LANDesk Security Suite User 8.8

LANDesk Security Suite 8.
Manual de usuario
MANUAL DE USUARIO
Copyright 2002-2007, LANDesk Software, Ltd. Reservados todos los derechos. LANDesk, Peer Download y Targeted Multicast son marcas comerciales registradas o marcas comerciales de LANDesk Software, Ltd. o sus afiliadas en EE.UU. y/o en otros pases. Avocent es una marca comercial registrada de Avocent Corporation. Otras marcas y nombres pertenecen a sus respectivos propietarios. LANDesk y Avocent no garantizan que este documento est libre de errores y cada uno de ellos se reserva el derecho de realizar cambios en este documento o en las especificaciones y descripciones de los productos relacionados, en cualquier momento y sin previo aviso. LANDesk y Avocent no asumen ninguna obligacin de actualizar la informacin contenida en este documento. Este documento se proporciona TAL CUAL y sin ninguna garanta o licencia, ya sea explcita o implcita, lo cual incluye, entre otras cosas: adecuacin para un propsito determinado, comerciabilidad, falta de infraccin de propiedad intelectual u otros derechos de terceros. Los productos de LANDesk o Avocent mencionados en este documento no se deben utilizar en aplicaciones mdicas, de socorro o de mantenimiento. Es probable que entidades de terceros tengan derechos de propiedad intelectual pertinentes a este documento y las tecnologas mencionadas en l.
LANDESK SECURITY SUITE
Contenido
Cubierta .......................................................................................................................................... 1 Contenido ....................................................................................................................................... 3 Introduccin a LANDesk Security Suite...................................................................................... 7 Informacin general: Una solucin de seguridad en capas .......................................................... 7 Instalacin/activacin de Security Suite ...................................................................................... 10 Suscripcin a los contenidos de Security Suite .......................................................................... 10 Herramientas y funciones de Security Suite ............................................................................... 11 Herramientas de LANDesk comunes adicionales incluidas con LANDesk Security Suite ......... 14 Fuentes de informacin adicionales............................................................................................ 16 Administrador de Seguridad y Revisiones ............................................................................... 17 Lo que viene: Qu debe hacer despus de configurar los dispositivos para la administracin de seguridad de LANDesk ............................................................................................................... 19 Introduccin al Administrador de Seguridad y Revisiones.......................................................... 19 Administracin basada en funciones con el Administrador de Seguridad y Revisiones ............ 22 Uso de la ventana herramientas del Administrador de Seguridad y Revisiones ........................ 25 Configuracin de dispositivos para rastreos de seguridad y reparaciones................................. 35 Administracin del contenido de seguridad y revisiones ............................................................ 40 Descarga de actualizaciones del contenido de seguridad y revisiones...................................... 41 Visualizacin del contenido de seguridad y revisin................................................................... 44 Bsqueda de vulnerabilidades por nombres CVE ...................................................................... 44 Uso de filtros para personalizar las listas de elementos ............................................................. 45 Vista de la informacin de seguridad de un dispositivo rastreado.............................................. 45 Quitar vulnerabilidades................................................................................................................ 45 Uso de las revisiones .................................................................................................................. 46 Descarga de revisiones............................................................................................................... 46 Desinstalacin de revisiones....................................................................................................... 47 Uso de definiciones personalizadas............................................................................................ 48 Creacin de definiciones personalizadas y reglas de deteccin ................................................ 48 Rastreo y reparacin de dispositivos .......................................................................................... 54 Rastreo de dispositivos para detectar riesgos de seguridad ...................................................... 55 Reparacin de dispositivos con riesgos de seguridad detectados ............................................. 64 Mtodos de reparacin................................................................................................................ 70 Qu sucede en un dispositivo durante la reparacin?.............................................................. 73 Ver informacin de seguridad y revisiones para los dispositivos rastreados. ............................ 74 Otras tareas de administracin de seguridad ............................................................................. 76 Creacin de una tarea programada de reinicio........................................................................... 76 Uso de las alertas de seguridad.................................................................................................. 76 Uso de los informes de seguridad............................................................................................... 77 Uso de nombres CVE.................................................................................................................. 78 LANDesk Network Access Control (NAC)................................................................................. 80 Panorama de LANDesk Network Access Control ....................................................................... 82 Descripcin y seleccin de la solucin del NAC de LANDesk.................................................... 88 Uso de la solucin LANDesk DHCP............................................................................................ 91 Tarea de inicio rpido para la configuracin de una implementacin de LANDesk DHCP ...... 103 Instalacin y configuracin de un servidor de reparaciones ..................................................... 110 Configuracin de un servidor DCHP de LANDesk.................................................................... 114 Configuracin del servidor DHCP de LANDesk con la herramienta Administrador DHCP de LANDesk ................................................................................................................................... 118 Uso de la solucin Cisco NAC .................................................................................................. 129
3
MANUAL DE USUARIO
Lista de tareas de inicio rpido para la configuracin de una implementacin de Cisco NAC. 141 Instalacin y configuracin de un servidor de validacin de postura dedicado ........................ 146 Configuracin de los criterios de seguridad de cumplimiento y publicacin de la configuracin de NAC de LANDesk................................................................................................................. 150 Administracin de la seguridad de cumplimiento del NAC de LANDesk .................................. 163 Uso de la solucin LANDesk IP Security .................................................................................. 171 Uso de la solucin LANDesk 802.1X ........................................................................................ 181 LANDesk Antivirus .................................................................................................................... 193 Informacin general de LANDesk Antivirus .............................................................................. 194 Configuracin de dispositivos para la proteccin de LANDesk Antivirus.................................. 197 Actualizacin de los archivos de definiciones de virus ............................................................. 200 Evaluacin de los archivos de definiciones de virus con una prueba piloto ............................. 202 Copia de seguridad de los archivos de definiciones de virus ................................................... 203 Exploracin de virus de dispositivos ......................................................................................... 203 Habilitacin de la proteccin de antivirus en tiempo real (archivo, correo electrnico) ............ 205 Configuracin de las opciones de rastreo de antivirus con la configuracin de antivirus......... 207 Lo que sucede en un dispositivo durante un rastreo de antivirus............................................. 212 Visualizacin de la informacin de actividad y estado de antivirus .......................................... 214 Uso de las alertas de antivirus .................................................................................................. 214 Generacin de informes de antivirus......................................................................................... 215 Vista de informacin sobre antivirus en el tablero digital ejecutivo de la consola Web............ 216 LANDesk Host Intrusion Prevention System.......................................................................... 217 Informacin general de LANDesk HIPS.................................................................................... 218 Configuracin de dispositivos para la proteccin de LANDesk HIPS ....................................... 221 Proteccin de dispositivos administrados con LANDesk HIPS................................................. 224 Definicin de las opciones de proteccin de LANDesk HIPS en la configuracin de HIPS ..... 225 Qu sucede en los dispositivos configurados con LANDesk HIPS .......................................... 233 Visualizacin de la informacin de actividad de HIPS .............................................................. 234 Vigilante del agente de LANDesk............................................................................................. 237 Informacin general del Vigilante del agente de LANDesk....................................................... 237 Habilitacin, configuracin y deshabilitacin de la Supervisin del vigilante del agente.......... 239 Uso de los informes del Vigilante del agente ............................................................................ 242 Administrador del control de conexiones .............................................................................. 244 Uso de las configuraciones del control de conexiones para restringir el acceso a la red ........ 245 Uso de las configuraciones del control de dispositivos para restringir el acceso a los dispositivos USB ........................................................................................................................................... 248 Configuracin de alertas ........................................................................................................... 257 Implementacin de configuraciones.......................................................................................... 257 Resolucin de problemas del CCM........................................................................................... 258 Uso de la consola ...................................................................................................................... 260 Introduccin a la consola........................................................................................................... 260 Inicio de la consola .................................................................................................................... 261 Cambio de la conexin al servidor central ................................................................................ 262 Vista de red ............................................................................................................................... 262 Creacin de grupos ................................................................................................................... 265 Iconos de dispositivos ............................................................................................................... 267 Visualizacin de dispositivos administrados en el grupo Todos los dispositivos...................... 268 Mens contextuales................................................................................................................... 269 Configuracin de la vista de red con conjuntos de columnas................................................... 270 Opciones de la barra de herramientas ...................................................................................... 273 Uso de las herramientas de la consola ..................................................................................... 274 Ventanas de herramientas acoplables ...................................................................................... 274 Guardar disposiciones de ventanas .......................................................................................... 275
Barra Buscar.............................................................................................................................. 276 Barra de estado ......................................................................................................................... 276 Visualizacin de las propiedades del dispositivo ...................................................................... 277 Supervisin de dispositivos para la conectividad de red........................................................... 280 Administracin basada en funciones...................................................................................... 282 Informacin general sobre la administracin basada en funciones .......................................... 282 Administracin de usuarios de LANDesk.................................................................................. 284 Administracin de grupos.......................................................................................................... 288 Conocimiento de los derechos .................................................................................................. 290 Creacin de mbitos ................................................................................................................. 298 Asignacin de derechos y mbito a los usuarios ...................................................................... 301 Configuracin de servicios ...................................................................................................... 302 Seleccin de un servidor y una base de datos centrales con la configuracin General........... 302 Configuracin del servicio de Inventario ................................................................................... 303 Configuracin del servicio programador ................................................................................... 307 Configuracin de credenciales del servidor preferido ............................................................... 309 Configuracin del servicio de tareas personalizadas................................................................ 310 Configuracin del servicio de multidifusin ............................................................................... 311 Configuracin del servicio de implementacin de SO............................................................... 312 Configuracin de agentes de dispositivo ............................................................................... 314 Operaciones con configuraciones de agentes .......................................................................... 314 Seguridad de agente y certificados de confianza ..................................................................... 319 Desinstalacin de agentes de dispositivo ................................................................................. 322 Uso de LANDesk Server Manager y Administrador de sistema de LANDesk con LANDesk Management Suite .................................................................................................................... 322 Consultas de base de datos ..................................................................................................... 324 Introduccin a las consultas ...................................................................................................... 324 Grupos de consultas ................................................................................................................. 324 Creacin de consultas de base de datos .................................................................................. 325 Ejecucin de consultas de base de datos................................................................................. 327 Importacin y exportacin de consultas .................................................................................... 327 Consultas LDAP......................................................................................................................... 328 Configuracin de directorios LDAP ........................................................................................... 328 Acerca de la ventana Administrador de directorios................................................................... 329 Informacin adicional sobre el protocolo ligero de acceso a directorios (LDAP)...................... 332 Administracin del inventario .................................................................................................. 334 Introduccin al rastreo de inventario ......................................................................................... 334 Visualizacin de datos del inventario ........................................................................................ 336 Seguimiento de cambios del inventario .................................................................................... 338 Uso de formularios de datos personalizados ............................................................................ 339 Uso de un servidor de inventario diferente al servidor central.................................................. 343 Informes...................................................................................................................................... 345 Introduccin a los informes ....................................................................................................... 345 Ejecucin y visualizacin de informes....................................................................................... 347 Publicacin de informes ............................................................................................................ 348 Creacin de informes personalizados ....................................................................................... 352 Importacin y exportacin de informes ..................................................................................... 358 Creacin de archivos .CSV ....................................................................................................... 358 Tareas y secuencias de comando ........................................................................................... 360 Administracin de secuencias de comandos ............................................................................ 361 Programacin de tareas ............................................................................................................ 362 Uso de las secuencias de comandos predeterminadas............................................................ 368 Uso de la base de datos central de resumen para programar tareas globalmente.................. 369
5
MANUAL DE USUARIO
Uso del programador local ........................................................................................................ 370 Distribucin de software........................................................................................................... 377 Introduccin a la Distribucin de software ................................................................................ 377 Configuracin del servidor de entregas .................................................................................... 382 Distribucin de paquetes........................................................................................................... 386 Uso de paquetes de distribucin MSI........................................................................................ 399 Distribucin de software en dispositivos Linux.......................................................................... 402 Resolucin de problemas de distribucin ................................................................................. 403 Administracin basada en polticas........................................................................................... 404 Acerca de la administracin basada en polticas ...................................................................... 404 Configuracin de polticas ......................................................................................................... 406 Administracin basada en polticas........................................................................................... 409 Acerca de la administracin basada en polticas ...................................................................... 410 Configuracin de polticas ......................................................................................................... 411 Deteccin de dispositivos no administrados ......................................................................... 416 Informacin general sobre la deteccin de dispositivos no administrados ............................... 416 Deteccin con UDD de dispositivos no administrados.............................................................. 417 Uso de la deteccin extendida de dispositivos (ARP y WAP) .................................................. 419 Qu sucede cuando se detecta un dispositivo.......................................................................... 424 Implementacin de agentes de LANDesk en dispositivos no administrados............................ 425 Restauracin de registros de cliente ......................................................................................... 426 Apndice D: Informacin adicional sobre el rastreo de seguridad...................................... 428 Apndice E: Ayuda de contexto............................................................................................... 435 Ayuda de LANDesk Antivirus .................................................................................................... 435 Ayuda de Inventario .................................................................................................................. 455 Ayuda para el dispositivo administrado..................................................................................... 460 Ayuda de Informes .................................................................................................................... 489 Ayuda de tareas programadas .................................................................................................. 492 Ayuda del Administrador de Seguridad y Revisiones ............................................................... 498 Ayuda de la distribucin de software......................................................................................... 537 Uso del cuadro de dilogo Paquete de distribucin.................................................................. 537 Uso del cuadro de dilogo Mtodos de entrega ....................................................................... 543 Ayuda de la deteccin de dispositivos no administrados.......................................................... 559
Introduccin a LANDesk Security Suite

LANDesk Security Suite proporciona las herramientas necesarias para administrar y proteger los dispositivos y los datos crticos de las redes empresariales heterogneas desde una consola. Security Suite es compatible con las redes Windows NT*, Windows* 2000/2003, Macintosh* y Linux*. Security Suite se basa en la funcionalidad primaria de LANDesk Management Suite que permite configurar y administrar los dispositivos de redes, para luego mejorar y enfocar dicha funcionalidad mediante herramientas especficas relacionadas con la seguridad, tales como el Administrador de Seguridad y Revisiones, el Control de acceso de red (NAC) de LANDesk, LANDesk Antivirus, el Administrador de control de conexiones, el vigilante del agente, y otras; creando una solucin de seguridad integral en capas. Lea este captulo para obtener informacin sobre: "Informacin general: Una solucin de seguridad en capas" en la pgina 7 "Instalacin/activacin de Security Suite" en la pgina 10 "Suscripcin a los contenidos de Security Suite" en la pgina 10 "Herramientas y funciones de Security Suite" en la pgina 11 "Administrador de Seguridad y Revisiones" en la pgina 11 "Cumplimiento de estndares de nombres CVE" en la pgina 12 "Control de acceso de red de LANDesk:" en la pgina 12 "LANDesk Antivirus" en la pgina 13 "Administrador de control de conexiones" en la pgina 13 "Herramientas de LANDesk comunes adicionales incluidas con LANDesk Security Suite" en la pgina 14 "Fuentes de informacin adicionales" en la pgina 16
Informacin general: Una solucin de seguridad en capas

LANDesk Security Suite es una solucin de administracin de seguridad completa que permite supervisar, defender, reparar y fortalecer de manera activa su infraestructura y recursos de red.
MANUAL DE USUARIO
La herramienta fundamental del Administrador de Seguridad y Revisiones permite rastrear y reparar tipos prevalentes de riesgos de seguridad que amenazan continuamente la condicin y el desempeo de los dispositivos administrados, entre ellos: vulnerabilidades conocidas de sistemas operativos y aplicaciones, spyware, virus, errores de configuracin del sistema, aplicaciones no autorizadas o prohibidas y otras exposiciones potenciales de seguridad. LANDesk Antivirus permite descargar las ltimas actualizaciones de archivos de definiciones de virus y configurar los rastreos de virus que buscan virus en los dispositivos administrados y le proveen al usuario final opciones para manejar los archivos infectados y en cuarentena. El Control de acceso de red (NAC) de LANDesk provee seguridad de cumplimiento de punto extremo en la red y permite crear directivas de cumplimiento personalizadas mediante la herramienta Administrador de Seguridad y Revisiones y aplicar dichas directivas en los dispositivos que intentan el acceso a la red a travs del proceso de validacin de postura. La herramienta Administrador de control de conexiones le permite supervisar y restringir el acceso a los dispositivos administrados a travs de conexiones de red y dispositivos de E/S. La tabla que aparece a continuacin muestra la forma en que las herramientas de Security Suite se complementan y proporcionan una defensa fuerte del sistema: Tarea / problema de seguridad Conocimiento y verificacin Vistas de la consola : - Listas de contenidos de seguridad - Propiedades de las definiciones (y reglas de deteccin) - Informacin de seguridad y revisiones - Actividad y estado de Antivirus Informes Alertas Vistas del Escritorio ejecutivo de la consola Web Control de acceso a la red (seguridad de punto extremo, cumplimiento de directivas) Evaluacin y reparacin de vulnerabilidades (definiciones de seguridad personalizadas) Administracin de revisiones Deteccin y reparacin de programas dainos Control de acceso de red (NAC) de LANDesk. Solucin de LANDesk Security Suite
Administrador de Seguridad y Revisiones Administrador de Seguridad y Revisiones Antivirus Rastreos de software riesgoso Anti-spyware Rastreos en tiempo real Bloqueador de aplicaciones Administrador de control de conexiones Vigilante del agente Administracin de servidores de seguridad Deteccin de dispositivos no administrados
Configuracin y bloqueo de dispositivos
Rastreo y deteccin de dispositivos no
Tarea / problema de seguridad administrados
Solucin de LANDesk Security Suite Deteccin extendida de dispositivos (ARP y WAP)
MANUAL DE USUARIO
Instalacin/activacin de Security Suite

Tanto LANDesk Security Suite como LANDesk Management Suite utilizan el mismo programa de instalacin para los componentes que se necesitan en el servidor central. Como sucede con otros productos de software LANDesk, como Management Suite e Inventory Manager, cuando se activa el servidor central con la informacin de cuenta de LANDesk, se dispone de la funcionalidad de Security Suite en la consola. Si tiene una cuenta con licencia de LANDesk Security Suite, podr visualizar las herramientas y funciones que se describen en este Manual del Usuario de LANDesk Security Suite al iniciar sesin en la consola. Como se especific previamente en el Manual de instalacin e implementacin de LANDesk Management Suite, la instalacin e implementacin de una aplicacin para todo el sistema, como es LANDesk, en un entorno heterogneo, requiere una metodologa concreta y una cierta planificacin antes de ejecutar el programa de instalacin. Debido a que las consideraciones de la red son similares y que los productos utilizan el mismo programa de instalacin, se deber consultar dicho manual para encontrar informacin ms detallada sobre las estrategias de implementacin e instrucciones detalladas para cada fase de la implementacin, incluyendo: diseo de su dominio de administracin, preparacin de su base de datos, instalacin del servidor central LANDesk y la configuracin de agentes de dispositivos. Security Suite no incluye todos los Componentes de Management Suite Tenga en cuenta que algunos de los componentes de Management Suite que se mencionan en la Gua de Instalacin e "Implementacin" no se aplican a la implementacin de Security Suite, como por ejemplo la implementacin de SO y la base de datos central de resumen. Una vez instalado LANDesk Security Suite, y tras activar el servidor central con la licencia de Security Suite, puede consultar los captulos de este manual para encontrar informacin sobre cmo iniciar la consola y utilizar las herramientas disponibles, incluyendo las herramientas especficas de seguridad y las funciones que se detallan a continuacin.
Suscripcin a los contenidos de Security Suite

LANDesk Security Suite proporciona compatibilidad con el rastreo y reparacin para diversos tipos de riesgos de seguridad, incluyendo vulnerabilidades conocidas de las aplicaciones y SO en las plataformas de los dispositivos, spyware, virus, riesgos de la configuracin del sistema, aplicaciones sin autorizacin, etc. Los riesgos de seguridad de cualquier tipo se caracterizan por medio de archivos de definiciones. Un archivo de definiciones generalmente consta de una ID, atributos especficos, detalles sobre las reglas de deteccin e informacin sobre los archivos de revisin si corresponde. Los servicios de seguridad de LANDesk mantienen una base de datos de archivos de definiciones de seguridad, que se denominan contenido de Security Suite o contenido de seguridad y revisiones, que se actualizan continuamente y se pueden descargar de Internet. Para poder descargar los contenidos de seguridad y revisiones, se debe tener una suscripcin al contenido de Security Suite que lo permita. Para obtener ms informacin sobre las suscripciones a los contenidos de Security Suite, pngase en contacto con su distribuidor de LANDesk, o visite la pgina Web de LANDesk.
10
El captulo "Administrador de Seguridad y Revisiones" en la pgina 17 de este manual describe la forma de descargar contenido de seguridad y revisiones para el que se tienen suscripciones.
Herramientas y funciones de Security Suite

La herramienta de definicin de Security Suite se llama Administrador de seguridad y revisiones. Consulte informacin general a continuacin. Para saber ms sobre el contenido de seguridad y los dispositivos de plataforma compatibles, as como sobre la manera de utilizar el Administrador de Seguridad y Revisiones para realizar el rastreo y las revisiones de seguridad, visualizar los resultados de los rastreos, generar informes de seguridad y configurar la seguridad continua del sistema, consulte "Administrador de Seguridad y Revisiones" en la pgina 17. Las secciones que aparecen a continuacin brindan informacin general sobre las herramientas de administracin de seguridad de LANDesk Security Suite y vnculos al captulo principal de la herramienta.
Administrador de Seguridad y Revisiones

Utilice el Administrador de Seguridad y Revisiones para descargar las ltimas definiciones de vulnerabilidades conocidas (y otras definiciones de tipos de contenido de seguridad) y sus revisiones asociadas. Rastree los dispositivos administrados, as como los servidores y consolas, en busca de actualizaciones de software LANDesk. Configure y ejecute rastreos personalizados de evaluacin de seguridad para aquellas vulnerabilidades conocidas especficas a las plataformas, spyware, amenazas de seguridad a la configuracin del sistema, rastreadores de antivirus y aplicaciones bloqueadas o no permitidas. Tambin puede: Crear sus propias definiciones personalizadas de seguridad para rastrear los dispositivos en busca de condiciones especficas, potencialmente peligrosas. Investigar, asignar prioridades, descargar e implementar e instalar revisiones. Crear y ejecutar tareas programadas y directivas que reparen los riesgos de seguridad detectados. Configurar si el rastreador de seguridad aparece en los dispositivos de usuarios finales durante los procesos de rastreo y reparacin, las opciones de reinicio, y el nivel de la interaccin del usuario. Ver informacin completa de seguridad y revisiones para los dispositivos rastreados. Habilitar alertas de seguridad Generar informes de seguridad.
Los rastreos del Administrador de Seguridad y Revisiones en una implementacin de LANDesk Management Suite La herramienta del Administrador de Seguridad y Revisiones se incluye de forma predeterminada en una instalacin de LANDesk Management Suite (activacin del servidor central). Sin embargo, al principio tambin puede buscar slo las actualizaciones de software LANDesk y sus definiciones de seguridad personalizadas. Para rastrear y reparar tipos de seguridad adicionales, se debe tener la suscripcin correspondiente a los contenidos de Security Suite.
11
MANUAL DE USUARIO
Para obtener ms informacin sobre problemas de seguridad de reparaciones y rastreos, consulte "Rastreo y reparacin de dispositivos" en la pgina 54.
Cumplimiento de estndares de nombres CVE

Los productos de seguridad de LANDesk son compatibles con el estndar de nombres de CVE (Vulnerabilidades y Exposiciones Comunes). Con el Administrador de Seguridad y Revisiones puede buscar vulnerabilidades por nombre CVE y ver la informacin CVE de las definiciones de vulnerabilidades descargadas. Para obtener ms informacin sobre la convencin de nombres de CVE, la compatibilidad de LANDesk con el estndar CVE, y la forma de usar la identificacin CVE para buscar definiciones de vulnerabilidades de seguridad individuales en el Administrador de Seguridad y Revisiones, consulte "Uso de nombres CVE" en la pgina 78.
Control de acceso de red de LANDesk:

Utilice el Control de acceso de red (NAC) de LANDesk para implementar la seguridad de cumplimiento de punto extremo en la red. El NAC de LANDesk permite configurar las polticas de cumplimiento personalizadas mediante la herramienta Administrador de seguridad y revisiones, e impone dichas polticas en los dispositivos que intenta el acceso a la red a travs del proceso de validacin de postura. Los dispositivos con estado apropiado reciben acceso, mientras que los dispositivos con estado no apropiado se colocan en cuarentena, donde pueden repararse para recibir acceso total o acceso limitado a la red. Tambin puede crear y configurar rastreos de seguridad especficos del cumplimiento para buscar en los dispositivos conectados actualmente el cumplimiento con respecto a la directiva de seguridad. Un rastreo antivirus tambin puede iniciar los rastreos de seguridad de cumplimiento completos cuando un virus no se puede eliminar o poner en cuarenta. Importante: El NAC de LANDesk requiere un hardware adicional y la configuracin de software, al igual que un slido conocimiento prctico del enrutamiento de red, de los servicios DHCP y de otros protocolos de red. El NAC de LANDesk ofrece las siguientes soluciones de control de acceso de red: una solucin Cisco NAC integrada y una solucin basada en el servidor DCHP de LANDesk. Para obtener ms informacin, consulte Uso del Control de acceso de red de LANDesk.
Actualizar: Otras soluciones de control de acceso de red

El NAC de LANDesk ahora admite dos implementaciones ms del control de acceso a la red, como parte de la solucin completa de seguridad de cumplimiento de LANDesk Security Suite. Las dos nuevas soluciones de control de acceso de red son: LANDesk IP Security LANDesk 802.1X Radius Proxy
Para obtener informacin sobre la manera de configurar las soluciones de control de acceso de red en la red de LANDesk, consulte "Uso de la solucin LANDesk IP Security" en la pgina 171, y "Uso de la solucin LANDesk 802.1X" en la pgina 181.
12
LANDesk Antivirus
LANDesk Antivirus permite proteger todos los dispositivos administrados de los ltimos virus conocidos y de infecciones sospechosas. El rastreo de antivirus tambin busca riskware (a travs de una base de datos ampliada). LANDesk Antivirus es una herramienta poderosa de proteccin contra virus que puede configurarse y que se encuentra totalmente integrada con Security Suite y LANDesk Management Suite. LANDesk Antivirus proporciona un rango amplio de funciones antivirus, entre ellas: rastreos programados de antivirus, rastreos a peticin, rastreos de botn rojo, proteccin de archivos y mensajes de correo electrnico en tiempo real, descarga automatizada de las actualizaciones de archivos de definiciones de virus (la base de datos de firmas de virus de LANDesk contiene las ltimas definiciones de virus conocidas y se renueva varias veces al da), configuracin del comportamiento del rastreo de antivirus y de las opciones del usuario final, exclusiones de rastreos y alertas e informes de antivirus. Adems, puede visualizar informacin de antivirus en tiempo real sobre los dispositivos rastreados en la consola principal y en el Escritorio ejecutivo de la consola web para identificar rpidamente brotes de virus y ver el control de virus a lo largo de un perodo especificado de tiempo. Para obtener ms informacin, consulte "LANDesk Antivirus" en la pgina 193.
LANDesk Host Intrusion Prevention System

LANDesk Host Intrusion Prevention System (HIPS) ofrece una capa adicional de proteccin que protege de forma activa los sistemas y aplicaciones de da de lanzamiento. A travs de reglas personalizadas y certificaciones de archivo, HIPS supervisa las aplicaciones y bloquea las acciones y los comportamientos prohibidos, lo cual permite proteger el sistema de archivos, el registro, el inicio del sistema y hasta detectar los rootkits sigilosos. Para obtener ms informacin, consulte "LANDesk Host Intrusion Prevention System" en la pgina 217.
Administrador de control de conexiones

El Administrador de control de conexiones agrega otro nivel de seguridad a su red de LANDesk ya que le permite supervisar y restringir el acceso a dispositivos de E/S y a las conexiones de red. Se pueden restringir las direcciones IP de red con las que los dispositivos pueden establecer conexin y tambin restringir el uso de dispositivos que permiten el acceso a los datos del dispositivo, tales como puertos, mdems, unidades, dispositivos USB y conexiones inalmbricas. Para obtener ms informacin, consulte "Administrador del control de conexiones" en la pgina 244.
13
MANUAL DE USUARIO
Herramientas de LANDesk comunes adicionales incluidas con LANDesk Security Suite

Las herramientas comunes de LANDesk ofrecen capacidades subyacentes de configuracin y administracin de dispositivos en Management Suite y Security Suite. Las siguientes herramientas se encuentran disponibles en una implementacin de LANDesk Security Suite y aparecen en el men Herramientas. Observe que algunas de estas herramientas comunes tienen ciertas restricciones en la activacin de licencia de Security Suite.
Configuracin de agentes
Utilice la Configuracin de Agente para crear configuraciones de agente personalizadas para implementar e instalar los agentes LANDesk necesarios a fin de administrar y proteger los dispositivos de red. Estos agentes son los agentes LANDesk estndar (que incluyen el rastreador de inventario, el programador local, la deteccin del ancho de banda, y el rastreador de seguridad y revisiones), el agente de distribucin de software y el de monitoreo de licencias (que se utiliza para el bloqueo de aplicaciones). Agentes no aplicables a LANDesk Security Suite Los siguientes agentes (componentes) de LANDesk NO pueden aplicarse a una instalacin de Security Suite: formularios de datos personalizados, control remoto e implementacin de SO, y migracin de perfiles.
Configuracin de conjuntos de columnas

Utilice la Configuracin de conjuntos de columnas para personalizar la informacin de inventario que se muestra en las listas de dispositivos y los resultados de las consultas en la vista de red de la consola.
Informes
Utilice Informes para generar y publicar una gran variedad de informes especializados que ofrecen informacin til sobre los dispositivos administrados, incluyendo varios informes predeterminados del Administrador de seguridad y revisiones y del Cumplimiento del NAC de LANDesk. Informes no aplicables a LANDesk Security Suite Las siguientes categoras de informes NO pueden aplicarse a Security Suite: Todos los informes de activos, Todos los informes SML, y Todos los informes de control remoto.
Tareas programadas
Utilice las Tareas programadas para crear tareas peridicas especficamente relacionadas con el administrador de seguridad y revisiones, las reparaciones, el cumplimiento de la seguridad, los rastreos de antivirus y ms. Puede configurar las opciones de los dispositivos destino y tiempos programados de la tarea.
14
Tareas programadas no aplicables a LANDesk Security Suite Los siguientes tipos de tareas (secuencias de comandos) programadas NO pueden aplicarse a Security Suite: Formularios de datos personalizados, Secuencias personalizadas de comandos, Tareas para dispositivos de bolsillo y secuencias de OSD/migracin de perfiles. La distribucin y el envo del paquete no pueden configurarse con Security Suite.
Deteccin de dispositivos no administrados

Utilice la Deteccin de dispositivos no administrados (UDD) para ubicar dispositivos de la red que no han enviado un rastreo de inventario a la base de datos central. La deteccin extendida de dispositivos funciona fuera de los mtodos de deteccin normales basados en el rastreo que generalmente utiliza UDD. Los equipos administrados que tienen el agente de deteccin extendida de dispositivos escuchan las difusiones ARP (Protocolo de resolucin de direcciones) y mantienen una memoria cach (en la memoria y en un archivo de la unidad local) de los dispositivos que las emiten.
Escritorio ejecutivo de la consola Web

El escritorio ejecutivo ofrece datos importantes a los ejecutivos empresariales y gerentes de TI, y les permite tener un panorama continuo de la empresa en varias reas clave. Esta visibilidad mejorada de la empresa permite que los ejecutivos tomen decisiones empresariales acertadas y respondan con rapidez a los asuntos crticos.
Administracin de usuario basada en funciones y herramienta de cuentas locales

Las herramientas Usuarios y Cuentas locales permiten agregar usuarios a las funciones de administracin de Security Suite y configurar su acceso a las herramientas especficas y los dispositivos administrados segn sus funciones administrativas. Con la administracin basada en funciones, se asignan alcances (basados en grupos de dispositivos, consultas, directorios LDAP o directorios personalizados) para determinar los dispositivos que un usuario puede ver y administrar, y asignar derechos para determinar las tareas que los usuarios pueden llevar a cabo. Los derechos disponibles con Security Suite son los siguientes: Administrador de seguridad y revisiones, Distribucin de software, Configuracin de distribucin de software, Administracin de consultas pblicas, Deteccin de dispositivos no administrados e Informes. Derechos no aplicables a LANDesk Security Suite Los siguientes derechos de administracin basados en funciones NO pueden aplicarse a Security Suite: Implementacin del SO, Control remoto, Configuracin de activos, Captura de activos y Supervisin de licencias de software. Las cuentas locales constituyen una herramienta administrativa que se utiliza para administrar los usuarios y grupos en los equipos locales de la red. En la consola puede agregar y eliminar usuarios y grupos, agregar y eliminar usuarios de los grupos, definir y cambiar contraseas, editar las configuraciones de usuario y de grupo, y crear tareas para restablecer contraseas en varios dispositivos.
15
MANUAL DE USUARIO
Otras funciones de administracin de LANDesk incluidas con Security Suite

Adems de las herramientas mencionadas, las cuales aparecen en el men Herramientas de la consola, Security Suite proporciona las siguientes funciones comunes de LANDesk: Disposiciones personalizadas de la consola Vista de red de dispositivos y consultas Mens contextuales de dispositivos y consultas Inventario Alertas Utilidad de replicacin de archivos Configuracin de servicio Consolas adicionales
Los formularios de datos personalizados no se admiten en LANDesk Security Suite La herramienta de Formularios de datos personalizados no est disponible con la licencia que solamente incluye LANDesk Security Suite. Debe poseer una licencia completa de LANDesk Management Suite a fin de utilizar los formularios de datos personalizados.
Fuentes de informacin adicionales

El resto del manual incluye captulos del Manual del usuario de LANDesk Management Suite relacionados con herramientas y funciones especficas que se mencionaron anteriormente e informacin sobre el uso de la consola y la vista de red de LANDesk. Consulte la tabla de contenidos de este manual para buscar las partes pertinentes para aprender ms sobre cada herramienta.
16

El Administrador de Seguridad y Revisiones de LANDesk es una solucin de administracin de seguridad completa e integrada que ayuda a proteger los dispositivos administrados LANDesk de una gran variedad de riesgos de seguridad y exposiciones. El Administrador de Seguridad y Revisiones le proporciona todas las herramientas necesarias para: descargar los tipos ms comunes de actualizaciones de contenido de seguridad (como las vulnerabilidades, el spyware, los ataques a la configuracin de seguridad, los archivos de patrones de virus y las aplicaciones no autorizadas de servicios de LANDesk Security, descargar archivos de revisiones asociados y configurar y ejecutar rastreos de evaluacin de seguridad y reparacin en los dispositivos administrados. Tambin puede crear sus propias definiciones personalizadas para rastrear y reparar los dispositivos en busca de condiciones especficas, potencialmente peligrosas. Si se detectan riesgos de seguridad, el Administrador de Seguridad y Revisiones permite reparar los dispositivos afectados. Adems, en todo momento se puede ver informacin detallada de la seguridad y revisiones de los dispositivos rastreados, y generar informes especializados. Todas estas tareas de administracin de seguridad en la empresa se pueden realizar convenientemente desde una sola consola. Adems, el Administrador de Seguridad y Revisiones permite que rastree los dispositivos administrados, as como los servidores centrales y los equipos de consola, en busca de versiones de software LANDesk previamente instaladas, y que implemente las actualizaciones de software LANDesk correspondientes.
17
MANUAL DE USUARIO
Acerca de LANDesk Security Suite La herramienta de Administracin de Seguridad y Revisiones es el componente principal de administracin de seguridad de LANDesk Security Suite. Security Suite se basa, principalmente, en la funcionalidad primaria de LANDesk Management Suite, y est complementada con herramientas de administracin de seguridad especializadas, como el Administrador de Seguridad y Revisiones, el Control de acceso de red de LANDesk, LANDesk Antivirus y el gestor de controles de conexin. La herramienta del Administrador de Seguridad y Revisiones tiene las mismas funciones tanto en Management Suite como en Security Suite, y se describe detalladamente en este captulo. Para obtener ms informacin sobre la compatibilidad de la funcionalidad de LANDesk bsica con Security Suite, consulte "Introduccin a LANDesk Security Suite" en la pgina 7. Acerca del Control de acceso de red de LANDesk y la seguridad de cumplimiento de punto extremo La seguridad de cumplimiento de punto extremo se puede aplicar a la red de LANDesk con la herramienta de Control de acceso de red (NAC) de LANDesk. El NAC de LANDesk, junto con la poltica personalizada, el rastreo y las capacidades de reparacin del Administrador de Seguridad y Revisiones, le permite controlar el acceso a la red empresarial verificando el estado de los dispositivos conectados, bloqueando o reparando los dispositivos infectados y protegiendo la red contra intrusiones malvolas. El NAC de LANDesk agrega otra eficaz capa de seguridad a la red LANDesk. Para obtener ms informacin sobre la manera de configurar y usar la solucin NAC de LANDesk, consulte "LANDesk Network Access Control (NAC)" en la pgina 80. Acerca de LANDesk Antivirus LANDesk Antivirus permite descargar los archivos de definiciones de virus ms actualizados, rastrear los dispositivos administrados en busca de virus, y limpiar las infecciones causadas por virus. Puede automatizar las descargas programadas de los archivos de patrones de virus y los rastreos antivirus personalizados, crear y aplicar opciones de configuracin antivirus nicas que controlen el comportamiento del rastreador y la interaccin del usuario final y evaluar las definiciones de virus y los rastreos antivirus en un entorno de prueba piloto limitado y controlado antes de implementarlos en sus dispositivos administrados. Para obtener ms informacin, consulte "LANDesk Antivirus" en la pgina 193. Lea este captulo para obtener informacin sobre: "Lo que viene: Qu debe hacer despus de configurar los dispositivos para la administracin de seguridad de LANDesk" en la pgina 19 "Introduccin al Administrador de Seguridad y Revisiones" en la pgina 19 "Suscripciones y tipos de contenido de seguridad" en la pgina 21 "Plataformas de dispositivos compatibles" en la pgina 22 "Administracin basada en funciones con el Administrador de Seguridad y Revisiones" en la pgina 22 "Flujo de trabajo de las tareas de administracin de seguridad y revisiones" en la pgina 24 "Uso de la ventana herramientas del Administrador de Seguridad y Revisiones" en la pgina 25 "Configuracin de dispositivos para rastreos de seguridad y reparaciones" en la pgina 35
18
Lo que viene: Qu debe hacer despus de configurar los dispositivos para la administracin de seguridad de LANDesk
Cuando haya comprendido los conceptos del Administrador de Seguridad y Revisiones, la forma de navegar la interfaz de usuario y el flujo de trabajo de las tareas generales y haya configurado los dispositivos para que trabajen con dicho administrador, puede realizar las siguientes tareas de administracin de seguridad: Descargar actualizaciones del contenido de seguridad y revisiones Visualizar las propiedades de las definiciones de contenido de seguridad y de las reglas de deteccin Crear definiciones de vulnerabilidades personalizadas Rastrear los dispositivos administrados para detectar riesgos de seguridad Reparar los dispositivos afectados Habilitar las alertas de seguridad Generar informes de seguridad
Para obtener informacin detallada sobre la ejecucin de estas tareas, consulte "Administracin del contenido de seguridad y revisiones" en la pgina 40, y "Rastreo y reparacin de dispositivos" en la pgina 54.
Introduccin al Administrador de Seguridad y Revisiones

