norma, seleccione de las siguientes fichas:
Para obtener ms informacin sobre las opciones de cada ficha, haga clic en Ayuda.
8 9
Para definir el plazo cuando la norma se encuentra activa o inactiva, haga clic en Programacin y despus configure una programacin. Cuando termine de realizar los cambios, haga clic en Aceptar. columna Nombre de la norma tenga una marca de verificacin para que la norma quede habilitada.
1 2 3 4
En el cliente, en la barra lateral, haga clic en Estado. Al lado de Proteccin contra amenazas de red, haga clic en Opciones > Configurar normas de firewall. En el cuadro de dilogo Configurar normas de firewall, seleccione la norma que desea cambiar de lugar. Realice una de las acciones siguientes:
128
Para que el firewall procese esta norma antes de la norma que se encuentra encima de ella, haga clic en la flecha hacia arriba. Para que el firewall procese esta norma despus de la norma que se encuentra debajo de ella, haga clic en la flecha hacia abajo.
Cuando haya terminado de cambiar las normas de lugar, haga clic en Aceptar.
1 2 3
En el cliente, en la barra lateral, haga clic en Estado. Al lado de Proteccin contra amenazas de red, haga clic en Opciones > Configurar normas de firewall. En el cuadro de dilogo Configurar normas de firewall, en la columna Nombre de la norma, marque o deje sin marcar la casilla de verificacin ubicada al lado de la norma que desea habilitar e inhabilitar. Haga clic en Aceptar.
1 2 3 4
En el cliente, en la barra lateral, haga clic en Estado. Al lado de Proteccin contra amenazas de red, haga clic en Opciones > Configurar normas de firewall. En el cuadro de dilogo Configurar normas de firewall, seleccione las normas que desea exportar. Haga clic con el botn secundario en las normas y, a continuacin, haga clic en Exportar normas seleccionadas.
129
5 6
En el cuadro de dilogo Exportar, escriba un nombre de archivo y despus haga clic en Guardar. Haga clic en Aceptar.
1 2 3
En el cliente, en la barra lateral, haga clic en Estado. Al lado de Proteccin contra amenazas de red, haga clic en Opciones > Configurar normas de firewall. En el cuadro de dilogo Configurar normas de firewall, haga clic con el botn secundario en la lista de normas de firewall y despus haga clic en Importar norma. En el cuadro de dilogo Importar, localice el archivo .sar que contiene las normas que desea importar. Haga clic en Abrir. Haga clic en Aceptar.
4 5 6
1 2 3 4 5
En el cliente, en la barra lateral, haga clic en Estado. Al lado de Proteccin contra amenazas de red, haga clic en Opciones > Configurar normas de firewall. En el cuadro de dilogo Configurar normas de firewall, seleccione la norma y despus haga clic en Editar. Modifique la configuracin de cualquier ficha. Cuando termine de modificar las normas, haga clic en Aceptar.
1 2 3
En el cliente, en la barra lateral, haga clic en Estado. Al lado de Proteccin contra amenazas de red, haga clic en Opciones > Configurar normas de firewall. En el cuadro de dilogo Configurar normas de firewall, seleccione una o ms normas y haga clic en Eliminar.
130
4 5
Habilitar la proteccin Bloquea el trfico de NetBIOS de una gateway externa. de NetBIOS Es posible utilizar el archivo Entorno de red y compartir el uso de impresoras en una LAN y tambin proteger los puntos vulnerables de NetBIOS del ataque de cualquier red externa. Esta opcin bloquea los paquetes de NetBIOS que se originan en las direcciones IP que no son parte de los intervalos internos ICANN definidos. Los intervalos internos ICANN incluyen 10.x.x.x, 172.16.x.x, 192.168.x.x y 169.254.x.x, a excepcin de las subredes 169.254.0.x y 169.254.255.x. Los paquetes de NetBIOS incluyen UDP 88, UDP 137, UDP 138, TCP 135, TCP 139, TCP 445 y TCP 1026. Permitir el trfico de token ring Permite que los equipos cliente se conecten por un adaptador token ring para acceder a la red, independientemente de las normas de firewall del cliente. Si inhabilita esta configuracin, el trfico que provenga de los equipos que se conectan por un adaptador token ring no podr acceder a la red corporativa. El firewall no filtra trfico de token ring. Permite todo el trfico de token ring o bloquea todo el trfico de token ring. Bloquear todo el trfico hasta que el firewall se inicie y despus de que se detenga Bloquea todo el trfico entrante y trfico saliente del equipo cliente cuando el firewall no est en ejecucin por algn motivo. El equipo no queda protegido en las condiciones siguientes:
Despus de que el equipo cliente se inicia y antes de que comience el servicio de firewall. Despus de que el servicio de firewall se detiene y el equipo cliente se apaga.
Este plazo constituye una pequea vulnerabilidad que puede permitir la comunicacin no autorizada. Esta configuracin evita que las aplicaciones no autorizadas se comuniquen con otros equipos. Permitir trfico inicial Permite el trfico inicial que habilita la conectividad de red. Este trfico incluye el trfico de DHCP y NetBIOS inicial DHCP y NetBIOS que permite que el cliente obtenga una direccin IP.
131
Opciones
Habilitar exploracin Web en modo de ocultacin
Descripcin
Detecta el trfico HTTP de un navegador Web en cualquier puerto y quita el nombre y el nmero de versin del navegador, el sistema operativo y las pginas Web de referencia. Impide que los sitios Web puedan saber qu sistema operativo y navegador utiliza el equipo. No detecta trfico HTTPS (SSL). Impide que un intruso falsifique la direccin IP de un individuo. Los hackers utilizan falsificaciones de direcciones IP para secuestrar una sesin de comunicacin entre dos equipos, tales como equipo A y B. Un hacker puede enviar un paquete de datos que corte la comunicacin del equipo A. A continuacin, el hacker puede fingir ser el equipo A y comunicarse con el equipo B y atacarlo. Para proteger el equipo, la nueva secuencia TCP calcula aleatoriamente nmeros de secuencia TCP.
Previene la deteccin del sistema operativo de un equipo cliente. El cliente modifica el valor de identificacin y de TTL de los paquetes TCP/IP para impedir la identificacin de un sistema operativo. Permite el trfico ARP (Address Resolution Protocol) entrante y saliente solamente si una solicitud de ARP fue hecha a ese host especfico. Bloquea el resto del trfico inesperado y lo registra en el registro de seguridad.
Habilitar supervisin Permite al cliente supervisar cambios en las aplicaciones de red que se ejecutan en el equipo de aplicaciones de red cliente. Las aplicaciones de red envan y reciben trfico. El cliente detecta si el contenido de una aplicacin se modifica.
1 2 3 4
En el cliente, en la barra lateral, haga clic en Cambiar configuracin. Al lado de Proteccin contra amenazas de red, haga clic en Configurar opciones. En el cuadro de dilogo Configuracin de proteccin contra amenazas de red, haga clic en Firewall. En la ficha Firewall, en los cuadros agrupados Configuracin de trfico y Configuracin de ocultacin, marque las casillas de verificacin para habilitar la configuracin. Haga clic en Aceptar.
132
Si el cliente enva una solicitud al servidor, el cliente espera cinco segundos para permitir una respuesta entrante. Si el cliente no enva una solicitud al servidor, los filtros no admiten el paquete.
Los filtros inteligentes admiten el paquete si efectu una solicitud. No bloquean los paquetes. Las normas de firewall admiten o bloquean los paquetes. Para habilitar los filtros de trfico inteligentes
1 2 3 4
En el cliente, en la barra lateral, haga clic en Cambiar configuracin. Al lado de Proteccin contra amenazas de red, haga clic en Configurar opciones. En el cuadro de dilogo Configuracin de proteccin contra amenazas de red, haga clic en Firewall. Marque una o ms de las casillas siguientes:
Habilite automticamente la configuracin el uso compartido de archivos e impresoras en la red desde la ficha Microsoft Windows Networking.
133
Si una norma de firewall bloquea este trfico, la norma de firewall tiene prioridad sobre esta configuracin.
Habilite manualmente el uso compartido de archivos e impresoras en la red agregando normas de firewall. Es posible agregar las normas de firewall si desea ms flexibilidad que la que la configuracin proporciona. Por ejemplo, cuando se crea una norma, es posible especificar un host determinado y no todos los hosts. Las normas de firewall permiten que el acceso a los puertos para buscar y compartir archivos e impresoras. Es posible crear un conjunto de normas de firewall de modo que el cliente pueda compartir sus archivos. Se crea un segundo conjunto de normas de firewall de modo que el cliente pueda buscar otros archivos e impresoras. Su administrador pudo no haber habilitado esta opcin en el cliente. Usuarios en el cliente puede habilitar esta configuracin automticamente. Para obtener ms informacin, consulte la Gua del cliente para Symantec Endpoint Protection y Symantec Network Access Control.
1 2 3 4 5 6
En el cliente, en la barra lateral, haga clic en Cambiar configuracin. Al lado de Proteccin contra amenazas de red, haga clic en Configurar opciones. En el cuadro de dilogo Configuracin de proteccin contra amenazas de red, haga clic en Microsoft Windows Networking. En la ficha Microsoft Windows Networking, para buscar otros equipos y otras impresoras de la red, haga clic en Examinar archivos e impresoras en la red. A fin de permitir que otros equipos exploren los archivos de su equipo, haga clic en Compartir mis archivos e impresoras con otros en la red. Haga clic en Aceptar.
Para permitir de forma manual que los clientes busquen archivos e impresoras
1 2 3 4 5 6
En el cliente, en la barra lateral, haga clic en Estado. Al lado de Proteccin contra amenazas de red, haga clic en Opciones > Configurar normas de firewall. En el cuadro de dilogo Configurar normas de firewall, haga clic en Agregar. En la ficha General, escriba un nombre para la norma y haga clic en Permitir este trfico. En la ficha Puertos y protocolos, en la lista desplegable Protocolo, haga clic en TCP. En la lista desplegable Puertos remotos, escriba 88, 135, 139, 445..
134
7 8 9
Haga clic en Aceptar. En el cuadro de dilogo Configurar normas de firewall, haga clic en Agregar. En la ficha General, escriba un nombre para la norma y haga clic en Permitir este trfico. en UDP.
10 En la ficha Puertos y protocolos, en la lista desplegable Protocolo, haga clic 11 En la lista desplegable Puertos remotos, escriba 88.. 12 En la lista desplegable Puertos locales, escriba 137, 138.. 13 Haga clic en Aceptar.
Para permitir de forma manual que otros equipos busquen archivos en el cliente
1 2 3 4 5 6 7 8 9
En el cliente, en la barra lateral, haga clic en Estado. Al lado de Proteccin contra amenazas de red, haga clic en Opciones > Configurar normas de firewall. En el cuadro de dilogo Configurar normas de firewall, haga clic en Agregar. En la ficha General, escriba un nombre para la norma y haga clic en Permitir este trfico. En la ficha Puertos y protocolos, en la lista desplegable Protocolo, haga clic en TCP. En la lista desplegable Puertos locales, escriba 88, 135, 139, 445.. Haga clic en Aceptar. En el cuadro de dilogo Configurar normas de firewall, haga clic en Agregar. En la ficha General, escriba un nombre para la norma y haga clic en Permitir este trfico. en UDP.
10 En la ficha Puertos y protocolos, en la lista desplegable Protocolo, haga clic 11 En la lista desplegable Puertos locales, escriba 88, 137, 138.. 12 Haga clic en Aceptar.
Bloquear trfico
Es posible configurar su equipo para bloquear el trfico entrante y saliente en las situaciones siguientes:
Cuando el protector de pantalla de su equipo se activa. Es posible configurar su equipo para que bloquee todo el trfico entrante y saliente del Entorno de red cuando el protector de pantalla de su equipo se
135
activa. Tan pronto como el protector de pantalla se desactiva, su equipo vuelve al nivel de seguridad previamente asignado.
Cuando el firewall no se ejecuta. El equipo no estar protegido hasta que el equipo cliente se active y antes de que el servicio del firewall comience o despus de que el servicio del firewall se detenga y el equipo se desactive. Este plazo constituye una pequea vulnerabilidad que puede permitir la comunicacin no autorizada. Cuando se desea bloquear todo el trfico entrante y saliente en cualquier momento. Es posible para bloquear todo el trfico cuando un virus especialmente destructivo ataca la red o la subred de su compaa. No es necesario bloquear todo el trfico bajo circunstancias normales. Su administrador puede haber configurado esta opcin de forma que no est disponible.
Es posible permitir todo el trfico inhabilitando la Proteccin contra amenazas de red. Ver "Habilitar e inhabilitar Proteccin contra amenazas de red" en la pgina 50. Para bloquear el trfico cuando el protector de pantalla se activa
1 2 3 4
En el cliente, en la barra lateral, haga clic en Cambiar configuracin. Al lado de Proteccin contra amenazas de red, haga clic en Configurar opciones. En el cuadro de dilogo Configuracin de proteccin contra amenazas de red, haga clic en Microsoft Windows Networking. En la ficha Microsoft Windows Networking, haga clic en Bloquear el trfico de Microsoft Windows Networking cuando se ejecute el protector de pantalla. Haga clic en Aceptar.
1 2 3 4 5 6
En el cliente, en la barra lateral, haga clic en Cambiar configuracin. Al lado de Proteccin contra amenazas de red, haga clic en Configurar opciones. En el cuadro de dilogo Configuracin de proteccin contra amenazas de red, haga clic en Firewall. En la ficha Firewall, haga clic en Bloquear todo el trfico hasta que el firewall se inicie y despus de que se detenga. Puede tambin hacer clic en Permitir trfico inicial de DHCP y NetBIOS. Haga clic en Aceptar.
136
Administrar la proteccin contra amenazas de red Configurar las opciones de prevencin de intrusiones
1 2 3 4 5
En el cliente, en la barra lateral, haga clic en Estado. Al lado de Proteccin contra amenazas de red, haga clic en Opciones > Ver actividad de la red. Haga clic en Herramientas > Bloquear todo el trfico. Para confirmar, haga clic en S. Para volver a la configuracin anterior del firewall que el cliente utiliza, deje sin marcar Herramientas > Bloquear todo el trfico.
Firmas del sistema de prevencin de intrusiones que detectan y previenen ataques de red. Opciones de la prevencin de intrusiones que impiden anlisis de puertos y ataques de negacin de servicio. Una respuesta activa, que bloquea automticamente los equipos que envan ataques.
Tpicamente, cuando se inhabilitan las opciones de la prevencin de intrusiones en el equipo, ste es menos seguro. Sin embargo, puede ser necesario inhabilitar esta configuracin para evitar falsos positivos o para solucionar problemas en los equipos cliente. El cliente registra los ataques y los eventos de seguridad que el sistema de prevencin de intrusiones detecta en el Registro de seguridad. El cliente puede registrar los ataques y los eventos en el Registro de paquetes. Nota: Su administrador puede haber configurado estas opciones de forma que no estn disponibles. Para configurar las opciones de prevencin de intrusiones
1 2
En el cliente, en la barra lateral, haga clic en Cambiar configuracin. Al lado de Proteccin contra amenazas de red, haga clic en Configurar opciones.
Administrar la proteccin contra amenazas de red Configurar las opciones de prevencin de intrusiones
137
3 4
En el cuadro de dilogo Configuracin de proteccin contra amenazas de red, haga clic en Prevencin de intrusiones. Para habilitar una configuracin, en la ficha Prevencin de intrusiones, active cualquiera de las siguientes casillas de verificacin:
Habilitar prevencin de intrusiones Habilitar la deteccin de negacin de servicio Habilitar la deteccin de anlisis de puertos
1 2 3 4 5 6 7
En el cliente, en la barra lateral, haga clic en Cambiar configuracin. Al lado de Proteccin contra amenazas de red, haga clic en Configurar opciones. En el cuadro de dilogo Configuracin de proteccin contra amenazas de red, haga clic en Prevencin de intrusiones. Marque Mostrar notificaciones de prevencin de intrusiones. Para or una seal sonora cuando aparece la notificacin, marque Usar sonido al notificar a los usuarios. Escriba una cantidad de tiempo durante la cual aparecern las notificaciones en el campo Nmero de segundos que se deben mostrar las notificaciones. Haga clic en Aceptar.
138
Administrar la proteccin contra amenazas de red Configurar las opciones de prevencin de intrusiones
1 2 3 4
En el cliente, en la barra lateral, haga clic en Cambiar configuracin. Al lado de Proteccin contra amenazas de red, haga clic en Configurar opciones. En el cuadro de dilogo Configuracin de proteccin contra amenazas de red, haga clic en Prevencin de intrusiones. Marque Nmero de segundos de bloqueo automtico de la direccin IP de un atacante y despus escriba el nmero de segundos. Escriba un nmero entre 1 y 999 999 segundos. El tiempo predeterminado es de 600 segundos, o 10 minutos.
Haga clic en Aceptar. Si no desea esperar la cantidad de tiempo predeterminada para desbloquear la direccin IP, es posible desbloquearla inmediatamente.