El Administrador de Seguridad y Revisiones proporciona todas las herramientas necesarias para establecer un sistema de seguridad en toda su red. Con el Administrador de Seguridad y Revisiones, puede automatizar los procesos repetitivos para mantener el contenido de seguridad y revisiones, y organizar y ver dicho contenido. Utilice las tareas de rastreo de seguridad y polticas para evaluar dispositivos evaluados para vulnerabilidades especficas de las plataformas. Puede descargar y administrar los archivos ejecutables de las revisiones. Por ltimo, puede remediar vulnerabilidades detectadas al implementar e instalar los archivos de revisiones necesarios, y al verificar una reparacin exitosa. Adems, puede crear sus propias definiciones de vulnerabilidad personalizadas a fin de rastrear dispositivos administrados en condiciones de SO y aplicacin especficas que podran amenazar la operacin y seguridad del sistema. Las definiciones personalizadas pueden configurarse slo para la deteccin o para la deteccin y la reparacin. Para obtener ms informacin, consulte "Creacin de definiciones personalizadas y reglas de deteccin" en la pgina 48.
Nuevas funciones
La ltima versin del Administrador de Seguridad y Revisiones ofrece diversas capacidades nuevas, tales como:
19
MANUAL DE USUARIO
Utilizar la tarea cambiar configuracin para cambiar/actualizar slo las configuraciones que desee, entre ellas: configuracin de rastreo y reparacin, configuracin de LANDesk Antivirus y configuracin de reemplazo de variables personalizadas. Con la tarea cambiar configuracin puede cambiar la configuracin deseada sin una configuracin completa del agente del dispositivo ni una tarea de rastreo. Configurar alertas globales. Rastrear la presencia de spyware en sus dispositivos administrados. Si se detecta spyware, puede programar una tarea de reparacin que elimine el spyware de los dispositivos afectados. Negar el inicio de aplicaciones no aprobadas o reprimidas en los dispositivos de los usuarios finales que tengan definiciones aplicaciones bloqueadas. Activar el monitoreo de spyware en tiempo real (deteccin y eliminacin) y el bloqueo de aplicaciones en tiempo real. Rastrear los dispositivos administrados en busca de amenazas de seguridad (errores y exposiciones de la configuracin del sistema Windows) en el disco duro local. Una vez identificado el ataque de seguridad, puede realizar las reparaciones necesarias de forma manual en el dispositivo afectado. Utilizar definiciones especficas de amenazas de seguridad para detectar, activar, desactivar o configurar los servidores de seguridad de Windows. Utilice las variables personalizadas que se incluyen con otras definiciones de ataques de seguridad a fin de personalizar y cambiar las configuraciones especficas del sistema local y establecer polticas de configuracin del sistema en toda la empresa. Rastrear los motores del rastreador de antivirus de terceros y habilitar/deshabilitar el rastreo de virus en tiempo real y garantizar archivos de patrones de virus actualizados para los productos antivirus especficos. Reciba alertas si el rastreo de seguridad detecta vulnerabilidades especificadas en dispositivos administrados. Puede configurar las alertas segn la gravedad de la definicin. Implementar rastreos de seguridad frecuentes para riesgos de seguridad crticos y urgentes, como el rastreo de virus. Hacer cumplir la seguridad en los puntos extremos y las polticas de seguridad de cumplimiento con el grupo de Cumplimiento y la herramienta de Control de acceso de red de LANDesk. Usar relaciones de dependencia de la vulnerabilidad para identificar qu revisiones se deben instalar antes de que otras vulnerabilidades puedan afectar de forma negativa los dispositivos administrados o antes de que puedan repararse. La informacin de reemplazo describe las revisiones que fueron reemplazadas por versiones ms recientes y que no es necesario implementar. Comprobar el ltimo software de LANDesk en todos los dispositivos administrados, en los servidores y equipos de consolas centrales, al rastrear en busca de actualizaciones de software LANDesk. Si en un dispositivo se detecta una versin obsoleta, puede programar una tarea de reparacin que implemente e instale la ltima actualizacin de software LANDesk.
Funciones
Con el Administrador de Seguridad y Revisiones, puede:
20
Ofrecer seguridad de revisin para las versiones internacionales de los sistemas operativos de su red, incluyendo compatibilidad actual para los siguientes idiomas: checo, dans, holands, ingls, finlands, francs, alemn, italiano, japons, noruego, polaco, portugus, chino simplificado, espaol, sueco y chino tradicional. Organizar y agrupar las definiciones de seguridad para realizar rastreos de evaluacin de seguridad personalizados y reparaciones (consulte "Vista de rbol del Administrador de Seguridad y Revisiones" en la pgina 29). Evaluar las vulnerabilidades y otros riesgos de seguridad en varias plataformas compatibles de dispositivos, incluyendo Windows, Sun Solaris y Linux (consulte "Rastreo de dispositivos para detectar riesgos de seguridad" en la pgina 55). Observe la informacin de seguridad y revisiones para los dispositivos rastreados. "Visualizacin del contenido de seguridad y revisin" en la pgina 44). Programar tareas de administracin de revisiones automticas, incluyendo actualizaciones de contenido, exploracin de dispositivos y descargas de revisiones. Realizar reparaciones como tareas programadas, directivas o de manera automtica con la funcin de reparacin automtica (consulte "Reparacin de dispositivos con riesgos de seguridad detectados" en la pgina 64). Descargar, implementar e instalar revisiones que se han investigado y comprobado (consulte "Descarga de revisiones" en la pgina 46). Controlar el estado de la implementacin y la instalacin de revisiones en dispositivos rastreados. Utilizar la tecnologa de multidifusin dirigida de LANDesk, la descarga entre iguales y las funciones de reinicio del punto de comprobacin de la Multidifusin dirigida de Management Suite para implementar revisiones de forma rpida y eficaz. Generar y visualizar una gran variedad de informes especficos a la administracin de seguridad y revisiones (consulte "Uso de los informes de seguridad" en la pgina 77).
Suscripciones y tipos de contenido de seguridad

Cuando instala LANDesk Management Suite, la herramienta Administrador de Seguridad y Revisiones se incluye de forma predeterminada (anteriormente, era un agregado). Sin embargo, sin la suscripcin al contenido de Security Suite, slo se puede rastrear en busca de actualizaciones de software y definiciones personalizadas de LANDesk. La suscripcin al contenido de Security Suite permite aprovechar al mximo la herramienta de Administracin de seguridad y revisiones, al otorgar acceso a contenido adicional de seguridad y revisiones (tipos de definiciones). Los tipos de contenido de LANDesk Security Suite incluyen: Actualizaciones de antivirus (en los rastreadores de terceros incluye slo el contenido de deteccin del rastreador de antivirus y en LANDesk Antivirus incluye el contenido de deteccin del rastreador Y los archivos de definiciones de virus) Aplicaciones bloqueadas (consulte "Aviso legal para los tipos de aplicaciones bloqueadas" en la pgina 39) Definiciones de vulnerabilidad personalizadas Actualizaciones de controladores Actualizaciones de software LANDesk Amenazas de seguridad (exposiciones de la configuracin del sistema; incluye la deteccin y configuracin de servidores de seguridad) Actualizaciones de software Spyware
21
MANUAL DE USUARIO
Vulnerabilidades (vulnerabilidades conocidas especficas de las plataformas y las aplicaciones)
Para obtener ms informacin sobre las suscripciones a los contenidos de Security Suite, pngase en contacto con su distribuidor de LANDesk, o visite la pgina Web de LANDesk. Las funciones de rastreo y reparacin no son iguales dentro de estos tipos de contenidos. Para obtener ms informacin, consulte la seccin que corresponda ms adelante.
Plataformas de dispositivos compatibles

El administrador de seguridad y revisiones es compatible con la mayora de las plataformas de dispositivos estndares de LANDesk, inclusive los siguientes sistemas operativos: Windows 98 SE Windows NT (4.0 SP6a y posterior) Windows 2000 SP4/2003/XP SP1 Mac OS X 10.2.x y 10.3.x Red Hat Linux, versin 9 (rastreo desde la consola, reparacin manual) Linux SUSE (rastreo desde la consola, reparacin manual) Sun Solaris (rastreo desde la consola, reparacin manual)
Para obtener informacin sobre la configuracin de dispositivos administrados para el rastreo de seguridad y revisiones, consulte "Configuracin de dispositivos para rastreos de seguridad y reparaciones" en la pgina 35 ms adelante en este captulo. Se admite el rastreo de los servidores y las consolas centrales Tambin puede rastrear servidores y consolas centrales LANDesk en busca de actualizaciones de software LANDesk, pero primero deben tener el agente LANDesk estndar implementado, lo que incluye el agente rastreador de seguridad y revisiones que se requiere para las tareas de rastreo de seguridad.
Administracin basada en funciones con el Administrador de Seguridad y Revisiones

El Administrador de Seguridad y Revisiones utiliza la administracin basada en funciones de LANDesk para permitir el acceso de los usuarios a las funciones del Administrador de Seguridad y Revisiones. La administracin basada en funciones de LANDesk constituye el marco de acceso y seguridad de Management Suite, el cual permite que los administradores de LANDesk restrinjan el acceso a herramientas y dispositivos. Cada usuario de LANDesk recibe derechos y mbitos especficos que determinan las caractersticas que puede utilizar y los dispositivos que puede administrar. Para obtener ms informacin sobre la administracin basada en funciones, consulte "Administracin basada en funciones" en la pgina 282
22
El administrador de LANDesk asigna dichos derechos a los dems usuarios mediante la herramienta Usuarios de la consola. El Administrador de Seguridad y Revisiones introduce una funcin nueva y el derecho correspondiente a la administracin basada en funciones. El derecho se denomina Administrador de Seguridad y Revisiones y figura en el dilogo Propiedades de usuario. A fin de ver y utilizar esta herramienta, debe asignarse el derecho de Administrador de Seguridad y Revisiones a un usuario de LANDesk.
Derechos del Administrador de Seguridad y Revisiones

Las funciones del Administrador de Seguridad y Revisiones son controladas por los derechos de administracin basada en funciones, tal como se describe a continuacin:

El derecho del Administrador de Seguridad y Revisiones confiere a los usuarios la capacidad para: Ver y acceder a la herramienta Administrador de Seguridad y Revisiones del men Herramientas y el Cuadro de herramientas Configurar los dispositivos administrados para rastreos de evaluacin y reparacin de la seguridad Configurar dispositivos para el rastreo en tiempo real de spyware y de aplicaciones bloqueadas Configurar dispositivos para el rastreo de alta frecuencia de riesgos de seguridad crticos Descargar las actualizaciones de seguridad y las revisiones asociadas a los tipos de seguridad para los cuales posee una suscripcin de contenido de Security Suite Crear tareas programadas que descargan definiciones o actualizaciones de revisiones de forma automtica Crear definiciones de vulnerabilidad y reglas de deteccin personalizadas Importar, exportar y eliminar definiciones personalizadas Ver el contenido de seguridad y revisin descargado por tipo (incluye: todos los tipos, aplicaciones bloqueadas, definiciones personalizadas, actualizaciones de LANDesk, amenazas de seguridad, spyware, vulnerabilidades, actualizaciones de controladores y actualizaciones de software) Personalizar las amenazas de seguridad seleccionadas con variables personalizadas Configurar y ejecutar rastreos de seguridad en dispositivos administrados en forma de tarea programada o de directiva Dividir el rastreo de una tarea programada en una fase de preparacin y una de implementacin Crear y configurar las configuraciones de rastreo y reparacin que determinan las opciones de rastreo, tales como: el tipo de contenido que rastrear, la visualizacin de la informacin y el progreso del rastreador, el comportamiento del reinicio del dispositivo y la cantidad de interaccin con el usuario final A continuacin, aplique las configuraciones de rastreo y reparacin a las tareas de rastreo de seguridad, reparacin, desinstalacin y reinicio. Ver los resultados detallados del rastreo ordenados por: grupo detectado, definicin especfica, dispositivo individual o grupo de dispositivos seleccionados Realizar la reparacin en forma de tarea programada o de directiva
23
MANUAL DE USUARIO
Utilizar la correccin automtica para reparar de forma automtica los tipos de seguridad siguientes, si se detectan: vulnerabilidades, spyware, actualizaciones de software LANDesk y definiciones personalizadas (tambin debe ser administrador de LANDesk). Controlar y verificar el estado de la implementacin y la instalacin de revisiones (historial de reparacin) en dispositivos rastreados. Purgar las definiciones de tipos de seguridad no utilizados (debe ser administrador de LANDesk) Desinstalar revisiones de dispositivos rastreados Quitar revisiones de la base de datos central Configurar alertas de vulnerabilidad Generar una variedad de informes especficos a la seguridad (tambin requiere el derecho de Informes)
Cumplimiento de la seguridad y revisiones

El derecho de Cumplimiento de seguridad y revisiones confiere a los usuarios capacidad para: Agregar y eliminar definiciones de seguridad del grupo Legalidad Cambiar el estado de las definiciones contenidas en el grupo Cumplimiento Nota: Aunque tenga este derecho, un usuario no puede configurar los servicios del NAC de LANDesk, tales como agregar servidores de validacin de postura o configurar y publicar reglas de cumplimiento. El usuario debe ser administrador de LANDesk para poder configurar el NAC de LANDesk.
Antivirus
Para obtener informacin sobre el derecho para Antivirus y el uso de LANDesk Antivirus, consulte "Administracin basada en funciones con LANDesk Antivirus" en la pgina 196.
Editar variables personalizadas

El derecho Editar variables personalizadas confiere a los usuarios capacidad para: Editar valores de variables personalizadas (para tipos de contenido de seguridad con variables personalizadas, tales como las amenazas de seguridad) Habilitar la opcin de reemplazo de las variables personalizadas para ignorar el valor modificado y rastrear el original. Crear e implementar una tarea cambiar configuracin que incluya la configuracin de reemplazo de variables personalizadas.
Flujo de trabajo de las tareas de administracin de seguridad y revisiones

Los pasos siguientes ofrecen un resumen del esquema de los procesos tpicos involucrados en la implementacin de la administracin de seguridad y revisiones en redes de LANDesk. Todos estos procedimientos se describen detalladamente en las secciones subsiguientes. Pasos bsicos para implementar y utilizar la administracin de seguridad y revisiones:
24
1. 2.
3. 4. 5. 6. 7. 8. 9.
Configuracin de dispositivos administrados para rastreos de seguridad y reparaciones. Recopilacin de informacin actualizada de seguridad y revisiones (por ejemplo definiciones de vulnerabilidades) de orgenes de datos del sector o de proveedores. Tambin la creacin de definiciones personalizadas. Organizacin y visualizacin de la informacin de seguridad y revisiones. Creacin y configuracin de tareas de rastreo y polticas de seguridad. Rastreo de vulnerabilidades, spyware, ataques de seguridad, aplicaciones bloqueadas, etc. Visualizacin de resultados del rastreo de los dispositivos explorados. Descarga de revisiones para las vulnerabilidades detectadas. Reparacin de vulnerabilidades detectadas por medio de la implementacin e instalacin de revisiones en los dispositivos afectados. Reparacin de otros riesgos y exposiciones de seguridad detectados. Visualizacin del estado de instalacin de las revisiones y del historial de informacin de las reparaciones.
Uso de la ventana herramientas del Administrador de Seguridad y Revisiones

La ventana del Administrador de Seguridad y Revisiones, como todas las dems ventanas de herramientas de LANDesk se abre desde el men Herramientas o desde el Cuadro de herramientas y se puede acoplar, hacer flotar y visualizar como ventana con fichas con otras ventanas de herramientas abiertas (consulte "Ventanas de herramientas acoplables" en la pgina 274). Observe que con la nueva funcin de acceso y seguridad basada en funciones de LANDesk, un usuario de LANDesk debe tener derecho de administrador de LANDesk (lo que implica derechos absolutos) o el derecho especfico de administracin de seguridad y revisiones para poder ver y acceder a la herramienta Administrador de Seguridad y Revisiones. Para obtener ms informacin sobre los derechos y el mbito del usuario, consulte "Administracin basada en funciones" en la pgina 282." La ventana del Administrador de Seguridad y Revisiones consta de dos paneles y una barra de herramientas. El panel de la izquierda muestra una vista de rbol jerrquico de grupos de reglas de tipo de definicin de seguridad y reparacin. Los objetos se pueden expandir o contraer segn sea necesario. El panel que se encuentra a la derecha muestra una lista de los detalles de vulnerabilidades o reglas de deteccin del grupo seleccionado, dependiendo del grupo que haya seleccionado en el panel izquierdo, adems de una funcin Buscar para realizar bsquedas en listas largas de elementos. Caracteres no permitidos al realizar bsquedas en una lista En el cuadro Buscar no se admiten los siguientes caracteres extendidos: <, >, ', ", ! La ventana del Administrador de Seguridad y Revisiones incluye una barra de tareas que contengan los siguientes botones:
25
MANUAL DE USUARIO
Botones de la barra de herramientas

Descargar actualizaciones: abre un cuadro de dialogo donde puede especificar las plataformas y lenguajes para los tipos de contenidos que desee actualizar, as como qu contenido de servidor LANDesk Security acceder. Tambin puede configurar si desea colocar las definiciones en el grupo "Sin asignar", si desea descargar revisiones asociadas al mismo tiempo, la ubicacin donde se descargan las revisiones y la configuracin del servidor proxy. Cree una tarea: Incluye un lista desplegable donde puede seleccionar qu tipo de tarea desea crear: La tarea de Rastreo de seguridad abre un cuadro de dilogo donde se puede ingresar el nombre del rastreo, especificar si el rastreo se trata de una tarea programada o una poltica y seleccionar una configuracin de rastreo y reparacin que especifique el comportamiento de visualizacin, reinicio e interaccin, y los tipos de contenidos que se buscan en el rastreo. La tarea Rastreo de cumplimiento abre un cuadro de dilogo donde puede especificar un nombre para un rastreo que verifique el cumplimiento de los dispositivos de destino con la poltica de seguridad actual, tal como la definen los ajustes del Control de acceso de red de LANDesk o el contenido del grupo Cumplimiento. Tambin puede especificar si el rastreo de seguridad del cumplimiento se ejecuta como una tarea programada (incluso qu dispositivos se deben rastrear y si hay que hacerlo inmediatamente) o como una poltica. La tarea de Reinicio abre un cuadro de dilogo donde se puede ingresar el nombre, especificar si el reinicio es una tarea programada o una poltica y seleccionar una configuracin de rastreo y reparacin que determine el comportamiento de visualizacin e interaccin. La tarea de Reparacin abre un cuadro de dilogo donde se puede configurar la reparacin como tarea programada o como poltica (o ambas), dividir la tarea de reparacin en distintas fases y reparaciones, seleccionar una configuracin de rastreo y reparacin y descargar revisiones. La tarea Recopilar informacin histrica abre un cuadro de dilogo que permite recopilar las cuentas rastreadas y detectadas actuales (para una cantidad especificada de das) que pueden usarse para realizar informes. Tambin puede crear y configurar una tarea programada para que realice la misma accin. La tarea Cambiar configuracin abre un cuadro de dilogo, en el cual puede crear y configurar una tarea que cambie la configuracin predeterminada de un dispositivo administrado mediante la escritura del identificador de la configuracin especificada en el registro local. Con la tarea cambiar configuracin se pueden cambiar una o ms de estas configuraciones: configuracin de rastreo y reparacin, configuracin de cumplimiento, configuracin de LANDesk Antivirus y configuracin de reemplazo de variables personalizadas. Puede utilizar esta tarea como una forma rpida y cmoda para cambiar solamente la configuracin que desee sin necesidad de volver a implementar una configuracin de agente completa. La tarea Configuracin de LANDesk Antivirus abre un cuadro de dilogo donde puede ingresar un nombre, especificar si el rastreo de antivirus es una tarea programada o una poltica y seleccionar una configuracin de antivirus que determine el momento y la forma en que se ejecuta el rastreador en los dispositivos de destino y las opciones disponibles para el usuario final.
26
La tarea Instalar/Actualizar LANDesk Antivirus permite instalar el agente de LANDesk Antivirus en los dispositivos de destino que an no lo tienen instalado o actualizar la versin existente del agente en los dispositivos de destino que ya lo tienen. Tambin puede seleccionar si quitar o no los productos de antivirus existentes en los dispositivos de destino. Esta tarea permite implementar y actualizar de forma conveniente el agente de LANDesk Antivirus (y la configuracin de antivirus asociada) de un dispositivo administrado sin tener que volver a implementar una configuracin completa del agente. Configurar ajustes: Incluye una lista desplegable donde puede seleccionar el tipo de ajustes que desea configurar, cambiar o actualizar: La configuracin de rastreo y reparacin permite crear, editar, copiar y eliminar la configuracin de rastreo y reparacin. La configuracin de rastreo y reparacin determina si el rastreo de seguridad y revisiones se muestra en los dispositivos mientras se ejecutan, las opciones de reinicio, la interaccin con el usuario y los tipos de contenidos rastreados. La configuracin de cumplimiento permite crear, editar, copiar y eliminar la configuracin de cumplimiento. La configuracin de cumplimiento determina el momento y la forma en que se realiza el rastreo de seguridad del cumplimiento, si la reparacin ocurre automticamente y qu hacer cuando LANDesk Antivirus detecta una infeccin de virus en los dispositivos administrados. Configuracin de LANDesk Antivirus permite crear, editar, aplicar y eliminar la configuracin de rastreo y reparacin. La configuracin de antivirus determina si el icono de LANDesk Antivirus aparece en la bandeja del sistema del dispositivo, la disponibilidad de las opciones interactivas para los usuarios finales, la habilitacin del rastreo de correo electrnico y de la proteccin en tiempo real, los archivos y las carpetas para excluir, la cuarentena y la copia de seguridad de los archivos infectados, los rastreos de antivirus programados y las actualizaciones programadas de los archivos de definiciones de virus. La configuracin de HIPS permite crear, editar, copiar y eliminar la configuracin de HIPS. La configuracin del servidor de seguridad de Windows permite crear, editar, copiar y eliminar la configuracin del servidor de seguridad de Windows. Configuracin de reemplazo de variable personalizada permite crear, editar, aplicar y eliminar la configuracin de rastreo y reparacin. El reemplazo de variable personalizada permite configurar excepciones para los valores de las variables personalizadas. En otras palabras, con la configuracin de reemplazo de variable personalizada se puede pasar por alto u omitir una condicin especfica de variable personalizada para que el dispositivo rastreado no se determine como vulnerable. La configuracin del grupo Definiciones permite crear, editar, copiar y eliminar la configuracin del grupo Definiciones para automatizar las descargas de contenidos de seguridad. Configuracin de alertas permite configurar las alertas de seguridad global. Configuracin de la base de datos central de resumen (Rollup core) le permite habilitar el reenvo inmediato de los resultados del rastreo de vulnerabilidades a una base de datos central de resumen que usted especifique. El envo de los resultados de un rastreo de vulnerabilidades a un servidor central de resumen puede mejorar el acceso en tiempo real a los datos de vulnerabilidades crticas para todos los dispositivos administrados en toda una red corporativa distribuida.
27
MANUAL DE USUARIO
Crear una definicin personalizada: abre un dilogo en blanco de propiedades de definiciones con campos de edicin, donde puede especificar si la definicin personalizada es de solamente deteccin o si tambin admite la reparacin, escribir la informacin de vulnerabilidad especfica, crear reglas de deteccin e identificar el archivo de revisin adecuado para su reparacin. Importar las definiciones personalizadas: Permite importar un archivo XML que contenga definiciones personalizadas. Exportar las definiciones personalizadas seleccionadas: permite exportar una definicin personalizada como archivo XML. Equipos que no cumplen: enumera los dispositivos que se rastrearon para comprobar el cumplimiento con la poltica predefinida de seguridad de cumplimiento (segn el contenido del grupo Cumplimiento y la definicin de estado que se encontr en el cuadro de dilogo Configurar el Control de acceso de red) y que se determina que no estn en buen estado o que no cumplen. Actividad de antivirus: Permite visualizar en detalle la informacin sobre la actividad y el estado del antivirus en todos los dispositivos administrados que tengan el agente de LANDesk Antivirus. Actualizar: actualiza el contenido del grupo seleccionado. Eliminar las definiciones personalizadas seleccionadas: elimina las definiciones personalizadas seleccionadas en la base de datos central. Purgar las definiciones de seguridad y revisiones: abre un cuadro de dilogo donde puede especificar las plataformas y los idiomas cuya definicin desee eliminar de la base de datos central. Tenga en cuenta que slo un administrador de LANDesk puede realizar esta operacin. Publicar la configuracin de NAC de LANDesk Abre un cuadro de dilogo, el cual permite especificar el contenido que desea publicar en los servidores de validacin de postura y de reparaciones. Cada vez que cambie la configuracin del NAC de LANDesk, debe volver a publicar los nuevos valores de configuracin en los servidores de validacin de postura. (Nota: La publicacin de contenido de NAC enva configuraciones de control de acceso de red y reglas de cumplimiento a los servidores de validacin de postura o a los servidores DHCP de LANDesk, y tambin enva las revisiones asociadas a los servidores de reparaciones, mientras que la publicacin de los archivos de infraestructura enva archivos de configuracin y compatibilidad, incluso el rastreador de cliente de seguridad y los agentes de confianza, al igual que las pginas de plantillas de HTML, a los servidores de reparaciones). Ayuda: Abre la ayuda en lnea en la seccin del Administrador de Seguridad y Revisiones.
Lista desplegable de tipos

Utilice la lista desplegable Tipo para determinar las definiciones descargadas que se mostrarn en la vista de rbol. Los tipos de definicin los designa el fabricante del contenido. El filtro de la visualizacin puede ser til si desea ver un slo tipo especfico de contenido de seguridad, o si desea especificar una lista completa sumamente larga. La lista de Tipo incluye las siguientes opciones: Todos los tipos (lista completa de todas las definiciones de seguridad descargadas) Actualizaciones de antivirus (detalla slo las definiciones descargadas de deteccin del rastreador, no los archivos especficos de definiciones de virus de LANDesk Antivirus)
28
Aplicaciones bloqueadas (detalla slo las definiciones descargadas de aplicaciones bloqueadas) Definiciones personalizadas (detalla slo las definiciones de vulnerabilidad definidas por el usuario) Actualizaciones de controladores (detalla slo las definiciones descargadas de actualizacin de controladores) Actualizaciones de software de LANDesk (detalla slo las actualizaciones descargadas de software LANDesk) Amenazas de seguridad (detalla slo las definiciones descargadas de amenazas de seguridad) Actualizaciones de software (detalla slo las actualizaciones descargadas de software) Spyware (detalla slo las definiciones descargadas de spyware) Vulnerabilidades (detalla todas las definiciones descargadas de vulnerabilidad para cualquiera de las plataformas disponibles)
El panel izquierdo de la ventana del Administrador de Seguridad y Revisiones muestra los siguientes elementos:
Vista de rbol del Administrador de Seguridad y Revisiones

El Administrador de Seguridad y Revisiones es el principal objeto de la vista de rbol del Administrador de Seguridad y Revisiones, y contiene todos los tipos de seguridad como vulnerabilidades, spyware, ataques de seguridad, aplicaciones bloqueadas y grupos de definiciones personalizadas (y grupos de reglas de deteccin asociados, si se aplica). El objeto principal puede expandirse o contraerse como sea necesario.
Tipo de nombre (o Todos los tipos)

Los grupos de tipos contienen los siguientes subgrupos: Detectada: enumera todas las definiciones detectadas en todos los dispositivos incluidos en el ltimo rastreo de seguridad. El contenido de este grupo se acumula basndose en todos los rastreos de seguridad que se ejecutan en su red. Las definiciones se eliminan del grupo slo de las siguientes maneras: al repararlas correctamente, al eliminarlas del grupo de Rastreo ejecutando luego un nuevo rastreo, o al eliminarlas realmente del dispositivo afectado. La lista Detectadas est compuesta de todas las definiciones de seguridad detectadas que se han encontrado en la exploracin ms reciente. Las columnas Rastreado y Detectada son tiles a la hora de mostrar cuntos dispositivos se rastrearon y en cuntos de esos dispositivos se detect la definicin. Para ver especficamente qu dispositivos presentan una definicin detectada, haga clic con el botn derecho del ratn en el elemento y seleccione Equipos afectados. Observe que tambin puede ver informacin de vulnerabilidad especfica de dispositivos haciendo clic con el botn derecho en un dispositivo de la vista de red y, a continuacin, haciendo clic en Informacin de seguridad y revisiones.
29
MANUAL DE USUARIO
Slo puede mover definiciones del grupo Detectadas a los grupos No asignadas o No rastrear. Rastrear: para el tipo de aplicaciones bloqueadas, este grupo se llama Bloquear) enumera todas las definiciones de seguridad que se buscan cuando el rastreador de seguridad se ejecuta en los dispositivos administrados. En otras palabras, si una definicin se incluye en este grupo, formar parte de la siguiente operacin de rastreo; de lo contrario, no formar parte del rastreo. De forma predeterminada, las definiciones recogidas se agregan al grupo Rastrear durante una actualizacin de contenido. (Importante: excepto por las aplicaciones bloqueadas, que se agregan de forma predeterminada al grupo No asignadas). Rastrear puede considerarse como uno de los tres estados posibles para una definicin de seguridad, junto con No rastrear y No asignada. Como tal, una definicin slo puede residir en uno de esos tres grupos a la vez. La definicin puede ser Rastrear, No rastrear o No asignada y se identifica con un icono nico para cada estado: icono de signo de interrogacin (?) para No asignada, icono de X roja para No rastrear y el icono de vulnerabilidad normal para Rastrear. Al mover una definicin de un grupo a otro se cambia su estado automticamente. Al mover definiciones al grupo Rastrear (haciendo clic y arrastrando una o ms definiciones desde otro grupo, exceptuando el grupo Detectadas), puede controlar la naturaleza y el tamao especficos de la siguiente exploracin de seguridad en dispositivos de destino. Precaucin al mover definiciones desde el grupo Rastrear Cuando se desplazan definiciones desde el grupo Rastrear al grupo No rastrear, la informacin actual de la base de datos central sobre los dispositivos rastreados que detectaron las definiciones se eliminan de la base de datos central y no vuelven a estar disponibles en los cuadros de dilogo Propiedades del elemento o en el de Seguridad y revisiones del dispositivo. Para restaurar la informacin de evaluacin de seguridad, debe volver a mover las definiciones al grupo Rastrear y ejecutar de nuevo el mismo rastreo de seguridad. No rastrear:(Para el tipo de aplicaciones bloqueadas, este grupo se llama No Bloquear) Enumera todas las definiciones que no se buscan la prxima vez que el rastreador se ejecuta en los dispositivos. Tal y como se indic anteriormente, si hay una definicin en este grupo, no puede estar tambin en el grupo Rastrear o No asignadas. Puede mover definiciones a este grupo para eliminarlas temporalmente de un rastreo de seguridad. No asignadas: enumera todas las definiciones que no pertenecen a los grupos Rastrear o No rastrear. El grupo No asignadas es esencialmente un rea de espera para definiciones recopiladas hasta que decida si desea buscarlas o no. Puede mover las definiciones, haga clic y arrastre una o ms desde el grupo No asignadas al grupo Rastrear o al grupo No rastrear. Tambin se pueden agregar nuevas definiciones al grupo No asignadas durante una actualizacin de un contenido habilitando la opcin Colocar nuevas definiciones en el grupo No asignadas del cuadro de dilogo Descargar actualizaciones. Todos los elementos: enumera las definiciones del tipo seleccionado en una lista plana, an si se movi la definicin a alguno de los grupos No asignadas, Rastrear o No rastrear.
30
Ver por producto: enumera todas las definiciones organizadas en subgrupos de productos especficos. Estos subgrupos le ayudan a identificar las definiciones por su categora de producto pertinente.
Puede utilizar estos subgrupos de producto para copiar definiciones en el grupo de Rastrear para explorar productos especficos o copiarlas en un grupo personalizado (ver a continuacin a fin de realizar una reparacin en un grupo de productos de una sola vez). Las definiciones pueden copiarse desde un grupo de producto a Rastrear, No rastrear o No asignadas, o a cualquier grupo personalizado definido por el usuario. Pueden residir en una plataforma, un producto y varios grupos personalizados simultneamente.
Grupos
Contiene los siguientes subgrupos: Grupos personalizados: enumera los subgrupos que se crearon y las definiciones que contienen. Mis grupos ofrece una manera de organizar las definiciones de seguridad de la forma que desee. Utilice el contenido de un grupo para copiar varias definiciones en el grupo Rastrear para una exploracin personalizada o para crear una tarea de reparacin para varias definiciones al mismo tiempo. Tambin puede utilizar un grupo personalizado para definir el contenido de un rastreo de seguridad. Copie las definiciones que desee rastrear en un grupo personalizado y seleccione dicho grupo en la opcin Rastrear por del cuadro de dilogo Ajustes de rastreo y reparacin. Para crear un grupo personalizado, haga clic con el botn secundario en Grupos personalizados o en un subgrupo y, a continuacin, haga clic en Grupo nuevo. Para agregar definiciones a un grupo personalizado, haga clic y arrastre una o ms de ellas desde cualquiera de los otros grupos de definiciones. O bien, puede hacer clic con el botn derecho en un grupo personalizado y, a continuacin, seleccionar Agregar vulnerabilidad. Alerta: muestra una lista de todas las definiciones que generarn un mensaje de alerta la prxima vez que se ejecute el rastreador de seguridad en los dispositivos. Para obtener ms informacin, consulte Uso de las alertas de vulnerabilidad. Cumplimiento: muestra una lista de todas las definiciones que se utilizan para determinar si un dispositivo (o mvil/invitado) administrado tiene un estado apropiado o no. Este grupo es utilizado por el Control de acceso de red (NAC) de LANDesk para denegar o permitir el acceso a la red principal. Las definiciones y los archivos de revisiones asociados que contiene el grupo Cumplimiento se copian en un servidor de reparaciones particular, el cual rastrea dispositivos, determina el cumplimiento o la falta de ste (segn las reglas de cumplimiento publicadas en el servidor de postura) y puede reparar los dispositivos que no cumplen para que obtengan acceso total a la red empresarial. 20 principales SANS: enumera las 20 definiciones de vulnerabilidad principales que han sido identificadas y publicadas por Microsoft. Por lo general, estas definiciones son un subconjunto de las vulnerabilidades de Microsoft Windows que se descargan con el cuadro de dilogo Descargar actualizaciones.
31
MANUAL DE USUARIO
Reglas de deteccin
El grupo Reglas de deteccin muestra slo determinados tipos de contenido de seguridad. las reglas de deteccin definen las condiciones especficas de sistema operativo, aplicacin, archivo o registro que la definicin de vulnerabilidad verifica a fin de detectar los riesgos de seguridad que se apliquen (vulnerabilidades, definiciones personalizadas y ataques de seguridad) en los dispositivos rastreados. No se aplican el spyware o las aplicaciones bloqueadas. El grupo Reglas de deteccin contiene los siguientes subgrupos: Rastrear: enumera todas las reglas de deteccin que estn activadas para el rastreo de seguridad de los dispositivos. De forma predeterminada, las reglas asociadas con una definicin de un tipo de contenido de seguridad se agregan al grupo de Rastreo de reglas de deteccin durante una actualizacin de contenido. De la misma forma, las reglas de deteccin personalizadas se asocian con las definiciones personalizadas que se agregan al grupo de rastreo cuando se crea una definicin personalizada. Observe que adems de tener activadas la reglas de deteccin de una definicin, el archivo ejecutable de revisin que le correspondiera debe descargarse tambin a un depsito local de revisiones en la red (normalmente el servidor central) para poder efectuar la reparacin. El atributo Descargado (una de las columnas de detalle en el panel derecho de la ventana) indica si se ha descargado la revisin asociada a la regla. No rastrear: enumera todas las reglas de deteccin que estn desactivadas para el rastreo de seguridad en los dispositivos. Algunas definiciones tienen ms de una regla de deteccin. Al deshabilitar esa regla de deteccin, se puede asegurar que no ser utilizada para rastrear porque las condiciones indican que la definicin se encuentra presente en los dispositivos. Esto puede permitirle simplificar un rastreo de seguridad sin volver a definir la vulnerabilidad. Ver por producto: enumera las reglas detectadas de las vulnerabilidades conocidas, organizadas en subgrupos de productos especficos. Estos subgrupos le ayudan a identificar las reglas de deteccin por su categora de producto pertinente.
Puede utilizar los subgrupos de productos para realizar operaciones de grupo.
Configuracin
El grupo Configuracin permite ver los diversos ajustes que ha creado para las tareas de rastreo de seguridad. Puede hacer clic con el botn secundario en cualquiera de los grupos Configuracin para crear una configuracin nueva y ver su informacin en formato de informe. El grupo Configuracin contiene los siguientes subgrupos:
32
Rastreo y reparacin: muestra una lista de todas las configuraciones de rastreo y reparacin que ha creado y las cuales se utilizan para determinar la operacin del rastreador de seguridad. Cada una de las configuraciones de rastreo y reparacin tiene un nmero identificador nico. El panel derecho muestra informacin til correspondiente a las configuraciones de rastreo y reparacin de la lista. Cumplimiento: muestra una lista de todas las configuraciones de cumplimiento que ha creado y las cuales se utilizan para determinar la operacin del rastreador de seguridad cuando se realiza un rastreo de cumplimiento especfico. Cada configuracin tiene un nmero de identificacin nico. El panel derecho muestra informacin til correspondiente a las configuraciones de rastreo y reparacin de la lista. LANDesk Antivirus: muestra una lista de todas las configuraciones de antivirus que ha creado y las cuales se utilizan para determinar la operacin del rastreador de antivirus. Cada configuracin tiene un nmero de identificacin nico. Servidor de seguridad de Windows: Detalla toda la configuracin creada del servidor de seguridad de Windows que se usa para determinar el comportamiento del servidor de seguridad de Windows XP/2003 o de Windows Vista en dispositivos configurados con los ajustes especficos. Variables personalizadas para reemplazar: Detalla todas las configuraciones de reemplazo de variables personalizadas creadas que se utilizan para determinar qu valores modificados de las variables personalizadas se deben ignorar cuando se ejecuta el rastreador de seguridad. Cada configuracin tiene un nmero de identificacin nico. El panel derecho muestra informacin til correspondiente a las configuraciones de la lista. Control de acceso de red: Detalla los servicios del Control de acceso de red (NAC) de LANDesk. Si hace clic con el botn secundario en el objeto DHCP/NAC de LANDesk, tendr acceso a un men contextual con opciones para: configurar el control de acceso de red, como los servidores DHCP de LANDesk o los servidores de validacin de postura, el nivel de registro y las posturas de slo auditora; configurar servidores de reparaciones; configurar credenciales de usuario; publicar las configuraciones de control de acceso de red; y agregar dispositivos no administrados. Expanda el objeto para tener acceso a los registros del servidor de validacin de postura en el que se puede hacer doble clic para descargar los datos del archivo de registro del servidor.
Detalles de la definicin
El panel derecho de la ventana del Administrador de Seguridad y Revisiones muestra informacin detallada, enumerada en columnas que se pueden ordenar, para elementos de regla de definicin y deteccin, como se describe a continuacin: Id: identifica la definicin con un cdigo alfanumrico nico y definido por el proveedor. Gravedad: indica el nivel de gravedad de la definicin. Los niveles de gravedad posibles incluyen: Service Pack, Crtica, Alta, Media, Baja, No aplica y Desconocida. Ttulo: describe la naturaleza o el destino de la definicin en una breve cadena de texto. Idioma: indica el idioma del sistema operativo o de la aplicacin afectada por la definicin. Fecha de publicacin: indica la fecha en la que el proveedor public la definicin. Reparable: indica si la definicin se puede reparar mediante el despliegue o instalacin de un archivo de revisin. Los valores posibles son: S, No, Algunas (para una definicin que incluye varias reglas de deteccin y no se pueden reparar todas las definiciones detectadas) y Sin reglas (para una definicin personalizada que no incluye reglas de deteccin).
33
MANUAL DE USUARIO
Instalacin silenciosa: indica si las revisiones asociadas a la definicin se instalan en segundo plano, es decir, sin la intervencin del usuario. Algunas definiciones tienen ms de una revisin. Si alguna de las revisiones de las definiciones no se instala en segundo plano, el indicador dir No. Para ver cmo se instalan las revisiones individuales, haga clic con el botn derecho en la definicin y seleccione Propiedades | Revisiones. Detectada: muestra el nmero de dispositivos explorados en los que se detect la definicin. Rastreados: muestra el nmero de dispositivos explorados para encontrar la definicin. Reparacin automtica: indica si la reparacin automtica est activada o desactivada para la definicin. CVE ID: (Se aplica slo a vulnerabilidades) Identifica una vulnerabilidad por su nombre nico de CVE (Vulnerabilidades y Exposiciones Comunes). Para obtener ms informacin, consulte "Uso de nombres CVE" en la pgina 78.
Uso del men contextual de una definicin