1 2
En el cliente, en la barra lateral, haga clic en Ver registros. Al lado de Administracin de clientes, haga clic en Ver registros > Registro de seguridad.
Administrar la proteccin contra amenazas de red Configurar valores especficos de una aplicacin
139
En el Registro de seguridad, seleccione la fila que contiene la respuesta activa en la columna Tipo de evento y despus haga clic en Accin > Detener respuesta activa. Para desbloquear las direcciones IP bloqueadas, haga clic en Accin > Detener todas las respuestas activas. Si desbloquea una respuesta activa, la columna Tipo de evento indica Respuesta activa cancelada. Si finaliza el tiempo de espera de la respuesta activa, la columna Tipo de evento indica Respuesta activa deshabilitada.
4 5
En el cuadro de mensaje que aparece, haga clic en Aceptar. Haga clic en Archivo > Salir.
1 2 3
En el cliente, en la barra lateral, haga clic en Estado. Al lado de Proteccin contra amenazas de red, haga clic en Opciones > Ver opciones de aplicacin. En el cuadro de dilogo Ver opciones de aplicacin, seleccione la aplicacin que desea configurar y haga clic en Configurar.
140
Administrar la proteccin contra amenazas de red Configurar valores especficos de una aplicacin
4 5 6
En el cuadro de dilogo Configurar opciones de la aplicacin, en el cuadro IP de confianza para la aplicacin, escriba una direccin IP o un intervalo de IP. En los cuadros de grupo de los puertos del servidor remoto o los puertos locales, seleccione un puerto TCP o UDP. Para especificar la direccin del trfico, haga clic en una de las siguientes opciones o en ambas:
Para permitir el trfico saliente, haga clic en Permitir conexiones salientes. Para permitir el trfico entrante, haga clic en Permitir conexiones entrantes.
7 8 9
Para aplicar la norma cuando se ejecute el protector de pantalla, haga clic en Permitir mientras el protector de pantalla est activado. Para configurar una programacin cuando las restricciones estn o no estn activadas, haga clic en Habilitar programacin. Seleccione una de las siguientes opciones:
Para especificar el perodo durante el cual las restricciones estarn activadas, haga clic en Durante el siguiente perodo. Para especificar el perodo durante el cual las restricciones no estarn activadas, haga clic en Excepto el siguiente perodo.
10 Configure la programacin. 11 Haga clic en Aceptar. 12 En el cuadro de dilogo Ver opciones de aplicacin, para modificar la accin,
haga clic con el botn secundario en la aplicacin y, a continuacin, haga clic en Permitir o Bloquear..
1 2 3
En el cliente, en la barra lateral, haga clic en Estado. Al lado de Proteccin contra amenazas de red, haga clic en Opciones > Ver actividad de la red. En el cuadro de dilogo Actividad de red, en el campo Aplicaciones en ejecucin, haga clic con el botn secundario en la aplicacin o el servicio y, a continuacin, haga clic en Permitir o Bloquear.. Haga clic en Cerrar.
Administrar la proteccin contra amenazas de red Configurar valores especficos de una aplicacin
141
1 2 3 4
En el cliente, en la barra lateral, haga clic en Estado. Al lado de Proteccin contra amenazas de red, haga clic en Opciones > Ver actividad de la red. En el campo Aplicaciones en ejecucin, haga clic con el botn secundario en la aplicacin y, a continuacin, haga clic en Terminar. Haga clic en Aceptar.
1 2 3
En el cliente, en la barra lateral, haga clic en Estado. Al lado de Proteccin contra amenazas de red, haga clic en Opciones > Ver opciones de aplicacin. En el cuadro de dilogo Ver opciones de aplicacin, realice una de las siguientes acciones:
Para quitar una aplicacin de la lista, seleccinela y despus haga clic en Eliminar. Para quitar todas las aplicaciones de la lista, haga clic en Eliminar todo.
4 5
142
Administrar la proteccin contra amenazas de red Configurar valores especficos de una aplicacin
Seccin
144
Captulo
Acerca de Symantec Network Access Control Ejecutar una comprobacin de integridad del host Corregir el equipo Ver los registros de acceso a la red de Symantec Acerca de la aplicacin de polticas Configurar el cliente para la autenticacin 802.1x
146
Fundamentos de Symantec Network Access Control Acerca de Symantec Network Access Control
El cliente evala continuamente el cumplimiento. Se activa el equipo cliente. El cliente realiza una comprobacin de integridad del host que compara la configuracin del equipo con la poltica de integridad del host descargada del servidor de administracin. La comprobacin de integridad del host evala el equipo para verificar el cumplimiento de la poltica de integridad del host para el software antivirus, los parches, las correcciones y otros requisitos de seguridad. Por ejemplo, la poltica puede comprobar la antigedad de las definiciones de antivirus y los parches ms recientes aplicados al sistema operativo. Symantec Enforcer autentica el equipo cliente y concede al equipo acceso a la red o bloquea y pone en cuarentena los equipos que no cumplen la poltica. Si el equipo cumple todos los requisitos de la poltica, aprueba la comprobacin de integridad del host. Enforcer concede acceso de red completo a los equipos que aprueban la comprobacin de integridad del host. Si el equipo no cumple los requisitos de la poltica, no aprueba la comprobacin de integridad del host. Cuando no se aprueba una comprobacin de integridad del host, el cliente o Symantec Enforcer bloquean o ponen en cuarentena el equipo hasta que se lo corrija. Los equipos en cuarentena tienen acceso limitado a la red o no tienen ningn acceso. Ver "Acerca de la aplicacin de polticas" en la pgina 149. Su administrador puede haber configurado la poltica de modo que se apruebe la comprobacin de integridad del host incluso si falta un requisito especfico. El cliente puede visualizar una notificacin cada vez que se aprueba la comprobacin de integridad del host. Ver "Respuesta a las notificaciones de Network Access Control" en la pgina 30. El cliente corrige los equipos que no cumplen con la poltica. Si el cliente encuentra que no se cumple un requisito de la poltica de integridad del host, instala o solicita al cliente que instale el software necesario. Despus de corregir el equipo, intenta acceder a la red de nuevo. Si el equipo cumple totalmente con la poltica, se concede al equipo el acceso a la red. Ver "Corregir el equipo" en la pgina 148. El cliente supervisa de forma dinmica el cumplimiento.
Fundamentos de Symantec Network Access Control Ejecutar una comprobacin de integridad del host
147
El cliente supervisa activamente el estado de cumplimiento de todos los equipos cliente. Si en cualquier momento cambia el estado de cumplimiento del equipo, tambin lo hacen los privilegios de acceso a la red red del equipo. Es posible ver ms informacin sobre los resultados de la comprobacin de integridad del host en el Registro de seguridad.
1 2 3
En el cliente, en la barra lateral, haga clic en Estado. Junto a Network Access Control, haga clic en Opciones > Comprobar ahora. Si aparece un mensaje que confirma que se ejecut la comprobacin de integridad del host, haga clic en Aceptar. Si se haba bloqueado el acceso a la red, es necesario recuperar el acceso a ella cuando su equipo se haya actualizado para cumplir con la poltica de seguridad.
148
Corregir el equipo
Si el cliente encuentra que no se cumple un requisito de la poltica de integridad del host, responde en una de las maneras siguientes:
El cliente descarga la actualizacin de software automticamente. El cliente le solicita que descargue la actualizacin de software necesaria.
En el cuadro de dilogo de Symantec Endpoint Protection que aparece, realice una de las siguientes acciones:
Para ver qu requisitos de seguridad no se cumplen en su equipo, haga clic en Detalles. Para instalar inmediatamente el software, haga clic en Restaurar ahora. La opcin para cancelar la instalacin despus de que se haya iniciado puede aparecer o no. Para posponer la instalacin de software, haga clic en Recordrmelo ms tarde y seleccione un intervalo de tiempo en la lista desplegable. El administrador puede configurar el nmero mximo de veces que es posible posponer la instalacin.
Sistema
Si se utiliza un cliente administrado, ambos registros se pueden cargar regularmente al servidor. El administrador puede utilizar el contenido de los registros para analizar el estado de seguridad general de la red. Es posible exportar los datos desde estos registros.
149
1 2 3
En el cliente, en la barra lateral, haga clic en Estado. Para ver el registro del sistema, junto a Network Access Control, haga clic en Opciones > Ver registros. Para ver el Registro de seguridad, en el cuadro de dilogo Registros de Administracin de clientes - Registro del sistema, haga clic en Ver > Registro de seguridad. Haga clic en Archivo > Cerrar. Ver "Acerca de los registros" en la pgina 157.
El producto Symantec Network Access Control que el cliente ejecuta. El cliente tiene un identificador nico (UID). El cliente fue actualizado con la poltica de integridad del host ms reciente. El equipo cliente aprob la comprobacin de integridad del host.
150
Fundamentos de Symantec Network Access Control Configurar el cliente para la autenticacin 802.1x
Un cliente no autenticado o un suplicante de otro fabricante enva la informacin del usuario y del cumplimiento a un conmutador de red 802.1x administrado. El conmutador de red retransmite la informacin a LAN Enforcer. LAN Enforcer enva la informacin del usuario al servidor de autenticacin para su autenticacin. El servidor RADIUS es el servidor de autenticacin. Si el cliente no aprueba la autenticacin de nivel de usuario o no cumple con la poltica de integridad del host, Enforcer puede bloquearle el acceso a la red. Enforcer coloca los equipos cliente que no cumplen en una red de cuarentena donde el equipo puede ser corregido. Una vez que el cliente repara el equipo y alcanza el cumplimiento, el protocolo 802.1x vuelve a autenticar el equipo y le concede acceso a la red.
Para funcionar con LAN Enforcer, el cliente puede utilizar un suplicante de otro fabricante o un suplicante integrado. La Tabla 9-1 describe los tipos de opciones que es posible configurar para la autenticacin 802.1x. Tabla 9-1 Opcin
Suplicante de otro fabricante
Fundamentos de Symantec Network Access Control Configurar el cliente para la autenticacin 802.1x
151
Opcin
Modo transparente
Descripcin
Utiliza el cliente para ejecutarse como suplicante de 802.1x. Se utiliza este mtodo si el administrador no desea utilizar un servidor RADIUS para realizar la autenticacin de usuarios. LAN Enforcer se ejecuta en modo transparente y acta como servidor RADIUS falso. El modo transparente implica que el suplicante solicite informacin del usuario. En el modo transparente, el cliente acta como suplicante de 802.1x. El cliente responde a la solicitud de EAP del conmutador con el perfil del cliente y el estado de integridad del host. El conmutador, en su momento, transmite la informacin a LAN Enforcer, que acta como servidor RADIUS falso. LAN Enforcer valida la informacin de integridad del host y del perfil del cliente provista por el conmutador y puede permitir, bloquear o asignar dinmicamente una VLAN, segn sea necesario.
Advertencia: Pngase en contacto con su administrador antes de configurar su cliente para la autenticacin 802.1x. Es necesario saber si su red corporativa utiliza el servidor RADIUS como servidor de autenticacin. Si configura la autenticacin 802.1x incorrectamente, es posible que se corte su conexin a la red. Para configurar el cliente para utilizar un suplicante de otro fabricante
1 2
En el cliente, en la barra lateral, haga clic en Estado. Al lado de Control de acceso a la red, haga clic en Opciones > Configuracin 802.1x.
152
Fundamentos de Symantec Network Access Control Configurar el cliente para la autenticacin 802.1x
3 4
En el cuadro de dilogo Configuracin de Network Access Control, haga clic en Habilitar la autenticacin 802.1x. Haga clic en Aceptar. Es necesario tambin configurar una norma de firewall que permita controladores de suplicante de 802.1x de otro fabricante en la red. Ver "Adicin de normas" en la pgina 126. Es posible configurar el cliente para que utilice el suplicante integrado. Se habilita el cliente para la autenticacin 802.1x y como suplicante de 802.1x.
1 2 3 4 5
En el cliente, en la barra lateral, haga clic en Estado. Al lado de Control de acceso a la red, haga clic en Opciones > Configuracin 802.1x. En el cuadro de dilogo Configuracin de Network Access Control, haga clic en Habilitar la autenticacin 802.1x. Haga clic en Usar el cliente como suplicante de 802.1x. Realice una de las acciones siguientes:
Para seleccionar el modo transparente, marque Usar modo transparente de Symantec. Para configurar un suplicante integrado, haga clic en Permitir al usuario seleccionar el protocolo de autenticacin. A continuacin, debe elegir el protocolo de autenticacin para su conexin de red.
1 2 3
En el equipo cliente, haga clic en Inicio > Configuracin > Conexiones de red y despus haga doble clic en Conexin de rea local. En el cuadro de dilogo Propiedades de conexin de rea local, haga clic en la ficha Autenticacin. En la ficha Autenticacin, haga clic en la lista desplegable Tipo de EAP y seleccione uno de los protocolos de autenticacin siguientes:
Tarjeta inteligente u otro certificado EAP protegido (PEAP) Modo transparente de Symantec
Fundamentos de Symantec Network Access Control Configurar el cliente para la autenticacin 802.1x
153
Asegrese de que la casilla de verificacin Habilitar el control de acceso a la red mediante IEEE 802.1x est seleccionada.
4 5
Reautenticar el equipo
Si su equipo aprob la comprobacin de integridad del host, pero Enforcer lo bloquea, puede ser necesario reautenticar el equipo. Bajo circunstancias normales, nunca debera ser necesario reautenticar el equipo. Enforcer puede bloquear el equipo cuando ocurre uno de los siguientes eventos:
El equipo cliente no aprob la autenticacin de usuario porque se escribi el nombre de usuario o la contrasea incorrectamente. El equipo cliente est en la VLAN incorrecta. El equipo cliente no obtiene una conexin de red. Los problemas de conexin de red suceden generalmente porque el conmutador entre el equipo cliente y LAN Enforcer no autentic el nombre de usuario y la contrasea. Es necesario iniciar sesin en un equipo cliente que haya autenticado un usuario anterior. El equipo cliente no aprob la comprobacin de cumplimiento.
Es posible reautenticar el equipo solamente si usted o su administrador configuraron el equipo con un suplicante integrado. Nota: Su administrador puede no haber configurado el cliente para mostrar el comando Reautenticacin. Para reautenticar el equipo
1 2 3 4
Haga clic con el botn secundario en el icono del rea de notificacin. Haga clic en Reautenticacin. En el cuadro de dilogo Reautenticar, escriba su nombre de usuario y contrasea. Haga clic en Aceptar.
154
Fundamentos de Symantec Network Access Control Configurar el cliente para la autenticacin 802.1x
Seccin
Supervisin y registro
156
Captulo
10
Acerca de los registros Ver los registros y los detalles de registro Administrar el tamao del registro Poner en cuarentena riesgos y amenazas del Registro de riesgos y del Registro de amenazas Usar los registros de Proteccin contra amenazas de red y de Administracin de clientes Exportar datos de registro
158
registros para realizar seguimientos de las tendencias relacionadas con los virus, los riesgos de seguridad y los ataques al equipo. Si varias personas utilizan el mismo equipo, es posible que pueda identificar quin introduce riesgos, y ayudar a esa persona a tomar mayores precauciones. Los registros de la proteccin de red pueden ayudarlo a detectar actividad potencialmente peligrosa, tal como anlisis de puertos. Pueden tambin ser utilizados para rastrear el origen del trfico. Es posible tambin utilizar los registros de la proteccin de red para ayudar a solucionar problemas de conectividad o posibles ataques de red. Si Symantec Endpoint Protection est instalado, las siguientes vistas del registro estn disponibles:
Registro de anlisis, desde Proteccin antivirus y contra software espa Registro de riesgos, desde Proteccin antivirus y contra software espa Registro del sistema, desde Proteccin antivirus y contra software espa Registro de amenazas, desde Proteccin proactiva contra amenazas Registro del sistema, desde Proteccin proactiva contra amenazas Registro de proteccin contra intervenciones, desde Proteccin contra intervenciones Registro de trfico, desde Proteccin contra amenazas de red Registro de paquetes, desde Proteccin contra amenazas de red Registro de seguridad, desde Administracin de clientes y Proteccin contra amenazas de red Registro de control, desde Administracin de clientes Registro del sistema, desde Administracin de clientes
Si Symantec Network Access Control est instalado, los siguientes registros estn disponibles:
Los registros pueden indicar cundo el equipo fue bloqueado de la red y ayudarlo a determinar por qu se ha bloqueado su acceso. Para obtener ms informacin sobre un registro, es posible presionar F1 y ver la ayuda para ese registro. La Tabla 10-1 describe cada registro y las acciones que pueden llevarse a cabo con l.
159
Descripcin
El Registro de anlisis contiene entradas sobre los anlisis que se han ejecutado en su equipo en un cierto plazo. Es posible realizar las tareas siguientes en el Registro de anlisis: Ver una lista de los anlisis que han ocurrido en su equipo en un cierto plazo. Los anlisis se muestran acompaados de otros datos relevantes. Exportar los datos del registro a un archivo de texto delimitado por comas, para utilizarlos en otras aplicaciones. Hacer clic con el botn secundario en una entrada y ver sus propiedades.