Haga clic con el botn derecho para ver ms detalles con la opcin Propiedades. El men contextual de una definicin tambin le permite realizar las siguientes tareas (segn el tipo de seguridad): Ver equipos afectados Descargar revisiones asociadas Activar/desactivar la reparacin automtica Agregar la definicin a los grupos Cumplimiento y Alertas Eliminar el estado de rastreo o reparacin de la definicin Crear un trabajo de reparacin
Detalles de las reglas de deteccin

Nombre: muestra el nombre de la regla de deteccin (puede ser el nombre de archivo del ejecutable de la revisin). Id: muestra el Id. de la definicin con el que est asociada la regla. Reparable: indica si la definicin asociada se puede reparar mediante el despliegue o instalacin de un archivo de revisin. Instalacin silenciosa: indica si la revisin asociada a la regla se instala en segundo plano sin la intervencin del usuario. Reiniciar: indica si el archivo de revisin asociado requiere que se reinicie el sistema para completar de forma correcta la reparacin. Reparacin automtica: indica si la reparacin automtica est activada o desactivada para la definicin asociada. Descargada: indica si el archivo ejecutable de la revisin asociada de la regla se ha descargado al depsito local.
Haga clic con el botn secundario en una regla de deteccin, para ver ms detalles de la opcin Propiedades. El men de acceso directo permite activar o desactivar la regla y descargar la revisin asociada.
34
Configuracin de dispositivos para rastreos de seguridad y reparaciones

Antes de que los dispositivos administrados puedan rastrearse en busca de vulnerabilidades, spyware, ataques de seguridad y otros tipos de seguridad, y recibir implementaciones de revisiones o actualizaciones de software, deben tener instalado el Agente de rastreo de seguridad y revisiones (este agente se instala de forma predeterminada con el agente LANDesk estndar). Esta seccin incluye informacin sobre la configuracin de dispositivos Windows, al igual que Linux, UNIX y Mac. Se admite el rastreo de los servidores y las consolas centrales Tambin puede rastrear servidores y consolas centrales LANDesk en busca de actualizaciones de software LANDesk, pero primero deben tener el agente LANDesk estndar implementado, lo que incluye el agente rastreador de seguridad y revisiones que se requiere para las tareas de rastreo de seguridad.
Configuracin de dispositivos Windows para rastreos de seguridad

Para los dispositivos Windows, con versiones anteriores, el agente de rastreos de vulnerabilidades tena que estar instalado como un complemento adicional a una configuracin de agente de dispositivo. Sin embargo, ahora el agente de rastreo de seguridad y revisiones se incluye de forma predeterminada con el agente LANDesk estndar y se instala en los dispositivos an en la configuracin ms bsica. En otras palabras, cualquier dispositivo configurado con la nueva herramienta de configuracin de agentes estar listo para su rastreo y reparacin de seguridad y revisiones. Configuracin de opciones de rastreo y reparacin de dispositivos Windows durante la configuracin de agentes Cuando se crea o edita una configuracin de agente, puede especificar alguna de las opciones del rastreo de seguridad y revisiones, como cundo y cmo ejecutar el rastreador de forma automtica en los dispositivos administrados, que el rastreador muestre o no el progreso, o muestre pantallas de mensajes en el dispositivo del usuario final, as como la configuracin global para las operaciones de reparacin, como el reinicio del dispositivo y la reparacin automtica. Si desea ms informacin sobre la personalizacin del comportamiento del agente de rastreo de seguridad y revisiones como parte de la creacin e implementacin de las configuraciones de agente en los dispositivos de Windows administrados, consulte Deploying and configuring the security and patch scanner. Nota: para que se pueda ejecutar el agente Rastreador de vulnerabilidades es necesario instalar WinSock2 en los dispositivos con Windows 9x.
35
MANUAL DE USUARIO
Una vez que ocurre la configuracin del agente, se agrega un icono para el rastreador de seguridad y revisiones en el grupo de Programa LANDesk Management del dispositivo, esto se puede utilizar para ejecutar el rastreador directamente desde el dispositivo, contrario a un inicio por medio de una tecla, recurriendo al inicio local del programador, o la tarea programada que se usa en la consola.
Configuracin de seguridad adicional en las configuraciones del agente

Al definir una configuracin del agente del dispositivo (para los dispositivos Windows), tambin puede activar y configurar los siguientes valores del rastreador de seguridad: Rastreos de seguridad frecuentes para riesgos de seguridad crticos El monitoreo en tiempo real del bloqueo de aplicaciones y de spyware
Consulte las secciones siguientes, si desea ms informacin.
Pgina Rastreado de seguridad frecuente del cuadro de dilogo Configuracin del Agente
Utilice esta pgina para habilitar y configurar rastreos de alta frecuencia para riesgos de seguridad crticos y urgentes, tales como virus malvolos y descubiertos recientemente, y riesgos de configuracin de los servidor de seguridad. Usar el rastreo de seguridad frecuente: permite el rastreo de alta frecuencia con el rastreador de seguridad y revisiones, segn la hora y el contenido de grupo especificados a continuacin. Si no se selecciona esta opcin, los dispositivos administrados configurados con la configuracin del agente an podrn ser rastreados con el rastreador de seguridad y revisiones, en funcin de las opciones especificadas en la pgina Rastreo de seguridad y revisiones, debido a que el agente de seguridad y revisiones es parte del agente LANDesk estndar. Rastrear slo cuando un usuario inicie sesin, cada: especifica con qu frecuencia se ejecuta el rastreo de seguridad cuando un usuario inicia sesin en un dispositivo administrado. La frecuencia mnima es de 30 minutos. Elegir una configuracin de rastreo y reparacin: determina las definiciones de tipo de seguridad que rastrea el rastreo de alta frecuencia, segn el contenido de los grupos personalizados que se seleccionan aqu. El rastreo de alta frecuencia solamente se puede definir mediante el contenido de un grupo personalizado y no mediante los grupos Rastrear, Alertas o Cumplimiento. Se puede agregar cualquier tipo de contenido de seguridad a un grupo personalizado, tales como spyware, vulnerabilidades, definiciones personalizadas, amenazas de seguridad, etc. El grupo personalizado se selecciona en el dilogo Ajustes de rastreo y reparacin. Elija una configuracin de rastreo y reparacin en la lista desplegable. En la lista solamente aparecen las configuraciones de rastreo y reparacin que se han configurado para el rastreo de un grupo personalizado (a diferencia de un tipo o unos tipos especficos). Configurar: abre el cuadro de dilogo Ajustes de rastreo y reparacin, en el cual puede seleccionar la configuracin de rastreo y reparacin que tiene especificado un grupo personalizado.
36
Pgina Bloqueador de Spyware/Aplicaciones del cuadro de dilogo Configuracin del Agente

Utilice esta pgina para habilitar y configurar el bloqueo de aplicaciones y la deteccin de spyware en tiempo real y para eliminarlos de los dispositivos administrados configurados con esta configuracin del agente. (Consulte "Aviso legal para los tipos de aplicaciones bloqueadas" en la pgina 39.) Permitir el monitoreo de bloqueo de aplicaciones: permite el bloqueo de aplicaciones en tiempo real, segn la lista de definiciones de aplicaciones no autorizadas contenidas en el grupo Rastrear (o en el grupo personalizado). Notificar al usuario cuando se ha bloqueado una aplicacin: muestra un mensaje en el dispositivo del usuario final, en el cual se notifica que la aplicacin que se intent ejecutar se ha denegado o bloqueado. Permitir el monitoreo de spyware en tiempo real: permite la deteccin y eliminacin de spyware en tiempo real, segn la lista de definiciones de spyware contenidas en el grupo Rastrear (o en el grupo personalizado). Importante: Para que funcione el rastreo y la deteccin de spyware en tiempo real, deber activar de forma manual la funcin de reparacin automtica para cualquier definicin de spyware descargada que desee incluir en el rastreo de seguridad. Las definiciones de spyware descargadas no tienen activada la funcin de reparacin automtica de forma predeterminada. Notificar al usuario cuando se ha bloqueado spyware: muestra un mensaje en el dispositivo del usuario final, en el cual se notifica que se ha detectado y eliminado spyware en el sistema. Avisar al usuario que una aplicacin desconocida se est instalando: muestra un mensaje en el dispositivo del usuario final, en el cual se notifica que se ha instalado una aplicacin desconocida en el sistema.
Configuracin de dispositivos Linux y UNIX para rastreos de seguridad

El Administrador de Seguridad y Revisiones tambin admite rastreos de seguridad en: Linux Red Hat SUSE Linux Sun Sparc (Solaris 8)
El contenido de seguridad y revisiones de cada una de estas plataformas puede descargarse con el Administrador de Seguridad y Revisiones al igual que las vulnerabilidades de Windows. Los dispositivos Linux y UNIX no pueden configurarse con el agente de rastreador de seguridad y revisiones por medio de la herramienta de configuracin de la consola del agente. La configuracin de Linux y UNIX es un proceso manual. Para ms informacin sobre la configuracin de dispositivos Linux y UNIX, consulte el Manual de instalacin e implementacin, as como el archivo LEAME que se encuentra en el archivo tar de su respectiva plataforma en las plataformas bajo ManagementSuite\LDLogon en el servidor central.
37
MANUAL DE USUARIO
Una vez configuradas, estas plataformas Linux y UNIX pueden rastrearse en busca de vulnerabilidades mediante tareas programadas desde la consola. Si se detectan las vulnerabilidades, la reparacin debe llevarse a cabo de manera manual en el dispositivo afectado.
Configuracin de dispositivos Mac OS X para rastreos de seguridad

En dispositivos Mac OS X, el Administrador de seguridad o revisiones ahora admite tanto el rastreo como la reparacin de seguridad. La seguridad y el contenido de las revisiones de Macintosh pueden descargarse con el Administrador de Seguridad y Revisiones. Adems, puede crear y configurar la configuracin del agente para sus dispositivos Macintosh con la Herramienta de configuracin de agentes. Al igual que con configuraciones de agentes Windows, el agente de seguridad y revisiones es parte del agente LANDesk estndar para dispositivos Macintosh. Para crear e implementar una configuracin de agente para Macintosh compatible con el rastreador de seguridad y revisiones, consulte Managing Macintosh devices en el Manual del usuario. Una vez configurados, los dispositivos Macintosh pueden rastrearse en busca de vulnerabilidades mediante tareas programadas desde la consola. Si se detectan las vulnerabilidades, la reparacin debe llevarse a cabo en el dispositivo afectado. Para ejecutar el rastreador de seguridad en dispositivos Macintosh 1. 2. Abra las preferencias de sistema de Mac OS X y seleccione el panel del cliente de LANDesk. En la ficha Introduccin, haga clic en Comprobar ahora en la seccin Administrador de Seguridad y Revisiones.
38
Aviso legal para los tipos de aplicaciones bloqueadas

Para conveniencia de los usuarios finales, LANDesk proporciona acceso a la base de datos que contiene cierta informacin sobre los archivos ejecutables que un usuario final puede utilizar en relacin con la funcionalidad del bloqueador de aplicaciones de LANDesk Security Suite. ESTA INFORMACIN SE PROPORCIONA "TAL CUAL" , SIN NINGUNA GARANTA EXPLCITA O IMPLCITA O DE CUALQUIER OTRA NATURALEZA, QUE INCLUYE PERO QUE NO SE ENCUENTRA LIMITADA A LAS GARANTAS IMPLCITAS DE COMERCIALIZACIN Y/O APTITUD PARA UN FIN DETERMINADO. Como tal, LANDesk no garantiza la precisin, integridad o actualidad de la informacin y el usuario final se hace responsable de EXAMINAR y confirmar esta informacin antes de utilizarla. Cualquier uso de esta informacin es bajo el propio riesgo del usuario. Parte de la Informacin de resumen de las definiciones de las aplicaciones bloqueadas se encuentra en: http://www.sysinfo.org, y est protegida por las leyes de propiedad intelectual de la siguiente manera: "Presentacin, formato y comentarios Copyright 2001 - 2005 Paul Collins; Portions Copyright Peter Forrest, Denny Denham, Sylvain Prevost, Tony Klein; Creacin de base de datos y asistencia: Patrick Kolla; Asistencia en software: John Mayer; Todos los derechos reservados."
39
MANUAL DE USUARIO
Administracin del contenido de seguridad y revisiones

En esta seccin, se proporciona informacin sobre la actualizacin y visualizacin de contenido de seguridad, la creacin y el uso de definiciones personalizadas y la descarga de revisiones y el trabajo con stas. Para obtener ms informacin sobre el rastreo de dispositivos administrados para una variedad de riesgos de seguridad (como vulnerabilidades del sistema operativo o de la aplicacin, actualizaciones de software, spyware, exposiciones de la configuracin del sistema, etc.), la reparacin de dispositivos afectados y la generacin de alertas de seguridad e informes, consulte"Rastreo y reparacin de dispositivos" en la pgina 54. Lea este captulo para obtener informacin sobre:
Administracin del contenido de seguridad y revisiones

"Descarga de actualizaciones del contenido de seguridad y revisiones" en la pgina 41 "Visualizacin del contenido de seguridad y revisin" en la pgina 44 "Bsqueda de vulnerabilidades por nombres CVE" en la pgina 44 "Uso de filtros para personalizar las listas de elementos" en la pgina 45 "Quitar vulnerabilidades" en la pgina 45
Uso de las revisiones

"Descarga de revisiones" en la pgina 46 "Desinstalacin de revisiones" en la pgina 47 "Quitar revisiones de la base de datos central" en la pgina 48
Uso de definiciones personalizadas

"Creacin de definiciones personalizadas y reglas de deteccin" en la pgina 48 "Importacin y exportacin de definiciones personalizadas" en la pgina 52 "Borrado de definiciones personalizadas" en la pgina 53
40
Descarga de actualizaciones del contenido de seguridad y revisiones

Las redes y los dispositivos son continuamente vulnerables a los riesgos de seguridad y a las exposiciones de muchas fuentes peligrosas: virus, gusanos, spyware, as como a problemas comunes de mantenimiento como actualizaciones de software y soluciones a problemas. Las revisiones se publican regularmente para reparar vulnerabilidades irreparables de las aplicaciones y sistemas operativos. El Administrador de Seguridad y Revisiones lleva a cabo de forma rpida y sencilla el proceso de recopilacin de las definiciones ms reciente sobre las definiciones y seguridad de los tipos de seguridad, lo que permite la descarga de contenido a travs de una base de datos alojada por LANDesk. Este servicio de LANDesk Security consolida las definiciones conocidas de fuentes confiables, de la empresa/proveedor y le enva informacin confiable directamente. El Administrador de Seguridad y Revisiones tambin admite las definiciones de vulnerabilidades personalizadas Adems de las vulnerabilidades conocidas, tambin se pueden crear reglas propias para las definiciones de vulnerabilidad personalizadas y deteccin asociadas. Para obtener ms informacin, consulte "Creacin de definiciones personalizadas y reglas de deteccin" en la pgina 48. Con el establecimiento y mantenimiento actualizado de contenido de seguridad y revisiones, se puede comprender mejor la naturaleza y el alcance de los riesgos de seguridad para cada plataforma y aplicacin que se admita, determinar qu vulnerabilidades y otros tipos de riesgos son importantes, as como personalizar las tareas de rastreo de seguridad y reparacin. El primer paso en esta estrategia de administracin de seguridad es la descarga de un listado actualizado del contenido de seguridad y revisiones. Con el Administrador de Seguridad y Revisiones, se pueden configurar y realizar actualizaciones de contenido de seguridad y revisiones al mismo tiempo, o bien, crear una tarea de actualizacin programada para que se lleve cabo en un momento establecido o como tarea recurrente (consulte"Programacin de las descargas de actualizaciones automticas del contenido de seguridad y revisiones" en la pgina 43). Slo un usuario de LANDesk en un servidor central concreto (incluyendo consolas adicionales) puede actualizar los contenidos de seguridad y revisiones a la vez. Si un usuario intenta realizar la actualizacin mientras el proceso ya se est ejecutando, aparecer un mensaje que indicar la presencia de un conflicto. Actualizacin del contenido de seguridad y revisin 1. 2. 3. 4. Haga clic en Herramientas | Seguridad | Administrador de Seguridad y Revisiones. Haga clic en el botn Descargar actualizaciones de la barra de herramientas. Seleccione el sito de origen de la actualizacin en la lista de servidores de contenido disponibles. Seleccione los tipos de definiciones para los que se quieran actualizar el contenido de seguridad y revisiones. Puede seleccionar uno o ms tipos en la lista, dependiendo de su suscripcin al contenido de LANDesk Security Suite. Cuantos ms tipos seleccione, ms durar el proceso de actualizacin.
41
MANUAL DE USUARIO
5.
Seleccione los idiomas cuyo contenido desee actualizar para los tipos que ha especificado. Algunos tipos de vulnerabilidades y otros tipos de definiciones, al igual que las revisiones asociadas, son neutrales o independientes del idioma, lo cual quiere decir que son compatibles con cualquier versin de idioma del sistema operativo o de la aplicacin que cubre la definicin. Es decir, no es necesario disponer de una revisin especfica de idioma nico para reparar las vulnerabilidades, ya que la revisin engloba todos los idiomas admitidos. Por ejemplo, las plataformas Linux utilizan solamente definiciones y revisiones neutras al idioma. No obstante, las definiciones y las revisiones de vulnerabilidad de la plataforma Windows y Apple Macintosh casi siempre son especficas a un idioma. Al descargar contenido para cualquier plataforma (con la suscripcin adecuada), todas las definiciones de vulnerabilidad neutrales al idioma de la plataforma seleccionada se actualizan automticamente de forma predeterminada. Si ha seleccionado un tipo de contenido de plataforma Windows o Mac, tambin debe seleccionar los idiomas especficos cuyas definiciones desee actualizar. Si ha seleccionado una plataforma Linux o Sun Solaris, no es necesario seleccionar un idioma especfico debido a que el contenido es neutro al idioma y se actualizar de forma automtica. Si desea que el nuevo contenido (el contenido no se encuentra en ningn grupo del rbol del Administrador de Seguridad y Revisiones) se ubique automticamente en el grupo No asignadas en lugar de la ubicacin predeterminada, la cual es el grupo Rastrear, haga clic en la casilla de verificacin Colocar nuevas definiciones en el grupo No asignadas. Si desea descargar automticamente los archivos ejecutables de la revisin que estn asociados, active la casilla de verificacin Descargar revisiones y, a continuacin, haga clic en una de las opciones de descarga: Slo para definiciones detectadas: descarga nicamente las revisiones asociadas con vulnerabilidades, ataques de seguridad o actualizaciones de LANDesk detectadas por el ltimo rastreo de seguridad (p. ej., definiciones que residen actualmente en el grupo Detectadas). Para todas las definiciones descargadas: Descarga TODAS las revisiones asociadas con vulnerabilidades, amenazas de seguridad y actualizaciones de LANDesk que residen en el grupo Rastrear.
6.
7.
Las revisiones se descargan en la ubicacin especificada en la ficha Ubicacin de revisiones del cuadro de dilogo Descargar actualizaciones. 8. Si dispone de un servidor proxy en la red que se utilice para transmisiones externas de Internet (necesario para actualizar el contenido de seguridad y revisin y descargar revisiones), haga clic en la ficha Configuracin del Proxy y especifique la direccin del servidor, el nmero de puerto y las credenciales de autenticacin si se requiere un inicio de sesin para acceder al servidor proxy. 9. Haga clic en Aplicar en una de las fichas en cualquier momento para guardar la configuracin. 10. Haga clic en Actualizar ahora para ejecutar la actualizacin del contenido de seguridad y revisiones. En el cuadro de dilogo Actualizacin de definiciones se muestra el estado y la operacin actual. (Para crear una tarea programada haga clic en Programar actualizacin.)
42
11. Una vez completada la actualizacin, haga clic en Cerrar. Tenga en cuenta que si hace clic en Cancelar antes de que finalice la actualizacin, solamente se descargar en la base de datos central el contenido de seguridad y revisiones que se ha procesado hasta ese momento. Tendr que ejecutar la actualizacin de nuevo a fin de obtener el resto del contenido de seguridad y revisiones. Nota: No cierre la consola mientras se ejecuta un proceso de actualizacin de seguridad y revisiones o el proceso ser finalizado. Sin embargo, esta regla no se aplica a la tarea programada de Descarga de contenido de seguridad y revisiones, que finalizar el proceso an cuando la consola se encuentre ejecutndose. Para configurar la ubicacin de la descarga de revisiones 1. 2. 3. En el cuadro de dilogo Descargar actualizaciones, haga clic en la ficha Ubicacin de la revisin. Indique una ruta UNC donde desee que se copien los archivos de revisin. La ubicacin predeterminada es el directorio \LDLogon\Patch del servidor central. Si la ruta introducida se indica en una ubicacin distinta del servidor central, introduzca una contrasea y nombre de usuario vlidos para realizar la autenticacin en dicha ubicacin. Indique una direccin URL del Web donde los dispositivos puedan tener acceso a las revisiones descargadas para la implementacin. Esta direccin debe coincidir con la ruta UNC indicada anteriormente. Puede hacer clic en Comprobar configuracin para comprobar si se puede realizar una conexin a la direccin Web especificada con anterioridad. Si desea restaurar la ruta UNC y la direccin URL del Web en sus ubicaciones predeterminadas, haga clic en Restaurar predeterminada. Nuevamente, la ubicacin predeterminada es el directorio \LDLogon\Patch del servidor central.
4.
5. 6.
Programacin de las descargas de actualizaciones automticas del contenido de seguridad y revisiones

Tambin puede configurar actualizaciones del contenido de seguridad y revisiones como tarea programada para se produzca en un momento establecido en un futuro o como tarea recurrente. Para hacerlo, simplemente seleccione el botn Programar descarga de la barra de herramientas. El cuadro de dilogo Informacin programada de actualizacin muestra la configuracin especfica de la tarea. Haga clic en Aceptar para crear una tarea Descargar contenido de seguridad y revisiones en la ventana Tareas programadas, donde puede especificar las opciones de programacin. Configuracin especfica de la tarea y configuracin globalObserve que slo la configuracin de la descarga de los tipos de definiciones, idiomas y definiciones y parches se guardan y asocian con una tarea especfica cuando la crea. Esas tres configuraciones se consideran especficas de la tarea. Sin embargo, la configuracin de las otras fichas del cuadro de dilogo Descargar actualizaciones es global. Ello significa que se aplican a todas las tareas de descarga de contenido de seguridad posteriores. La configuracin global incluye: ubicacin de la descarga de revisiones, servidor proxy, reparacin automtica de spyware, alertas de seguridad y antivirus. Siempre que se cambia una configuracin global, dicho cambio se aplica a todas las tareas de descarga del contenido de seguridad desde ese punto en adelante.
43
MANUAL DE USUARIO
Visualizacin del contenido de seguridad y revisin

Una vez actualizado el contenido de seguridad y revisiones con el servicio de LANDesk Security, se pueden ver las reglas de deteccin y definiciones (slo para vulnerabilidades y definiciones personalizadas) en sus respectivos grupos en la ventana del Administrador de Seguridad y Revisiones. Utilice la lista Tipo para visualizar el contenido de un tipo especfico de definicin o de todos los tipos de definicin. Tambin puede utilizar el control de Filtro para personalizar an ms el contenido que desee mostrar. Una vez descargados los contenidos de seguridad y revisin, puede mover elementos a diferentes grupos de estados, o copiarlos en sus propios grupos personalizados. Para obtener ms informacin sobre la utilizacin los diferentes grupos en la vista Administrador de seguridad y revisiones, consulte"Uso de la ventana herramientas del Administrador de Seguridad y Revisiones" en la pgina 25. Asimismo, puede ver los detalles de propiedad de cada una de las reglas de deteccin y definiciones actualizadas haciendo clic con el botn secundario y seleccionando Propiedades. Esta informacin puede ayudarle a determinar qu definiciones son relevantes para las plataformas y aplicaciones admitidas de la red, el modo en que las reglas de deteccin de vulnerabilidad verifican la presencia de definiciones, qu revisiones se encuentran disponibles para una vulnerabilidad y cmo se desea configurar y realizar la reparacin de los dispositivos afectados. Las definiciones personalizadas se pueden modificar Si descarga una definicin conocida del sector, el dilogo de propiedades correspondiente solamente se utiliza para fines de consulta de la informacin. No obstante, si selecciona una definicin personalizada o est creando una nueva, los campos y pginas del dilogo de propiedades se pueden editar, lo cual permite definir la definicin y las reglas de deteccin.
Bsqueda de vulnerabilidades por nombres CVE

LANDesk es compatible con el estndar de nombres de CVE (Vulnerabilidades y Exposiciones Comunes). Con el Administrador de Seguridad y Revisiones puede buscar vulnerabilidades por nombre CVE y ver la informacin CVE de las definiciones de vulnerabilidades descargadas. Para obtener ms informacin sobre la convencin de nombres de CVE, la compatibilidad de LANDesk con el estndar CVE, y la forma de usar la identificacin CVE para buscar definiciones de vulnerabilidades de seguridad individuales en el Administrador de seguridad y revisiones, consulte"Uso de nombres CVE" en la pgina 78.
44
Uso de filtros para personalizar las listas de elementos

La lista de Filtro permite crear y aplicar filtros de visualizacin personalizados para controlar los elementos que se muestran en el marco derecho de la ventana del Administrador de Seguridad y Revisiones. Los filtros permiten racionalizar una gran cantidad de contenido de seguridad y revisiones. Puede filtrar el contenido por sistema operativo o gravedad. El control del Filtro puede utilizarse en conjunto con el control de Tipo para mostrar exactamente el contenido de seguridad y revisiones que le interesa visualizar. Para crear un nuevo filtro de visualizacin 1. 2. 3. 4. 5. En el Administrador de Seguridad y Revisiones, haga clic en la lista desplegable Filtro, y luego en Administrar filtros. Haga clic en Nuevo. Escriba un nombre para el filtro nuevo. Si desea filtrar el contenido por el sistema operativo, active la casilla de verificacin y luego seleccione los sistemas operativos que desee mostrar. Si desea filtrar el contenido por la severidad de la definicin, active la casilla de verificacin y luego seleccione las gravedades que desee mostrar. Haga clic en Aceptar.
Para aplicar un filtro a la visualizacin de contenido de un grupo 1. 2. Haga clic en el grupo de contenido en el panel izquierdo de la venta del Administrador de Seguridad y Revisiones. Haga clic en la lista Filtro, y luego seleccione un filtro de la lista.
Vista de la informacin de seguridad de un dispositivo rastreado

Asimismo, puede ver la informacin especifica en un dispositivo rastreado directamente en la vista de red haciendo clic con el botn secundario en uno o varios dispositivos seleccionados y, a continuacin, seleccionando Informacin de seguridad y revisiones. Este dilogo permite ver la deteccin, instalacin e historial de reparaciones, y llevar a cabo tareas de administracin de revisiones.
Quitar vulnerabilidades
Puede quitar las vulnerabilidades en la ventana del Administrador de Seguridad y Revisiones (y la base de datos central), si se determina que no es relevante en el entorno, o bien, si una reparacin correcta hace que la informacin sea obsoleta.
45
MANUAL DE USUARIO
Cuando se purgan las definiciones, la informacin de la regla de deteccin asociada tambin se quita de los grupos de Reglas de deteccin en la vista de rbol. No obstante, con este proceso no se eliminan los archivos ejecutables asociados de la revisin real. Los archivos de revisin se deben quitar de forma manual del depsito local, que generalmente se encuentra en el servidor central. Para quitar vulnerabilidades 1. 2. 3. Haga clic en Herramientas | Seguridad | Administrador de Seguridad y Revisiones. Haga clic en el botn de la barra de herramientas Quitar vulnerabilidades. Seleccione las plataformas cuyas definiciones desee eliminar. Puede seleccionar una o varias plataformas de la lista. Si una definicin se asocia con varias plataformas, debe seleccionarlas todas para poder eliminar la misma. Seleccione los idiomas cuya definicin desee eliminar (asociada con la plataforma seleccionada anteriormente). Si selecciona una plataforma de Windows o Macintosh, debe especificar los idiomas cuya definicin desea eliminar. Si elige una plataforma UNIX o Linux, es necesario especificar la opcin Idioma neutral para poder eliminar las definiciones independientes de sus idiomas. Haga clic en Quitar.
4.
5.
Uso de las revisiones Descarga de revisiones

Para poder implementar las revisiones de seguridad en los dispositivos afectados, en primer lugar el archivo ejecutable de la revisin se debe descargar en un depsito de revisiones local de la red. La ubicacin predeterminada para las descargas es el directorio /LDLogon/Patches del servidor principal. Puede cambiar esta ubicacin en la ficha Ubicacin de la revisin del cuadro de dilogo Descargar actualizaciones. Ubicacin de la descarga de revisiones y configuracin del servidor proxy Las descargas de revisiones siempre emplean la configuracin de ubicacin de descarga localizada actualmente en la ficha Ubicacin de la revisin del cuadro de dilogo Descargar actualizaciones. Observe tambin que si la red utiliza un servidor proxy para el acceso a Internet, en primer lugar debe establecer la configuracin del servidor en la ficha Configuracin del proxy antes de que pueda descargar los archivos de revisin. En primer lugar el Administrador de Seguridad y Revisiones intenta descargar un archivo de revisin desde la direccin URL (indicada en el cuadro de dilogo Propiedades de la revisin). Si no se puede realizar ninguna conexin, o bien, si la revisin no est disponible por algn motivo, la revisin se descarga del servicio de contenido de seguridad de LANDesk, el cual consiste de una base de datos alojada por LANDesk que contiene revisiones de fuentes del sector de confianza. Se puede descargar una sola revisin o un conjunto de revisiones al mismo tiempo.
46
Para realizar la descarga 1. En cualquier grupo de reglas de deteccin, haga clic con el botn derecho y, a continuacin, seleccione Descargar revisin. Tambin puede descargar revisiones de definiciones personalizadas en el dilogo de regla de deteccin, al crear o editar una definicin personalizada. O bien, para descargar un conjunto de reglas, seleccione cualquier cantidad de reglas en el grupo de reglas de deteccin y, a continuacin, haga clic en Descargar revisin. El estado y la operacin de descarga se muestran en el cuadro de dilogo Descarga de revisiones. Puede hacer clic en Cancelar en cualquier momento para detener todo el proceso de descarga. Una vez finalizada la descarga, haga clic en el botn Cerrar.
2. 3.
4.
Descarga de revisiones asociadas solamente

Tambin puede descargar esas revisiones asociadas con una vulnerabilidad especfica (u otra definicin del tipo de contenido de seguridad que requiere revisiones para la reparacin) o un grupo de vulnerabilidades seleccionadas. Para hacerlo, haga clic con el botn derecho en las definiciones, haga clic en Descargar revisiones asociadas, seleccione si desea todas las revisiones asociadas o slo las actuales y haga clic en Descargar. Para obtener ms informacin sobre el estado de descarga del archivo de revisin, consulte"Uso de la ventana herramientas del Administrador de Seguridad y Revisiones" en la pgina 25.
Desinstalacin de revisiones
Puede desinstalar las revisiones implementadas en los dispositivos administrados. Por ejemplo, puede desinstalar una revisin que haya causado un conflicto inesperado con la configuracin existente. Al desinstalar la revisin, puede restaurar el dispositivo a su estado original. Para desinstalar una revisin 1. 2. 3. 4. 5. Desde cualquier listado de seleccin de reglas, haga clic en el botn secundario en una o ms reglas, y luego haga clic en Desinstalar revisin. Escriba un nombre para la tarea de desinstalacin. Especifique si la desinstalacin es una poltica o tarea programada, o ambas. Si seleccion una tarea programada, especifique cules son los dispositivos desde los que desea instalar la revisin. Si la revisin no puede desinstalarse sin acceder a su archivo ejecutable original (es decir, utilizar parmetros de lnea de comandos), y desea implementar un ejecutable usando la Multidifusin dirigida, habilite la casilla de verificacin Utilizar multidifusin. Para configurar las opciones, haga clic en el botn Opciones de multidifusin. Para obtener ms informacin, consulte About the Multicast options dialog. Si seleccion una poltica, y desea crear una nueva consulta basada en esta tarea de desinstalacin que pueda usarse ms adelante, active la casilla de verificacin Agregar una consulta.
6.
47
MANUAL DE USUARIO
7.
8.
Seleccione una configuracin de rastreo y reparacin en la lista disponible (o cree una configuracin personalizada para este rastreo), para determinar la forma en que el escner opera en los dispositivos de usuarios finales. Haga clic en Aceptar. Para una tarea programada, ahora puede agregar dispositivos de destino y configurar las opciones de programacin en la herramienta de Tareas programadas. Para una poltica, la nueva aparece en la ventana Administrador de polticas de aplicacin con el nombre de tarea indicado en la parte superior. Desde all puede agregar destinos estticos (usuarios o dispositivos) y dinmicos (resultados de consultas), as como configurar la frecuencia y el tipo de directiva.
Quitar revisiones de la base de datos central

Para eliminar los archivos de revisin de forma permanente, debe borrarlos del depsito de revisiones que suele situarse en el servidor central.
Uso de definiciones personalizadas Creacin de definiciones personalizadas y reglas de deteccin

Adems de las vulnerabilidades conocidas que se actualizan mediante el servicio del Administrador de seguridad y revisiones de LANDesk, tambin puede crear sus propias definiciones personalizadas (o definidas por el usuario), junto con reglas de deteccin personalizadas, archivos de revisin asociados y comandos adicionales particulares que garanticen la reparacin satisfactoria. Las definiciones de vulnerabilidad consisten del ID nico, el ttulo, la fecha de publicacin, el idioma y otra informacin de identificacin, al igual que las reglas de deteccin que indican al rastreador de seguridad lo que debe buscar en los dispositivos de destino. Las reglas de deteccin definen las condiciones especficas de plataforma, aplicacin, archivo o registro que el rastreador de seguridad comprueba a fin de detectar una vulnerabilidad en los clientes rastreados (o prcticamente CUALQUIER condicin o estado del sistema). Las definiciones personalizadas de vulnerabilidad del Administrador de Seguridad y Revisiones constituyen una caracterstica poderosa y flexible que permite implementar un nivel adicional y privado de seguridad de las revisiones en el sistema LANDesk. Adems de mejorar la seguridad de las revisiones, las vulnerabilidades personalizadas pueden utilizarse para acceder a las configuraciones del sistema, revisar que existan los archivos especficos y las configuraciones de registro e implementar actualizaciones de aplicaciones, entre otros novedosos usos que tienen la ventaja de las capacidades de rastreo del rastreador de vulnerabilidades. Creacin de definiciones personalizadas de aplicaciones bloqueadas Tambin puede crear sus propias definiciones para el tipo de aplicacin bloqueada. Desde la lista desplegable Tipo, seleccione Aplicaciones bloqueadas, ingrese un nombre de archivo ejecutable y un ttulo descriptivo para la definicin, y luego haga clic en Aceptar.
48
Las definiciones personalizadas no tienen necesariamente que realizar acciones de reparacin (despliegue e instalacin de archivos de revisin). Si la definicin personalizada se define con una regla o reglas de deteccin de Slo detectar que slo puede detectarse con el Administrador de Seguridad y Revisiones, el rastreador de seguridad observa en los dispositivos destino y simplemente informa a los dispositivos si se encuentra presente la condicin indicada por la regla (por ejemplo, vulnerabilidad). Por ejemplo, puede escribir una regla personalizada de Slo detectar para que el rastreador de seguridad verifique lo siguiente en los dispositivos administrados: Existencia de aplicaciones Existencia de archivos Versin de archivo Ubicacin de archivos Fecha de archivos Configuracin del registro Y ms...
Puede crear la cantidad de definiciones personalizadas de vulnerabilidad que desee para establecer y mantener el nivel ptimo de seguridad de revisiones en el entorno.
Creacin de definiciones personalizadas

Para crear definiciones personalizadas Haga clic en Herramientas | Seguridad | Administrador de Seguridad y Revisiones. En la lista desplegable Tipo, seleccione Todos los tipos o Definiciones personalizadas. (Si desea crear una definicin personalizada de aplicacin bloqueada, recuerde que el botn de la barra de herramientas Crear definicin personalizada slo est disponible con uno de estos dos tipos de archivos seleccionados, o con el tipo seleccionado en Aplicaciones bloqueadas). 3. Haga clic en el botn de la barra de herramientas Crear definicin personalizada. Se abre una versin que se puede editar del dilogo Propiedades el cual permite configurar las opciones de vulnerabilidad. 4. Introduzca un ID exclusivo para la vulnerabilidad. Puede editarse el cdigo de ID generado por el sistema. 5. El tipo es una Definicin personalizada y no puede modificarse. 6. La fecha de publicacin es la fecha actual y no puede modificarse. 7. Introduzca un ttulo descriptivo para la vulnerabilidad. El ttulo se muestra en las listas de vulnerabilidad. 8. Especifique el nivel de gravedad. Las opciones disponibles se incluyen: Desconocida, Service Pack, Crtica, Alta, Media, Baja y No aplica. 9. Especifique el estado de la vulnerabilidad. Las opciones disponibles se incluyen: No rastrear, Rastrear y No asignadas. Cuando especifica un estado, la vulnerabilidad se coloca en el grupo correspondiente en la vista de rbol del Administrador de seguridad y revisiones (consulte"Vista de rbol del Administrador de Seguridad y Revisiones" en la pgina 29). 10. La configuracin del idioma de las vulnerabilidades definidas por el usuario se define automticamente en INTL (Internacional o Idioma neutral), lo cual significa que la vulnerabilidad se puede aplicar a cualquier idioma del sistema operativo o aplicacin. 1. 2.
49
MANUAL DE USUARIO
11. La lista Reglas de deteccin muestra todas las reglas utilizadas por la vulnerabilidad. Si est creando una vulnerabilidad personalizada, debe configurar al menos una regla de deteccin que el rastreador de seguridad utilice para rastrear los dispositivos en busca de la vulnerabilidad. Para agregar reglas de deteccin, haga clic en Agregar. Consulte el procedimiento siguiente, el cual brinda instrucciones detalladas. 12. Si desea proveer informacin adicional sobre la vulnerabilidad, haga clic en la ficha Descripcin y escriba los comentarios en el cuadro de texto o bien, escriba una direccin Web vlida donde se encuentre mayor informacin. Como sucede con las vulnerabilidades del proveedor, las vulnerabilidades personalizadas deben incluir una o ms reglas de deteccin que indiquen al rastreador de seguridad las condiciones que debe buscar cuando rastree los dispositivos administrados. Realice los pasos siguientes para crear una regla de deteccin para una vulnerabilidad personalizada.
Creacin de reglas de deteccin personalizadas