Registro de riesgos
El Registro de riesgos contiene entradas sobre virus y riesgos de seguridad, tales como publicidad no deseada y software espa, que hayan infectado el equipo. Los riesgos de seguridad incluyen un vnculo a la pgina Web de Symantec Security Response que proporciona informacin adicional. Es posible realizar las tareas siguientes en el Registro de riesgos:
Ver una lista de los eventos relacionados con virus y con riesgos de seguridad.
Exportar los datos del registro a un archivo de texto delimitado por comas, para utilizarlos en otras aplicaciones. Limpiar un riesgo del equipo.
Deshacer los cambios que Symantec Endpoint Protection haya hecho al borrar un riesgo o reparar sus efectos secundarios. Poner en cuarentena los riesgos que se han detectado en su equipo.
Hacer clic con el botn secundario en una entrada y ver sus propiedades.
Registro del sistema de El Registro del sistema de Proteccin antivirus y contra software espa contiene informacin Proteccin antivirus y sobre las actividades del sistema en su equipo relacionadas con virus y riesgos de seguridad. contra software espa Esta informacin incluye cambios de configuracin, errores e informacin sobre el archivo de definiciones. Es posible realizar las tareas siguientes en el Registro del sistema de Proteccin antivirus y contra software espa: Ver una lista de eventos relacionados con la proteccin antivirus y contra software espa. Exportar los datos del registro a un archivo de texto delimitado por comas, para utilizarlos en otras aplicaciones. Filtrar la informacin del registro para ver solamente uno o algunos tipos de eventos.
Hacer clic con el botn secundario en una entrada y ver sus propiedades.
160
Registro
Descripcin
Registro de amenazas El Registro de amenazas contiene informacin sobre las amenazas que los anlisis de amenazas proactivos TruScan han detectado en su equipo. stas incluyen las aplicaciones comerciales que se pueden utilizar con propsitos maliciosos. Algunos ejemplos son los caballos de Troya, gusanos o registradores de pulsaciones, o los gusanos de correo masivos, los virus de macro y las amenazas basadas en scripts. Es posible realizar las tareas siguientes en el Registro de amenazas: Ver la lista de los eventos relacionados con amenazas del anlisis de amenazas proactivo TruScan. Exportar los datos del registro a un archivo de texto delimitado por comas, para utilizarlos en otras aplicaciones. Terminar los programas maliciosos o los procesos maliciosos que se hayan encontrado en su equipo. Restaurar elementos desde la cuarentena.
Poner en cuarentena las amenazas que se han detectado en su equipo. Hacer clic con el botn secundario en una entrada y ver sus propiedades.
Nota: Los botones de accin activos dependen de las acciones apropiadas para la entrada
de registro seleccionada. Registro del sistema de El Registro del sistema de Proteccin proactiva contra amenazas contiene informacin Proteccin proactiva sobre las actividades del sistema en el equipo relacionadas con los anlisis de amenazas contra amenazas proactivos TruScan. Es posible realizar las tareas siguientes en el Registro del sistema de Proteccin proactiva contra amenazas:
Ver los eventos del sistema relacionados con los anlisis de amenazas proactivos TruScan.
Exportar los datos a un archivo de texto delimitado por comas, para utilizarlos en otras aplicaciones. Filtrar la informacin del registro para ver solamente uno o algunos tipos de eventos.
Hacer clic con el botn secundario en una entrada y ver sus propiedades.
Registro de proteccin El Registro de proteccin contra intervenciones contiene entradas sobre los intentos de contra intervenciones manipulacin de las aplicaciones de Symantec en su equipo. Estas entradas contienen informacin sobre los intentos que Proteccin contra intervenciones detect o detect y frustr. Es posible realizar las tareas siguientes en el Registro de proteccin contra intervenciones:
Exportar los datos del registro a un archivo de texto delimitado por comas, para utilizarlos en otras aplicaciones. Hacer clic con el botn secundario en una entrada y ver sus propiedades.
161
Registro
Registro de trfico
Descripcin
El Registro de trfico contiene informacin sobre las conexiones del equipo a travs de la red. Es posible realizar las tareas siguientes en el Registro de trfico: Ver una lista de eventos de trfico entrante y de eventos de trfico saliente siempre que su equipo est conectado a una red. Desde el men Archivo, borrar todas las entradas del registro.
Desde el men Archivo, exportar los datos del registro a un archivo de texto delimitado por tabulaciones, para utilizarlos en otras aplicaciones. Desde el men Archivo, acceder a la configuracin de Proteccin contra amenazas de red y modificar las opciones disponibles. Desde el men Ver, alternar entre una vista local y una vista de origen.
Desde el men Filtro, filtrar las entradas seleccionando un intervalo de tiempo. Desde el men Accin, realizar un seguimiento de los paquetes de datos utilizados en intentos de ataques a fin de localizar su origen. Observe que no todas las entradas pueden ser localizadas.
Nota: Las acciones inadecuadas para una entrada determinada, o que no estn permitidas
por el administrador, no estn disponibles. Registro de paquetes El Registro de paquetes contiene informacin sobre los paquetes de datos que ingresan o salen a travs de los puertos del equipo. Es posible realizar las tareas siguientes en el Registro de paquetes: Ver una lista de eventos de trfico entrante y de eventos de trfico saliente siempre que su equipo est conectado a una red. Desde el men Archivo, borrar todas las entradas del registro.
Desde el men Archivo, exportar los datos a un archivo de texto delimitado por tabulaciones, formato de supervisor de red o formato de NetXray, para utilizarlos en otras aplicaciones. Desde el men Archivo, acceder a la configuracin de Proteccin contra amenazas de red y modificar las opciones disponibles. Desde el men Ver, alternar entre una vista local y una vista de origen.
Desde el men Filtro, filtrar las entradas seleccionando un intervalo de tiempo. Desde el men Accin, realizar un seguimiento de los paquetes de datos utilizados en intentos de ataques a fin de localizar su origen. Observe que no todas las entradas pueden ser localizadas.
162
Registro
Registro de control
Descripcin
El Registro de control contiene informacin sobre las claves de registro, los archivos y las DLL a los que accede una aplicacin, adems de las aplicaciones que el equipo ejecuta. Es posible realizar las tareas siguientes en el Registro de control:
Ver una lista de eventos de control. Desde el men Archivo, borrar todas las entradas del registro.
Desde el men Archivo, exportar los datos del registro a un archivo de texto delimitado por tabulaciones, para utilizarlos en otras aplicaciones. Desde el men Ver, alternar entre una vista local y una vista de origen.
Registro de seguridad
El Registro de seguridad contiene informacin sobre las actividades dirigidas hacia el equipo que pueden suponer una amenaza potencial. Algunos ejemplos son las actividades tales como los ataques de negacin de servicio, los anlisis de puertos y las alteraciones de archivos ejecutables. Es posible realizar las tareas siguientes en el Registro de seguridad:
Ver eventos relacionados con la seguridad. Desde el men Archivo, borrar todas las entradas del registro.
Desde el men Archivo, exportar los datos del registro a un archivo de texto delimitado por tabulaciones, para utilizarlos en otras aplicaciones. Desde el men Ver, alternar entre una vista local y una vista de origen. Desde el men Filtro, filtrar las entradas, a partir de un intervalo de tiempo o de su gravedad. Desde el men Accin, realizar un seguimiento de los paquetes de datos utilizados en intentos de ataques a fin de localizar su origen. Observe que no todas las entradas pueden ser localizadas. Evitar que el cliente bloquee los ataques realizados por otros equipos.
El Registro del sistema contiene informacin sobre todos los cambios operacionales realizados en el equipo. Los ejemplos incluyen actividades como el inicio o la detencin de un servicio, la deteccin de aplicaciones de red en el equipo o la configuracin de software. Es posible realizar las tareas siguientes en el Registro del sistema:
Ver una lista de eventos del sistema siempre que el equipo est conectado a una red. Desde el men Archivo, borrar todas las entradas del registro.
Desde el men Archivo, exportar los datos del registro a un archivo de texto delimitado por tabulaciones, para utilizarlos en otras aplicaciones. Desde el men Filtro, filtrar las entradas, a partir de un intervalo de tiempo o de su gravedad.
163
Nota: Si se ha iniciado sesin en un cliente administrado, algunas opciones de algunos registros pueden no estar disponibles. La disponibilidad de estas opciones depende de los permisos otorgados por el administrador. Esta nota se aplica a los registros de Proteccin contra amenazas de red, Administracin de clientes, trfico, paquetes, control, seguridad y del sistema. Las opciones que no son adecuadas para una entrada determinada en cualquier registro pueden no estar disponibles.
1 2
En el cliente, en la barra lateral, haga clic en Ver registros. Al lado del tipo de registro que desea ver, haga clic en Ver registros y despus haga clic en el nombre del registro. Desde una vista de los registros de Proteccin contra amenazas de red o desde algunos registros de Administracin de clientes, es posible alternar a una vista de los otros registros. Utilice el men Ver en la parte superior del cuadro de dilogo para acceder a otros registros.
Si abri una vista para uno de los registros de Proteccin contra amenazas de red o de Administracin de clientes, haga clic en Vista local o Vista de origen. Las columnas del registro cambian de acuerdo con la vista elegida, local o de origen. La vista local muestra el contenido desde la perspectiva del puerto local y del puerto remoto. Esta perspectiva se utiliza ms comnmente en un firewall basado en host. La vista de origen muestra el contenido desde la perspectiva del puerto de origen y del puerto del destino. Esta perspectiva se utiliza ms comnmente en un firewall basado en red. Si las entradas de los registros de Proteccin contra amenazas de red y de Administracin de clientes tienen ms informacin disponible, sta aparece en las ubicaciones siguientes:
La informacin de descripcin aparece en el panel inferior izquierdo de la vista del registro. La informacin de datos aparece en el panel inferior derecho de la vista del registro.
164
Es posible tambin ver los detalles de cualquier entrada de los registros de Proteccin antivirus y contra software espa, de Proteccin contra intervenciones y de Proteccin proactiva contra amenazas. Para el Registro de riesgos, los detalles proporcionan informacin adicional que no est disponible en la ventana de registro principal. Para ver detalles sobre la entrada de los registros de Proteccin antivirus y contra software espa, Proteccin contra intervenciones y Proteccin proactiva contra amenazas
1 2 3 4
En el cliente, en la barra lateral, haga clic en Ver registros. Al lado de Proteccin antivirus y contra software espa, Administracin de clientes o Proteccin proactiva contra amenazas, haga clic en Ver registros. Haga clic en el nombre del registro que desea ver. Haga clic con el botn secundario en una entrada de la lista y despus seleccione Propiedades.
1 2 3 4
En el cliente, en la barra lateral, haga clic en Ver registros. A la derecha de Proteccin contra amenazas de red o de Administracin de clientes, haga clic en Ver registros. Haga clic en el nombre del registro que desea ver. En la ventana de vista del registro, haga clic en Filtrar y despus seleccione el perodo para el cual desea ver los eventos del registro. Por ejemplo, si selecciona Registros de 2 semanas, el visor de registros muestra los eventos registrados durante los ltimos 14 das.
165
1 2 3 4 5
En el cliente, en la barra lateral, haga clic en Ver registros. A la derecha de Proteccin contra amenazas de red o de Administracin de clientes, haga clic en Ver registros. Haga clic en el nombre del registro que desea ver. En la ventana de visualizacin del registro, haga clic en Filtrar y despus haga clic en Gravedad. Deje sin marcar una de las siguientes opciones:
Crtico (Registro de seguridad solamente) Importante (Registro de seguridad solamente) Menor (Registro de seguridad solamente) Error (Registro del sistema solamente) Advertencia (Registro del sistema solamente) Informacin
Al dejar sin marcar un elemento, se eliminan los eventos de ese nivel de gravedad de la vista.
Es posible hacer clic en Gravedad y seleccionar otro nivel para eliminar niveles adicionales de gravedad de la vista.
Cambio de configuracin Inicio o cierre de Symantec Endpoint Protection Archivo de definiciones de virus Omisiones de anlisis Enviar al servidor de cuarentena
166
Enviar a Symantec Security Response Carga o descarga de Auto-Protect Administracin y uso mvil de clientes Envo de registros Advertencias de comunicacin no autorizada (acceso denegado) Administracin de certificados e inicio de sesin Cumplimiento del cliente Error de carga del motor de TruScan Error de carga de aplicaciones conocidas de TruScan Sistema operativo de TruScan no compatible
El nmero de eventos que aparece en los dos Registros del sistema se puede reducir mediante la visualizacin de determinados tipos de evento nicamente. Por ejemplo, si desea ver solamente los eventos que se relacionan con Auto-Protect, podra seleccionar solamente el tipo de carga o descarga de Auto-Protect. Si selecciona un tipo, no se detiene la grabacin de eventos en las otras categoras. Slo se ocultan las otras categoras cuando se visualiza el Registro del sistema. Nota: Solamente los eventos relevantes estn disponibles para la exclusin de la vista. Para filtrar los Registros del sistema por categora del evento
1 2 3 4 5 6
En el cliente, en la barra lateral, haga clic en Ver registros. Al lado de Proteccin antivirus y contra software espa o Proteccin proactiva contra amenazas, haga clic en Ver registros. Haga clic en Registro del sistema. Haga clic en Filtrar. Marque o deje sin marcar una o ms categoras de eventos. Haga clic en Aceptar.
167
de red y los registros de Administracin de clientes, es posible tambin configurar la cantidad de espacio utilizada.
Configurar el tiempo de retencin para las entradas de los registros de Proteccin antivirus y contra software espa y de Proteccin proactiva contra amenazas
Para configurar la cantidad de tiempo que conservan las entradas de registro
En el cliente, en la pgina Estado, al lado de Proteccin antivirus y contra software espa o Proteccin proactiva contra amenazas, haga clic en Opciones y despus haga clic en Cambiar configuracin. En la ficha General, configure el valor numrico y la unidad de tiempo para conservar las entradas en estos registros. Las entradas ms antiguas que el valor asignado se borran. Haga clic en Aceptar.
Configurar el tamao de los registros de Proteccin contra amenazas de red y de Administracin de clientes
Es posible configurar el tamao de cada registro de Proteccin contra amenazas de red y Administracin de clientes. Para modificar el tamao de los registros
1 2
En el cliente, en la pgina Estado, a la derecha de Proteccin contra amenazas de red, haga clic en Opciones y despus haga clic en Cambiar configuracin. En el cuadro de dilogo Configuracin de proteccin contra amenazas de red, en la ficha Registros, en el campo de texto Tamao mximo del archivo de registro, escriba el nmero mximo de kilobytes para el tamao del archivo de registro. Es necesario mantener reducido el tamao del archivo de registro debido al espacio disponible en el equipo. El tamao predeterminado para todos los registros es de 512 KB, a excepcin del registro de control y el registro de paquetes. El tamao predeterminado para el registro de control y el registro de paquetes es de KB 1024.
168
Configurar el tiempo de retencin para las entradas de registro de Proteccin contra amenazas de red y Administracin de clientes
Es posible especificar cuntos das se guardarn las entradas en cada registro. Despus de que se alcanza el nmero mximo de das, las entradas ms antiguas se sustituyen. Sera aconsejable eliminar entradas para ahorrar espacio o conservar entradas para revisar la seguridad de su equipo. Para configurar el nmero de das para conservar entradas de registro
1 2
En el cliente, en la pgina Estado, a la derecha de Proteccin contra amenazas de red, haga clic en Opciones y despus haga clic en Cambiar configuracin. En el cuadro de dilogo Configuracin de proteccin contra amenazas de red, en la ficha Registros, en el campo de texto Guardar cada entrada de registro para, escriba el nmero mximo de das para guardar las entradas de registro. Haga clic en Aceptar.
Acerca del borrado de contenido del Registro del sistema de Proteccin antivirus y contra software espa
No es posible quitar permanentemente registros de eventos del Registro del sistema mediante la interfaz de usuario.
Borrar el contenido de los registros de Proteccin contra amenazas de red y de Administracin de clientes
Si su administrador lo permite, es posible borrar el contenido de los registros de Proteccin contra amenazas de red y de Administracin de clientes. Despus de borrar un registro, ste comienza inmediatamente a guardar entradas de nuevo. Nota: Si la opcin de borrado no est disponible, no tendr permisos para borrar contenido del registro. Si tiene permiso para hacerlo, es posible tambin borrar contenido de un registro desde el men Archivo del registro. Para borrar el contenido de un registro
1 2
En el cliente, en la pgina Estado, a la derecha de Proteccin contra amenazas de red, haga clic en Opciones y despus haga clic en Cambiar configuracin. En el cuadro de dilogo Configurar la proteccin contra amenazas de red, en la ficha de Registros, al lado del registro que desee, haga clic en Borrar registro.