Para crear reglas personalizadas de deteccin 1. 2. Haga clic con el botn secundario en una definicin personalizada y haga clic en Propiedades. (O haga doble clic en la definicin de vulnerabilidad). Haga clic en el botn Agregar ubicado debajo de la lista Reglas de deteccin. En el cuadro de dilogo Pgina de informacin general se abre una versin del dilogo Propiedades de regla, la cual permite configurar una regla de deteccin. En la pgina de Informacin General, ingrese un nombre nico para la regla. El estado de la regla no se puede modificar. Para cambiar el estado de la regla de deteccin, haga clic con el botn secundario en cualquier vista de lista y haga clic en Activar o Desactivar, segn el estado actual. La informacin de definicin de la regla tampoco se puede modificar aqu. Sin embargo, puede ingresar cualquier informacin que desee en el cuadro de Comentarios. Utilice las diversas pginas del dilogo Propiedades de regla para definir la regla de deteccin, como se describe en el resto de este procedimiento. Abre las pginas de Lgicas de deteccin. En la pgina de Plataformas afectadas, seleccione las plataformas en las que desee se ejecute el rastreador de seguridad para revisar la definicin de esta regla de deteccin. La lista de plataformas disponibles es determinada por las vulnerabilidades que actualiz mediante el servicio LANDesk de Administrador de seguridad y revisin. Haga clic en Cargar lista de plataformas predeterminadas para agregar las plataformas disponibles a la lista. Debe seleccionar al menos una plataforma. En la pgina de Productos afectados, asocie la regla con una o ms aplicaciones de software especficas. Primero haga clic en Editar para abrir el dilogo de Productos seleccionados afectados donde se puede agregar y eliminar productos de la lista de Productos seleccionados (esta lista puede acortarse si se desea, al hacer clic en la casilla de verificacin en la parte inferior del cuadro de dilogo). La lista de productos disponibles es determinada por el contenido que actualiz mediante el servicio LANDesk de Administrador de seguridad y revisin. No necesita tener un producto asociado a las reglas de deteccin. Los productos asociados actan como filtros durante el proceso de rastreo de seguridad. Si el producto asociado especificado se encuentra en el dispositivo, el rastreo se interrumpe. No obstante, si se encuentra el producto o no se especifican productos, el rastreo contina con la verificacin de archivos.
3.
4. 5. 6.
7.
50
8.
9.
10.
11.
12.
13.
14.
En la pgina Archivos, configure las condiciones especficas de archivos que desee que la regla rastree. Haga clic en Agregar para habilitar la edicin de los campos de esta pgina. El primer paso de la configuracin de una condicin de archivo es especificar el mtodo de verificacin. Los campos de la ficha dependen del mtodo de verificacin que selecciona. Para guardar una condicin de archivo, haga clic en Actualizar. Podr introducir tantas condiciones de archivo como desee. Para obtener una descripcin detallada de esta opcin, consulteAbout the Detection logic: Files used for detection page. En la pgina Configuracin de registro, configure las condiciones especficas de registro que desee que la regla rastree. Haga clic en Agregar para habilitar la edicin de los campos. Para guardar una condicin de registro, haga clic en Actualizar. Podr introducir tantas condiciones de registro como desee. Para obtener una descripcin detallada de esta opcin, consulteAbout the Detection logic: Registry settings used for detection page. En la pgina Secuencia de comandos personalizada, puede crear una secuencia VB para ayudar en la deteccin de esta regla de deteccin. Las propiedades del agente del rastreador de seguridad que pueden accederse con una secuencia personalizada son las siguientes: Detectadas, Razones, Esperadas y Encontradas. Nota: Haga clic en el botn Utilizar editor para abrir la herramienta predeterminada de edicin de secuencias de comandos asociada con este tipo de archivo. Cuando cierra la herramienta se le indica que guarde los cambios en la pgina Secuencia de comandos. Si desea utilizar otra herramienta debe cambiar la asociacin del tipo de archivo. En la pgina Informacin de revisiones, especifique si la vulnerabilidad asociada con esta regla de deteccin puede repararse o puede detectarse en sus dispositivos administrados. Si selecciona la opcin de reparacin, los campos de la Informacin de descarga de la revisin se pueden editar. Si puede reparar por medio de la implementacin de una revisin, ingrese la URL del archivo de revisin y especifique si puede descargarse de forma automtica. (Para intentar la descarga del archivo de revisin asociado en este momento, haga clic en Descargar o bien, lo puede descargar posteriormente). Tambin, si puede reparar la implementacin de una revisin, ingrese un nombre de archivo nico y especifique si la revisin necesita reiniciar para completar la reparacin y si la revisin requiere que el usuario ingrese algo durante la reparacin. (Para una regla de deteccin que incluya la reparacin, recomendamos enfticamente que cree un hash para el archivo de revisin. Para ello, haga clic en Generar MD5 Hash. Debe descargarse el archivo de revisin antes de crear un hash. Para obtener ms informacin sobre el hash, consulteAbout the Detection rule: General information page.) Para una regla que permita la reparacin de la vulnerabilidad asociada, puede configurar los comandos adicionales que se ejecutan durante el proceso de reparacin en los dispositivos afectados. Para configurar comandos de reparacin adicionales, haga clic en la pgina Comandos de instalacin de revisiones y luego en Agregar para seleccionar un tipo de comando y hacer que se puedan editar los campos de argumento del comando. NO se necesitan comandos adicionales de instalacin de revisiones. Si no configura ningn comando particular, el archivo de revisin se ejecuta normalmente. Para obtener una descripcin detallada de esta opcin, consulteAbout the Patch install commands page.
Ahora que ha creado una definicin de vulnerabilidad personalizada, puede utilizarla del mismo modo que una vulnerabilidad de una fuente del sector. Puede definir el estado de la vulnerabilidad en Rastrear o colocarla en el grupo Rastrear para incluirla en el prximo rastreo de seguridad, colocarla en el grupo No rastrear o No asignadas, ver los equipos afectados, activar la correccin automtica, crear una tarea de reparacin o borrar el estado del rastreo o reparacin. Para elegir una opcin, haga clic con el botn secundario en una definicin de vulnerabilidad personalizada para abrir el men de acceso directo.
51
MANUAL DE USUARIO
Existen dos operaciones que son exclusivas para las definiciones creadas por el usuario: la importacin/exportacin y la eliminacin.
Importacin y exportacin de definiciones personalizadas

El Administrador de Seguridad y Revisiones brinda un modo para la importacin y exportacin de definiciones personalizadas y sus reglas de deteccin. No podr importar ni exportar definiciones de vulnerabilidades conocidas del sector. Las definiciones personalizadas se exportan e importan como archivos en formato XML. La importacin y exportacin resulta til si desea compartir definiciones personalizadas con otros servidores centrales. La exportacin hace posible que guarde una copia de seguridad de una definicin que desee eliminar temporalmente de la base de datos central. Tambin puede utilizar la caracterstica de exportacin e importacin para exportar una definicin, editar manualmente el archivo exportado como plantilla y guardar distintas variaciones de la definicin para luego importar las nuevas definiciones de vulnerabilidad. Si la definicin es compleja, este procedimiento puede ser ms rpido y fcil que la creacin de varias definiciones en la consola. Para exportar definiciones personalizadas 1. 2. 3. 4. 5. Desde una lista de Definiciones personalizadas, seleccione una o ms definiciones personalizadas. Haga clic en el botn de la barra de herramientas Exportar. (O bien, haga clic con el botn secundario en las definiciones seleccionadas y luego en Exportar). Escriba la ruta a la carpeta en la que desea exportar las definiciones como archivo XML individual. Si ha exportado la definicin anteriormente en la ubicacin especificada y desea reemplazarla, haga clic en Remplazar definiciones existentes. Seleccione Exportar. Consulte la ventana Estado de la exportacin para ver si la definicin se export satisfactoriamente. Nota: Una definicin exportada contina existiendo en la base de datos central, y por lo tanto aparece en el grupo de Definiciones personalizadas que corresponde a su estado: No asignadas, Rastrear o No rastrear. Haga clic en Cerrar.
6.
Para importar definiciones personalizadas 1. 2. En la ventana del Administrador de Seguridad y Revisiones, haga clic en el botn de la barra de herramientas Importar definiciones personalizadas. Ubique y seleccione una o ms definiciones (en el archivo XML que desee importar) y haga clic en Abrir. Si la definicin ya existe en la base de datos central, se le preguntar si desea sobrescribirla. Consulte la ventana de estado para ver si la definicin se import satisfactoriamente. Haga clic en Cerrar. Las definiciones importadas (nuevas y actualizadas) se colocan en el grupo Definiciones personalizadas no asignadas.
3.
52
Borrado de definiciones personalizadas

Si ya no necesita una definicin personalizada, puede eliminarla. La eliminacin de una definicin personalizada borra toda su informacin y sus reglas de deteccin asociadas de la base de datos central, y de la ventana del Administrador de Seguridad y Revisiones. (La exportacin no elimina la informacin de definicin). De forma similar que el borrado de la informacin de vulnerabilidad, la eliminacin de definiciones personalizadas no elimina ningn archivo de revisin asociado descargado. Los archivos de revisin deben eliminarse de forma manual de la ubicacin donde se guarda la revisin. Para eliminar definiciones personalizadas, seleccione una o ms definiciones y haga clic en el botn de la barra de herramientas Eliminar las definiciones personalizadas seleccionadas. Restauracin de definiciones personalizadas exportadas Si elimina una definicin de vulnerabilidad personalizada que se ha exportado anteriormente como archivo XML, puede restaurar la definicin mediante la importacin al Administrador de Seguridad y Revisiones con la herramienta de importacin.
53
MANUAL DE USUARIO
Rastreo y reparacin de dispositivos

Esta seccin brinda informacin sobre el rastreo de dispositivos administrados para una variedad de riesgos de seguridad (como vulnerabilidades del sistema operativo o de la aplicacin, actualizaciones de software, spyware, exposiciones de la configuracin del sistema, etc.), la reparacin de dispositivos afectados y la generacin de alertas de seguridad e informes. Para obtener informacin sobre la actualizacin y visualizacin de contenido de seguridad, la creacin y el uso de definiciones personalizadas y la descarga de revisiones y el trabajo con stas, consulte"Administracin del contenido de seguridad y revisiones" en la pgina 40. Lea este captulo para obtener informacin sobre:
Dispositivos de rastreo
"Rastreo de dispositivos para detectar riesgos de seguridad" en la pgina 55 "El mtodo de rastreo del Administrador de Seguridad y Revisiones para encontrar diferentes tipos de contenidos." en la pgina 56 "Creacin de tareas de rastreo de seguridad (y de cumplimiento)" en la pgina 58 "Configuracin del rastreo con la configuracin de rastreo y reparacin" en la pgina 60 "Uso de variables personalizadas y de ajustes de reemplazo de variables personalizadas" en la pgina 61 "Visualizacin de la informacin de seguridad detectada" en la pgina 62 "Reenvo de resultados de rastreo de seguridad a servidor central de resumen" en la pgina 63
Reparacin de dispositivos
"Reparacin de dispositivos con riesgos de seguridad detectados" en la pgina 64 "El mtodo de reparacin del Administrador de Seguridad y Revisiones para los tipos de contenidos." en la pgina 68 "Mtodos de reparacin" en la pgina 70 "Uso de una tarea de reparacin programada" en la pgina 70 "Uso de una poltica de reparacin (slo Windows)" en la pgina 71 "Uso de una reparacin automtica" en la pgina 72 "Qu sucede en un dispositivo durante la reparacin?" en la pgina 73 "Ver informacin de seguridad y revisiones para los dispositivos rastreados." en la pgina 74 "Comprobacin del estado de reparacin" en la pgina 75 "Borrado del estado de rastreo o reparacin de vulnerabilidad por vulnerabilidad" en la pgina 75
Otras tareas de administracin de seguridad

"Creacin de una tarea programada de reinicio" en la pgina 76 "Uso de las alertas de seguridad" en la pgina 76 "Uso de los informes de seguridad" en la pgina 77
54
Rastreo de dispositivos para detectar riesgos de seguridad

Generalmente, el rastreo de seguridad implicaba la comprobacin de las versiones instaladas actualmente de los archivos especficos de la aplicacin y el sistema operativo, as como las claves de registro en un dispositivo en relacin a las vulnerabilidades detectadas ms recientes con el fin de poder identificar y resolver riesgos de seguridad. Los servicios LANDesk Security ofrecen tipos extendidos de contenido de seguridad, permitiendo el rastreo y la reparacin de los riesgos y las exposiciones de seguridad ms importantes de la actualidad. Dependiendo de su suscripcin a los contenidos de Security Suite, puede rastrear en busca de: Vulnerabilidades conocidas (para Windows, Mac, Linux y UNIX) Vulnerabilidades personalizadas (definidas por un administrador de LANDesk) Spyware Estado del rastreador de antivirus (motores de rastreador de terceros y la herramienta de LANDesk Antivirus). Virus (con la herramienta integrada de LANDesk Antivirus se puede: descargar los ltimos archivos de definiciones de virus, crear e implementar rastreos de antivirus, configurar el rastreador de antivirus y las opciones del rastreo de antivirus disponibles para los usuarios finales, habilitar la proteccin en tiempo real de archivos y mensajes de correo electrnico, etc. Para obtener ms informacin, consulte "LANDesk Antivirus" en la pgina 193.) Amenazas de seguridad (errores del sistema local o de la configuracin de la plataforma; incluye la deteccin y configuracin de servidores de seguridad) Aplicaciones bloqueadas Actualizaciones de software LANDesk Actualizaciones de controladores Actualizaciones de software
Suscripcin a los contenidos de Security Suite

Para obtener ms informacin sobre las suscripciones a los contenidos de Security Suite, pngase en contacto con su distribuidor de LANDesk, o visite la pgina Web de LANDesk.
55
MANUAL DE USUARIO
El mtodo de rastreo del Administrador de Seguridad y Revisiones para encontrar diferentes tipos de contenidos.
La tabla a continuacin describe cmo funciona el rastreador de seguridad para cada tipo de contenido: Cuando busca... Actualizaciones de software LANDesk El Administrador de Seguridad y Revisiones rastrea por...
Uso de las definiciones de actualizacin de software publicadas por LANDesk para revisar las versiones de software de LANDesk.
Vulnerabilidades Uso de las definiciones de vulnerabilidades publicadas por LANDesk (basadas de Windows en boletines de seguridad del proveedor oficial) para encontrar vulnerabilidades conocidas de sistema operativo o de aplicacin.
Vulnerabilidades Uso de las definiciones de vulnerabilidades publicadas por LANDesk (basadas de Macintosh en boletines de seguridad oficiales) para encontrar vulnerabilidades conocidas.
Vulnerabilidades Uso de las definiciones de vulnerabilidades publicadas por LANDesk (basadas de Linux y en boletines de seguridad oficiales) para encontrar vulnerabilidades UNIX: conocidas.
Definiciones personalizadas:
Uso de las vulnerabilidades definidas por el usuario creadas por los administradores de LANDesk para buscar condiciones de plataformas definidas por el usuario, aplicaciones, archivos o configuracin del registro.
Ataques de seguridad de Windows:
Uso de las definiciones publicadas por LANDesk para buscar errores y problemas en la configuracin local del sistema.
Spyware
Uso de las definiciones de deteccin de spyware que buscan instancias de programas de spyware en los dispositivos rastreados. El Administrador de Seguridad y Revisiones utiliza el programa softmon.exe de la herramienta de monitoreo de licencias de software LANDesk para monitorear spyware. Tambin puede habilitar el monitoreo y el bloqueo de spyware en tiempo real
56
Cuando busca...
El Administrador de Seguridad y Revisiones rastrea por... con una configuracin de agente del dispositivo.
Actualizaciones Uso de las definiciones de actualizacin de los controladores de otros de controladores fabricantes que corroboran las versiones de los controladores.
Actualizaciones de software
Uso de las definiciones de actualizacin de los software de otros fabricantes que corroboran las versiones de los controladores.
Actualizaciones de antivirus
Uso de las definiciones de deteccin del rastreador de antivirus (NO son los archivos reales de definiciones o patrones de virus) para buscar: - la instalacin de motores comunes de rastreador de antivirus (incluso la herramienta de LANDesk Antivirus ) - estado del rastreo en tiempo real (habilitado o deshabilitado) - versiones de archivos de patrones especficos del rastreador (actualizadas o anteriores) - fecha del ltimo rastreo (si el ltimo rastreo se realiz dentro del perodo de tiempo mximo permitido especificado por el administrador)
Aplicaciones bloqueadas
Uso de las definiciones de aplicacin publicadas por LANDesk (o definiciones de aplicaciones definidas por el usuario) para denegar de forma inmediata el acceso a los usuarios finales a la aplicacin, por medio de una edicin del registro local. La reparacin NO es un procedimiento independiente. El Administrador de Seguridad y Revisiones utiliza el programa softmon.exe de la herramienta de monitoreo de licencias de software LANDesk softmon.ex para denegar el acceso a determinados ejecutables de aplicaciones aunque el nombre de archivo del ejecutable se haya modificado porque softmon.exe lee la informacin del encabezado del archivo. (Consulte el Aviso legal para el tipo de aplicacin bloqueada.)
Para comprender cmo el Administrador de seguridad y revisiones repara estos tipos de contenidos, consulte los"El mtodo de reparacin del Administrador de Seguridad y Revisiones para los tipos de contenidos." en la pgina 68.
57
MANUAL DE USUARIO
Configuracin del contenido de un rastreo de seguridad

Luego de revisar las definiciones descargadas y decidir cules elementos desea buscar en el rastreo, puede llevar a cabo una evaluacin personalizada de la seguridad en los dispositivos administrados moviendo las definiciones a sus respectivos grupos de Rastreo. Al ejecutar el rastreador de seguridad, ste siempre lee el contenido del grupo Rastrear y se exploran definiciones especficas (Importante: si ese tipo es seleccionado en la configuracin de rastreo y reparacin de la tarea). Antes de rastrear los dispositivos, deber asegurarse que las definiciones adecuadas se encuentren en el grupo Rastrear. Puede mover las definiciones dentro y fuera el grupo Rastrear de forma manual en cualquier momento. Tambin puede actualizar el contenido de informacin y seguridad que, de forma predeterminada, agrega nuevas definiciones al grupo Rastrear. Las aplicaciones bloqueadas se ubican en el grupo No asignadas de forma predeterminada Recuerde que el tipo bloqueado de aplicacin se maneja de forma diferente que el resto. De forma predeterminada, las definiciones de aplicaciones bloqueadas se ubican en el grupo No asignadas, no en el grupo Rastrear. Con los rastreos se incorpora informacin de seguridad y revisiones a un inventario del dispositivo en la base de datos central. Esta informacin puede utilizarse para generar consultas, polticas e informes especficos. Para ver esta informacin, haga clic en el botn derecho del dispositivo y luego en Informacin de seguridad y revisiones. Precaucin al mover definiciones desde el grupo Rastrear Cuando se desplazan definiciones desde el grupo Rastrear al grupo No rastrear, la informacin actual de la evaluacin de la definicin (ubicada en la base de datos central sobre la que los dispositivos explorados detectaron las definiciones) se elimina de la base de datos central y no vuelve a estar disponible en los cuadros de dilogo Propiedades de la definicin ni en el de Informacin de seguridad y revisiones del dispositivo. Para restaurar la informacin, debe volver a mover las definiciones al grupo Rastrear y ejecutar de nuevo el rastreo.
Creacin de tareas de rastreo de seguridad (y de cumplimiento)

El rastreador de seguridad y revisiones pueden ejecutarse directamente en un dispositivo (Haga clic en Inicio | Todos los programas | LANDesk Management | Rastreador de seguridad y revisiones), o puede ejecutarse desde una poltica o una tarea programada desde el servidor central. Las tareas programadas se pueden considerar como una distribucin de instalacin automtica, ya que la tarea se instala automticamente desde el servidor central a los dispositivos; una poltica se considera una instalacin solicitada, ya que el agente de polticas del dispositivo busca en el servidor central polticas aplicables y posteriormente, instala la revisin desde el servidor central.
58
Rastreos de seguridad de cumplimiento Con el Administrador de Seguridad y Revisiones tambin puede crear y configurar un rastreo de seguridad especfico del cumplimiento que busque en los dispositivos el cumplimiento de la poltica de seguridad personalizada. El rastreo de cumplimiento se basa en el contenido del grupo Cumplimiento y puede ejecutarse como una tarea programada, una poltica e incluso iniciarse con LANDesk Antivirus cuando se detecta un virus que no puede eliminarse ni ponerse en cuarentena (consulte las opciones de la ficha Cumplimiento en el cuadro de dilogo Configuracin de rastreo y reparacin). Rastreos de seguridad y cumplimiento a peticin Tambin puede ejecutar rastreos de seguridad o cumplimiento inmediato en uno o ms dispositivos de destino. Haga clic con el botn derecho en el dispositivo seleccionado (o en hasta 20 dispositivos mltiples seleccionados), haga clic en Rastreo de seguridad y cumplimiento ahora, seleccione una configuracin de rastreo y reparacin, elija el tipo de rastreo y luego haga clic en Aceptar. Para crear una tarea de rastreo de seguridad 1. 2. 3. 4. Haga clic en Herramientas | Seguridad | Administrador de Seguridad y Revisiones. Asegrese de que el contenido de seguridad y revisiones haya sido recientemente actualizado. Asegrese de que el grupo Rastrear contiene nicamente las definiciones que se desean rastrear. Haga clic en el botn de la barra de herramientas Crear una tarea y luego haga clic en Rastreo de seguridad. Aparece el cuadro de dilogo Crear tarea de rastreo de seguridad. Escriba un nombre para el rastreo. Especifique si el rastreo es una directiva o tarea programada, o ambas. Seleccione una configuracin de rastreo y reparacin en la lista disponible (o cree una configuracin personalizada para este rastreo), para determinar la forma en que el escner opera en los dispositivos de usuarios finales. Haga clic en Aceptar. Para una tarea de rastreo programada, ahora puede agregar dispositivos de destino y configurar las opciones de programacin en la herramienta de Tareas programadas.
5. 6. 7.
8.
Acerca del archivo de registro del rastreo de seguridad

El rastreador de seguridad y revisiones escribe un archivo de registro para la exploracin ms reciente en el dispositivo denominado vulscan.log; asimismo, guarda los ltimos cinco archivos de registro en orden cronolgico por nmero. Estos archivos de registro guardan informacin til sobre el horario del rastreo, el idioma, la plataforma y los procesos que el rastreo ejecut.
Visualizacin de las fechas de los rastreos de seguridad ms recientes en el Inventario del dispositivo
Para ver cundo se ejecut el ltimo rastreo en un dispositivo, haga clic con el botn derecho en dicho dispositivo, seleccione Inventario y, a continuacin, desplcese hasta el atributo Fecha de ltimo rastreo en el panel de la derecha de la vista del inventario.
59
MANUAL DE USUARIO
Configuracin del rastreo con la configuracin de rastreo y reparacin

El Administrador de Seguridad y Revisiones le ofrece un control completo sobre lo que el usuario final puede ver, el comportamiento de reinicio del dispositivo y el nivel de interaccin que el usuario final tiene permitido cuando el rastreador de seguridad y revisiones se ejecuta en los dispositivos. Por ejemplo, segn el propsito o el horario programado para un rastreo, tal vez desee mostrar al usuario final un progreso del rastreo y ofrecerle la oportunidad de cancelar o postergar un rastreo de evaluacin o reparacin de implementacin de revisiones. Para ello, cree y aplique configuraciones de rastreo y reparacin. En la configuracin de rastreo y reparacin tambin se determina el contenido de un rastreo de seguridad, al seleccionar tipos especficos de definiciones. Puede crear y aplicar las configuraciones de rastreo y reparacin (un conjunto guardado de opciones configuradas) a las tareas de rastreo. Se pueden crear tantas reglas de configuracin de rastreo y reparacin como se desee. Algunas configuraciones de rastreo y reparacin pueden servir para una variedad de tareas de rastreo y reparacin, mientras que otras pueden estar especficamente diseadas para una sola tarea. Todas las configuraciones de rastreo y reparacin que crea se almacenan en el grupo Rastrear y reparar que se encuentra bajo Configuracin en la vista de rbol del Administrador de Seguridad y Revisiones. Para crear configuraciones de rastreo y reparacin: 1. En la ventana del Administrador de Seguridad y Revisiones, haga clic en el botn Configurar ajustes de la barra de herramientas y luego en Configuracin de rastreo y reparacin. Haga clic en Nuevo. O, si puede hacer clic en Editar o Configurar en cualquier cuadro de dilogo de tarea que permita aplicar una configuracin de rastreo y reparacin. Ingrese un nombre para la configuracin de rastreo y reparacin Especifique la configuracin de las fichas como lo desee para la tarea en particular (rastrear, reparar, reiniciar). Para obtener ms informacin sobre una opcin, haga clic en Ayuda.
2. 3. 4.
Observe que la ficha Cumplimiento se aplica slo a las tareas de rastreo de seguridad de cumplimiento. Una vez configurada, se puede aplicar la configuracin de rastreo y reparacin a las tareas de rastreo de seguridad, reparacin, desinstalacin y reinicio y cambio de configuracin.
Cambio de la configuracin predeterminada de rastreo y reparacin de un dispositivo

La configuracin predeterminada de rastreo y reparacin de un dispositivo se implementa como parte de la configuracin inicial del agente. Cuando se asocia o se asigna una configuracin de rastreo y reparacin distinta a una tarea, la configuracin predeterminada se sobrescribe. Tambin puede elegir utilizar la configuracin predeterminada del dispositivo. Para ello, seleccinela cuando cree una tarea.
60
Es probable que en algn momento desee cambiar la configuracin predeterminada de rastreo y reparacin en ciertos dispositivos. El Administrador de Seguridad y Revisiones ofrece un modo para hacer esto sin necesidad de volver a implementar una configuracin de agente completamente nueva. Para ello, utilice la tarea Cambiar configuracin que se encuentra en la lista desplegable del botn Crear una tarea de la barra de herramientas. El cuadro de dilogo que aparece permite especificar un nombre nico para la tarea, indicar si se trata de una tarea o de una poltica programada, y ya sea seleccionar una configuracin de rastreo y reparacin existente como predeterminada o utilizar el botn Editar para crear una nueva configuracin de rastreo y reparacin predeterminada en los dispositivos de destino.
Uso de variables personalizadas y de ajustes de reemplazo de variables personalizadas

Con las variables personalizadas puede ajustar el rastreo de las amenazas a la seguridad mediante la modificacin de uno o ms valores de ajuste para que el rastreador busque las condiciones que defina y determine que un dispositivo es vulnerable slo si se cumple con esa condicin (por ejemplo, si se detecta el valor especificado). Algunas definiciones de amenaza a la seguridad de la configuracin del sistema tienen valores variables que pueden cambiar antes de incluirlos en un rastreo de seguridad. Generalmente, las definiciones de antivirus tambin tienen ajustes con variables personalizadas. Derecho requerido para modificar variables personalizadas Para modificar los ajustes de las variables personalizadas, el usuario de LANDesk debe tener el derecho de administracin basado en funciones Modificar variables personalizadas. Los derechos se configuran con la herramienta Usuarios. Cada definicin de seguridad con variables que se puedan personalizar tiene un conjunto nico de valores especficos que pueden modificarse. En cada caso, sin embargo, la ficha Variables personalizadas mostrar la siguiente informacin comn: Nombre: identifica la variable personalizada. No se puede modificar el nombre. Valor: indica el valor actual de la variable personalizada. A menos que la variable sea de slo lectura, puede hacer doble clic en este campo para cambiar el valor. Descripcin: provee informacin adicional til del fabricante de la definicin sobre las variables personalizadas. Valor predeterminado: Brinda el valor predeterminado si modific la configuracin y desea restaurarla a su valor original.
Para cambiar una variable personalizada, haga doble clic en el campo Valor y seleccione un valor, si hay una lista desplegable disponible, o edite manualmente el valor y luego haga clic en Aplicar. Observe que algunas variables son de slo lectura y no pueden editarse (esto generalmente se indica en la descripcin).
61
MANUAL DE USUARIO
Configuracin de reemplazo de variable personalizada Es posible que en algunos casos desee hacer caso omiso de la configuracin de variables personalizadas o, en otras palabras, crear una excepcin a la regla. Puede hacerlo con una funcin denominada configuracin de reemplazo de variables personalizadas. La configuracin del reemplazo de variables personalizadas le permite decidir qu variables personalizadas se van a pasar por alto durante el rastreo de los dispositivos para que no se las detecte como vulnerables ni se las repare aunque cumplan con las condiciones reales de las reglas de deteccin de una definicin. El usuario debe tener derecho de Editar variables personalizadas para crear o editar una configuracin de reemplazo de variable personalizada- Puede crear las configuraciones de reemplazo de variables personalizadas que desee y aplicarlos a los dispositivos con la tarea Cambiar configuracin. Para obtener ms informacin, consulte About the Custom variable override settings dialog.
Visualizacin de la informacin de seguridad detectada

Si el rastreador de seguridad detecta alguna de las definiciones seleccionadas, esta informacin se transmitir al servidor central. Puede utilizar cualquiera de los siguientes mtodos para ver la informacin de seguridad detectada tras la ejecucin del rastreo: Por grupo de vulnerabilidades detectadas Seleccione el grupo Vulnerabilidades detectadas en la ventana del Administrador de Seguridad y Revisiones para ver una lista completa de todas las definiciones detectadas en el ltimo rastreo. La columna Rastreado indica el nmero de dispositivos explorados; la columna Detectada muestra el nmero de los dispositivos afectados por la definicin. Por definicin Haga clic con el botn secundario en una definicin y, a continuacin, seleccione PC afectados para ver una lista de dispositivos en los que se ha detectado la definicin en el ltimo rastreo. Por dispositivo individual Haga clic con el botn derecho en un dispositivo especfico en la vista de red, y luego en Informacin de seguridad y revisiones para ver informacin detallada de evaluacin de seguridad y estado de la implementacin de revisiones para el dispositivo. Para obtener ms informacin, consulte About the Security and patch information dialog. Por grupo de dispositivos seleccionados Seleccione varios dispositivos en la vista de red, haga clic con el botn secundario en el grupo y, a continuacin, seleccione Informacin de seguridad y revisiones para ver una lista de definiciones detectadas en uno o varios de estos dispositivos. Al seleccionar una definicin de la lista, los dispositivos en los que sta se ha detectado con el ltimo rastreo se muestran en el panel inferior.
62
Reenvo de resultados de rastreo de seguridad a servidor central de resumen

Si est trabajando en una red corporativa distribuida grande, es posible que desee reenviar los resultados del rastreo de seguridad ms reciente a un servidor central de resmenes ubicado en una regin especfica a fin de facilitar el acceso a la informacin sobre la vulnerabilidad en tiempo real para todos los dispositivos administrados. Para habilitar el reenvo automtico e inmediato de los resultados del rastreo de la seguridad (vulnerabilidades), defina la configuracin del servidor central de resumen en la herramienta Administrador de seguridad y revisiones. Cada vez que el rastreador de seguridad se ejecuta, escribe un archivo con los resultados del rastreo en una carpeta denominada VulscanResults en el servidor central y avisa al servicio web de LANDesk Security, el cual agrega el archivo a la base de datos central. Si la configuracin del servidor central de resumen est habilitada y se identifica un servidor de resumen vlido, ste lee el archivo de resultados del rastreo en su propia base de datos y proporciona un acceso ms rpido a la informacin de vulnerabilidades crticas. Para habilitar el reenvo inmediato de los resultados del rastreo de seguridad a un servidor central de resumen 1. En la ventana del Administrador de Seguridad y Revisiones, haga clic en el botn Configurar ajustes de la barra de herramientas y luego en Configuracin de la base de datos central de resumen (Rollup core). Seleccione la casilla de verificacin Enviar inmediatamente resultados del rastreo a la base de datos central de resumen (Rollup core). Especifique el nombre del servidor central de resumen que desea que reciba los resultados del rastreo de seguridad ms reciente. Si desea utilizar la direccin URL predeterminada (ubicacin del servidor central de resumen) como la ubicacin para la escritura del archivo con los resultados del rastreo, seleccione la casilla Utilizar la URL de la base de datos de resumen predeterminada. Caso contrario, puede borrar la casilla de verificacin e introducir una direccin de su preferencia.
2. 3. 4.
63
MANUAL DE USUARIO
Reparacin de dispositivos con riesgos de seguridad detectados

Una vez que ha actualizado el contenido de seguridad y las revisiones en cuanto a los tipos de contenido para los cuales tiene licencia o suscripcin, que ha rastreado los dispositivos, que ha determinado cules problemas detectados requieren atencin y que ha descargado las revisiones, el prximo paso para implementar la administracin de seguridad y revisiones es corregir (o reparar) el problema de seguridad. Las soluciones y acciones de correccin difieren dependiendo del tipo de riesgo de seguridad. An ms, algunas reparaciones pueden realizarse de forma remota con la herramienta de Administracin de seguridad y revisiones, mientras que otras tareas de reparacin deben realizarse de forma manual. Por ejemplo, las vulnerabilidades se reparan mediante la implementacin e instalacin de las revisiones de seguridad necesarias de los dispositivos de seguridad afectados, mientras que spyware se repara por la eliminacin del mismo spyware infectado y una amenaza de seguridad a la configuracin del sistema se repara, por general, mediante la edicin del registro o cambio de alguna otra configuracin especfica de la plataforma.
Reparacin por tipos (definiciones) de contenido de seguridad

La reparacin de cada tipo de contenido se describe a continuacin:
Vulnerabilidades conocidas
Para las vulnerabilidades conocidas, la reparacin implica la implementacin e instalacin de una revisin de seguridad adecuada. La reparacin de vulnerabilidades de Windows y Macintosh puede realizarse mediante la consola, como una tarea programada o una reparacin basada en polticas o como un rastreo de reparacin automtica. Sin embargo, la reparacin de las vulnerabilidades de Linux y UNIX debe realizarse de forma manual.
Para las definiciones personalizadas, la reparacin puede consistir en la implementacin de una revisin personalizada o de una secuencia de comandos que trate el problema. Al igual que la reparacin de vulnerabilidades conocidas, esta tarea de reparacin puede realizarse mediante la consola.
Actualizaciones de software LANDesk

Para las actualizaciones de software LANDesk, la reparacin implica que la actualizacin de versin adecuada se encuentre instalada. Esto se puede hacer mediante la consola.
64
Amenazas de seguridad
Para las amenazas de seguridad (errores del sistema de Windows local o de configuracin de la plataforma), la reparacin debe realizarse de forma manual en el dispositivo afectado.
Deteccin y configuracin del servidor de seguridad

Algunas de las definiciones de amenaza de seguridad de Windows se disean especficamente para detectar y configurar servidores de seguridad en dispositivos administrados. Por ejemplo, las siguientes definiciones de amenaza a la seguridad le permite rastrear y modificar configuraciones de servidor de seguridad: ST000102: Amenaza de seguridad para el servidor de seguridad de Windows ST000015: Amenaza de seguridad para el servidor de seguridad de conexin a Internet
Las propiedades de amenaza del servidor de seguridad de Windows incluyen las variables personalizadas que permiten realizar la configuracin del servidor de seguridad de Windows. Puede utilizar esta definicin de amenaza de seguridad para rastrear su configuracin especfica y regresar a la condicin de vulnerabilidad si esa configuracin no coincide. Luego, puede utilizar la definicin personalizada en una tarea de reparacin durante el rastreo de reparacin para activar y desactivar el servidor de seguridad como cambiar y volver a configurar la configuracin del servidor de seguridad en el dispositivo rastreado. Puede implementar una configuracin para el servidor de seguridad en las siguientes versiones de Windows: Windows 2003/XP Windows Vista
GPO de Windows podra cambiar la configuracin del servidor de seguridad Debe saber que es posible para un objeto de directiva de grupo de Windows (GPO) interferir con los valores del servidor de seguridad configurado con el rastreador de seguridad. Por ejemplo, la configuracin del servidor de seguridad que defini en el cuadro de dilogo Configurar las variables personalizadas de la amenaza de seguridad al servidor de seguridad de Windows y que luego una tarea de reparacin del rastreador de seguridad las implementa, puede volverse a su valor original de acuerdo con la configuracin de un objeto de directiva de grupo activo.
Spyware
Para el spyware, la reparacin consiste en la eliminacin de la aplicacin de spyware que est en falta. Esto puede realizarse de forma remota desde la consola con una tarea de reparacin.
65
MANUAL DE USUARIO
Tambin puede configurar un dispositivo de control de spyware en tiempo real (rastreo, deteccin y eliminacin). Para utilizar un control de spyware en tiempo real, debe permitir los valores en la configuracin de agente del dispositivo. En la pgina Spyware del cuadro de dilogo Configuracin del agente, active las opciones de control de spyware adecuadas para habilitar el monitoreo en tiempo real y la notificacin de los usuarios finales. El monitoreo de spyware en tiempo real utiliza el programa softmon.exe de la herramienta de monitoreo de la licencia del software LANDesk para controlar el spyware y crear archivos de registro que el rastreador de seguridad y revisiones lee cuando busca definiciones de spyware en los dispositivos de destino. La reparacin automtica debe estar habilitada para el monitoreo de spyware en tiempo real Para que el rastreo y la deteccin de spyware en tiempo real funcione, las definiciones de spyware descargadas deben tener habilitada la opcin de reparacin automtica. Puede habilitar en forma manual la opcin de reparacin automtica para las definiciones de spyware de las listas de elementos en la ventana de herramientas del Administrador de Seguridad y Revisiones. O puede configurar actualizaciones de definiciones de spyware para que la opcin de reparacin automtica se habilite de forma predeterminada cuando se descarguen definiciones de spyware.
Aplicaciones bloqueadas
Para las aplicaciones bloqueadas, la reparacin NO es una tarea independiente. El bloqueo de aplicaciones toma lugar a partir del rastreo de seguridad mismo, al editar el registro en el disco duro local para deshabilitar el acceso de los usuarios a las aplicaciones no autorizadas. El Administrador de Seguridad y Revisiones utiliza el programa softmon.exe de la herramienta de monitoreo de licencias de software LANDesk softmon.ex para denegar el acceso a determinados ejecutables de aplicaciones aunque el nombre de archivo del ejecutable se haya modificado porque softmon.exe lee la informacin del encabezado del archivo.
Las actualizaciones de antivirus se encuentran disponibles para varios productos de antivirus comunes, entre ellos LANDesk Antivirus. Consulte la lista Tipos de definiciones del cuadro de dilogo Descargar actualizaciones para ver los motores de rastreador de antivirus compatibles, es decir, para los que puede descargar definiciones de deteccin. Contenido de deteccin del rastreador de antivirus versus contenido de definiciones de virus Las actualizaciones de antivirus no implican archivos de definiciones (o patrones) de virus reales. Cuando se descargan actualizaciones de antivirus de terceros, slo el contenido de deteccin del rastreador puede descargarse en el depsito predeterminado ya que los archivos de definiciones de virus especficos del rastreador no se descargan. Sin embargo, cuando se descargan las actualizaciones de LANDesk Antivirus, se descargan el contenido de deteccin del rastreador Y los archivos de definiciones de virus especficos de LANDesk Antivirus. Los archivos de definiciones de virus de LANDesk Antivirus se descargan en una ubicacin aparte en el servidor central. El depsito predeterminado de los archivos de definiciones de virus es la carpeta \LDLogon\Antivirus\Bases. Las actualizaciones de antivirus son definiciones del rastreador que detectan:
66
La instalacin de motores rastreadores de antivirus comunes (entre ellos la herramienta de LANDesk Antivirus) El estado del rastreo en tiempo real (habilitado o deshabilitado) Versiones de los archivos de patrones especficos del rastreador (actualizadas o anteriores) Fecha del ltimo rastreo (si el ltimo rastreo se encuentra dentro del mximo perodo de tiempo permitido especificado por el administrador)
Cuando implementa un rastreo de seguridad con definiciones de deteccin de rastreador de antivirus, el rastreador de seguridad verifica si el motor de rastreador de antivirus se encuentra instalado en los dispositivos administrados, si el rastreo en tiempo real se encuentra habilitado o deshabilitado, si los archivos de patrones del rastreador estn actualizados y el da en que se ejecut el ltimo rastreo en el dispositivo. El rastreo en tiempo real se puede habilitar de forma remota si se encuentra desactivado.
Reparacin de dispositivos Linux y UNIX.

Los dispositivos de Linux y UNIX deben repararse de forma manual Los dispositivos con Windows y Macintosh compatibles se pueden reparar de forma remota desde la consola; sin embargo, otras plataformas como de Linux y UNIX Sun Solaris slo se podrn rastrear, y no reparar, desde la consola. Se debe desinstalar manualmente las revisiones adecuadas tanto en los dispositivos Linux como UNIX para repararlas.
67
MANUAL DE USUARIO
El mtodo de reparacin del Administrador de Seguridad y Revisiones para los tipos de contenidos.
La tabla a continuacin describe la forma en que el Administrador de Seguridad y Revisiones repara los diferentes tipos de contenido de seguridad: Cuando repara... Administrador de Seguridad y Revisiones repara por...
Actualizaciones de software LANDesk
Implementacin e instalacin de la actualizacin de software LANDesk adecuada.
Vulnerabilidades de Windows
Implementacin e instalacin de los archivos de revisin requeridos (los archivos de revisin deben haberse descargado previamente donde se guarda la revisin local).
Vulnerabilidades de Macintosh
Implementacin e instalacin de los archivos de revisin requeridos.
Vulnerabilidades de Linux y UNIX:
La reparacin se realiza de forma manual en el dispositivo afectado.
Implementacin e instalacin de los archivos de revisin, si la regla de deteccin asociada permite la reparacin, y si los archivos de revisin especificados estn disponibles.
Ataques de seguridad de Windows:
La reparacin se realiza de forma manual en el dispositivo afectado.
Spyware
Eliminacin de la instancia de spyware detectada. Para obtener ms informacin sobre la deteccin y eliminacin de spyware en tiempo real, consulte la seccin sobre spyware anterior.
Actualizaciones de controladores
Implementacin e instalacin de la actualizacin apropiada de controladores de otros fabricantes.
68
Cuando repara... Actualizaciones de software
Administrador de Seguridad y Revisiones repara por... Implementacin e instalacin de la actualizacin apropiada de software de otros fabricantes.
Permite volver a habilitar el rastreo en tiempo real si se ha desactivado. Las otras definiciones de deteccin del rastreador de antivirus devuelven informacin de estado sobre las instalaciones especficas de motores de rastreador de antivirus, versiones de archivos de patrones y las fechas de los ltimos rastreos (los problemas relacionados no pueden repararse de forma remota desde la consola).
Aplicaciones bloqueadas (publicadas y personalizadas)
Denegacin de acceso a la aplicacin, aunque el nombre del archivo ejecutable del programa se haya modificado, a travs de la lectura de la informacin del encabezado del archivo. En ese caso, la reparacin NO es un procedimiento independiente. El bloqueo de aplicaciones se lleva a cabo durante el proceso del rastreo de seguridad. El rastreo de seguridad niega inmediatamente el acceso de los usuarios finales a la aplicacin por medio de la edicin del registro. (Consulte"Aviso legal para los tipos de aplicaciones bloqueadas" en la pgina 39.)
Para comprender cmo el Administrador de seguridad y revisiones rastrea estos tipos de contenidos, consulte los"El mtodo de rastreo del Administrador de Seguridad y Revisiones para encontrar diferentes tipos de contenidos." en la pgina 56.
Reparacin desde la consola

Como se mencion anteriormente, las vulnerabilidades de Windows y Macintosh, las definiciones personalizadas, las actualizaciones de software LANDesk y las aplicaciones bloqueadas pueden repararse desde la consola. Las secciones a continuacin describen los diferentes mtodos.
Reparacin de implementacin de revisiones mejorada

El Administrador de Seguridad y Revisiones realiza una rpida reparacin con la instalacin de las revisiones necesarias en cada dispositivo individual; no todas las revisiones a las que se hace referencia en todas las vulnerabilidades se incluyen en la tarea de reparacin. Asimismo, la herramienta aprovecha las capacidades de implementacin del paquete mejorado de LANDesk para lograr una implementacin de revisiones rpida y eficaz como, por ejemplo: Multidifusin de destino, descarga entre iguales y reinicio del punto de comprobacin. Para obtener informacin ms detallada sobre estas funciones de distribucin de software, consulte"Distribucin de software" en la pgina 377.
69
MANUAL DE USUARIO
Reparacin de una o ms definiciones al mismo momento

Puede reparar una sola definicin detectada o un conjunto con cualquiera de los tres mtodos de reparacin descritos ms adelante. Para reparar una sola definicin a la vez, haga clic con el botn derecho en el elemento y, a continuacin, seleccione Reparar. Para reparar un conjunto de definiciones, copie las definiciones desde cualquiera de los grupos de contenido a un grupo personalizado (consulte"Uso de la ventana herramientas del Administrador de Seguridad y Revisiones" en la pgina 25Haga clic con el botn secundario en el grupo y haga clic en Reparar). El mtodo de reparacin automtica no est disponible para grupos personalizados; sin embargo, puede realizar una seleccin mltiple de definiciones en una lista, hacer clic con el botn derecho y seleccionar Reparacin automtica.
Mtodos de reparacin
El Administrador de Seguridad y Revisiones proporciona los siguientes mtodos para reparar desde la consola: "Uso de una tarea de reparacin programada" en la pgina 70 "Uso de una poltica de reparacin (slo Windows)" en la pgina 71 "Uso de una reparacin automtica" en la pgina 72
La reparacin de tarea programada se puede considerar como una distribucin de instalacin automtica, ya que la revisin se instala automticamente desde el servidor central en los dispositivos; sin embargo, una directiva se considera una instalacin solicitada porque el agente de directivas del dispositivo busca en el servidor central directivas aplicables y, posteriormente, instala la revisin desde el servidor central.
Uso de una tarea de reparacin programada

La programacin de una reparacin o tarea de reparacin resulta til si se desea configurar una tarea para que se ejecute a una hora concreta, o bien, para que la operacin se realice como tarea recurrente. El Administrador de Seguridad y Revisiones emplea la herramienta Tareas programadas para configurar y procesar una tarea de reparacin programada. Plataformas compatibles para la reparacin de las tareas programadas La reparacin de tareas programadas es compatible con dispositivos con Windows y Macintosh. Para crear una tarea de reparacin programada 1. 2. Haga clic en Herramientas | Seguridad | Administrador de Seguridad y Revisiones. Haga clic con el botn secundario en una sola definicin de uno de los grupos de contenidos, o bien, en un grupo personalizado de definiciones y luego haga clic en Reparar. O bien, puede hacer clic en el botn de la barra de herramientas Crear una tarea y luego hacer clic en Reparar. Aparece el cuadro de dilogo Programar tarea. Edite el Nombre de la tarea si desea modificar el nombre de la tarea de reparacin. Haga clic en la casilla de verificacin Reparar como tarea programada.
3. 4.
70
5.
(Opcional) Si desea que esta tarea de reparacin se divida en dos partes: una tarea en fases que implementa las revisiones necesarias en dispositivos afectados y la tarea de reparacin actual que instala la revisin, haga clic en Separar en tareas en fases y tareas de reparacin. 6. Especifique los dispositivos que desea reparar. Si desea que los dispositivos afectados actuales se agreguen automticamente a la lista de destino de la ventana de tareas programadas, haga clic en la casilla Agregar todos los dispositivos afectados. Los dispositivos vulnerables son aquellos dispositivos en los que se detect la vulnerabilidad durante el ltimo rastreo de vulnerabilidad. Tambin puede aadir ms destinos una vez creada la tarea en la ventana de tareas programadas. 7. Si desea que las revisiones se implementen utilizando la multidifusin dirigida, active la casilla Usar multidifusin. Para configurar las opciones, haga clic en el botn Opciones de multidifusin. Consulte About the Multicast options dialog a continuacin para ms detalles. 8. Si desea utilizar la descarga entre iguales estrictamente para la implementacin de revisiones, haga clic en la casilla Descargar revisiones solo desde iguales locales. Si se selecciona esta opcin, el archivo de revisin slo se implementar si reside actualmente en la cach local del dispositivo o en un igual de la misma subred. Esta opcin permite conservar el ancho de banda de red. No obstante, para que la instalacin de la revisin se realice correctamente, debe estar en uno de estos dos lugares. 9. Especificar si solo desea descargar la revisin y no implementarla en los dispositivos afectados. 10. Seleccione una configuracin de rastreo y reparacin para esta tarea de reparacin. La configuracin de rastreo y reparacin determina el comportamiento de visualizacin, reinicio e interaccin con el usuario en los dispositivos rastreados, as como el contenido real que se est rastreando. 11. Haga clic en Aceptar. 12. La tarea aparece en la ventana de tareas programadas con el nombre de la tarea especificado en la parte superior, donde puede personalizar an ms la lista de dispositivos destino y configurar las opciones de programacin.
Uso de una poltica de reparacin (slo Windows)

Este tipo de reparacin ofrece flexibilidad a la hora de fijar de forma dinmica los dispositivos de destino en funcin de los resultados de un LDAP personalizado o una consulta de base de datos central. Por ejemplo, puede configurar una directiva de reparacin de modo que slo se ejecute en los dispositivos de un contenedor de directorio determinado, o bien, nicamente en dispositivos que ejecuten un SO concreto (o cualquier otro atributo de inventario que se pueda consultar). El Administrador de Seguridad y Revisiones utiliza las polticas en la herramienta de distribucin de software de Tareas programadas y Software para configurar y procesar las polticas de reparacin. Plataformas compatibles para la reparacin basada en poltica La reparacin basada en polticas es compatible slo con el dispositivo de Windows. Los dispositivos con Macintosh no pueden repararse a travs del mtodo de poltica de aplicacin. Para llevar a cabo la reparacin mediante una poltica, el dispositivo debe tener instalado el agente de distribucin de software de aplicacin. Cuando se ejecuta el agente, revisa si la base de datos central tiene polticas que se le aplican. Si existen dichas polticas, aparecer un cuadro de dilogo en el dispositivo donde se muestran las directivas opcionales y recomendadas (las directivas necesarias se aplican de forma automtica).
71
MANUAL DE USUARIO
Las directivas de reparacin presentan un funcionamiento muy similar a las directivas de aplicacin, excepto que se distribuyen archivos de revisin en lugar de archivos de aplicacin. Los requisitos previos de administracin de directivas, el flujo de tareas, los tipos de directiva y los destinos estticos y dinmicos son casi idnticos entre las directivas de reparacin y las de aplicacin. Para ms informacin sobre polticas, consulte el captulo sobre distribucin de software. Para crear una reparacin basada en polticas Haga clic en Herramientas | Seguridad | Administrador de Seguridad y Revisiones. Haga clic con el botn secundario en una sola definicin de uno de los grupos de contenidos, o bien, en un grupo personalizado de definiciones y luego haga clic en Reparar. O bien, puede hacer clic en el botn de la barra de herramientas Crear una tarea y luego hacer clic en Reparar. Aparece el cuadro de dilogo Programar tarea. 3. Edite el Nombre de la tarea si desea modificar el nombre de la tarea de reparacin. 4. Active la casilla de verificacin Reparar como poltica. 5. Si desea crear una consulta nueva basada en la definicin de vulnerabilidad, la cual pueda utilizar posteriormente para rastrear otros dispositivos administrados, marque la casilla Agregar consulta. 6. Si desea utilizar la descarga entre iguales estrictamente para la implementacin de revisiones, haga clic en la casilla Descargar revisiones solo desde iguales locales. Si se selecciona esta opcin, el archivo de revisin slo se implementar si reside actualmente en la cach local del dispositivo o en un igual de la misma subred. Esta opcin permite conservar el ancho de banda de red. No obstante, para que la instalacin de la revisin se realice correctamente, debe estar en uno de estos dos lugares. 7. Especificar si solo desea descargar la revisin y no implementarla en los dispositivos afectados. 8. Seleccione una configuracin de rastreo y reparacin para esta poltica de reparacin. La configuracin de rastreo y reparacin determina el comportamiento de visualizacin, reinicio e interaccin con el usuario en los dispositivos rastreados, as como el contenido real que se est rastreando. 9. Haga clic en Aceptar. 10. La nueva poltica aparece en el grupo Polticas en la ventana de Tareas programadas con el nombre especificado anteriormente. Desde all puede agregar destinos estticos (usuarios o dispositivos) y dinmicos (resultados de consultas), as como configurar la frecuencia y el tipo de directiva. 1. 2.
Uso de una reparacin automtica

Este tipo de reparacin resulta un mtodo adecuado e integrado para llevar a cabo una reparacin rpida en casos en los que no se desea crear una tarea programada ni una tarea de reparacin basado en directivas. Por ejemplo, si existe una nueva vulnerabilidad conocida que se desea rastrear y reparar en un solo proceso, puede utilizar la funcin de reparacin automtica. La reparacin automtica se encuentra disponible para los siguientes tipos de contenidos: vulnerabilidades, spyware, actualizaciones de software LANDesk y definiciones personalizadas.
72
Requisitos para el uso de la reparacin automtica nicamente los administradores o usuarios que dispongan de derechos del Administrador de revisiones Y del mbito predeterminado de todos los equipos podrn activar esta funcin para las definiciones que se apliquen. Los usuarios de LANDesk que no dispongan del Administrador de LANDesk ni del derecho de Administrador de revisiones ni siquiera podrn ver esta opcin en un men contextual (clic con el botn derecho) de la definicin. Para obtener ms informacin sobre los derechos y el mbito del usuario, consulte"Administracin basada en funciones" en la pgina 282. La reparacin automtica tiene que estar activada en dos lugares para funcionar correctamente. La primera configuracin se realiza en la revisin misma, y la segunda es la configuracin de rastreo y reparacin aplicada a la tarea de rastreo programada. Si en alguno de estos dos elementos la opcin de reparacin automtica NO se encuentra activada, la reparacin automtica no tendr lugar. Si la funcin de reparacin automtica se encuentra activada (en ambos lugares mencionados ms arriba), la prxima vez que se ejecute el rastreador de seguridad (manualmente o a travs de una tarea de rastreo), el Administrador de Seguridad y Revisiones implementar e instalar de forma automtica la revisin necesaria en los dispositivos de destino afectados. Con la reparacin automtica, si una revisin requiere el reinicio, el dispositivo de destino siempre se reinicia automticamente. La reparacin automtica se puede activar para una definicin individual o para un grupo de definiciones mltiple. Para configurar una reparacin automtica 1. 2. Haga clic en Herramientas | Seguridad | Administrador de Seguridad y Revisiones. Haga clic con el botn derecho en una o varias definiciones seleccionadas en uno de los grupos de contenido. La funcin de reparacin automtica no se podr activar en un grupo personalizado. Haga clic en Reparacin automtica al rastrear. Ahora ejecute el rastreo de seguridad en los dispositivos que desee rastrear y reparar de forma automtica utilizando una tarea de rastreo de seguridad programada con una configuracin de rastreo y reparacin donde tenga activada la opcin de reparacin automtica.
3. 4.
Qu sucede en un dispositivo durante la reparacin?

La reparacin automtica implica la implementacin e instalacin de revisiones en los dispositivos administrados, mediante uno de los tres mtodos descritos anteriormente. Es importante recordar que una tarea de reparacin puede incluir la reparacin de una o varias definiciones de seguridad detectadas. Asimismo, una sola definicin detectada puede requerir la instalacin de una o varias revisiones. Debido a estos factores, la reparacin puede implicar la instalacin de un solo archivo de revisin en el dispositivo, o bien, la instalacin de varios archivos, dependiendo del nmero y el tipo de detecciones.
73
MANUAL DE USUARIO
Casi todos los archivos de revisin se instalan sin notificacin, es decir de forma transparente, sin que sea necesaria la interaccin con el usuario en el propio dispositivo. Algunas revisiones de Windows 9.x y de idiomas distintos al ingls no se instalan de este modo. Se puede indicar si una revisin se instala sin notificacin o no activando la columna Instalacin en segundo plano en una lista de revisiones. Para obtener ms informacin, consulte "Uso de la ventana herramientas del Administrador de Seguridad y Revisiones" en la pgina 25 anteriormente en este captulo.
Configuracin de la pantalla del rastreador de seguridad y la interaccin en los dispositivos de usuarios finales.
Sin embargo, aunque un archivo de revisin se pueda instalar sin intervencin, aqu puede configurar la cantidad de rastreo de seguridad que se desee mostrar y solicitar entrada por parte del usuario final del dispositivo con la funcin de configuracin de rastreo y reparacin. Reinicio consolidado Si la instalacin de un archivo de revisin requiere reinicio (Y la opcin Nunca reiniciar no est seleccionada en la ficha Reinicio de la configuracin de rastreo y reparacin de la tarea en cuestin), el Administrador de Seguridad y Revisiones primero instala en el dispositivo TODAS las revisiones de la tarea especificada, y luego reinicia slo una vez.
Comandos adicionales (slo para definiciones personalizadas)

La reparacin de las definiciones personalizadas puede incluir comandos adiciones particulares que se definen cuando se crea una regla de deteccin personalizada. Los comandos adicionales se ejecutan en el orden especificado en la ficha Comandos de la regla y segn los argumentos para los comandos. Los comandos adicionales pueden ejecutarse antes, durante o despus que se ejecuta el archivo de revisin mismo.
Ver informacin de seguridad y revisiones para los dispositivos rastreados.

Como se mencion con anterioridad, una forma de ver la informacin del rastreo de seguridad es por dispositivo. Para hacer esto, haga doble clic en un slo dispositivo o grupo de dispositivos seleccionados, y luego en Informacin de seguridad y revisiones. Esta pgina presenta muchas funciones tiles. Al seleccionar uno o ms dispositivos, podr: Ver una lista de definiciones detectadas Ver informacin detallada sobre cundo y cmo ocurri la deteccin Ver listas de actualizaciones de software y revisiones instaladas Ver informacin detallada sobre cundo se instal o desinstal la revisin Borrar el estado de instalacin de la revisin Ver informacin del historial reparacin Borrar informacin del historial reparacin
74
Tambin puede hacer clic en el botn derecho en las definiciones y reglas de deteccin en sus respectivas listas de elementos para ejecutar tareas comunes para uno o ms dispositivos afectados.
Visualizacin de las fechas de los rastreos de seguridad ms recientes en el Inventario del dispositivo
Para ver cundo se ejecut el ltimo rastreo en un dispositivo, haga clic con el botn derecho en dicho dispositivo, seleccione Inventario y, a continuacin, desplcese hasta las distintas Fechas de ltimo rastreo en el panel de la derecha de la vista del inventario.
Comprobacin del estado de reparacin

Tras realizar la reparacin en los dispositivos afectados, el Administrador de Seguridad y Revisiones informa acerca del estado de cada instalacin de revisin. Puede comprobar el estado de la instalacin de revisin por vulnerabilidad/definicin o por dispositivo destino. Para verificar la instalacin de una revisin en un dispositivo 1. 2. 3. 4. Ejecute el rastreador de seguridad en el dispositivo. Haga clic con el botn derecho en el dispositivo reparado en la vista de red y, a continuacin, haga clic en Informacin del Administrador de Seguridad y Revisiones. Haga clic en el objeto Revisiones instaladas en el panel a la izquierda. Active los campos de Informacin de revisiones situados en la parte inferior del cuadro de dilogo.
El campo Estado de la instalacin indica si la instalacin fue satisfactoria. Entre los posibles estados se incluyen: Correcto, Error y Error en la descarga.
Borrado del estado de rastreo o reparacin de vulnerabilidad por vulnerabilidad

Si se ha producido un error en la instalacin, esta informacin de estado se debe borrar antes de intentar instalar de nuevo la revisin. Puede borrar el estado de instalacin (reparacin) para el dispositivo seleccionado haciendo clic en Borrar en este cuadro de dilogo. Tambin puede borrar el estado de la instalacin de la revisin por vulnerabilidad. Puede borrar la informacin de estado de rastreo o reparacin para todos los dispositivos afectados por una vulnerabilidad (o varias) con el dilogo Borrar estado de rastro/reparacin. Como se explica anteriormente, si se ha producido un error en la instalacin de la revisin, el estado de la instalacin (o reparacin) se debe borrar antes de intentar instalar de nuevo la revisin. Tambin puede utilizar este dilogo para eliminar la informacin de rastreo de vulnerabilidad de la base de datos para una o ms vulnerabilidades. Para borrar el estado de rastreo o reparacin de vulnerabilidad, haga clic con el botn secundario en la vulnerabilidad y seleccione Borrar estado de rastreo/reparacin, seleccione las opciones correspondientes y haga clic en Borrar.
75
MANUAL DE USUARIO
Otras tareas de administracin de seguridad Creacin de una tarea programada de reinicio

El Administrador de Seguridad y Revisiones provee una herramienta que permite la creacin de una tarea de reinicio del dispositivo. Una tarea de reinicio del dispositivo puede resultar til cuando se desea instalar revisiones sin reiniciar, en un proceso individual, y luego reiniciar los dispositivos reparados en otra tarea independiente. Por ejemplo, puede ejecutar un rastreo o una instalacin de una revisin durante el da, y luego implementar una tarea de solo reiniciar en algn momento ms conveniente para los usuarios finales. Para crear una tarea de reinicio 1. 2. 3. 4. Haga clic en Herramientas | Seguridad | Administrador de Seguridad y Revisiones. Haga clic en el botn de la barra de herramientas Crear una tarea y luego haga clic en Reiniciar. Especifique si el reinicio es una poltica o tarea programada, o ambas. Seleccione una configuracin de rastreo y reparacin en la lista disponible (o cree una configuracin personalizada solamente para esta tarea de rastreo), para determinar la forma en que el escner opera en los dispositivos de usuarios finales. (Nota: Slo la configuracin de reinicio en la configuracin de rastreo y reparacin se utiliza en una tarea de reinicio). Haga clic en Aceptar. Para una tarea programada, ahora puede agregar dispositivos de destino y configurar las opciones de programacin en la herramienta de Tareas programadas. Para una poltica, la nueva aparece en la venta de Administracin de polticas de aplicacin con el nombre de la tarea especificado ms arriba, donde se puede agregar destinos estticos (usuarios o dispositivos) y dinmicos (resultados de consultas), as como configurar la frecuencia y el tipo de poltica.
5.
Uso de las alertas de seguridad

Puede configurar alertas de vulnerabilidad para recibir notificacin si se detectan vulnerabilidades especificadas en los dispositivos administrados del sistema. Las alertas de vulnerabilidad del Administrador de Seguridad y Revisiones utilizan la herramienta de alertas estndar de LANDesk. Deben copiarse las vulnerabilidades en el grupo de Alertas a fin de que se genere una alerta al detectarlas. Al colocar una vulnerabilidad en el grupo de Alertas se realiza una copia y tambin reside en el grupo Rastrear. Tras colocar las definiciones de vulnerabilidad deseadas en el grupo de Alertas (ya sea de forma manual o mediante la especificacin del nivel de gravedad en el cual se colocarn automticamente las vulnerabilidades durante las descargas), puede configura el intervalo de alerta en el cuadro de dilogo Configurar alertas.
76
Para configurar alertas de vulnerabilidad 1. 2. 3. 4. Especifique las vulnerabilidades que generarn una alerta mediante la colocacin manual de las definiciones de vulnerabilidad descargadas en el grupo de Alertas. O bien, haga clic en el botn Configurar ajustes de la barra de herramientas y luego en Configuracin de alertas. Especifique un intervalo de alertas mnimo. Para configurar las alertas de seguridad y revisiones, seleccione las definiciones (por nivel de seguridad) que desea colocar automticamente en el grupo Alertas durante el proceso de descarga. Puede seleccionar uno o varios niveles de gravedad de vulnerabilidad. Estas definiciones de vulnerabilidad tambin se colocan de forma automtica en el grupo Rastrear. Para configurar las alertas de antivirus, seleccione los eventos de antivirus para los cuales desea generar alertas. Haga clic en Aceptar.
5. 6.
Uso de los informes de seguridad

El Administrador de Seguridad y Revisiones est representado por diversos informes relacionados con al seguridad en la herramienta de Informes. Estos informes proporcionan una variedad de evaluaciones tiles de definiciones, implementacin de revisiones y estado de tareas de reparacin para los dispositivos administrados de su red, para todos los tipos de contenidos. Para acceder a la herramienta Informes y poder generar y ver los mismos, los usuarios de LANDesk deben tener derecho de administrador de LANDesk (lo que implica derechos absolutos) o derecho de informes especfico. Los informes del Administrador de Seguridad y Revisiones siguen las mismas reglas que los del grupo Monitoreo de licencias de software, incluyendo su capacidad para copiarse, eliminarse, exportarse, etc. desde los grupos Mis informes y Informes de usuarios.
Ejecucin y publicacin de informes

En la ventana de informes se puede proceder a la ejecucin de cualquiera de ellos. En la ventana Informes, haga clic con el botn derecho del ratn en el informe que desea ejecutar y, a continuacin, en Ejecutar (o elija el botn de la barra de herramientas Ejecutar). Los datos del informe aparecen en Vista de informes. Tambin puede publicar los informes en un recurso seguro de archivos compartidos donde cualquier usuario los pueda ver, en caso de que tenga las credenciales necesarias para acceder. Para obtener ms informacin sobre el uso de la herramienta Informes y un listado completo de los informes del Administrador de seguridad y revisiones con descripciones, consulte la"Informes" en la pgina 345.
77
MANUAL DE USUARIO
Uso de nombres CVE

La herramienta del Administrador de Seguridad y Revisiones de LANDesk admite el estndar de nombres CVE (Vulnerabilidades y Exposiciones Comunes). Con el Administrador de Seguridad y Revisiones puede buscar una vulnerabilidad descargada por su nombre CVE. Tambin puede ver el/los nombre/s CVE asociados a una vulnerabilidad individual. Consulte esta seccin para obtener informacin sobre: "Qu es CVE?" en la pgina 78 "Compatibilidad de LANdesk con el estndar CVE" en la pgina 78 "Uso de nombres CVE con el Administrador de Seguridad y Revisiones" en la pgina 78
Qu es CVE?
CVE es la sigla de Vulnerabilidades y Exposiciones Comunes, una iniciativa conjunta de varias organizaciones lderes en tecnologa de seguridad para compilar y mantener una lista de nombres estandarizados para las vulnerabilidades y otras exposiciones de seguridad de informacin. CVE es un diccionario de nombres, no una base de datos. En resumen, el objetivo manifiesto del estndar de nombres CVE consiste en facilitar las actividades de bsqueda, el acceso y compartir informacin en bases de datos de vulnerabilidad y herramientas de seguridad. Para obtener ms informacin sobre CVE y la Tarjeta Editorial de CVE, visite el sitio web de MITRE Corporation.
Compatibilidad de LANdesk con el estndar CVE

Los productos de seguridad de LANDesk, entre ellos su producto bandera LANDesk Management Suite y tambin LANDesk Security Suite y LANDesk Patch Manager, ofrecen herramientas para actualizar, ver e informar definiciones de vulnerabilidad que son totalmente compatibles con el estndar CVE. Cuando utiliza la herramienta del Administrador de Seguridad y Revisiones de LANDesk para descargar actualizaciones de definiciones de vulnerabilidades, los datos de vulnerabilidad contienen referencias de nombres CVE que se basan en la informacin ms reciente de la tarjeta CVE. Adems, las definiciones de vulnerabilidad incluyen un hipervnculo al sitio web del diccionario CVE, donde puede encontrar la informacin de CVE ms reciente. La precisin y la difusin de los datos CVE se validan a travs de este vnculo directo.
Uso de nombres CVE con el Administrador de Seguridad y Revisiones

El Administrador de Seguridad y Revisiones le permite buscar vulnerabilidades por sus nombres CVE nicos. Tambin puede encontrar nombres CVE para las vulnerabilidades descargadas y acceder al sitio web de CVE para obtener ms informacin sobre la vulnerabilidad y su estado CVE.
78
Para encontrar definiciones de vulnerabilidades de seguridad por sus nombres CVE 1. En Administrador de Seguridad y Revisiones, seleccione Vulnerabilidades de la lista desplegable Tipo. Se muestra una lista completa de definiciones de vulnerabilidades descargadas. Ingrese el nombre CVE (Id. de CVE) en el campo Buscar, seleccione Cualquiera o Id. de CVE de la lista desplegable En columna y luego haga clic en el botn Buscar. (Puede ingresar el ID de CVE completo, incluyendo el prefijo cve-, o las partes que desee y realizar una bsqueda en el depsito de seguridades descargadas para encontrar vulnerabilidades coincidentes). Si se encuentra una vulnerabilidad con una ID de CVE que coincida en el depsito de vulnerabilidades descargadas con el Administrador de Seguridad y Revisiones, sta se muestra en la lista. Haga clic con el botn derecho del ratn en la vulnerabilidad y acceso a su men de acceso directo para encontrar las opciones disponibles.
2.
3.
4.
Para encontrar los nombres CVE de las definiciones de vulnerabilidades de seguridad descargadas 1. En Administrador de Seguridad y Revisiones, seleccione Vulnerabilidades o Todos los tipos de la lista desplegable Tipo. Se muestra una lista de definiciones descargadas. (Si se selecciona la columna de informacin sobre ID de CVE, se pueden ver las ID de CVE en la lista de elementos. Para configurar las columnas, haga clic con el botn derecho sobre la barra del ttulo de columna, seleccione Columnas, y asegrese de que las columnas ID de CVE se encuentran en la lista Columnas seleccionadas). Haga doble clic en una definicin de vulnerabilidad (o clic con el botn derecho en la definicin y seleccione Propiedades) para abrir su cuadro de dilogo Propiedades. Haga clic en la ficha Descripcin. Si la vulnerabilidad seleccionada tiene un nombre CVE, ste se muestra en la lista desplegable ID de CVE. Algunas vulnerabilidades pueden tener ms de un nombre CVE a los que puede acceder deslizndose a travs de la lista desplegable. Si desea acceder a la pgina web para encontrar una ID de CVE especfica, haga clic en el vnculo Ms informacin de la ID de CVE. El sitio web de CVE provee informacin detallada sobre cada vulnerabilidad con un nombre CVE, tal como su estado actual en la tarjeta de CVE (Entrada aprobada o Candidato en revisin).
2. 3. 4.
5.
79
MANUAL DE USUARIO
LANDesk Network Access Control (NAC)

LANDesk Network Access Control (NAC) es un componente importante de la solucin completa de administracin de seguridad de LANDesk Security Suite. El NAC de LANDesk permite proteger la red del acceso no autorizado, intrusiones malvolas y exposiciones de seguridad externas introducidas por dispositivos vulnerables o daados que pueden infectar y daar la red. El Control de acceso de red de LANDesk ofrece flexibilidad al implementar la funcionalidad del control de acceso en la red ya que admite los estndares y las metodologas comunes del sector, tales como Cisco NAC, seguridad IP e IEEE 802.1X, al igual que ofrece su propia solucin basada en los estndares de DHCP. Con el Control de acceso de red de LANDesk puede definir directivas de seguridad bsicas personalizadas, rastrear dispositivos (administrados y no administrados) para verificar su legalidad, verificar el estado de integridad (o postura) de los dispositivos conectados y denegar o permitir el acceso a los recursos crticos de la red en funcin del cumplimiento del dispositivo de la directiva de seguridad. Se otorga acceso completo a la red a los dispositivos con un estado apropiado. Si se determina que un dispositivo tiene un estado no apropiado, se bloquear su acceso a la red y permanecer en un rea virtual de cuarentena donde podr repararse mediante las capacidades de reparacin del Administrador de Seguridad y Revisiones de LANDesk o se le permitir acceso limitado a la red.
Soluciones LANDesk NAC

El NAC de LANDesk impone la seguridad en el permetro de puntos extremos a travs de tecnologas y sistemas de seguridad comunes del sector. LANDesk ofrece dos soluciones para la implementacin de servicios NAC de LANDesk: Solucin LANDesk DHCP privada Solucin Cisco NAC integrada
Esta gua ofrece informacin detallada sobre la configuracin, la habilitacin y el uso de ambas soluciones de control de acceso de red. Este captulo de introduccin le ofrece una descripcin bsica de la tecnologa y los servicios del NAC de LANDesk; describe los requisitos previos y las herramientas de Security Suite relevantes; compara las dos soluciones del NAC de LANDesk originales; e incluye vnculos a las secciones pertinentes a la configuracin y el uso de cada una de las soluciones.
Soluciones LANDesk NAC adicionales

El NAC de LANDesk ahora admite dos implementaciones ms del control de acceso a la red, como parte de la solucin completa de seguridad de cumplimiento de LANDesk Security Suite. Las dos nuevas soluciones son:
80
LANDesk IP Security LANDesk 802.1X
Para obtener ms informacin sobre cmo configurar estas nuevas soluciones LANDesk NAC en su red de LANDesk, consulte "Uso de la solucin LANDesk IP Security" en la pgina 171, y"Uso de la solucin LANDesk 802.1X" en la pgina 181. Importante: El conocimiento tcnico y la pericia requeridos para la configuracin del Control de acceso de red de LANDesk Esta gua describe en forma adecuada todos los conceptos y procedimientos necesarios para instalar, configurar y utilizar los servicios de NAC LANDesk para las soluciones LANDesk DHCP y Cisco NAC. Tenga en cuenta que el NAC de LANDesk requiere una configuracin adicional de hardware y software por encima de la instalacin bsica del servidor central de LANDesk. Debido a la naturaleza tcnica de esta configuracin adicional, en esta gua se supone que usted est familiarizado con la configuracin y operacin del control de acceso de red de Cisco (NAC) y de Cisco Secure Access Control Server (ACS), al igual que con la administracin de los servidores DHCP, los protocolos DHCP y los principios y la administracin del diseo de infraestructuras de red avanzadas. Debera reconocer que para poder instalar el NAC de LANDesk es posible que tenga que consultar a los representantes de servicio tcnico de LANDesk y/o a los ingenieros de sistemas de LANDesk afiliados. No obstante, tenga la certeza de que una vez que se configure e implemente debidamente, el NAC de LANDesk aumentar de forma considerable la seguridad y proteccin general de la red empresarial. Lea este captulo para obtener informacin sobre:
Panorama de LANDesk Network Access Control

"Panorama de LANDesk Network Access Control " en la pgina 82 "Directivas de seguridad de cumplimiento" en la pgina 82 "Descripcin de los componentes bsicos del NAC de LANDesk" en la pgina 84 "Requisitos previos de Security Suite" en la pgina 86 "Plataformas de dispositivos compatibles para el rastreo de cumplimiento" en la pgina 86 "Administracin basada en funciones con LANDesk NAC" en la pgina 87 "Descripcin y seleccin de la solucin del NAC de LANDesk" en la pgina 88 "Evaluacin de la solucin DCHP de LANDesk" en la pgina 88 "Matriz de solucin LANDesk NAC " en la pgina 89 Los vnculos siguientes abren distintos temas de ayuda: "Uso de la solucin LANDesk DHCP" en la pgina 91 "Tarea de inicio rpido para la configuracin de una implementacin de LANDesk DHCP" en la pgina 103 "Uso de la solucin Cisco NAC" en la pgina 129 "Lista de tareas de inicio rpido para la configuracin de una implementacin de Cisco NAC" en la pgina 141 "Uso de la solucin LANDesk IP Security" en la pgina 171 "Uso de la solucin LANDesk 802.1X" en la pgina 181
81
MANUAL DE USUARIO
Panorama de LANDesk Network Access Control

El Control de acceso de red de LANDesk (NAC) agrega un nivel adicional de proteccin a la red al permitir que se evite el acceso a la red de los dispositivos vulnerables o daados, al igual que se protejan los recursos crticos de la red de los sistemas conectados que se tornan daados. El NAC de LANDesk ofrece flexibilidad al implementar la funcionalidad del control de acceso en la red ya que admite los estndares y las metodologas comunes del sector, tal como Cisco NAC, seguridad IP e IEEE 802.1X, al igual que ofrece su propia solucin basada en los estndares de DHCP. Con el control de acceso de red puede evaluar las credenciales de seguridad de cualquier dispositivo tan pronto como ste intenta la conexin a la red mediante la comparacin del dispositivo con las directivas de seguridad personalizadas, supervisar el estado de seguridad de los dispositivos que ya estn conectados, permitir o denegar el acceso a la red, colocar en cuarentena los dispositivos que no satisfacen los requisitos de directiva de seguridad, y reparar los dispositivos vulnerables para que puedan volver a rastrearse a fin de determinar su cumplimiento de la directiva de seguridad y se le permita el acceso a la red una vez que se determine que el estado es apropiado.
Resumen de los beneficios y las caractersticas del NAC de LANDesk

Con LANDesk NAC podr: Crear y aplicar directivas de seguridad de cumplimiento personalizadas Implementar una seguridad empresarial ms robusta e ininterrumpida Evaluar las credenciales de seguridad (estado de integridad) de los dispositivos conectados Evitar el acceso a la red por parte de sistemas infectados o corruptos Colocar en cuarentena los dispositivos que no cumplen con los requisitos en un rea segura Reparar los dispositivos infectados para que cumplan con los requisitos Reducir el tiempo de inactividad debido a las intrusiones malvolas Proteger la red, los sistemas, las aplicaciones y los datos de amenazas externas Ampliar las tecnologas y los estndares de seguridad existentes
Directivas de seguridad de cumplimiento

Las directivas de seguridad de cumplimiento estn compuestas de reglas que verifican el estado de integridad de los dispositivos mediante la verificacin de: vulnerabilidades (en forma de revisiones de SO y aplicacin ausentes u obsoletas), actualizaciones de software, archivos de motor antivirus y firma , presencia y configuracin de servidor de seguridad, y spyware.
82
Para obtener ms informacin para definir una poltica de cumplimiento de seguridad en la herramienta Administrador de seguridad y revisiones en la consola, consulte"Configuracin de los criterios de seguridad de cumplimiento y publicacin de la configuracin de NAC de LANDesk" en la pgina 150.
83
MANUAL DE USUARIO
Descripcin de los componentes bsicos del NAC de LANDesk

Las secciones siguientes describen los componentes bsicos de la implementacin del NAC de LANDesk, la funcin que desempea cada uno de los componentes y la interaccin entre ellos. Se incluyen diagramas y flujos de proceso ms detallados en los temas que cubren cada solucin especfica. Para obtener ms informacin, consulte: "Uso de la solucin LANDesk DHCP" en la pgina 91 "Uso de la solucin Cisco NAC" en la pgina 129
Descripciones de componentes NAC de LANDesk bsicas