Uso y administracin de registros Poner en cuarentena riesgos y amenazas del Registro de riesgos y del Registro de amenazas
169
3 4
Poner en cuarentena riesgos y amenazas del Registro de riesgos y del Registro de amenazas
Es posible poner en cuarentena las amenazas que se han registrado en el historial de amenazas de Proteccin proactiva contra amenazas. Es posible poner en cuarentena riesgos del Registro de riesgos de Proteccin antivirus y contra software espa. Es posible tambin limpiar y borrar riesgos del Registro de riesgos de Proteccin antivirus y contra software espa. Para poner en cuarentena un riesgo o una amenaza
1 2
En el cliente, en la barra lateral, haga clic en Ver registros. Al lado de Proteccin antivirus y contra software espa o Proteccin proactiva contra amenazas, haga clic en Ver registros y despus haga clic en el nombre del registro que desee. Seleccione un riesgo o una amenaza y despus haga clic en Cuarentena. De acuerdo con la accin preseleccionada para una deteccin de riesgo, Symantec Endpoint Protection podr o no podr realizar la accin que usted seleccione. Si la amenaza o el riesgo fueron puestos correctamente en cuarentena, se mostrar un mensaje de resultado correcto. No es necesario tomar ms medidas para mantener el equipo a salvo de este riesgo o amenaza. Es posible dejar los archivos con riesgos que se colocaron en el rea de cuarentena all o suprimirlos. Se aconseja conservarlos en el rea de cuarentena hasta que est seguro de que las aplicaciones del equipo no han perdido funcionalidad. Ver "Acerca de los archivos infectados en la cuarentena" en la pgina 96. En los casos en queSymantec Endpoint Protection no puede poner el riesgo o la amenaza en cuarentena, se muestra un mensaje de error. En estos casos, puede ponerse en contacto con su administrador. Es posible tambin limpiar y borrar riesgos y amenazas, adems de deshacer acciones de estos registros, cuando sea pertinente. Ver "Acciones sobre los archivos infectados" en la pgina 24.
170
Uso y administracin de registros Usar los registros de Proteccin contra amenazas de red y de Administracin de clientes
1 2
En el cliente, en la barra lateral, haga clic en Ver registros. A la derecha de Proteccin contra amenazas de red o de Administracin de clientes, haga clic en Ver registros y despus haga clic en el nombre del registro que desee. En el men Ver, haga clic en Actualizar.
Uso y administracin de registros Usar los registros de Proteccin contra amenazas de red y de Administracin de clientes
171
1 2 3 4
En el cliente, en la pgina Estado, a la derecha de Proteccin contra amenazas de red, haga clic en Opciones y despus haga clic en Cambiar configuracin. En el cuadro de dilogo Configuracin de proteccin contra amenazas de red, haga clic en Registros. Marque Habilitar el registro de paquetes. Haga clic en Aceptar.
172
Uso y administracin de registros Usar los registros de Proteccin contra amenazas de red y de Administracin de clientes
Figura 10-1
Su equipo
Datos
Salto 1
Salto 2
Salto 3
Salto 4
Salto 5
Salto 6
Para algunas entradas de registro, es posible localizar un paquete de datos que fue utilizado en un intento de ataque. Cada router por el que pasa un paquete de datos tiene una direccin IP. Es posible ver la direccin IP y otros detalles. La informacin que se visualiza no garantiza que se haya detectado quin es el hacker. La direccin IP del salto final menciona al propietario del router mediante el cual se conectaron los hackers, pero no necesariamente a los hackers mismos. Es posible realizar un seguimiento regresivo de algunos eventos registrados en el Registro de seguridad y el Registro de trfico. Para realizar un seguimiento regresivo de un evento registrado
1 2
En el cliente, en la barra lateral, haga clic en Ver registros. A la derecha de Proteccin contra amenazas de red o de Administracin de clientes, haga clic en Ver registros. A continuacin, haga clic en el registro que contiene la entrada que desea localizar. En la ventana de visualizacin del registro, seleccione la fila de la entrada que usted desea localizar. Haga clic en Accin y despus haga clic en Realizar seguimiento regresivo.
3 4
173
En el cuadro de dilogo Informacin de seguimiento regresivo, haga clic en Quin es >> para ver informacin detallada sobre cada salto. Se muestra un panel desplegable con informacin detallada sobre el propietario de la direccin IP en la cual se origin el evento de trfico. Es posible utilizar Ctrl+C y Ctrl+V para cortar y pegar la informacin del panel en un mensaje de correo electrnico para su administrador.
6 7
Haga clic en Quin es << de nuevo para ocultar la informacin. Cuando haya terminado, haga clic en Aceptar.
Usar los registros de Administracin de clientes con Symantec Network Access Control
Si Symantec Network Access Control est instalado, es posible realizar las tareas siguientes desde el men Accin del Registro de seguridad y el Registro del sistema:
Actualizar una poltica Ver "Actualizar la poltica de seguridad" en la pgina 20. Comprobar la integridad del host Ver "Ejecutar una comprobacin de integridad del host" en la pgina 147.
Registro del sistema de Proteccin antivirus y contra software espa Registro de riesgos de Proteccin antivirus y contra software espa Registro de anlisis antivirus y de software espa
174
Registro del sistema de Proteccin proactiva contra amenazas Registro de amenazas de Proteccin proactiva contra amenazas Registro de proteccin contra intervenciones
Nota: Si filtra los datos del registro de cualquier manera y despus los exporta, se exportan solamente los datos filtrados actualmente. Esta restriccin no se aplica a los registros que se exportan a un archivo de texto delimitado por tabulaciones. Todos los datos de esos registros se exportan. Ver "Filtrar las vistas del registro" en la pgina 164. Es posible exportar los registros siguientes a un archivo .txt delimitado por tabulaciones:
Registro de control de Administracin de clientes Registro de paquetes de Proteccin contra amenazas de red Registro de seguridad de Administracin de clientes Registro del sistema de Administracin de clientes Registro de trfico de Proteccin contra amenazas de red
Nota: Adems de un archivo de texto delimitado por tabulaciones, es posible tambin exportar los datos del Registro de paquetes en formato de supervisor de red o formato de NetXray. En la instalacin Server Core de Windows Server 2008, los cuadros de dilogo de la interfaz de usuario pueden diferir de los que se describen en estos procedimientos. Para exportar datos a un archivo .csv
1 2 3 4
En el cliente, en la barra lateral, haga clic en Ver registros. Al lado de Proteccin antivirus y contra software espa o Proteccin proactiva contra amenazas, haga clic en Ver registros. Haga clic en el nombre del registro que desee. En la ventana del registro, asegrese de que aparezcan los datos que desea guardar. Haga clic en Exportar.
En la lista desplegable Guardar en, vaya al directorio donde desea guardar el archivo.
175
6 7
En el cuadro de texto Nombre de archivo, escriba un nombre para el archivo. Haga clic en Guardar.
Para exportar datos de registros de Proteccin contra amenazas de red o de Administracin de clientes a un archivo de texto
1 2 3 4
En el cliente, en la barra lateral, haga clic en Ver registros. A la derecha de Proteccin contra amenazas de red o de Administracin de clientes, haga clic en Ver registros. Haga clic en el nombre del registro del cual desea exportar datos. Haga clic en Archivo y despus haga clic en Exportar. Si seleccion el Registro de paquetes, puede hacer clic en Exportar al formato de supervisor de red o Exportar al formato de NetXray.
5 6 7
En la lista desplegable Guardar en, vaya al directorio donde desea guardar el archivo. En el cuadro de texto Guardar en, escriba un nombre para el archivo. Haga clic en Guardar.