Componente Dispositivos que han intentado el acceso a la red: Descripcin Incluye los equipos mviles que se conectan de forma ocasional, contratistas visitantes y usuarios invitados, al igual que los usuarios normales de la red, que intentan el acceso a la red empresarial. Los dispositivos que tienen instalado el agente de confianza (el agente de confianza de LANDesk o LTA para LANDesk DHCP; el agente de confianza de Cisco o CTA para Cisco NAC) se pueden comunicar con el servidor de directivas o con el servidor de validacin de postura a fin de enviar y recibir informacin de credencial de estado, y se pueden reparar mediante el servidor reparaciones si se detectan vulnerabilidades durante el rastreo de seguridad. Sin un agente de confianza, el dispositivo no se puede comunicar con el servidor de validacin de postura y no puede repararse. Si se rastrea por primera vez un dispositivo que no tiene un agente de confianza, el dispositivo debe dirigirse a una pgina Web con vnculos a la instalacin del agente de confianza debido. Para obtener ms informacin, consulte Uso de las pginas de plantilla HTML. Nota: La solucin de Cisco NAC no se redirecciona a una pgina Web. En su lugar, el dispositivo muestra un cuadro de mensaje configurado por el administrador de red que puede especificar una pgina Web si el administrador lo ajusta as.
Dispositivo de control del acceso a la red
El enrutador Cisco que funciona en combinacin con el Cisco Secure ACS en un entorno Cisco NAC. El servidor LANDesk DHCP configurado con "mbitos" que representan enrutadores virtuales con ambas subredes de cuarentena y una subred principal en un entorno LANDesk DHCP. El dispositivo de control de acceso de red funciona como el dispositivo de red "de primer salto" desde la perspectiva del dispositivo suplicante/solicitante y empieza el proceso de validacin de postura y de
84
Componente
Descripcin autenticacin.
Servidor de directivas / servidor de validacin de postura (punto de decisin del acceso de red)
Servidor dedicado de segundo plano tambin conocido como servidor de validacin de postura, el cual evala las credenciales de postura (estado de los dispositivos que solicitan el acceso) en funcin de las reglas de cumplimiento (directiva de seguridad publicadas en l a partir del servidor central de LANDesk). Enva una respuesta de validacin (estado apropiado, no apropiado, etc.) a travs del dispositivo de control de acceso de red. Nota: El servidor de validacin de postura se requiere solamente con la implementacin NAC de Cisco NAC. Al implementar LANDesk DHCP, la funcionalidad de validacin de postura se integra en el servidor LANDesk DHCP.
Red empresarial
rea y recursos de red crticos que el NAC de LANDesk protege de dispositivos con estado no apropiado, infectados o vulnerables de algn modo.
VLAN de cuarentena
rea de red virtual segura donde los dispositivos que no cumplen con los requisitos pueden asegurarse, para repararlos, volver a rastrearlos, concederles el acceso completo a la red u otorgarles acceso restringido a los recursos de red, tal como Internet.
Componentes bsicos y flujo de proceso de LANDesk NAC
85
MANUAL DE USUARIO
Dispositivos Dispositivo de Punto de que han control del decisin del intentado el acceso a la red: acceso de red / acceso a la red: servidor de directivas:
Red empresarial:
(Dispositivos de usuario y/o visitante de red administrados y no administrados )
(Enrutador de red o interruptor)
(Servicio de validacin de postura que evala y hace efectivas las directivas de seguridad de cumplimiento)
(Acceso a la red otorgado a los dispositivos apropiados, compatibles)
VLAN de cuarentena (rea de red segura virtual para asegurar y/o reparar dispositivos no compatibles ni apropiados)
Requisitos previos de Security Suite

A fin de utilizar la funcin NAC de LANDesk debe contar con una licencia vlida de Security Suite (activacin del servidor central). El NAC de LANDesk requiere no slo las capacidades de rastreo y reparacin de la herramienta Administrador de seguridad y revisiones, sino que tambin de suscripciones de contenido de Security Suite, a fin de descargar las definiciones de vulnerabilidad, amenazas de configuracin de sistema y definiciones de spyware y archivos de patrones de virus que se utilizan para crear directivas de seguridad de cumplimiento personalizadas. Se ha agregado un grupo llamado Cumplimiento a la vista de rbol del Administrador de Seguridad y Revisiones. Los usuarios con el derecho de Cumplimiento de seguridad y revisiones pueden agregar y eliminar las definiciones de tipo de seguridad en el grupo Cumplimiento. Las definiciones de seguridad contenidas en el grupo Cumplimiento componen la directiva de seguridad de cumplimiento y se rastrean en los dispositivos conectados a fin de determinar su estado de integridad. Para obtener ms informacin sobre las suscripciones a los contenidos de Security Suite, consulte"Suscripciones y tipos de contenido de seguridad" en la pgina 21.
Plataformas de dispositivos compatibles para el rastreo de cumplimiento

Al igual que con la herramienta Administrador de Seguridad y Revisiones subyacente, los servicios NAC de LANDesk son compatibles con la mayora de las plataformas de dispositivos estndares de LANDesk Management Suite, inclusive los siguientes sistemas operativos:
86
Windows NT (4.0 SP6a y posterior) Windows 2000 SP4/2003/XP SP1 Macintosh (10.2 y superior)
Para obtener informacin sobre la configuracin de dispositivos administrados para el rastreo de cumplimiento (mediante la instalacin del agente de confianza debido para permitir la comunicacin con los dispositivos de enrutamiento y con los servidores de validacin de postura), consulte la seccin correspondiente a LANDesk DHCP y Cisco NAC: "Instalacin del agente de confianza de DHCP de LANDesk en dispositivos para la activacin del rastreo de cumplimiento" en la pgina 173 "Instalacin del agente de confianza de Cisco en dispositivos para la activacin del rastreo de legalidad" en la pgina 138
Administracin basada en funciones con LANDesk NAC

El NAC de LANDesk depende de los dos derechos del Administrador de Seguridad y Revisiones y del derecho de administrador de LANDesk.
Derecho del Administrador de Seguridad y Revisiones

Este derecho es necesario para la visualizacin y el acceso de la herramienta Administrador de Seguridad y Revisiones, y para la descarga de actualizaciones de contenido de seguridad necesarias para definir las reglas de cumplimiento.
Derecho de cumplimiento de seguridad y revisiones

Este derecho es necesario para agregar o eliminar definiciones de seguridad en el grupo Cumplimiento.
Derecho de administrador de LANDesk

Este derecho es necesario para configurar dispositivos con los agentes de confianza para el rastreo de cumplimiento y para configurar los servicios NAC de LANDesk en la consola. Nota: El derecho de administrador de LANDesk implica todos los dems derechos, incluso los dos derechos pertinentes a la seguridad mencionados.
87
MANUAL DE USUARIO
Descripcin y seleccin de la solucin del NAC de LANDesk

La siguiente seccin describe las ventajas y desventajas de la solucin LANDesk DHCP y la solucin de Cisco NAC.
Evaluacin de la solucin DCHP de LANDesk

Ventajas: Utiliza el filtro DHCP estndar No tiene requisitos de hardware privado No se requiere un servidor de validacin de postura dedicado Menos costosa
Desventajas: Un poco menos seguro que Cisco NAC Requiere un equipo dedicado para el servidor DCHP de LANDesk Requiere ciertos cambios en la infraestructura de red
Evaluacin de la solucin Cisco NAC

Ventajas: Seguridad robusta Incluye la compatibilidad con Cisco
Desventajas: Tiene un mayor coste (particularmente si no tiene hardware Cisco instalado) Requiere hardware especfico del proveedor Agente de confianza slo para Windows Posibilidad de cambios de configuracin de red considerables Podra no ser adecuada para las pequeas empresas
88
Evaluacin de la solucin LANDesk IP Security

La solucin LANDesk IP Security aprovecha los certificados de seguridad IP que se incluyen en la mayora de los sistemas operativos a fin de proporcionar control bsico del acceso a la red. Esta solucin funciona mediante el envo de certificados firmados por la autoridad de certificacin del servidor central de LANDesk a los dispositivos administrados que han pasado de forma satisfactoria una verificacin de postura inicial realizada por el servidor central de LANDesk. Si la verificacin de postura inicial falla, se asigna un certificado nico al dispositivo, el cual lo asla de la comunicacin con todos los dems dispositivos de la red. Si se deniega el acceso al dispositivo, un indicador muestra al usuario la forma en que puede cumplir con las directivas de seguridad estipuladas en el servidor central. Una vez que se determina que el dispositivo cumple con la directiva de seguridad, se le asigna un certificado de estado apropiado, se le otorga acceso a la red y podr comunicarse con los dems dispositivos de estado apropiado.
Evaluacin de la solucin LANDesk 802.1X

El solucin LANDesk 802.1X Radius Proxy funciona con los principales proveedores de conmutacin compatibles con el estndar 802.1X. LANDesk 802.1X Radius Proxy puede participar con una arquitectura de administracin de identidad AAA (autenticacin, autorizacin y compatibilidad) existente para autenticar usuarios o puntos extremos o bien, funcionar como RADIUS independiente en entornos que solamente requieren la validacin del cumplimiento de los puntos extremos. LANDesk Radius Proxy aprovisiona el acceso a puertos de conmutacin en funcin de los resultados de autenticacin de los puntos extremos conectados.
Matriz de solucin LANDesk NAC

La matriz siguiente le ayudar a elegir la solucin de NAC de LANDesk correcta para su entorno de red. Solucin Tecnologa de servidor central Arquitectura de Cisco NAC Descripcin Caso de uso
LANDesk Cisco NAC
Redes con El servidor de validacin de infraestructura Cisco postura de LANDesk ofrece las directivas de mantenimiento de red existente (o planeada). al servidor Cisco ACS. El servidor Cisco ACS a su vez impone la admisin a la red en funcin de la adherencia de los clientes a dichas directivas. Los servidores centrales y de reparaciones de LANDesk ofrecen reparaciones a los clientes que no cumplen con las directivas de seguridad previamente definidas previamente. El servidor LANDesk DHCP impone las directivas de seguridad definidas por el administrador. Controla los dispositivos Windows Redes que prefieren una solucin que sea independiente del hardware, fcil de
89
LANDesk DHCP
Arquitectura DHCP propiedad de
MANUAL DE USUARIO
Solucin
Tecnologa de servidor central LANDesk
Descripcin
Caso de uso
y Mac administrados y no administrados. LANDesk IP Security impone directivas de seguridad que utilizan un certificado basado en la metodologa de imposicin. Solamente los clientes con certificados de buena condicin se pueden comunicar en la red. Los clientes que no cumplen el criterio de las directivas reciben un certificado de mala condicin nico con derechos para comunicarse ya sea solamente con el servidor de reparaciones o con el servidor central de LANDesk. (En la actualidad no se admite VPN.) LANDesk 802.1X ofrece control de acceso de red mediante el requisito de que el agente de LANDesk estndar est activo en el dispositivo.
implementar y asequible. Redes que utilizan direcciones IP estticas o que tienen flexibilidad de infraestructura de red limitada.
LANDesk IP Security
Autoridad de certificacin de LANDesk
LANDesk 802.1X
802.1X propiedad de LANDesk
Redes que utilizan servidores Radius (Microsoft IAS y otros proveedores importantes) para controlar el acceso.
Elija una solucin NAC LANDesk

Haga clic en los vnculos siguientes para obtener informacin sobre la configuracin y el uso de cada una de las soluciones NAC de LANDesk: "Uso de la solucin LANDesk DHCP" en la pgina 91 "Tarea de inicio rpido para la configuracin de una implementacin de LANDesk DHCP" en la pgina 103 "Uso de la solucin Cisco NAC" en la pgina 129 "Lista de tareas de inicio rpido para la configuracin de una implementacin de Cisco NAC" en la pgina 141 "Uso de la solucin LANDesk IP Security" en la pgina 171 "Uso de la solucin LANDesk 802.1X" en la pgina 181
90
Uso de la solucin LANDesk DHCP

Este captulo describe cmo planear, instalar, configurar y activar la implementacin LANDesk DHCP del control del acceso de red (NAC) de LANDesk. Con la solucin DHCP de LANDesk, se puede utilizar un servidor DHCP para filtrar y enrutar direcciones IP. El servidor DHCP de LANDesk funciona en combinacin con el servidor DHCP primario para asignar direcciones IP a los dispositivos que intentan el acceso a la red, y se comunica con el servicio de validacin de postura integrado del servidor para verificar la integridad o postura de los dispositivos que intentan el acceso a la red. Los diagramas siguientes muestran los componentes y el flujo de trabajo del proceso de implementacin del DHCP de LANDesk. En esencia, en una implementacin de DHCP de LANDesk, el servidor DHCP de LANDesk acta en calidad de dispositivo de acceso a la red que permite o niega el acceso a la red segn las credenciales de integridad del dispositivo. Adems, con la solucin DHCP de LANDesk, puede agregar dispositivos identificados con sus direcciones de equipo o de MAC a una lista de exclusin, si desea que se omitan por completo en el proceso de validacin de postura y que tengan acceso inmediato a la red empresarial. Adems del componente de servidor DHCP de LANDesk especfico, tambin debe configurar un servidor de reparaciones a fin de implementar el NAC de LANDesk. Importante: El conocimiento tcnico y la pericia requeridos para la configuracin del NAC de LANDesk Observe que el NAC de LANDesk requiere una configuracin de hardware y software adicional ms all de la instalacin bsica del servidor central de LANDesk. Debido a la naturaleza tcnica de esta configuracin adicional, esta gua supone que usted est familiarizado con la configuracin y operacin del control de acceso de red de Cisco (NAC) y de Cisco Secure Access Control Server (ACS), al igual que con la administracin de los servidores DHCP, los protocolos DHCP y los principios y la administracin del diseo de infraestructuras de red avanzadas. Lea este captulo para obtener informacin sobre:
Configuracin de una implementacin de DHCP de LANDesk del NAC de LANDesk

"Tarea de inicio rpido para la configuracin de una implementacin de LANDesk DHCP" en la pgina 92 "Componentes y flujo de trabajo de proceso de DHCP de LANDesk" en la pgina 93 "Consideraciones de la topologa de red y de diseo para la implementacin de DHCP de LANDesk" en la pgina 101 "Instalacin del agente de confianza de DHCP de LANDesk en dispositivos para la activacin del rastreo de cumplimiento" en la pgina 173 "Instalacin y configuracin de un servidor de reparaciones" en la pgina 180 "Configuracin de un servidor DCHP de LANDesk" en la pgina 102
91
MANUAL DE USUARIO
Qu debe hacer para tras configurar una implementacin de DHCP de LANDesk

Despus de haber completado las tareas de configuracin mencionadas, el paso siguiente en la implementacin del NAC de LANDesk es: definir su poltica de seguridad de cumplimiento, publicar las configuraciones NAC de LANDesk en los servidores apropiados y personalizar las pginas de reparaciones como lo desee. Estas tareas por lo general son idnticas y se aplican a ambas soluciones DCHP de LANDesk y Cisco NAC. Para obtener ms informacin sobre la ejecucin de estas tareas, consulte"Configuracin de los criterios de seguridad de cumplimiento y publicacin de la configuracin de NAC de LANDesk" en la pgina 150. Adems, para ms informacin sobre las tareas continuas de administracin del NAC de LANDesk, tales como: verificacin de la activacin de los servicios del NAC de LANDesk, uso de la opcin de permitir y denegar el acceso a todos, comprensin de lo que sucede cuando se determina la postura de los dispositivos conectados, actualizacin de reglas y polticas de seguridad de cumplimiento, publicacin de la configuracin del NAC de LANDesk, adicin de dispositivos a la herramienta de Deteccin de dispositivos no administrados, visualizacin de los dispositivos afectados, configuracin del inicio de sesin y generacin de informes, consulte"Administracin de la seguridad de cumplimiento del NAC de LANDesk" en la pgina 163.
Tarea de inicio rpido para la configuracin de una implementacin de LANDesk DHCP

Utilice esta lista de verificacin de tareas para llevar un seguimiento de los pasos necesarios para configurar la solucin DHCP de LANDesk. Utilice esta"Tarea de inicio rpido para la configuracin de una implementacin de LANDesk DHCP" en la pgina 103.
92
Componentes y flujo de trabajo de proceso de DHCP de LANDesk

Esta seccin describe los componentes que componen la solucin DHCP de LANDesk. Adems, esta seccin describe lo que sucede cuando un dispositivo intenta el acceso o la conexin a la red empresarial cuando se activa el NAC de LANDesk. Los casos con o sin un agente de confianza de LANDesk (LTA) instalado en el dispositivo se cubren en los diagramas y flujos de trabajo de procesos a continuacin. Los componentes siguientes son necesarios para una implementacin del DHCP de LANDesk.
Componentes requeridos
Componente Servidor central de LANDesk Descripcin Provee la herramienta Administrador de Seguridad y Revisiones, la cual se utiliza para: descargar contenido de seguridad (tales como las definiciones de vulnerabilidad de aplicaciones, las definiciones de spyware, las amenazas de la seguridad de la configuracin del sistema, las definiciones de configuracin de servidor de seguridad y de antivirus, etc.), definir criterios de cumplimiento, configurar servidores de validacin de postura y de reparaciones, y configurar y publicar configuraciones del NAC de LANDesk (incluso reglas de seguridad de cumplimiento o polticas y recursos de reparacin) para el rastreo y la reparacin de dispositivos.
Servidor DHCP empresarial
Proporciona direcciones IP permanentes a los dispositivos cuya postura se valida como apropiada.
Servidor DCHP de LANDesk
Funciona en calidad de dispositivo de acceso a la red que impone la poltica de seguridad de legalidad. Se comunica con el dispositivo que intenta establecer conexin a fin de evaluar las credenciales de postura de dicho dispositivo extremo. Asigna direcciones IP temporales a los dispositivos que intentan el acceso a la red, hasta que el dispositivo cumple con el criterio de seguridad de legalidad y el servidor DHCP empresarial principal puede asignarle una direccin IP permanente. En otras palabras, en el entorno DHCP de LANDesk, el servidor DHCP es el punto en el que se imponen las polticas en la red y donde se otorgan o se niegan los privilegios de acceso. El servidor DHCP de LANDesk tiene integrada la funcionalidad de validacin de postura, de modo que no necesita un servidor de validacin de postura dedicado. Este servicio determina si el dispositivo que intenta la conexin tiene una postura apropiada o no apropiada en funcin de dos factores: la poltica de seguridad de cumplimiento (el contenido del grupo Legalidad en la herramienta Administrador de Seguridad y Revisiones Y la cantidad de horas desde el
93
MANUAL DE USUARIO
Componente
Descripcin ltimo rastreo con resultado apropiado, tal como se especifica en la opcin Definicin de correcto del cuadro de dilogo Configurar el NAC de LANDesk).
Servidor de reparaciones
Contiene los archivos de configuracin y compatibilidad necesarios (cliente de seguridad, definiciones de tipo de seguridad y revisiones requeridas), al igual que las pginas de plantilla HTML utilizadas para rastrear dispositivos en busca de las vulnerabilidades identificadas en la poltica de seguridad, y para reparar cualquier vulnerabilidad detectada a fin de que el dispositivo se pueda rastrear y determinar que tiene un estado apropiado para permitirle el acceso a la red.
Enrutador
Funciona en calidad de dispositivo de acceso a la red que impone la poltica de seguridad de legalidad. Se comunica tanto con el dispositivo conectado que intenta el acceso como con el servidor de LANDesk DHCP para evaluar las credenciales de postura del dispositivo de punto extremo. En el entorno del servidor LANDesk DHCP, el enrutador o conmutador necesita estar configurado para que sea compatible con BOOTP/DHCP.
Dispositivos
Son los dispositivos mviles o de usuario invitado, al igual que los dispositivos de usuario de red normales, que intentan el acceso a la red empresarial. Los dispositivos de punto extremo habituales incluyen los equipos de escritorio y los porttiles, pero tambin podran incluir dispositivos "sin cliente", tales como las impresoras, etc. El NAC de LANDesk permite evaluar el estado apropiado de los dispositivos conectados y controlar su acceso a la red en funcin de sus credenciales de postura.
Los diagramas siguientes muestran una configuracin habitual de los componentes descritos, al igual que el proceso o flujo de trabajo de validacin de postura entre dichos componentes.
Componentes de DCHP de LANDesk

El diagrama siguiente incluye los componentes DHCP especficos de LANDesk:
94
95
MANUAL DE USUARIO
Proceso de validacin de postura para un dispositivo sin LTA instalado

El diagrama siguiente ilustra el flujo de trabajo o de comunicacin entre los diversos componentes de un entorno DHCP de LANDesk cuando el dispositivo que intenta el acceso a la red no tiene instalado el agente de confianza de LANDesk (LTA). Los nmeros representan cada una de las etapas del proceso y se explican en la lista de pasos a continuacin.
Flujo de trabajo de proceso: 1. Un dispositivo que NO est configurado con el agente de confianza de LANDesk (LTA) hace un intento inicial de acceso a la red empresarial a travs del servidor DHCP de LANDesk y solicita una direccin IP. El servidor DHCP de LANDesk determina si la plataforma debe rastrearse y si debe evaluarse su postura, mediante la consulta de las opciones 55 y 60. Si la plataforma debe rastrearse, el servidor DHCP de LANDesk determina si se conoce el estado del dispositivo, si el estado se encuentra en la memoria cach o si el dispositivo se ha incluido en la lista de excepciones. El servidor DHCP de LANDesk devuelve una direccin IP de VLAN de cuarentena al dispositivo (proveniente del grupo de direcciones IP). Si se permite el dispositivo o si se ha incluido en la lista de exclusin, la solicitud se enva al servidor DCHP empresarial principal.
2.
3.
96
4.
En este momento, el dispositivo puede instalar el Agente de confianza de LANDesk y ejecutar el cliente de seguridad (desde la pgina Visitor.html) para poder rastrear y remediar vulnerabilidades existentes y convertirse en apropiados o cumpliendo la poltica de seguridad empresarial y con acceso a la red. O, si el dispositivo simplemente puede permanecer en la VLAN de cuarentena con acceso restringido a la red, dependiendo de las reglas de listas de control de acceso (ACL) definidas en el enrutador por el administrador de red.
97
MANUAL DE USUARIO
Proceso de validacin de postura para un dispositivo con LTA instalado

El diagrama siguiente ilustra el flujo de trabajo o de comunicacin entre los diversos componentes de un entorno DHCP de LANDesk cuando el dispositivo que intenta el acceso a la red tiene instalado el agente de confianza de LANDesk (LTA). Los nmeros representan cada una de las etapas del proceso y se explican a continuacin. El proceso de validacin de postura de DHCP de LANDesk se ha dividido en tres fases. Fase 1: Intento de acceso inicial (colocar temporalmente en cuarentena la direccin IP asignada; reparacin ofrecida)
Flujo de trabajo del proceso para el intento inicial de acceso: 1. Un dispositivo que est configurado con el agente de confianza de LANDesk (LTA) hace un intento inicial de acceso a la red empresarial a travs del servidor DHCP de LANDesk y solicita una direccin IP. El servidor DHCP de LANDesk determina si la plataforma debe rastrearse y si debe evaluarse su postura, mediante la consulta de las opciones 55 y 60. Si la plataforma debe rastrearse, el servidor DHCP de LANDesk determina si se conoce el estado del dispositivo, si el estado se encuentra en la memoria cach o si el dispositivo se ha incluido en la lista de excepciones.
2.
98
3.
4.
5.
El servidor DHCP de LANDesk devuelve una direccin IP de VLAN de cuarentena al dispositivo (proveniente del grupo de direcciones IP). Si se permite el dispositivo o si se ha incluido en la lista de exclusin, la solicitud se enva al servidor DCHP empresarial principal. Debido a que el agente de confianza se encuentra instalado en el dispositivo, su explorador puede iniciarse y redireccionarse a la pgina de instalacin en el servidor de reparacin que ya debe haberse publicado en el servidor central. Esta pgina tiene vnculos que le permiten instalar y ejecutar el rastreo de seguridad para que determine la legalidad y ejecute la reparacin necesaria. Ejecute el cliente de seguridad (rastreador) para poder buscar y remediar cualquier vulnerabilidad existente y otros riesgos de seguridad definidos en su poltica de cumplimiento de la seguridad. La reparacin exitosa vuelve compatible el dispositivo o lo hace apropiado para que pueda proceder con los siguientes pasos en el proceso de validacin de postura de DHCP de LANDesk.
Fase 2: Intento de acceso a dispositivo reparado (direccin IP reasignada; instruccin de postura solicitada)
Flujo de trabajo del proceso para el segundo intento de acceso: 6. 7. 8. El dispositivo reparado intenta acceder a la red mediante el servidor DHCP de LANDesk y solicita una direccin IP. El servidor DHCP de LANDesk considera que el dispositivo todava est en cuarentena, y... El servidor DHCP de LANDesk devuelve la misma direccin IP de VLAN de cuarentena al dispositivo.
99
MANUAL DE USUARIO
Fase 3: Validacin de postura de dispositivo (direccin IP permanente reasignada al dispositivo con estado apropiado; acceso a red concedido)
Flujo de trabajo para la validacin de postura y el acceso a la red: 9. 10. El dispositivo enva su declaracin de postura (estado apropiado) al servidor DHCP de LANDesk. El servidor DHCP de LANDesk evala la respuesta de postura del dispositivo. (Observe que el servidor DHCP de LANDesk funciona como punto de decisin en el proceso de control del acceso de red, lo cual significa que determina la postura o el estado del dispositivo que busca el acceso a la red). El servidor DHCP de LANDesk comunica la respuesta de postura al dispositivo. Si se considera que el dispositivo tiene un estado no apropiado (no cumple con los requisitos), permanecer en la VLAN de cuarentena. Si el dispositivo se considera apropiado (o legal), el dispositivo vuelve a solicitar una direccin IP al servidor DHCP de LANDesk. Ahora el dispositivo de DHCP de LANDesk reconoce que los dispositivos son apropiados y pasa la solicitud de direccin IP al servidor empresarial DHCP principal. El servidor empresarial DHCP principal notifica al servidor DHCP de LANDesk sobre la direccin IP permanente que se asigna al dispositivo apropiado y... El servidor DHCP principal devuelve la direccin IP permanente al dispositivo apropiado y el dispositivo obtiene acceso a la red empresarial.
11. 12.
13. 14. 15.
100
Consideraciones de la topologa de red y de diseo para la implementacin de DHCP de LANDesk

Debe recordar los factores siguientes al disear una implementacin del DHCP de LANDesk: El servidor central de LANDesk no debe ser visible para la red de cuarentena. El servidor DHCP de LANdesk debe estar en el lado opuesto del enrutador o conmutador a partir de los clientes. El enrutador debe admitir una subred principal y secundaria en el lado de cliente del enrutador. El enrutador debe configurarse para que enve las solicitudes BOOTP/DHCP difundidas al servidor DHCP de LANDesk (agente de retraso o asistente IP). El servidor DHCP principal debe estar en el mismo lado del enrutador que el servidor DHCP de LANDesk. El servidor DHCP de LANDesk puede brindar servicio a varias subredes en cuarentena, de modo que es probable que se necesite solamente un servidor DHCP de LANDesk. No coloque el servidor DHCP de LANDesk en el mismo equipo que el servidor DHCP principal; ya que no pueden compartir los mismos puertos. El servidor de reparaciones se puede instalar en el mismo equipo que el equipo servidor DHCP de LANDesk, pero si se presentan problemas de desempeo o de escalabilidad, pueden instalarse distintos equipos dedicados. El enrutador debe configurarse con la subred real como la subred principal y la subred de cuarentena como la secundaria. La subred secundaria debe restringirse para que solamente pueda ver el servidor de reparaciones.
Instalacin del agente de confianza de DHCP de LANDesk en dispositivos para la activacin del rastreo de cumplimiento
A fin de comunicarse con el servidor DHCP de LANDesk y de evaluar su postura, el dispositivo debe tener instalado el agente de confianza de LANDesk (LTA). El Agente de confianza (LTA) de LANDesk se puede utilizar tanto por la solucin DHCP de LANDesk como por la solucin de seguridad de IP de LANDesk. Nota:Recuerde que para poder proporcionar capacidades adicionales de administracin de dispositivo, tambin puede instalar el LTA (que incluye el rastreo de inventario y programacin local) en los dispositivos administrados an cuando utiliza la solucin de Cisco NAC. Es decir, puede tener ambos agentes de confianza instalados en el dispositivo. Sin embargo, si utiliza la solucin de LANDesk DHCP, no deber instalar CTA en los dispositivos administrados. Para instalar el agente de confianza de LANDesk en dispositivos administrados por los empleados Si ya tiene el agente estndar de LANDesk, instale el LTA con una nueva configuracin de agente de dispositivo O, si no tiene el agente estndar de LANDesk, instale el LTA con una configuracin inicial de agente
101
MANUAL DE USUARIO
O instale el LTA con una configuracin de agente en los dispositivos con UDD
Para instalar el agente de confianza de LANDesk en dispositivos no administrados por los empleados Instale el agente estndar de LANDesk (wscfg32.exe) para instalar el LTA O bien, utilice la configuracin de agente autocontenida
Para instalar el agente confiable de LANDesk en los nuevos dispositivos de usuarios finales (empleado o visitante) Instale el LTA de forma manual utilizando una ruta URL o UNC (con la pgina Visitor.html ubicada en el recurso Web compartido de reparacin)
Instalacin y configuracin de un servidor de reparaciones

Constituye un componente comn y por lo tanto, una tarea comn para ambas soluciones DHCP de LANDesk y Cisco NAC. Para obtener ms informacin e instrucciones paso a paso, consulte"Instalacin y configuracin de un servidor de reparaciones" en la pgina 110.
Configuracin de un servidor DCHP de LANDesk

Este procedimiento es exclusivo para la solucin DCHP de LANDesk. Para obtener informacin de configuracin del enrutador o conmutador para una solucin DHCP de LANDesk, consulte"Configuracin de un servidor DCHP de LANDesk" en la pgina 114.
Qu debe hacer para tras configurar una implementacin de DHCP de LANDesk

102

Utilice esta lista de tareas para completar la planificacin, la instalacin y las tareas de configuracin necesarias para implementar la solucin de LANDesk DHCP en la red LANDesk. Puede imprimir esta lista de tareas y consultarla para llevar un seguimiento de cada uno de los pasos durante el proceso de implementacin. Si est visualizando esta lista de tareas en lnea, haga clic en el enlace Ms informacin para ver informacin e instrucciones detalladas sobre una tarea particular. Configure un servidor nico NAC de LANDesk Para los fines de la lista de tareas de inicio rpido, el servidor de reparaciones y el servidor DHCP de LANDesk (el cual incluye funcionalidad de validacin de postura), se instalan y configuran en el mismo equipo denominado servidor NAC de LANDesk. Mientras esta configuracin es tcnicamente posible y crear un mbito funcional de DHCP de LANDesk, recuerde que puede no ser la solucin ms adecuada para su red empresarial.

Finalizada Tarea Para obtener ms informacin, vaya a "Administrador de Seguridad y Revisiones" en la pgina 17 Para obtener informacin sobre los componentes y flujo de trabajo de proceso de LANDesk DHCP (incluyendo los diagramas), consulte "Componentes y flujo de trabajo de proceso de DHCP de LANDesk" en la pgina 93. Para obtener informacin sobre las consideraciones de la topologa de red y de diseo para la implementacin de LANDesk DHCP, consulte "Consideraciones de la topologa de red y de diseo para la implementacin de DHCP de LANDesk" en la pgina 101.
Requisitos previos: Debe haber un servidor central LANDesk Management Suite 8.6 instalado y en ejecucin en la red, el cual debe estar activado con una licencia y con suscripciones de contenido de seguridad de LANDesk Security Suite: Instalar el servidor central Active el servidor central con una licencia de Security Suite Inicie una sesin en calidad de usuario Administrador o de usuario con ambos derechos de Administrador de seguridad y revisiones y de Cumplimiento de seguridad y revisiones (permite la descarga de contenido de seguridad y revisiones y la copia al grupo de cumplimiento
103
MANUAL DE USUARIO
Finalizada
Tarea
Para obtener ms informacin, vaya a
"Instalacin del agente de confianza Instale el agente confiable de LANDesk (LTA) en dispositivos para la activacin del de DHCP de LANDesk en dispositivos para la activacin del rastreo de rastreo de legalidad: cumplimiento" en la pgina 173 Para dispositivos de empleados administrados: Si ya tienen el agente estndar de LANDesk, instale el LTA con una nueva configuracin de dispositivo O, si no tiene el agente estndar de LANDesk, instale el LTA con la configuracin de agente inicial O bien, instale el LTA con la configuracin de agente en los dispositivos en UDD Para dispositivos de empleados no administrados: Instale el LTA al instalar el agente estndar de LANDesk (wscfg32.exe) O bien, utilice una configuracin de agente autocontenida Para los nuevos dispositivos de usuarios finales (visitante): Instale el LTA de forma manual utilizando una ruta URL o UNC (con la pgina Visitor.html ubicada en el recurso Web compartido de reparacin) Identifique y configure un servidor nico NAC de LANDesk que cumpla con los siguientes requisitos de sistema: Windows 2000 o superior, con .NET Framework 1.1 El servidor Web se encuentra instalado y en ejecucin (IIS) Direccin IP esttica El servidor debe estar en el lado opuesto del enrutador o conmutador a partir de los dispositivos de conexin No debe ser un servidor DHCP actual No debe ser un equipo representante PXE
104
Finalizada
Tarea No puede ser el servidor central
Configure el servidor de reparaciones: En el servidor NAC de LANDesk, Ejecute la secuencia de comandos de configuracin CONFIGURE.REMEDIATION.SER VER.VBS que se encuentra en: <coreserver>\LDMain\Install\Truste dAccess\RemediationServer Nota: Esta secuencia de comandos configura automticamente el servidor para realizar la reparacin mediante la - creacin de un recurso Web denominado LDLogon (generalmente) en: c:\inetpub\wwwroot\LDLogon - la adicin de un acceso annimo al recurso compartido LDLogon con derechos de lectura y exploracin - la adicin de un nuevo tipo MIME para los archivos .lrd y la definicin del mismo en el flujo de aplicaciones u octetos
"Instalacin y configuracin de un servidor de reparaciones" en la pgina 110
Instale y configure el servidor DHCP de LANDesk: En el servidor NAC de LANDesk, Ejecute el programa de configuracin LDDHCP.EXE que se encuentra en: servidorcentral\LDMain\Install\Trust edAccess\LDDHCP (copie el programa de instalacin en un disco si no se puede acceder al servidor central) Copie los archivos de certificado y claves (*.key, *.crt) de la carpeta Archivos de programa\LANDesk\Shared Files\Keys del servidor central a la misma ruta en el servidor DHCP de LANDesk Configure el servidor DHCP de
"Configuracin de un servidor DCHP de LANDesk" en la pgina 114
105
MANUAL DE USUARIO
Finalizada
Tarea LANDesk con la herramienta de configuracin LDDHCP, la cual est disponible a travs del icono de acceso directo ubicado en el escritorio Especifique las propiedades del servidor de reparaciones Cree mbitos para el grupo de direcciones VLAN para cada subred (asegrese de definir al menos la opcin del mbito 003 para la puerta de enlace del enrutador) (Opcional) Configure las opciones de filtro del sistema operativo, las listas de exclusin y el vigilante de DHCP de LANDesk Salga de la herramienta de configuracin para iniciar el servicio DHCP de LANDesk Nota: La solucin de DHCP de LANDesk NO requiere un servidor de validacin de postura dedicado debido a que esta funcionalidad se incluye en el servidor DHCP de LANDesk
"Definicin del criterio de seguridad de Defina la seguridad de legalidad en la herramienta Administrador de Seguridad y legalidad en la herramienta Administrador de Seguridad y Revisiones: Revisiones" en la pgina 151 En la herramienta Administrador de Seguridad y Revisiones de la consola, descargue las definiciones del contenido de seguridad y revisiones Agregue las definiciones de seguridad en el grupo Legalidad para poder definir su cumplimiento de la poltica de seguridad Compruebe que se descarguen las revisiones asociadas En Administrador de Seguridad y Revisiones, haga clic derecho en el objeto Control de acceso de red (bajo Configuracin), haga clic en Configurar NAC de LANDesk, primero asegrese de que la opcin Habilitar NAC de LANDesk est
106
Finalizada
Tarea activada y luego defina las posturas apropiadas e inapropiadas Configuracin (adicin) del servidor nico NAC de LANDesk en la consola:
"Configuracin de un servidor DCHP de LANDesk" en la pgina 114, y "Instalacin y configuracin de un En el Administrador de Seguridad servidor de reparaciones" en la pgina 110 y Revisiones, haga clic con el botn secundario en el objeto Control de acceso de red (bajo Configuracin) y luego haga clic en Configurar NAC de LANDesk Ingrese el nombre del servidor NAC de LANDesk en el campo Nombre del servidor DHCP de LANDesk o de validacin de postura, haga clic en Agregar para agregarlo a la lista, y luego en Aceptar Nuevamente, en el Administrador de Seguridad y Revisiones, haga clic con el botn secundario en el objeto Control de acceso de red, y luego haga clic en Configurar servidores de reparaciones y haga clic en Agregar Ingrese la direccin IP del servidor de reparaciones, la ruta UNC al recurso Web compartido LDLogon y las credenciales de acceso de usuario, y haga clic en Aceptar "Publicacin de la configuracin de NAC de LANDesk" en la pgina 155
Publique TODAS las opciones de configuracin de NAC de LANDesk en los servidores apropiados: En el Administrador de Seguridad y Revisiones, haga clic con el botn secundario en el objeto Control de acceso de red, haga clic en Publicar los ajustes NAC de LANDesk, seleccione Todos y haga clic en Aceptar Nota: El proceso inicial de publicacin debe incluir TODAS las opciones de configuracin NAC de LANDesk; a partir de esa publicacin puede incluir solamente
107
MANUAL DE USUARIO
Finalizada
Tarea el contenido de legalidad Configure el enrutador de red para DHCP de LANDesk: El enrutador de red se debe ubicar entre el servidor DHCP de LANDesk y los dispositivos de conexin El enrutador debe tener activado el reenvo de DHCP Agregue una subred VLAN a la interfaz de cliente en el enrutador (la subred de cuarentena) Cambie el asistente de la direccin IP (agente de envo) en la interfaz del cliente para que apunte al servidor DHCP de LANDesk Agregue reglas ACL (lista de control de acceso) en el enrutador para restringir el trfico de VLAN a fin de que los dispositivos solamente puedan llegar al servidor de reparacin Por ejemplo, una lista de control de acceso puede incluir la siguiente lista de acceso: 101 permit ip 10.1.1.0 0.0.0.255 any access-list 101 permit ip any host 192.168.1.10 access-list 101 permit udp any eq bootpc any eq bootps (Donde 10.1.1.0 es la puerta de enlace de la subred principal y 192.168.1.10 es el DHCO o servidor de remedio de LANDesk). Compruebe que el proceso de validacin de postura funcione correctamente: Intente una prueba simple para el DHCP de LANDesk: liberar y renovar una direccin IP de un dispositivo administrado.
"Requisitos previos del servidor DHCP de LANDesk" en la pgina 115
Realice las tareas continuas de
"Administracin de la seguridad de
108
Finalizada
Tarea administracin de legalidad de seguridad: Verificacin de la activacin de los servicios NAC de LANDesk Utilizar el permiso o la restriccin de acceso a la opcin de todos Descripcin de lo que sucede cuando se determina la postura de los dispositivos conectados Visualizacin de dispositivos afectados (que no cumplen) Modificacin y actualizacin de polticas de seguridad de legalidad Adicin de dispositivos no administrados Configuracin y visualizacin de registro de cumplimiento Generacin de informes de legalidad
Para obtener ms informacin, vaya a cumplimiento del NAC de LANDesk" en la pgina 163
Para regresar al tema de ayuda principal de DCHP de LANDesk, consulte Uso de la solucin DHCP de LANDesk.
109
MANUAL DE USUARIO

Ambas soluciones de Control de acceso de red (NAC) de LANDesk (DHCP de LANDesk y Cisco NAC) requieren un servidor de reparaciones para reparar los dispositivos vulnerables o infectados. Los dispositivos cuya postura se determina como no apropiada se envan al servidor de reparaciones para ser reparados o corregidos de modo que satisfagan las reglas de legalidad que ha configurado para un estado apropiado. Los recursos de reparacin se publican en el servidor de reparaciones, tales como: los clientes de seguridad que rastrean vulnerabilidades y otros riesgos de seguridad en los dispositivos, los archivos de revisin y las pginas HTML que aparecen en los dispositivos y que proporcionan opciones para la reparacin o para el acceso limitado a la red. Para comprender la interaccin del servidor de reparacin con los dems componentes de NAC de LANDesk y dispositivos de conexin, consulte los diagramas relevantes de procesos y componentes en "Uso de la solucin LANDesk DHCP" en la pgina 91, y "Uso de la solucin Cisco NAC" en la pgina 129. Lea este captulo para obtener informacin sobre:

"Requisitos previos del servidor de reparaciones" en la pgina 110 "Determinacin de la ubicacin del servidor en la red" en la pgina 147 "Creacin y configuracin de un recurso Web compartido en el servidor de reparaciones" en la pgina 111 "Configuracin (adicin) de un servidor de reparaciones en la consola" en la pgina 112 "Pasos siguientes: Publicacin de los archivos de infraestructura de reparacin en los servidores de reparaciones" en la pgina 148
Requisitos previos del servidor de reparaciones

El equipo que ha configurado en calidad de servidor de reparaciones debe satisfacer los requisitos de sistema siguientes: El servidor de reparaciones puede ser cualquier tipo de servidor Web. Por ejemplo: IIS en Windows o Apache en Linux. Debe crear un recurso compartido Web en el servidor de reparaciones que tiene acceso annimo con los derechos de lectura y exploracin habilitados. Para obtener instrucciones detalladas, consulte "Creacin y configuracin de un recurso Web compartido en el servidor de reparaciones" en la pgina 111.
Nota: si utiliza un servidor Web de Apache en Linux, el recurso compartido que cree debe ser un recurso Samba.
Determinacin de la ubicacin del servidor en la red

Debe seguir las pautas siguientes al decidir la ubicacin del servidor de reparaciones de la red.
110
El servidor de reparaciones se puede colocar en cualquier lado del enrutador. Si elige colocarlo en el lado de cliente del enrutador, tendr ms seguridad debido a que no tendr que hacer ninguna excepcin a las reglas del enrutador, pero tendr que llevar de forma manual todos los archivos de reparaciones al equipo cada vez que los cambie. Si lo coloca en el lado opuesto del enrutador, existe un riesgo de seguridad debido a que los equipos en cuarentena tienen acceso al equipo en la red, pero puede instalar automticamente los archivos de reparaciones en el equipo sin tener que llevarlos al mismo. El servidor de reparaciones debe ser visible desde la VLAN de reparacin. Es posible tener ms de un servidor de reparaciones en la red.
Puede ver los diagramas que muestran la ubicacin del componente y el flujo de trabajo del proceso para cada solucin del NAC de LANDesk en sus secciones de introduccin respectivas. Consulte, "Uso de la solucin LANDesk DHCP" en la pgina 91, y "Uso de la solucin Cisco NAC" en la pgina 129.
Creacin y configuracin de un recurso Web compartido en el servidor de reparaciones

Este procedimiento se ha automatizado con una secuencia de comandos que se encuentra en el servidor principal y que se ejecuta en el equipo que desee configurar como servidor de reparaciones. El recurso compartido que crea en el servidor de reparaciones funciona como depsito para los archivos ejecutables de revisin que se utilizan para reparar las vulnerabilidades en los dispositivos afectados. Cuando publique los archivos de infraestructura o los recursos de reparaciones (por ejemplo, el cliente de seguridad, los archivos de revisin y las pginas HTML desde el servidor central), dichos archivos se copian al recurso Web compartido. Nota: El nombre del recurso Web compartido debe ser LDLogon. Puede crear este recurso compartido en cualquier lugar de un servidor Web. Una ruta tpica sera: C:\Inetpub\wwwroot\LDLogon. Sin embargo, puede crear el recurso compartido en cualquier ruta mientras que la redireccin de la URL se dirija a: http://servername/LDLogon. Tras ejecutar la secuencia de comandos para crear y configurar el recurso Web compartido, debe agregar el servidor de reparaciones en la consola y especificar la ruta al recurso compartido (para obtener instrucciones detalladas consulte "Configuracin (adicin) de un servidor de reparaciones en la consola" en la pgina 112). Esto asegura que el servidor central publique los recursos de reparacin en la ubicacin correcta del servidor de reparaciones. Para ejecutar la secuencia de comandos de configuracin del servidor de reparaciones 1. Desde el equipo que desee configurar como el servidor de reparaciones, asigne una unidad en la carpeta LDMain\Install\TrustedAccess\RemediationServer del servidor central. Haga doble clic en la secuencia de comandos de configuracin CONFIGURE.REMEDIATION.SERVER.VBS.
2.
La secuencia de comandos de configuracin del servidor de reparaciones configura el servidor para que realice las reparaciones mediante:
111
MANUAL DE USUARIO
Crear un recurso Web compartido con el nombre de LDLogon (generalmente) en: c:\inetpub\wwwroot\LDLogon). La activacin del acceso annimo al recurso compartido LDLogon con derechos de lectura, escritura y exploracin. La adicin de un tipo MIME nuevo para los archivos .lrd y la definicin del mismo en el flujo de aplicaciones u octetos (aplicacin o binario).
Nota: Puede utilizar la herramienta de Microsoft IIS para configurar de forma manual los permisos de acceso al recurso compartido de LDLogon y los tipos MIME. El servidor de reparaciones se encuentra ahora listo para agregarse en la consola.
Configuracin (adicin) de un servidor de reparaciones en la consola

Tras configurar el servidor de reparaciones, debe configurarlo y agregarlo a la lista de servidores de reparaciones en el cuadro de dilogo Configurar servidores de reparaciones de la consola. Al hacerlo, el servidor de reparaciones ser reconocido en la red y se podr comunicar de forma debida con los dems componentes del NAC de LANDesk. Para configurar y agregar servidores de reparaciones en la consola 1. En la herramienta Administrador de Seguridad y Revisiones de la consola (Herramientas | Seguridad | Administrador de Seguridad y Revisiones), haga clic con el botn secundario en el grupo Control de acceso de red, haga clic en Configurar servidores de reparaciones y luego en Agregar. Se abre el cuadro de dilogo Nombre y credenciales del servidor de reparaciones. Introduzca la direccin IP del servidor de reparaciones. Escriba la ruta al recurso compartido (en el servidor Web que est configurando como servidor de reparaciones), en la cual desea publicar los archivos de legalidad. El recurso compartido debe llamarse LDLogon. Los archivos de legalidad son los archivos de definicin de seguridad que definen la poltica de seguridad de legalidad (por ejemplo, el contenido del grupo Legalidad en el Administrador de Seguridad y Revisiones, al igual que los archivos de revisin necesarios para reparar las vulnerabilidades detectadas). Puede ingresar una ruta UNC o una ruta de unidad asignada. La ruta UNC es el mtodo ms fiable debido a que las asignaciones de unidad podran cambiar (vea la nota siguiente). Haga clic en el botn Examinar para navegar al recurso en el cual desea publicar los archivos de legalidad en el servidor de reparaciones. Importante: Si especifica una ruta local o una unidad asignada en el campo Ubicacin para copiar los archivos de legalidad, los archivos se publican ya sea en el equipo local o en la unidad asignada especificada en el equipo donde se inicia la accin de publicacin. Para asegurar que se publiquen los archivos de legalidad en la misma ubicacin de cada servidor de reparaciones de la red, es recomendable que utilice una ruta UNC a un recurso compartido de red. Escriba un nombre de usuario y una contrasea vlidos para el acceso al servidor de reparaciones. Haga clic en Aceptar para agregar el servidor de reparaciones a la lista.
2. 3.
4. 5.
112
Ahora puede publicar los archivos de infraestructura de reparacin en el servidor (mientras tambin haya configurado un servidor de validacin de postura y las credenciales de usuario).
Cuadro de dilogo Nombre y credenciales del servidor de reparaciones

Utilice este cuadro de dilogo para identificar el servidor de reparaciones y la ruta del recurso Web del servidor de reparaciones en la cual se publican los recursos de reparacin (clientes de seguridad, archivos de revisin y pginas HTML). Nombre del servidor de reparaciones: identifica el servidor de reparaciones mediante la direccin IP o el nombre de host. Ubicacin para copiar los archivos de legalidad: Especifica la ruta completa del recurso Web ubicado en el servidor de reparaciones donde se publican los archivos de cumplimiento desde el servidor central. El nombre del recurso Web debera ser LDLogon. La ruta puede ser una ruta UNC o una ruta de unidad asignada (o ruta local). Se recomienda una ruta UNC (vea la nota Importante ms arriba). Examinar: abre la ventana local del Explorador de Windows, en la cual puede navegar hasta el recurso compartido LDLogon del servidor de reparaciones. Nombre de usuario:Identifica a un usuario vlido con credenciales de acceso al recurso Web del servidor de reparaciones. Contrasea: identifica la contrasea del usuario. Confirme la contrasea: verifica la contrasea del usuario. Aceptar: guarda la configuracin del servidor de reparaciones y lo agrega a la lista del cuadro de dilogo Configurar servidores de reparaciones. Cancelar: cierra el cuadro de dilogo sin guardar la configuracin y sin agregarlo a la lista de servidores de reparaciones.
Pasos siguientes: Publicacin de los archivos de infraestructura de reparacin en los servidores de reparaciones
El siguiente paso para la instalacin y configuracin de un servidor de reparaciones es publicar en l los recursos vitales de la infraestructura de reparacin a partir del servidor central. Estos recursos de infraestructura de reparacin incluyen: Cliente de seguridad (utilidad del rastreador de vulnerabilidades) Revisiones asociadas con las vulnerabilidades contenidas en el grupo de cumplimiento Las pginas HTML proporcionan vnculos que permiten que los usuarios: instalen agentes de confianza, realicen rastreos de seguridad de legalidad y reparen las vulnerabilidades detectadas y otros problemas de seguridad.
Debe definir su criterio de cumplimiento de seguridad en la herramienta Administrador de Seguridad y Revisiones antes de publicar en los servidores. Para obtener ms informacin sobre estas tareas, consulte "Configuracin de los criterios de seguridad de cumplimiento y publicacin de la configuracin de NAC de LANDesk" en la pgina 150.
113
MANUAL DE USUARIO
Configuracin de un servidor DCHP de LANDesk

La implementacin LANDesk DHCP del control del acceso de red (NAC) de LANDesk requiere un servidor DHCP de LANDesk; pero no es requerido en la implementacin NAC basada en Cisco. Asimismo, a diferencia de la solucin de Cisco NAC, la solucin de DHCP de LANDesk no requiere un servidor de validacin de postura dedicado debido a que esta funcionalidad se incluye en el servidor DHCP de LANDesk. En otras palabras, el servicio de validacin de postura que evala el estado del dispositivo se encuentra integrado en el servidor DHCP de LANDesk. El servidor DHCP de LANDesk proporciona una direccin IP temporal (direccin IP en cuarentena) a los dispositivos que la solicitan. Con una direccin IP temporal, el dispositivo se puede comunicar con el servidor de reparaciones, el cual ejecuta el cliente de seguridad (que es una versin especial del rastreador de seguridad, tambin conocido como rastreador de vulnerabilidad). El rastreador de seguridad busca las definiciones de seguridad contenidas en el grupo Legalidad y si se detecta la vulnerabilidad, el servidor de reparaciones realiza la reparacin mediante la implementacin de los archivos de revisin necesarios, la eliminacin del spyware detectado, etc. Tras la reparacin, el dispositivo de nuevo solicita una direccin IP al servidor DHCP de LANDesk. Si el dispositivo tiene un estado apropiado en funcin de las reglas de legalidad, el servidor DHCP de LANDesk enva el dispositivo al servidor DHCP empresarial principal para que se le asigne una direccin IP de red vlida. Importante: El conocimiento tcnico y la pericia requeridos para la configuracin del NAC de LANDesk Observe que el NAC de LANDesk requiere una configuracin de hardware y software adicional ms all de la instalacin bsica del servidor central de LANDesk. Debido a la naturaleza tcnica de esta configuracin adicional, esta gua supone que usted est familiarizado con la configuracin y operacin del control de acceso de red de Cisco (NAC) y de Cisco Secure Access Control Server (ACS), al igual que con la administracin de los servidores DHCP, los protocolos DHCP y los principios y la administracin del diseo de infraestructuras de red avanzadas. Lea este captulo para obtener informacin sobre:
Configuracin de un servidor DHCP de LANDesk

"Requisitos previos del servidor DHCP de LANDesk" en la pgina 115 "Determinacin de la ubicacin del servidor en la red" en la pgina 116 "Instalacin del software del servidor DHCP de LANDesk" en la pgina 116 "Copia de los archivos de certificado de LANDesk en el servidor DHCP de LANDesk" en la pgina 116 "Configuracin del servidor DHCP de LANDesk con la herramienta Administrador DHCP de LANDesk" en la pgina 118 "Configuracin del servidor DHCP" en la pgina 118 "Creacin y administracin de mbitos" en la pgina 298 "Configuracin (adicin) de servidores DHCP de LANDesk en la consola" en la pgina 122 "Configuracin de las propiedades del servidor de reparaciones" en la pgina 122
114
"Uso de filtros de sistema operativo" en la pgina 124 "Adicin de dispositivos a la lista de exclusin de postura" en la pgina 126 "Configuracin del vigilante de DHCP de LANDesk" en la pgina 127 "Reinicio del servidor DHCP de LANDesk" en la pgina 128
Requisitos previos del servidor DHCP de LANDesk

Compruebe que su configuracin del enrutador y de red cumplan con las siguientes condiciones para que la solucin de DHCP de LANDesk funcione correctamente:
Requisitos de configuracin del enrutador y de red

El servidor central de LANDesk no debe ser visible para la red de cuarentena El enrutador se debe ubicar entre el servidor DHCP de LANDesk y los dispositivos de conexin El enrutador debe tener activado el reenvo de DHCP Agregue una subred VLAN a la interfaz de cliente en el enrutador Cambie el asistente de la direccin IP (agente de envo) en la interfaz del cliente para que apunte al servido DHCP de LANDesk en lugar del servidor DHCP primario Agregue reglas ACL en el enrutador para restringir el trfico de VLAN a fin de que los dispositivos solamente puedan llegar al servidor de reparaciones y a los representantes de subred. Por ejemplo, una lista de control de acceso puede incluir lo siguiente: access-list 101 permit ip 10.1.1.0 0.0.0.255 any access-list 101 permit ip any host 192.168.1.10 access-list 101 permit udp any eq bootpc any eq bootps (Donde 10.1.1.0 es la puerta de enlace de la subred principal y 192.168.1.10 es el DHCO o servidor de remedio de LANDesk). Tambin debe comprobar que el equipo servidor que desee configurar como servidor DHCP de LANDesk cumpla con los siguientes requisitos:
Consideraciones especiales y requisitos del servidor DHCP de LANDesk

Debe ser Windows 2000 o superior, con .NET Framework 1.1 Debe estar en el lado opuesto del enrutador a partir de los dispositivos de conexin Debe tener una direccin IP esttica (configurada mediante la configuracin de red Windows) No debe ser un servidor DHCP actual No debe ser un equipo representante PXE No se pueden instalar en el servidor
115
MANUAL DE USUARIO

Como se mencion con anterioridad, el servidor DHCP de LANDesk debe estar en el lado opuesto del enrutador a partir de los dispositivos de conexin y en el mismo lado que el enrutador como el servidor DHCP principal. Puede ver los diagramas que muestran la ubicacin del componente y el flujo de trabajo del proceso para cada solucin de LANDesk en sus secciones de introduccin respectivas. Consulte,"Uso de la solucin LANDesk DHCP" en la pgina 91, y"Uso de la solucin Cisco NAC" en la pgina 129.
Instalacin del software del servidor DHCP de LANDesk

Para instalar y configurar un servidor DHCP de LANDesk 1. 2. 3. 4. 5. 6. 7. Desde el equipo que desea configurar como el servidor DHCP de LANDesk, asigne una unidad en la carpeta del servidor central LDMain\Install\TrustedAccess\LDDHCP. Ejecute el programa de instalacin LDDHCP.EXE. Seleccione la versin del idioma que desea instalar y haga clic en Aceptar. En la pantalla de bienvenida, haga clic en Siguiente. Acepte el contrato de licencia y haga clic en Siguiente. Copie los archivos necesarios y haga clic en Instalar. Al completar el proceso de copia de archivos, haga clic en Finalizar.
El servidor DHCP de LANDesk an no est en ejecucin. Para ello, haga lo siguiente: Copie los archivos de certificado Configure el servidor DHCP de LANDesk con la herramienta Administrador DHCP de LANDesk Inicie el servicio DHCP
Copia de los archivos de certificado de LANDesk en el servidor DHCP de LANDesk

A fin de que el servidor DHCP de LANDesk se pueda comunicar con los dispositivos administrados, debe copiar los archivos de certificado de LANDesk en el equipo servidor de DHCP de LANDesk. Para copiar los archivos de certificado de LANDesk 1. Desde el equipo servidor DHCP de LANDesk, asigne una unidad de red para acceder el recurso compartido de administracin del servidor central. Utilice la siguiente sintaxis de comando: \\nombredelequipo\c$ (Nota: Necesita las credenciales equivalentes a administrador para el acceso a este recurso compartido en el servidor central).
116
2.
Copie los archivos *.CRT y *.KEY de la carpeta C:\Archivos de programa\LANDesk\Shared Files\keys del servidor central a la misma carpeta del servidor DHCP de LANDesk (el programa de instalacin crea esta carpeta automticamente).
117
MANUAL DE USUARIO
Configuracin del servidor DHCP de LANDesk con la herramienta Administrador DHCP de LANDesk
Ha instalado de forma satisfactoria el servidor DHCP de LANDesk. No obstante, el servicio DHCP de LANDesk an NO est en ejecucin. El siguiente paso para la configuracin del servidor DHCP de LANDesk y el inicio del servicio es la ejecucin de la herramienta Administrador DHCP de LANDesk, la cual se ha instalado en el equipo mediante el programa de instalacin para poder configurar las opciones del servidor DHCP, configurar las opciones del servidor de validacin postura y agregar dispositivos a la lista de exclusin de postura. Nota importante sobre la apertura de puertos del servidor de seguridad Antes de continuar con la configuracin del servidor DHCP de LANDesk, debe desactivar el servidor de seguridad de Windows, si est activado. Si desea dejar activado el servidor de seguridad de Windows, debe asegurarse de que los puertos UDP siguientes estn completamente abiertos: 67, 68, 12576 y 12577. El nombre de la herramienta de configuracin de servidor DHCP de LANDesk es el Administrador DHCP de LANDesk. Esta herramienta puede iniciarse desde el men de inicio (Inicio | Programas | LANDesk | Servidor DHCP de LANDesk | Configuracin LDDHCP) o al hacer doble clic en el icono Configuracin LDDHCP que debera aparecer en el escritorio del servidor. El Administrador DHCP de LANDesk le permite: Configurar los ajustes del servidor DHCP de LANDesk Crear y administrar entornos (nombre, tiempo de alquiler, intervalo de direccin, direccin de envo y opciones de mbito) Configurar (agregar) servidores DHCP de LANDesk en la consola Configurar las propiedades del servidor de reparaciones Ver y modificar las opciones de filtro de sistema operativo y crear nuevos filtros Agregar dispositivos a la lista de exclusin de postura Ver el estado de los dispositivos en los que se ha validado la postura Ver el registro del servidor DHCP de LANDesk Configurar el vigilante DHCP de LANDesk Detener y reiniciar el servicio DHCP de LANDesk
Configuracin del servidor DHCP

Para configurar los ajustes del servidor DHCP de LANDesk 1. En el servidor DHCP de LANDesk que instal, haga clic en el icono de programa de configuracin DHCP de LANDesk que se encuentra en el escritorio. (O bien, haga clic en Inicio | Programas | LANDesk | Servidor DHCP de LANDesk | Configuracin de LDDHCP)
118
2.
3. 4. 5.
6.
Haga clic con el botn derecho del ratn en el objeto Servidor DHCP de LANDesk y luego haga clic en Propiedades. El cuadro de dilogo muestra las Opciones de configuracin de DHCP de LANDesk. Escriba la direccin IP del servidor DCHP de LANDesk. Este campo se dirige de forma automtica a la direccin IP del NIC principal del servidor. Escriba la direccin IP del servidor DCHP principal de la red. Especifique la frecuencia (en minutos) para la copia de seguridad de los grupos de direcciones. Esta configuracin controla la frecuencia con que se guardan las direcciones IP del servidor DHCP de LANDesk. Esta informacin se guarda en el archivo XML del servidor DHCP. Haga clic en Aceptar para guardar la configuracin y salir del cuadro de dilogo Configuracin de DHCP de LANDesk.
Cuadro de dilogo Configuracin de DHCP de LANDesk

Utilice este cuadro de dilogo para configurar las opciones de configuracin bsicas de DHCP de LANDesk: Servidor DCHP de LANDesk: Identifica la direccin IP del servidor DCHP de LANDesk que se encuentra configurado. Este campo se dirige de forma automtica a la direccin IP del NIC principal del servidor. Servidor DHCP principal: Identifica la direccin IP del servidor DCHP empresarial principal de la red. El servidor DHCP de LANDesk se comunica con el servidor DHCP principal para poder asignar una direccin IP permanente para los dispositivos de conexin apropiados durante el proceso de validacin de postura. Frecuencia de respaldo del grupo de direcciones (en minutos):Especifica la frecuencia con que se guardan las direcciones IP del servidor DHCP de LANDesk. Esta informacin se guarda en el archivo XML del servidor DHCP.
Creacin y administracin de mbitos

Para que el servidor DHCP de LANDesk alquile de forma temporal (o ponga en cuarentena) las direcciones IP para los dispositivos de conexin, primero debe crear y activar los mbitos. Un mbito es un intervalo de direcciones IP posibles para una red o subred.
Instrucciones para la creacin de mbitos en el servidor DHCP de LANDesk

Debe crear un mbito para cada subred (enrutador) de la red. Importante: DHCP de LANDesk admite solamente un mbito por subred Cada mbito debe configurarse con dos puertas de enlace: una para la subred principal y una para la subred de cuarentena Dos enrutadores no pueden tener el mismo intervalo de IP de subred de cuarentena Despus de crear un mbito, debe configurar las opciones de mbito (Importante: las opciones 001 y 003 son obligatorias) Recomendamos que no cambie el nombre de los mbitos despus de crearlos con la herramienta de administracin de DHCP de LANDesk.
119
MANUAL DE USUARIO
Para crear y configurar mbitos 1. En la herramienta Administrador DHCP de LANDesk, haga clic en el objeto Servidor DHCP de LANDesk y en Nuevo mbito. Se muestra el cuadro de dilogo de Propiedades de mbito. O bien, para editar un mbito existente, haga clic con el botn derecho en el objeto del mbito en el rbol del servidor DHCP de LANDesk y en Propiedades. En la ficha Nombre, ingrese un nombre y una descripcin para este mbito. Cada mbito debe tener un nombre nico. En la ficha Tiempo de alquiler, ingrese una duracin para las direcciones IP asignadas para los dispositivos de conexin del servidor de postura de LANDesk. La duracin debe ser equivalente a la cantidad de tiempo que el dispositivo se encuentra conectado a la red. En la ficha Intervalo de direccin ingrese un intervalo para las direcciones IP (direcciones IP de inicio y finalizacin) que este mbito pueda distribuir a los dispositivos conectados. Compruebe que el intervalo que especifica proporcione direcciones IP suficientes para los dispositivos de la red. (Nota: No puede ingresar direcciones IP que son parte de la misma subred que la del intervalo del servidor DHCP principal). En la ficha Intervalo de direccin tambin ingrese la mscara de subred. Puede escribir una direccin IP o una extensin. La mscara de subred determina la cantidad de bits de una direccin IP que se pueden utilizar para los Id. de red o subred y la cantidad de direcciones IP que se utilizarn para la direccin IP del servidor. Haga clic en Finalizar.
2. 3.
4.
5.
6.
Ahora puede configurar las opciones del mbito. Para configurar opciones de mbito 1. 2. 3. Haga clic sobre el botn derecho en el objeto de Opciones de mbito en el mbito que desee configurar y luego en Propiedades. Debe configurar al menos una de las siguientes opciones de mbito para que el mbito funcione de forma correcta: Opcin 003 (puerta de enlace del enrutador) Para configurar una opcin, seleccinela de la lista de Opciones disponibles, complete los campos requeridos en la seccin Ingreso de datos a continuacin, seleccione la casilla de verificacin para habilitarla y haga clic en Aceptar.
Cuadro de dilogo Propiedades de mbito

Utilice este cuadro de dilogo para crear, configurar y modificar mbitos en el servidor DHCP de LANDesk. El cuadro de dilogo Propiedades de mbito contiene las siguientes fichas:
Ficha Nombre
Nombre: Identifica el mbito (intervalo de direcciones IP para el alquiler) en el servidor DHCP con un nombre nico descriptivo. Descripcin: Ayuda a recordar el fin de este mbito.
120
Ficha Tiempo de alquiler

Tiempo de alquiler limitado a: Especifica la duracin de las direcciones IP asignadas a los dispositivos de conexin del servidor DHCP de LANDesk. La duracin debe ser equivalente a la cantidad de tiempo que el dispositivo se encuentra conectado a la red.
Ficha Intervalo de direcciones

Direccin IP inicial: Identifica la duracin para las primeras direcciones IP posibles asignadas en el intervalo de direcciones del mbito. Direccin IP final: Identifica la duracin para las ltimas direcciones IP posibles asignadas en el intervalo de direcciones del mbito. Compruebe que el intervalo que especifica proporcione direcciones IP suficientes para los dispositivos de su red. Mscara de subred: Identifica la subred a la que pertenece la direccin IP.
Cuadro de dilogo Subred (propiedades del grupo de direcciones)

Utilice este dilogo para modificar el intervalo o grupo de direcciones IP. Para el acceso a este dilogo, haga clic con el botn secundario en el objeto Grupo de direcciones en el mbito que desee modificar y haga clic en Propiedades. Direccin IP inicial: Identifica la duracin para las primeras direcciones IP posibles asignadas en el intervalo de direcciones del mbito. Direccin IP final: Identifica la duracin para las ltimas direcciones IP posibles asignadas en el intervalo de direcciones del mbito. Compruebe que el intervalo que especifica proporcione direcciones IP suficientes para los dispositivos de su red. Mscara de subred: Identifica la subred a la que pertenece la direccin IP.
Cuadro de dilogo Intervalo de exclusin

Utilice este cuadro de dilogo para configurar el intervalo de exclusin. Un intervalo de exclusin es un grupo de direcciones IP que el servidor DHCP no alquilar a los dispositivos. Al crear un mbito, debe determinar si algn dispositivo de la red, como los servidores DNS, necesitar utilizar direcciones IP estticas. Si tiene dispositivos que necesitan una direccin IP esttica, cree un intervalo de exclusin para que pueda asignarle a todos los dispositivos configurados de forma esttica una direccin IP del intervalo de exclusin. Para crear una sola direccin IP para excluir del grupo de alquiler del mbito, ingrese una direccin IP de inicio y deje el campo de direccin IP de finalizacin en blanco. Direccin IP inicial: Identifica la duracin para las primeras direcciones IP posibles asignadas en el intervalo de exclusiones. Direccin IP final: Identifica la duracin para las ltimas direcciones IP posibles asignadas en el intervalo de exclusiones.
121
MANUAL DE USUARIO
Cuadro de dilogo Configurar opciones de mbito

Utilice este cuadro de dilogo para configurar las diferentes opciones del mbito. Active el mbito hasta que especifique las opciones que desee. Las opciones de mbito se heredan como predeterminadas para todos los dispositivos en el mbito aplicable. Opciones disponibles: Enumera las opciones del mbito que puede configurar. Seleccione la opcin que desea configurar para que muestre los campos de informacin a continuacin. Descripcin: Indica la funcin de la opcin de mbito seleccionada. Entrada de datos: Especifica la informacin que debe completarse al configurar una opcin de mbito. Esta rea se muestra cuando selecciona una opcin de la lista de opciones de mbitos disponibles que se encuentra ms arriba. Complete los campos y haga clic en Aceptar.
Configuracin (adicin) de servidores DHCP de LANDesk en la consola

Tras configurar el servidor DHCP de LANDesk, debe agregarlo a la lista de servidores DHCP de LANDesk vlidos en el cuadro de dilogo Configurar NAC de LANDesk de la consola. Esto permite que el servidor central se comunique con el servidor DHCP de LANDesk (es decir, que publique reglas de cumplimiento). Para agregar servidores DHCP de LANDesk en la consola 1. En la ventana de la herramienta Administrador de Seguridad y Revisiones, haga clic con el botn secundario en el botn Control de acceso de red y luego haga clic en Configurar NAC de LANDesk. Para agregar servidores de validacin de postura a la red, escriba la direccin IP de un servidor de validacin de postura en el campo proporcionado y haga clic en Agregar. Haga clic en Aceptar.
2. 3.
Ahora puede publicar el contenido del NAC de LANDesk en los servidores (siempre que tambin haya configurado un servidor de reparacin y las credenciales de usuario).
Configuracin de las propiedades del servidor de reparaciones

Una vez que se hayan configurado las opciones bsicas del servidor DHCP de LANDesk, puede configurar las propiedades del servidor de reparaciones y crear mbitos con la herramienta Administrador DHCP de LANDesk. Para configurar las propiedades del servidor de reparaciones 1. En la herramienta Administrador DHCP de LANDesk, haga clic con el botn secundario en el objeto Servidor de reparaciones y haga clic en Propiedades. Se muestra el cuadro de dilogo de Propiedades del servidor de reparaciones. Introduzca la direccin IP del servidor de reparaciones. (Nota: debe tener al menos un servidor de reparaciones por cada servidor DHCP de LANDesk).
2.
122
3.
Ingrese la URL de la pgina de estado apropiado. El nombre de este archivo de HTML es: Healthy.html. Esta pgina informa al usuario final de un dispositivo de conexin que el dispositivo est siendo rastreado, que pas el criterio de cumplimiento de seguridad, que se considera apropiado y que tendr acceso total a la red de la empresa. Nota: En todas las pginas HTML, escriba la ruta completa al archivo HTML, incluso el identificador de protocolo http://. Las pginas HTML ya deben haberse publicado desde el servidor central al servidor de reparaciones, por lo que la ruta completa tpica sera: http://remediation_server_name/LDLogon/Healthy.html.
4.
5.
6.
7.
Ingrese la URL de la pgina de estado de primera visita. El nombre de este archivo de HTML es: Visitor.html. Esta pgina informa a un visitante de la red empresarial que se ha implementado la seguridad de cumplimiento o del NAC de LANDesk en la red, y que puede elegir entre navegar por Internet (slo acceso a Internet) o que se rastree su equipo en busca de vulnerabilidades u otros riesgos de seguridad, y que de ser necesario se realice la reparacin, antes de permitirle el acceso a la red empresarial. La pgina HTML provee vnculos que permiten que el usuario reciba solamente acceso a Internet o que se le permita descargar e instalar el software necesario para el rastreo de cumplimiento y la reparacin, de modo que el dispositivo pueda tener acceso completo a la red. Ingrese la URL a la pgina de estado no apropiado para empleados. El nombre de este archivo de HTML es: FailedEmployee.html Esta pgina informa al usuario final de un dispositivo de conexin que el dispositivo est siendo rastreado, que no satisface una o ms credenciales de seguridad de cumplimiento, que no se considera apropiado y que no tendr acceso total a la red de la empresa. El administrador de red debe personalizar esta pgina HTML para que muestre las vulnerabilidades u otras exposiciones de seguridad que se detectaron en el dispositivo y debe proporcionar instrucciones especficas para su reparacin. Una vez que se haya reparado el dispositivo, el usuario final debe volver a iniciar una sesin en la red a fin de obtener acceso. Ingrese la URL a la pgina de estado no apropiado para visitantes. El nombre de este archivo de HTML es: FailedVisitor.html. Esta pgina informa a un visitante de la red empresarial que su dispositivo est siendo rastreado, que no satisface una o ms credenciales de seguridad de cumplimiento, y que se le ha negado el acceso a la red. Al igual que con la pgina de estado no apropiado de empleado, el administrador de red puede personalizar esta pgina HTML para que muestre las vulnerabilidades u otras exposiciones de seguridad que se detectaron en el dispositivo y proporcionar instrucciones especficas para su reparacin. Una vez que se haya reparado el dispositivo, el visitante debe hacer clic en el icono Rastreo de seguridad para el acceso a la red que ahora aparece en el escritorio. Haga clic en Aceptar para guardar la configuracin y salir del cuadro de dilogo Servidor de validacin de postura.
Las pginas de HTML son plantillas que se pueden editar y personalizar para satisfacer sus necesidades y requisitos especficos de seguridad del NAC de LANDesk.
123
MANUAL DE USUARIO
Cuadro de dilogo Propiedades del servidor de reparaciones

Utilice este cuadro de dilogo para configurar el servidor de reparaciones a fin de que se pueda comunicar con el servidor DHCP de LANDesk, y para que el servidor DHCP de LANDesk conozca dnde se almacenan las pginas HTML en el recurso Web compartido para que puedan enviarse a los dispositivos conectados. Direccin IP: Identifica la direccin IP del servidor de reparaciones. (Nota: debe tener al menos un servidor de reparaciones por cada servidor DHCP de LANDesk). URL de estado apropiado: Especifica la ruta completa de la pgina HTML de estado apropiado. Esta pgina informa al usuario final de un dispositivo de conexin que el dispositivo est siendo rastreado, que satisface el criterio de seguridad de cumplimiento, que se considera apropiado y que tendr acceso total a la red de la empresa. URL de primera visita: Esta pgina informa a un visitante de la red empresarial que se ha implementado la seguridad de cumplimiento o del NAC de LANDesk en la red, y que puede elegir entre navegar por Internet (slo acceso a Internet) o que se rastree su equipo en busca de vulnerabilidades u otros riesgos de seguridad, y que de ser necesario se realice la reparacin, antes de permitirle el acceso a la red empresarial. La pgina HTML provee vnculos que permiten que el usuario reciba solamente acceso a Internet o que se le permita descargar e instalar el software necesario para el rastreo de cumplimiento y la reparacin, de modo que el dispositivo pueda tener acceso completo a la red. URL de conexin fallida de empleado: Esta pgina informa al usuario final de un dispositivo de conexin que el dispositivo est siendo rastreado, que no satisface una o ms credenciales de seguridad de cumplimiento, que no se considera apropiado y que no tendr acceso total a la red de la empresa. El administrador de red debe personalizar esta pgina HTML para que muestre las vulnerabilidades u otras exposiciones de seguridad que se detectaron en el dispositivo y debe proporcionar instrucciones especficas para su reparacin. Una vez que se haya reparado el dispositivo, el usuario final debe volver a iniciar una sesin en la red a fin de obtener acceso. URL de conexin fallida de visitante: Esta pgina informa a un visitante de la red empresarial que su dispositivo est siendo rastreado, que no satisface una o ms credenciales de seguridad de cumplimiento, y que se le ha negado el acceso a la red. Al igual que con la pgina de estado no apropiado de empleado, el administrador de red puede personalizar esta pgina HTML para que muestre las vulnerabilidades u otras exposiciones de seguridad que se detectaron en el dispositivo y proporcionar instrucciones especficas para su reparacin. Una vez que se haya reparado el dispositivo, el visitante debe hacer clic en el icono Rastreo de seguridad para el acceso a la red que ahora aparece en el escritorio.
Uso de filtros de sistema operativo

Los filtros de sistema operativo proporcionan una forma para que controle con facilidad si se permite o deniega automticamente el acceso a la red a un dispositivo, o si primero debe rastrearse a fin de determinar que satisface el criterio de seguridad de cumplimiento. Puede configurar esta opcin a nivel de plataforma a fin de simplificar la seguridad del NAC de LANDesk en la red.
124
El servidor DHCP de LANDesk incluye varios filtros de sistema operativo predefinidos para diversas plataformas compatibles. No se pueden eliminar los filtros predefinidos. No obstante, puede configurar de forma individual la funcionalidad de control del NAC de LANDesk de cada filtro. Para ver y modificar las opciones de los filtros de sistema operativo predefinidos 1. En la herramienta Administrador DHCP de LANDesk, haga clic en el objeto Opciones de filtro de sistema operativo. Se muestra una lista de filtros de sistema operativo predefinidos. Cada uno de los filtros de sistema operativo tiene una opcin predeterminada de tipo de acceso que determina si la plataforma se rastrea, se deniega o se permite en la red. Para modificar el control de acceso de un filtro, haga clic en la lista desplegable Tipo de acceso del filtro y seleccione una de las opciones. Las opciones son: Permitir (siempre concede acceso a la red de forma automtica y asigna una direccin IP empresarial), Denegar (siempre deniega el acceso a la red de forma automtica y asigna una direccin IP de cuarentena) y Rastrear (siempre ejecuta un rastreo de seguridad de cumplimiento y verifica las vulnerabilidades y otros riesgos de seguridad a fin de determinar la postura o estado del dispositivo y presenta la pgina HTML apropiada al dispositivo que intenta la conexin). Puede cambiar estas opciones en cualquier momento.
2.
Nota: Si define un filtro de sistema operativo en Rastrear y LANDesk no incluye agentes de dispositivo para ese sistema operativo (por ejemplo, Windows 95), se bloquea el acceso de dichos dispositivos a la red. De ser necesario, tambin puede crear sus propios filtros de sistema operativo. Para agregar nuevos filtros de sistema operativo 1. 2. 3. En la herramienta Administrador DHCP de LANDesk, haga clic con el botn secundario en el objeto Opciones de filtro de sistema operativo y haga clic en Agregar. Escriba un nombre nico para el filtro de sistema operativo que desee agregar. Escriba el cdigo hexadecimal del sistema operativo. Para obtener el cdigo hexadecimal de una plataforma, ejecute una utilidad husmeadora de paquetes en un equipo con el sistema operativo y lea el identificador hexadecimal. Haga clic en Aceptar para crear el filtro. Para especificar el control de acceso de un filtro, haga clic en la lista desplegable Tipo de acceso del filtro y seleccione una de las opciones.
4. 5.
Cuadro de dilogo Agregar filtro de sistema operativo

Utilice este cuadro de dilogo para crear filtros de acceso de red para los distintos sistemas operativos que no se incluyen en la lista de filtros de sistema operativo predefinidos. Nombre: identifica el nombre del sistema operativo para el cual desea crear un filtro de acceso. Identificador hexadecimal: Identifica el cdigo hexadecimal del sistema operativo. Para obtener el cdigo hexadecimal, ejecute una utilidad husmeadora de paquetes en un equipo con el sistema operativo que desea filtrar.
125
MANUAL DE USUARIO
Adicin de dispositivos a la lista de exclusin de postura

Para agregar dispositivos a la lista de exclusin de postura 1. 2. Haga clic con el botn derecho en el objeto Exclusiones MAC y luego haga clic en Propiedades. Ingrese la direccin MAC (equipo) del dispositivo que desee que omita todo el proceso de validacin de postura y luego haga clic en Agregar.
Puede ingresar tantas direcciones de dispositivo MAC como desee.
Cuadro de dilogo Exclusiones de direccin MAC

Utilice este cuadro de dilogo para agregar los dispositivos que desee omitir en el proceso de validacin de postura. Direccin MAC: Indica las direcciones de equipos del dispositivo que desee omitir del proceso de validacin de postura. Agregar: Agrega el dispositivo a la lista. Quitar: Elimina el dispositivo seleccionado de la lista.
Importacin y exportacin de exclusiones de direcciones MAC

Para importar exclusiones de direcciones, haga clic con el botn secundario en el objeto Exclusiones MAC, haga clic en Importar y navegue hasta seleccionar el archivo CSV que contiene las direcciones MAC de los dispositivos que desee omitir en el proceso de validacin de postura. Para exportar las exclusiones de direccin en la lista, haga clic con el botn secundario en el objeto Exclusiones MAC, haga clic en Exportar y luego guarde el archivo CSV.
Visualizacin del estado de los dispositivos en los que se ha validado la postura