176
ndice
A
acciones asignacin de segundas acciones para virus 88 consejos para asignar segundas acciones para riesgos de seguridad 89 actividad de red visualizacin 119 adaptadores definicin 124 amenazas combinadas 44 amenazas combinadas 44 anlisis. Ver antivirus y software espa anlisis de archivos por extensin 59 archivos 58 archivos comprimidos 73 excepciones centralizadas 93 exclusin de archivos 60 interpretacin de resultados 81 interrupcin 52 opciones de posposicin 55 programados 74 retraso 52 todos los tipos de archivo 60 anlisis de amenazas proactivo. Ver Anlisis de amenazas proactivos TruScan Anlisis de amenazas proactivos TruScan frecuencia 107 anlisis de amenazas proactivos TruScan acciones 110 acerca de 103104 administracin 108 aplicaciones comerciales 109 detecciones 106 envo de informacin 112 excepciones centralizadas 113 falsos positivos 107 nivel de sensibilidad 110 notificaciones 112 registros 160 tipos de procesos que se detectan 111
anlisis de inicio analizar por extensin 59 creacin 77 edicin y eliminacin 80 anlisis de puertos puerto 118 anlisis de red opciones de Auto-Protect 68 anlisis de riesgos de seguridad inhabilitar en Auto-Protect 67 anlisis definidos por el usuario edicin y eliminacin 80 anlisis del correo electrnico. Ver Auto-Protect anlisis manuales analizar por extensin 59 creacin 77 inicio 73 anlisis programados analizar por extensin 59 creacin 74 edicin y eliminacin 80 varios 77 aplicacin acerca de 149 aplicaciones definicin 123 permitir o bloquear 139 aplicaciones de publicidad no deseada 44 archivo de definiciones 17, 72 archivo infectado actuacin 24 archivos anlisis 58 copia de respaldo 99 envo a Symantec Security Response 101 exclusin de anlisis 93 liberacin de archivos desde la cuarentena 99 nuevo anlisis automtico de los archivos en cuarentena 98 nuevo anlisis manual de los archivos en cuarentena 99 ubicacin de reparados 99
178
ndice
uso compartido 132 ataques bloqueo 115 firmas 118 red 118 autenticacin 802.1x acerca de 149 configuracin 151 Auto-Protect analizar por extensin 59 clientes de correo electrnico para trabajo en grupo 63 conexiones cifradas de correo electrnico 65 confiar en versiones remotas 69 configuracin del anlisis de red 68 determinacin de tipos de archivo 67 estado 48 habilitar e inhabilitar para el correo electrnico 49 habilitar e inhabilitar para el sistema de archivos 49 inhabilitacin temporal 48 inhabilitar el anlisis de riesgos de seguridad 67 memoria cach de red 69 para clientes de Microsoft Exchange 63 para correo electrnico de Internet 63 para Lotus Notes 63 riesgos de seguridad 63 utilizacin 62 ver la lista de riesgos 66 visualizacin de las estadsticas de anlisis 66 Ayuda en lnea acceso 20
B
bloquear el trfico 126 bloquear trfico 134, 139 bloquear un equipo atacante 138 bots 44 bots de Internet 44
C
Caballos de Troya 44 carpeta Elementos de copia de respaldo limpieza 99 carpetas exclusin de anlisis 93 categora de riesgo Otros 45
Centro de Seguridad de Windows visualizacin del estado del antivirus 51 visualizacin del estado del firewall 52 clasificacin de impacto del riesgo 89 cliente acerca de 13 apertura 14 deshabilitacin 14 interaccin 23 clientes administrados actualizacin 19 frente a clientes independientes 39 clientes independientes frente a clientes administrados 39 clientes no administrados actualizacin 19 comandos icono del rea de notificacin 14 compartir archivos e impresoras 132 comprobacin de integridad del host ejecucin 147 conexiones UDP acerca de 125 control de acceso a la red acerca de 145146 aplicacin 149 corregir el equipo 148 correo electrnico conexiones cifradas 65 exclusin del archivo de bandeja de entrada de los anlisis 58 liberacin de archivos adjuntos desde la cuarentena 99 cuarentena 96 administracin 98 borrar archivos 97, 100 eliminacin de archivos de copia de respaldo 99 envo de archivos a Symantec Security Response 101 liberacin de archivos 99 nuevo anlisis automtico de archivos 98 nuevo anlisis manual de archivos 99 supresin manual de archivos 100 traslado de archivos 96 tratamiento de archivos infectados 97 tratamiento de archivos infectados por riesgos de seguridad 97 ver archivos infectados 96 visualizacin de detalles de archivo 98
ndice
179
D
definicin anlisis 118 desbloquear un equipo atacante 138
E
enmascaramiento de huella digital del sistema operativo habilitacin 130 entornos administrados acerca de 14 entornos no administrados acerca de 14 equipos de 64 bits 73 excepciones centralizadas exclusin de elementos de anlisis 60 para anlisis antivirus y de software espa 93 para las detecciones del anlisis de amenazas proactivo 113 exclusiones crear para anlisis 60 extensiones exclusin de anlisis 93 incluir en anlisis 59
iconos cliente 14 infecciones de virus de macro prevencin 61 inspeccin de estado acerca de 124 creacin de normas de trfico 124
L
LiveUpdate funcionamiento 19
M
manuales, anlisis. Ver anlisis manuales marcadores 44 memoria cach de red opciones de Auto-Protect 69 mensajes prevencin de intrusiones 137 respuesta 26
N
navegacin oculta por la Web habilitacin 130 Network Access Control notificaciones 30 normas de firewall acerca de 122 creacin 126 edicin 129 eliminacin 129 exportacin 128 habilitar e inhabilitar 128 importacin 129 modificacin del orden de 127 orden de procesamiento 125 programacin 123 registro 123 notificaciones acerca de 23 control de acceso a la red 30 interaccin de los usuarios 82 prevencin de intrusiones 137 respuesta 26 nueva secuencia TCP habilitacin 130
F
filtros de trfico inteligentes definicin 132 firewall acerca de 116 valores 121, 130 firmas 17 firmas IPS acerca de 118
G
gusanos 44
H
herramientas de hackeo 44 host definicin 123
I
icono del rea de notificacin acerca de 14 ocultar y visualizar 16
180
ndice
O
opciones no disponibles 40
R
reautenticacin 153 Registro de amenazas 160 Registro de anlisis 159 Registro de control 162 Registro de paquetes 161 habilitacin 170 Registro de proteccin contra intervenciones 160 Registro de riesgos 159 Registro de seguridad 162 Registro de trfico 161 Registro del sistema 162 Proteccin proactiva contra amenazas 160 supresin de entradas 168 Registro del sistema de Proteccin antivirus y contra software espa 159 registros acerca de 157 actualizacin 170 Administracin de clientes 170 configuracin de por cunto tiempo se guardan las entradas 168 configuracin del tamao 167 configurar por cunto tiempo se guardan las entradas 167 control de acceso a la red 148 descripcin 158 eliminacin 168 exportacin de datos 173 exportacin de entradas de registro filtradas 174 filtrado 164 filtrar por categora del evento 166 filtrar por nivel de gravedad 165 filtrar por perodo 164 formatos de exportacin 173174 habilitar el Registro de paquetes 170 limitacin del tamao 167 localizar entradas 171 poner en cuarentena riesgos y amenazas 169 Proteccin contra amenazas de red 170 Symantec Endpoint Protection 158 Symantec Network Access Control 158 ver propiedades de las entradas 164 visualizacin 163 respuesta activa acerca de 138 riesgos de seguridad 43 configuracin de acciones 84 configuracin de notificaciones 90
P
permitir el trfico 126 permitir trfico 139 polticas acerca de 19 actualizacin 14, 20 prevencin de intrusiones acerca de 118 configuracin 136 habilitacin 136 notificaciones 137 respuesta 29 probar su equipo 33 programas broma 45 programas de acceso remoto 45 programas de seguimiento 45 proteccin actualizacin 17, 19 habilitar e inhabilitar tipos 47 tipos 13 Proteccin antivirus y contra software espa acerca de 40, 58 estado 48 habilitar e inhabilitar 48 Proteccin contra amenazas de red acerca de 41, 115 habilitar e inhabilitar 50 Proteccin contra intervenciones acerca de 35 configuracin 36 habilitar e inhabilitar 36 proteccin contra la falsificacin de direccin MAC habilitacin 130 proteccin de controladores habilitacin 130 proteccin de da cero 103 Proteccin de NetBIOS habilitacin 130 Proteccin proactiva contra amenazas acerca de 41 habilitar e inhabilitar 51 protocolo definicin 124 puertos acerca de 115
ndice
181
consejos para asignar segundas acciones 89 deteccin del cliente 71 exclusin de anlisis 93 opciones 91 Opciones de correccin 91 proceso que contina descargando 63 qu hacer cuando se detectan 62 respuesta del cliente 47 rootkits 43
S
Servicios de Windows demostracin 120 Smart DHCP 132 Smart DNS 132 Smart WINS 132 software espa 45 supervisin de aplicaciones de red habilitacin 130 Symantec Security Response acceso 21 acerca de 18 envo de archivos 101 sitio Web 2021
prevencin de intrusiones 136 virus 4344 asignacin de segundas acciones 88 configuracin de acciones 84 configuracin de notificaciones 90 dao de archivos 26 deteccin del cliente 71 no reconocidos 101 opciones de correccin 91 opciones de deteccin 91 qu hacer cuando se detectan 62 respuesta del cliente 47
T
tasas de deteccin envo de informacin a Symantec 84 tipos de anlisis manual 73 trfico bloqueo 134 permitir o bloquear 139 visualizacin 119 trfico de difusin demostracin 120 trfico de token ring habilitacin 130
U
ubicaciones acerca de 34 modificacin 34 uso compartido de impresoras 132
V
valores firewall 121