Puede ver rpidamente el estado de todos los dispositivos rastreados para determinar los dispositivos que tienen un estado apropiado y no apropiado en funcin de la poltica de seguridad de cumplimiento. A fin de ver una lista completa de los dispositivos rastreados y sus estados, haga clic en el objeto Estado de cliente en la vista de rbol del servidor DHCP de LANDesk.
126
Visualizacin del registro del servidor DHCP de LANDesk

Para ver el archivo de registro del servidor DHCP de LANDesk en la ventana de la herramienta Administrador de DHCP de LANDesk, haga clic en el objeto Registro del servidor DHCP de LANDesk en la vista de rbol.
Configuracin del vigilante de DHCP de LANDesk

El vigilante de DHCP de LANDesk es la utilidad que realiza verificaciones con regularidad a fin de cerciorarse de que el servicio DHCP de LANDesk se est ejecutando en el servidor mediante el envo de un paquete de prueba, y puede utilizarse para notificarle en caso de que el servicio deja de ejecutarse y no puede volver a iniciarse. Para configurar el vigilante de DHCP de LANDesk 1. 2. 3. En la herramienta Administrador DHCP de LANDesk, haga clic en el objeto Vigilante LDDHCP. La configuracin actual se muestra en el marco derecho. Para modificar la configuracin, haga clic con el botn secundario Vigilante LDDHCP y haga clic en Propiedades. En la ficha Frecuencia, especifique la frecuencia con la que se verifica que el servicio DHCP se est ejecutando, el tiempo de espera de una respuesta del servicio DHCP, la cantidad de veces que se vuelve a enviar el paquete de prueba al servicio y el nmero de puerto al cual se enva el trfico de prueba. El puerto predeterminado del servidor DHCP de LANDesk es: 12579. Si desea recibir notificacin cuando el servicio DHCP se detiene y no puede volver a iniciarse, haga clic en la ficha Notificacin y marque la casilla Enviar notificacin por correo electrnico. Escriba las direcciones de correo electrnico donde se enviar el mensaje de notificacin y complete la informacin del servidor de correo SMTP. A fin de asegurarse de que la notificacin funcione debidamente, haga clic en Enviar mensaje de correo electrnico de prueba.
4.
5.
Cuadro de dilogo Configurar el vigilante de DHCP de LANDesk

Utilice este cuadro de dilogo para especificar la frecuencia con la cual el vigilante de DHCP de LANDesk verifica si el servicio DHCP se est ejecutando en el servidor y la informacin de notificacin en caso de que el servidor se detenga y no pueda volver a iniciarse. Este cuadro de dilogo incluye las dos fichas siguientes:
Ficha Frecuencia
Intervalo de verificacin (minutos): Especifica la frecuencia con la que el vigilante de DHCP de LANDesk verifica si el servicio DHCP se est ejecutando. Tiempo de espera de una respuesta (segundos): Especifica la cantidad de tiempo que el vigilante de DHCP de LANDesk espera la respuesta al paquete de prueba del servicio DHCP.
127
MANUAL DE USUARIO
Cantidad de reintentos: Especifica la cantidad de veces que se enva el paquete de prueba antes de enviar la notificacin. Con cada uno de los intentos en los que no recibe respuesta, el vigilante de DHCP de LANDesk trata de reiniciar el servicio DHCP. Si tambin falla el ltimo reintento, el servidor DHCP de LANDesk se cambia al modo de paso, en el cual se pasan todas las solicitudes de DHCP al servidor DHCP empresarial principal. Puerto de trfico de prueba: Identifica el puerto al cual el vigilante de DHCP de LANDesk enva los paquetes de prueba. El nmero de puerto predeterminado es: 12579.
Ficha Notificacin
Enviar notificacin por correo electrnico: indica si est activada la notificacin por correo electrnico. Direccin de correo electrnico que notificar: Especifica la direccin (o direcciones) de correo electrnico donde se enva la notificacin. Si se especifican varias direcciones, debe separarlas con el carcter de punto y coma. Servidor SMTP: Identifica el servidor de correo SMTP al cual se enva la notificacin. Puerto SMTP: Identifica el puerto SMTP de los mensajes de correo. Autenticacin requerida para el servidor SMTP: Indica si se requiere la autenticacin para enviar un mensaje al servidor SMTP especificado. Nombre de usuario de SMTP: Identifica a un usuario vlido del servidor SMTP. Contrasea de SMTP: identifica la contrasea del usuario. Confirme la contrasea de SMTP: Verifica la contrasea del usuario. Enviar mensaje de correo electrnico de prueba: Intenta enviar una notificacin a las direcciones de correo electrnico especificadas. Utilice esta funcin para cerciorarse de que la notificacin funciona debidamente.
Reinicio del servidor DHCP de LANDesk

En cualquier momento que cambie la configuracin del servidor DHCP de LANDesk, o la configuracin de mbito, debe reiniciar el servidor DHCP de LANDesk para que los cambios tengan efecto. Puede reiniciar el servidor DHCP de LANDesk desde el men Archivo o al hacer clic con el botn secundario en el objeto de servidor DHCP de LANDesk y en Reiniciar.
128
Uso de la solucin Cisco NAC

Este captulo describe cmo planear, instalar, configurar y activar la implementacin Cisco NAC del control del acceso de red de LANDesk. Con la solucin Cisco NAC, puede aprovechar el hardware, el software, los agentes, los protocolos y los procesos de evaluacin de postura que podran ser parte de la infraestructura de red. Si desea informacin detallada sobre el enrutador, los servidores y las tecnologas NAC de Cisco, consulte la documentacin oficial de Cisco. Suposiciones y liberacin de responsabilidades de la audiencia *La audiencia deseada para la configuracin de Cisco NAC consiste de ingenieros en sistemas y administradores de red responsables de la implementacin de Cisco NAC. Este documento supone que se conocen los sistemas operativos de Microsoft Windows y los equipos clientes, as como la configuracin y operacin de Cisco Secure ACS. Tambin supone que sabe cmo configurar los dispositivos de Cisco IOS y est familiarizado con las autoridades de los certificados y los modelos de confianza de los certificados digitales. " La nota anterior se extrajo del documento oficial de Cisco titulado "Implementacin de la distribucin y configuracin de la primera fase del control de admisiones de red". Adems de los componentes Cisco especficos, tambin debe configurar un servidor de validacin de postura y un servidor de reparaciones a fin de implementar el Control del acceso de red (NAC) de LANDesk. Lea este captulo para obtener informacin sobre:
Configuracin de una implementacin de Cisco NAC del Control del acceso de red de LANDesk
"Lista de tareas de inicio rpido para la configuracin de una implementacin de Cisco NAC" en la pgina 130 "Componentes y flujo de trabajo de proceso de Cisco NAC" en la pgina 131 "Consideraciones de la topologa de red y de diseo para la implementacin de Cisco NAC" en la pgina 137 "Configuracin de un enrutador Cisco" en la pgina 137 "Configuracin de un Cisco Secure Access Control Server (ACS)" en la pgina 138 "Instalacin del agente de confianza de Cisco en dispositivos para la activacin del rastreo de legalidad" en la pgina 138 "Instalacin y configuracin de un servidor de validacin de postura" en la pgina 139 "Configuracin de una conexin entre el servidor de validacin de postura y el servidor Cisco Secure ACS" en la pgina 139 "Instalacin y configuracin de un servidor de reparaciones" en la pgina 140
129
MANUAL DE USUARIO
Qu debe hacer para tras configurar una implementacin de Cisco NAC

Lista de tareas de inicio rpido para la configuracin de una implementacin de Cisco NAC
Utilice esta lista de verificacin de tareas para llevar un seguimiento de los pasos necesarios para configurar la solucin Cisco NAC: "Lista de tareas de inicio rpido para la configuracin de una implementacin de Cisco NAC" en la pgina 141.
130
Componentes y flujo de trabajo de proceso de Cisco NAC

Esta seccin describe los componentes que componen la solucin de Cisco NAC. Adems, esta seccin describe lo que sucede cuando un dispositivo intenta el acceso o la conexin a la red empresarial cuando se activa el NAC de LANDesk. Los casos con o sin un agente de confianza de Cisco (CTA) instalado en el dispositivo se cubren en los diagramas y flujos de trabajo de procesos a continuacin. Los componentes siguientes son necesarios para el servicio de NAC de LANDesk basado en Cisco NAC.
Componentes requeridos
Componente Servidor central de LANDesk Descripcin Provee la herramienta Administrador de Seguridad y Revisiones, la cual se utiliza para: descargar contenido de seguridad (tales como las definiciones de vulnerabilidad de aplicaciones, las definiciones de spyware, las amenazas de la seguridad de la configuracin del sistema, las definiciones de configuracin de servidor de seguridad y de antivirus, etc.), definir criterios de cumplimiento, configurar servidores de validacin de postura y de reparaciones, y configurar y publicar configuraciones del NAC de LANDesk (incluso reglas de seguridad de cumplimiento o polticas y recursos de reparacin para el rastreo y la reparacin de dispositivos).
Servidor DHCP empresarial
Proporciona direcciones IP permanentes a los dispositivos.
Servidor de validacin de postura
Determina si el dispositivo conectado tiene una postura apropiada o no apropiada en funcin de dos factores: la poltica de seguridad de cumplimiento (el contenido del grupo Legalidad en la herramienta Administrador de Seguridad y Revisiones Y la cantidad de horas desde el ltimo rastreo con resultado apropiado, tal como se especifica en la opcin Definicin de correcto del cuadro de dilogo Configurar el NAC de LANDesk). El servidor de validacin de postura dedicado es el punto decisivo de las polticas en el proceso de validacin. Nota: Cisco NAC requiere un servidor de validacin de postura dedicado, lo cual no es requerido por el DHCP de LANDesk.
Servidor de reparaciones
Contiene los archivos de configuracin y compatibilidad necesarios (cliente de seguridad, definiciones de tipo de seguridad y revisiones requeridas, al igual que las pginas de plantilla HTML utilizados para rastrear dispositivos en
131
MANUAL DE USUARIO
Componente
Descripcin busca de las vulnerabilidades) identificados en la poltica de seguridad y para reparar cualquier vulnerabilidad detectada a fin de que el dispositivo se pueda rastrear y determinar que tiene un estado apropiado para permitirle el acceso a la red.
Enrutador Cisco Funciona en calidad de dispositivo de acceso a la red que impone la poltica de seguridad de legalidad. Se comunica tanto con el dispositivo conectado que intenta el acceso como con el Cisco Secure ACS para evaluar las credenciales de postura del dispositivo de punto extremo. En otras palabras, en el entorno Cisco NAC, el enrutador es el punto en el que se imponen las polticas en la red y donde se otorgan o se niegan los privilegios de acceso.
Cisco Secure ACS
Dispositivo de hardware especfico a Cisco que funciona como servidor de validacin de postura principal en un entorno Cisco NAC. El servidor contiene Listas de control de acceso (ACL) que definen las reglas de imposicin de postura. El Cisco Secure ACS se configura para delegar las decisiones de postura al servidor (o servidores) de validacin de postura que configure en la red.
Dispositivos
Son los dispositivos mviles o de usuario invitado, al igual que los dispositivos de usuario de red normales, que intentan el acceso a la red empresarial. Los dispositivos de punto extremo habituales incluyen los equipos de escritorio y los porttiles, pero tambin podran incluir dispositivos sin cliente, tales como las impresoras, etc. El NAC de LANDesk permite evaluar el estado apropiado de los dispositivos conectados y controlar su acceso a la red en funcin de sus credenciales de postura.
Los diagramas siguientes muestran una configuracin habitual de los componentes descritos, al igual que el proceso o flujo de trabajo de validacin de postura entre dichos componentes.
Componentes de Cisco NAC

El diagrama siguiente incluye los componentes especficos de Cisco NAC:
132
133
MANUAL DE USUARIO
Proceso de validacin de postura para un dispositivo sin CTA instalado

El diagrama siguiente ilustra el flujo de trabajo o de comunicacin entre los diversos componentes de un entorno Cisco NAC cuando el dispositivo que intenta el acceso a la red no tiene instalado el agente de confianza de Cisco. Los nmeros representan cada una de las etapas del proceso y se explican en la lista de pasos a continuacin.
Flujo de trabajo de proceso: 1. 2. Un dispositivo que NO est configurado con el agente de confianza de Cisco (CTA) hace un intento inicial de iniciar una sesin en la red empresarial a travs del enrutador Cisco. El enrutador enva la solicitud de acceso al dispositivo al Cisco Secure Access Control Server (ACS) que contiene las listas de control de acceso (ACL) definidas por el administrador y las cuales determinan los derechos de acceso de cada postura o estado. Debido a que el agente de confianza (CTA) no se ha instalado en el dispositivo, el servidor Cisco ACS no puede determinar su postura o estado y no enva la solicitud de acceso al dispositivo al servidor de validacin de postura. El servidor Cisco ACS rechaza automticamente el intento de acceso "sin cliente", y enva la ACL debida al enrutador.
3.
4.
134
5.
Segn la ACL (tal como la defini el administrador), normalmente un dispositivo en esta situacin se encuentra restringido a la VLAN de cuarentena y no tiene acceso a la red empresarial en este momento. El usuario puede elegir entre permanecer en la VLAN de cuarentena o seguir los pasos necesarios para demostrar el cumplimiento con la poltica de seguridad de la red y obtener acceso total a la misma. A fin de obtener acceso a la red, primero debe instalarse manualmente el CTA (a travs de una ruta UNC o URL) al programa de instalacin del CTA. A continuacin, el dispositivo debe acceder al servidor de reparaciones a fin de instalar el cliente de seguridad de LANDesk que realiza el rastreo de evaluacin y la reparacin de vulnerabilidades. Una vez que se repara el dispositivo, se repite el proceso de acceso a la red y el dispositivo con estado apropiado (que cumple con los requisitos y obtiene acceso a la red empresarial).
135
MANUAL DE USUARIO
Proceso de validacin de postura para un dispositivo con CTA instalado

El diagrama siguiente ilustra el flujo de trabajo o de comunicacin entre los diversos componentes de un entorno Cisco NAC cuando el dispositivo que intenta el acceso a la red tiene instalado el agente de confianza de Cisco. Los nmeros representan cada una de las etapas del proceso y se explican a continuacin.
Flujo de trabajo de proceso: 1. 2. Un dispositivo que est configurado con el agente de confianza de Cisco (CTA) hace un intento inicial de iniciar una sesin en la red empresarial a travs del enrutador Cisco. El enrutador enva la solicitud de acceso al dispositivo al Cisco Secure Access Control Server (ACS) que contiene las listas de control de acceso (ACL) definidas por el administrador y las cuales determinan los derechos de acceso de cada postura o estado. Debido a que el agente de confianza se ha instalado en el dispositivo (y se ha configurado una conexin entre el servidor de validacin de postura y el servidor Cisco ACS), el servidor Cisco ACS puede enviar la solicitud de acceso al dispositivo al servidor de validacin de postura.
3.
136
4.
5. 6. 7.
8.
9.
El servidor de validacin de postura determina el estado o la "postura" del dispositivo en funcin de la poltica de seguridad compuesta por reglas de cumplimiento o credenciales predefinidas por el administrador de LANDesk mediante la funcin Cumplimiento de la herramienta Administrador de Seguridad y Revisiones. Dichas reglas de cumplimiento se publican del servidor central al servidor de validacin de postura. Observe que el servidor de validacin de postura es el que funciona como punto de decisin en el proceso de control del acceso de red, lo cual significa que determina la postura o el estado del dispositivo que busca el acceso a la red. El servidor de validacin de postura enva una declaracin de postura (o testigo) del dispositivo particular al servidor Cisco ACS. El servidor Cisco ACS enva la ACL correspondiente (segn la declaracin de postura al enrutador). La declaracin de postura se enva al agente de confianza del dispositivo en el rea de cuarentena. Si se considera que el dispositivo tiene el estado apropiado (es decir que cumple con los requisitos), se le concede el acceso a la red empresarial. No obstante, si se considera que el dispositivo tiene un estado no apropiado (no cumple con los requisitos), permanecer en la VLAN de cuarentena. Un cuadro de mensaje informa al usuario cmo comunicarse con el servidor de reparaciones a fin de instalar el cliente de seguridad de LANDesk, el cual realiza el rastreo de evaluacin y la reparacin de vulnerabilidades. El usuario puede elegir entre permanecer en la VLAN de cuarentena o seguir los pasos necesarios para demostrar el cumplimiento con la poltica de seguridad de la red y obtener acceso total a la misma. El servidor de reparaciones realiza la reparacin mediante el rastreo de vulnerabilidades y de otros riesgos de seguridad (las reglas de cumplimiento mencionadas anteriormente) y la instalacin de cualquier revisin necesaria. Una vez que se repara el dispositivo, se repite el proceso de acceso a la red y el dispositivo con estado apropiado (que cumple con los requisitos y obtiene acceso a la red empresarial).
Consideraciones de la topologa de red y de diseo para la implementacin de Cisco NAC

Debe recordar los factores siguientes al disear una implementacin del Cisco NAC: El servidor central de LANDesk no debe ser visible para la red de cuarentena. El servidor de reparaciones y el servidor de validacin de postura (y Cisco ACS), se pueden instalar en el mismo equipo, pero si se presentan problemas de desempeo o de escalabilidad, se pueden trasladar a sus propios equipos de servidor. El enrutador debe admitir una subred principal y secundaria en el lado de cliente del enrutador. El enrutador debe configurarse con la subred real como la subred principal y la subred de cuarentena como la secundaria. La subred secundaria debe restringirse para que solamente pueda ver el servidor de reparaciones.
Configuracin de un enrutador Cisco

La solucin de Cisco NAC supone un enrutador Cisco en la red. Si todava no tiene un enrutador Cisco instalado en la red y desea utilizar la solucin Cisco NAC, LANDesk ofrece informacin de configuracin del enrutador en el sitio Web de asistencia.
137
MANUAL DE USUARIO
Para obtener informacin de configuracin del enrutador Cisco Puede ver las instrucciones de configuracin para que un enrutador Cisco se utilice en un entorno de Cisco NAC en el Sitio web de asistencia de LANDesk Software. Tambin recomendamos consultar la documentacin de su enrutador Cisco para obtener informacin ms detallada sobre su configuracin.
Configuracin de un Cisco Secure Access Control Server (ACS)

La solucin de Cisco NAC tambin supone un Cisco Secure Access Control Server (ACS) en la red. Cisco ACS es donde define las credenciales de postura y configura las base de datos externas (como un servidor de validacin de postura) para comunicarse y resolver el estado de postura del dispositivo durante el proceso de validacin de postura. Si todava no tiene un enrutador Cisco Secure ACS instalado en la red y desea utilizar la solucin Cisco NAC, LANDesk ofrece informacin de configuracin del enrutador Cisco Secure ACS en el sitio Web de asistencia. Para obtener informacin de configuracin del enrutador Cisco Secure Access Control Server (ACS) Puede ver las instrucciones de configuracin para que un enrutador Cisco Secure ACS se utilice en un entorno Cisco NAC en el Sitio web de asistencia de LANDesk Software. Tambin recomendamos consultar la documentacin de su enrutador Cisco para obtener informacin ms detallada sobre su configuracin.
Instalacin del agente de confianza de Cisco en dispositivos para la activacin del rastreo de legalidad
A fin de comunicarse con el servidor Cisco Secure ACS y evaluar su postura, el dispositivo debe tener instalado el agente de confianza de Cisco (CTA).
Instalacin manual de Cisco Trust Agent (CTA)

En Cisco NAC, el agente de confianza (CTA) debe instalarse de forma manual en ambos dispositivos administrados y no administrados, a partir del servidor central y mediante una ruta UNC o URL. Puede utilizar el archivo UnhealthyCisco.html que se ubica en el recurso Web de reparacin compartido para instalar el CTA. Recuerde que para poder proporcionar capacidades adicionales de administracin de dispositivo, tambin puede instalar el LTA (que incluye el rastreo de inventario y programacin local) en los dispositivos administrados an cuando utiliza la solucin de Cisco NAC. Es decir, puede tener ambos agentes de confianza instalados en el dispositivo. Sin embargo, si utiliza la solucin de LANDesk DHCP, no deber instalar CTA en los dispositivos administrados.
138
Nota importante para la instalacin del agente estndar completo de LANDesk: Debe tener el agente estndar completo de LANDesk instalado en un dispositivo para poder evitar que los dispositivos con estado apropiado dejen su red de forma automtica a menos que se le haya otorgado acceso a la red sin haber rastreado el cumplimiento de la seguridad la prxima vez que se conecte con su red (por lo tanto, sorteando el proceso de validacin). Si un dispositivo tiene slo el agente de confianza instalado (ya sea CTA o LTA), se considerar que se encuentra en estado apropiado y se permite que vuelva a ingresar a la red sin tener la validacin de postura. Para evitar que suceda esto, instale el agente estndar completo de LANDesk en sus dispositivos tan pronto como pueda. Para instalar el agente de confianza de Cisco en dispositivos administrados y no administrados 1. En el dispositivo, cree una asignacin UNC a la ubicacin del archivo unhealthyCisco.html. Esta pgina HTML debe haberse copiado en el recurso compartido Web del servidor de reparaciones. (Se trata de la ubicacin que especific al configurar el servidor de reparaciones en el campo Ubicacin de los archivos de comprobacin). O bien, abra el navegador del dispositivo y especifique la URL del archivo unhealthyCisco.html que se encuentra en el servidor de reparaciones. Siga las instrucciones de la pgina que se abre. Cuando se instala el CTA, puede hacer clic en el vnculo para rastrear la legalidad del equipo y seguir las instrucciones a fin de obtener slo acceso a Internet o de tener acceso completo a la red empresarial mediante la instalacin del cliente de seguridad necesario.
2. 3. 4.
Instalacin y configuracin de un servidor de validacin de postura

Este componente es requerido solamente en la solucin del Cisco NAC. La solucin DHCP de LANDesk no requiere un servidor de validacin de postura dedicado. Para obtener ms informacin e instrucciones paso a paso, consulte"Instalacin y configuracin de un servidor de validacin de postura dedicado" en la pgina 146.
Configuracin de una conexin entre el servidor de validacin de postura y el servidor Cisco Secure ACS
Este procedimiento es exclusivo para la solucin Cisco NAC. Para obtener ms informacin e instrucciones paso a paso, consulte"Configuracin de una conexin entre el servidor de validacin de postura y el servidor Cisco Secure ACS" en la pgina 148.
139
MANUAL DE USUARIO

Constituye un componente comn y por lo tanto, una tarea comn para ambas soluciones DHCP de LANDesk y Cisco NAC. Para obtener ms informacin e instrucciones paso a paso, consulte"Instalacin y configuracin de un servidor de reparaciones" en la pgina 110.
Qu debe hacer para tras configurar una implementacin de Cisco NAC

140
Lista de tareas de inicio rpido para la configuracin de una implementacin de Cisco NAC
Utilice esta lista de tareas para completar la planificacin, la instalacin y las tareas de configuracin necesarias para implementar la solucin de Cisco NAC en la red LANDesk. Puede imprimir esta lista de tareas y consultarla para llevar un seguimiento de cada uno de los pasos durante el proceso de implementacin. Si est visualizando esta lista de tareas en lnea, haga clic en el enlace Ms informacin para ver informacin detallada sobre una tarea particular.
Tarea de inicio rpido para la configuracin de una implementacin de Cisco NAC

Finalizada Tarea Para obtener ms informacin, vaya a "Administrador de Seguridad y Revisiones" en la pgina 17 Para obtener informacin sobre los componentes y flujo de trabajo de proceso de Cisco NAC (incluyendo los diagramas), consulte"Componentes y flujo de trabajo de proceso de Cisco NAC" en la pgina 131. Para obtener informacin sobre las consideraciones de la topologa de red y de diseo para la implementacin de Cisco NAC, consulte"Consideraciones de la topologa de red y de diseo para la implementacin de Cisco NAC" en la pgina 137.
Requisitos previos: Debe haber un servidor central LANDesk Management Suite 8.6 instalado y en ejecucin en la red, el cual debe estar activado con una licencia y con suscripciones de contenido de seguridad de LANDesk Security Suite: Instalar el servidor central Active el servidor central con una licencia de Security Suite Inicie una sesin en calidad de usuario Administrador o de usuario con ambos derechos de Administrador de seguridad y revisiones y de Cumplimiento de seguridad y revisiones (permite la descarga de contenido de seguridad y revisiones y la copia al grupo de cumplimiento)
Configure un enrutador Cisco: Si an no se encuentra configurado un enrutador, es recomendable que se dirija al sitio de asistencia de LANDesk para buscar instrucciones bsicas y consultar la documentacin de Cisco.
"Configuracin de un enrutador Cisco" en la pgina 137
141
MANUAL DE USUARIO
Finalizada
Tarea
Configure un Cisco Secure Access Control "Configuracin de un Cisco Secure Access Control Server (ACS)" en la Server (ACS): pgina 138 Si an no se encuentra configurado un Cisco Secure ACS, es recomendable que se dirija al sitio de asistencia de LANDesk para buscar instrucciones bsicas, y consultar la documentacin de Cisco. Instale el agente confiable de Cisco (CTA) "Instalacin del agente de confianza de Cisco en dispositivos para la en dispositivos para la activacin del rastreo de legalidad activacin del rastreo de legalidad" en la pgina 138 Para todos los dispositivos administrados, no administrados y nuevos: Instale el CTA de forma manual utilizando una ruta URL o UNC (con la pgina unhealthyCisco.html ubicada en el recurso Web compartido de reparacin) Configure un servidor de validacin de postura dedicado: Nota: Este procedimiento se aplica slo a la solucin Cisco NAC, debido a que esta funcionalidad se encuentra integrado en el servidor DHCP de LANDesk. En un equipo servidor separado, Windows 2000 o superior, con .NET Framework 1.1 Direccin IP esttica Ejecute el programa que se encuentra en: <coreserver>\LDMain\Install\Truste dAccess\PostureServer "Configuracin de una conexin entre el servidor de validacin de postura y el servidor Cisco Secure ACS" en la pgina 148 "Instalacin y configuracin de un servidor de validacin de postura dedicado" en la pgina 146
Configure una conexin entre el servidor de validacin de postura y el servidor Cisco Secure ACS: Nota: Este procedimiento se aplica
142
Finalizada
Tarea slo a la solucin Cisco NAC y se proporcionan instrucciones detalladas sobre el tema al que se hace referencia a la derecha. Instale un servidor de reparacin: En un equipo servidor separado, Ejecute la secuencia de comandos de configuracin CONFIGURE.REMEDIATION.SER VER.VBS que se encuentra en: <coreserver>\LDMain\Install\Truste dAccess\RemediationServer Nota: Esta secuencia de comandos configura automticamente el servidor para realizar la reparacin mediante la - creacin de un recurso Web denominado LDLogon (generalmente) en: c:\inetpub\wwwroot\LDLogon - la adicin de un acceso annimo al recurso compartido LDLogon con derechos de lectura y exploracin - la adicin de un nuevo tipo MIME para los archivos .lrd y la definicin del mismo en el flujo de aplicaciones u octetos
"Definicin del criterio de seguridad de Defina la seguridad de legalidad en la herramienta Administrador de Seguridad y legalidad en la herramienta Revisiones: Administrador de Seguridad y Revisiones" en la pgina 151 En la herramienta Administrador de Seguridad y Revisiones de la consola, descargue las definiciones del contenido de seguridad y revisiones Agregue las definiciones de seguridad en el grupo Legalidad para poder definir su cumplimiento de la poltica de seguridad Compruebe que se descarguen las revisiones asociadas En Administrador de Seguridad y Revisiones, haga clic derecho en
143
MANUAL DE USUARIO
Finalizada
Tarea el objeto Control de acceso de red (bajo Configuracin), haga clic en Configurar NAC de LANDesk, primero asegrese de que la opcin Habilitar NAC de LANDesk est activada y luego defina las posturas apropiadas e inapropiadas Configure (agregue) el servidor de validacin de postura en la consola: En el Administrador de Seguridad y Revisiones, haga clic con el botn secundario en el grupo Control de acceso de red y luego haga clic en Configurar NAC de LANDesk. Ingrese el nombre del servidor de validacin de postura, haga clic en Agregar para agregar a la lista, y luego en Aceptar
"Instalacin y configuracin de un servidor de validacin de postura dedicado" en la pgina 146
Configure (agregue) el servidor de reparaciones en la consola: En el Administrador de Seguridad y Revisiones, haga clic con el botn secundario en el grupo Control de acceso de red, y luego haga clic en Configurar servidores de reparaciones y haga clic en Agregar Ingrese la direccin IP del servidor de reparacin, la ruta UNC al recurso Web de LDLogon que cre en el servidor de reparacin donde se publican los archivos y las credenciales de acceso de usuario y haga clic en Aceptar
Publique TODAS las opciones de configuracin de NAC de LANDesk en los servidores apropiados: En el Administrador de Seguridad y Revisiones, haga clic con el botn secundario en el objeto
"Publicacin de la configuracin de NAC de LANDesk" en la pgina 155
144
Finalizada
Tarea Control de acceso de red, haga clic en Publicar los ajustes NAC de LANDesk, seleccione Todos y haga clic en Aceptar Nota: El proceso inicial de publicacin debe incluir TODAS las opciones de configuracin NAC de LANDesk; a partir de esa publicacin puede incluir solamente el contenido de legalidad
Compruebe que el proceso de validacin de postura funcione correctamente: Haga una prueba simple de Cisco NAC conectando un dispositivo a la red. "Administracin de la seguridad de cumplimiento del NAC de LANDesk" en la pgina 163
Realice las tareas continuas de administracin de legalidad de seguridad: Verificacin de la activacin de los servicios NAC de LANDesk Utilizar el permiso o la restriccin de acceso de todos a la opcin Descripcin de lo que sucede cuando se determina la postura de los dispositivos conectados Visualizacin de dispositivos afectados (que no cumplen) Modificacin y actualizacin de polticas de seguridad de legalidad Adicin de dispositivos no administrados Configuracin y visualizacin de registro de cumplimiento Generacin de informes de legalidad
Para regresar al tema de ayuda principal de Cisco NAC, consulte Uso de la solucin Cisco NAC.
145
MANUAL DE USUARIO
Instalacin y configuracin de un servidor de validacin de postura dedicado

Con un Control del acceso de red (NAC) de LANDesk, se requiere un servidor de validacin de postura dedicado solamente para la solucin NAC de Cisco. El servidor DHCP de LANDesk tiene integrada la funcionalidad de validacin de postura, de modo que no necesita un equipo aparte. Importante: Debido a esto, este tema se aplica solamente si est implementando Cisco NAC. El servidor de validacin de postura evala la instruccin de postura de integridad del dispositivo en funcin de las reglas de seguridad de legalidad definidas en la herramienta Administrador de Seguridad y Revisiones de la consola y devuelve una postura de integridad al dispositivo a travs del enrutador. En el entorno de Cisco NAC, el servidor de validacin de postura comunica la declaracin de postura del dispositivo (o estado) a travs del Cisco Secure Access Control Server (ACS). Observe los diagramas relevantes de componentes y procesos en"Uso de la solucin Cisco NAC" en la pgina 129. Es posible tener ms de un servidor de validacin de postura en la red. Lea este captulo para obtener informacin sobre:
Instalacin y configuracin de un servidor de validacin de postura

"Requisitos previos del servidor de validacin de postura" en la pgina 146 "Determinacin de la ubicacin del servidor en la red" en la pgina 147 "Ejecucin del programa de instalacin del servidor" en la pgina 147 "Configuracin (adicin) de servidores de validacin de postura en la consola" en la pgina 148 "Pasos siguientes: Publicacin de reglas de cumplimiento en los servidores de validacin de postura" en la pgina 148 "Configuracin de una conexin entre el servidor de validacin de postura y el servidor Cisco Secure ACS" en la pgina 148
Requisitos previos del servidor de validacin de postura

El equipo que ha configurado en calidad de servidor de validacin de postura debe satisfacer los requisitos de sistema siguientes: Windows 2000 Server, Windows 2003 Server, Windows XP .NET Framework instalado (versin 1.1) El servidor de validacin de postura se puede combinar en otro equipo, tal como el servidor central LDMS.
146

Debe seguir las pautas siguientes al decidir la ubicacin del servidor de validacin de postura de la red Cisco. El servidor de validacin de postura puede instalarse en el servidor central LDMS o en el servidor DHCP principal. Sin embargo, si le preocupan el desempeo o la escalabilidad quiz debera instalarse en un equipo aparte. Se recomienda utilizar una direccin IP para identificar el servidor de validacin de postura Si se instala en un equipo dedicado, el servidor de validacin de postura debe ser accesible desde el servidor central de LANDesk y desde el servidor Cisco Secure ACS.
Puede ver los diagramas que muestran la ubicacin del componente y el flujo de trabajo del proceso para cada solucin del NAC de LANDesk en sus secciones de introduccin respectivas. Consulte "Uso de la solucin Cisco NAC" en la pgina 129.
Ejecucin del programa de instalacin del servidor

Los archivos de instalacin de los servidores de validacin de postura se copian al servidor central de LANDesk durante el proceso de instalacin. El servidor de validacin se configura mediante dichos archivos de instalacin. Para configurar un servidor de validacin de postura 1. Asigne una unidad del equipo que desee configurar como servidor de validacin de postura a la carpeta LDMain del servidor central. Vaya a la carpeta \Install\TrustedAccess\PostureServer. Ejecute el programa postureserversetup.exe. En la pantalla de Bienvenida, haga clic en Siguiente. Acepte el contrato de licencia y haga clic en Siguiente. Copie los archivos necesarios y haga clic en Instalar. Al completar el proceso de copia de archivos, haga clic en Finalizar.
2. 3. 4. 5. 6.
El programa de instalacin del servidor de postura copia los archivos, inicia el servicio del servidor de postura y escucha las solicitudes entrantes en los puertos TCP 12578 y 12576 (puertos predeterminados). Debe comprobar si hay algn servidor de seguridad abierto. El servidor de validacin de postura se encuentra ahora listo para que se configure en la consola. Tarea adicional importante para los servidores de validacin de postura dedicados en el entorno Cisco NAC En la implementacin Cisco NAC, tambin debe configurar una conexin entre el servidor de validacin de postura y el servidor Cisco Secure ACS. Esta conexin permite que el servidor de validacin de postura enve declaraciones de postura al ACS sobre los dispositivos que intentan el acceso a la red, en funcin del criterio de legalidad de seguridad. Para obtener ms informacin, consulte "Configuracin de una conexin entre el servidor de validacin de postura y el servidor Cisco Secure ACS" en la pgina 148.
147
MANUAL DE USUARIO
Configuracin (adicin) de servidores de validacin de postura en la consola

Tras configurar el servidor de validacin de postura, debe agregarlo a la lista de servidores de validacin de postura vlidos en el cuadro de dilogo Configurar NAC de LANDesk de la consola. Esto permite que el servidor central configure y se comunique con el servidor de validacin de postura (es decir, que publique reglas de cumplimiento). Para agregar servidores de validacin de postura en la consola 1. En la ventana de la herramienta Administrador de Seguridad y Revisiones, haga clic con el botn secundario en el botn Control de acceso de red y luego haga clic en Configurar NAC de LANDesk. Para agregar servidores de validacin de postura a la red, escriba la direccin IP de un servidor de validacin de postura en el campo proporcionado y haga clic en Agregar. Haga clic en Aceptar.
2. 3.
Ahora puede publicar el contenido del NAC de LANDesk en el servidor (siempre que tambin haya configurado un servidor de reparacin y las credenciales de usuario).
Pasos siguientes: Publicacin de reglas de cumplimiento en los servidores de validacin de postura

El siguiente paso para la instalacin y configuracin de un servidor de validacin de postura es la publicacin de reglas de cumplimiento (configuracin del NAC de LANDesk) en dichos servidores. Debe definir su criterio de cumplimiento de seguridad en la herramienta Administrador de Seguridad y Revisiones antes de publicar en los servidores. Para obtener ms informacin sobre estas tareas, consulte"Configuracin de los criterios de seguridad de cumplimiento y publicacin de la configuracin de NAC de LANDesk" en la pgina 150.
Configuracin de una conexin entre el servidor de validacin de postura y el servidor Cisco Secure ACS
Esta tarea solamente se aplica a la implementacin Cisco NAC. Para Cisco NAC, debe configurar esta conexin entre el servidor de validacin de postura y Cisco NAC para que puedan comunicarse durante el proceso de validacin de postura al determinar el estado de condicin o postura de un dispositivo al intentar conectarse con la red. Como se dijo anteriormente, este procedimiento no es importante si se encuentra utilizando la solucin DHCP de LANDesk.
148
Para configurar una conexin entre el servidor de validacin de postura y el servidor Cisco Secure ACS 1. Copie el archivo landeskattributes.txt (que se ubica en el servidor central en la carpeta C:\Archivos de programa\LANDesk\ManagementSuite\Install\TrustedAccess\Cisco a la unidad C:\ de Cisco Secure ACS. En Cisco Secure ACS, abra una ventana CMD.exe y ejecute el siguiente comando : C:\Archivos de programa\CiscoSecure ACS v3.3\Utils\csutil -addAVP c:\landeskattributes.txt Detenga y vuelva a iniciar los siguientes servicios en Cisco ACS: - csauth - csadmin - csutil Los atributos de LANDesk aparecern en la lista de Credenciales disponibles. Inicie la consola del Cisco Secure ACS. Haga clic en Base de datos de usuarios externos | Configuracin de base de datos | Control de admisin de red | Crear configuracin nueva. Escriba un nombre para la configuracin nueva y luego haga clic en Enviar. En el cuadro Configuracin de base de datos de usuarios externos, haga clic en Configurar. En el cuadro Tipo de credencial obligatorio, haga clic en Editar lista. Si ejecuta el archivo de proceso en lotes mencionado anteriormente, la lista de Credenciales disponibles debera mostrar las credenciales Landesk.LDSS. Mueva el objeto a la lista de Credenciales seleccionadas y haga clic en Enviar. En el cuadro Polticas de validacin de credenciales, haga clic en Polticas externas | Poltica externa nueva. Escriba el nombre: PVS1 Escriba una descripcin. Escriba la URL: http://nombre del servidor de validacin de postura:12576/pvs.exe Defina el tiempo de espera en 30 segundos. Marque la casilla de verificacin Configuracin del servidor principal. En el cuadro Tipos de credenciales de envo, mueva Landesk.LDSS de la lista Credenciales disponibles a la lista Credenciales seleccionadas y haga clic en Enviar. Agregue la poltica PVS1 a la lista Polticas seleccionadas y haga clic en Enviar. Haga clic en Guardar configuracin.
2.
3.
4. 5. 6. 7. 8. 9. 10.
11. 12. 13. 14. 15. 16. 17. 18. 19.
Ha completado las tareas especficas al componente de Cisco Secure ACS requerido para la configuracin de una implementacin de Cisco NAC. Para obtener una lista completa de todas las tareas requeridas para la configuracin de un mbito de Cisco NAT, consulte la "Lista de tareas de inicio rpido para la configuracin de una implementacin de Cisco NAC" en la pgina 141. Para regresar al tema de ayuda principal de Cisco NAC, consulte"Uso de la solucin Cisco NAC" en la pgina 129.
149
MANUAL DE USUARIO
Configuracin de los criterios de seguridad de cumplimiento y publicacin de la configuracin de NAC de LANDesk

Una vez que configure ya sea un entorno de DHCP de LANDesk o de Cisco NAC, las tareas de administracin de seguridad de legalidad que se describen a continuacin se aplican a ambas soluciones. Nota: Para las soluciones de Control de acceso de red (NAC) de LANDesk ya debe haber instalado un servidor de reparaciones y configurado (o agregado) el mismo en la consola. De forma especfica, la solucin DHCP de LANDesk, debe tener un servidor DHCP de LANDesk; y la solucin Cisco NAC debe tener un servidor de validacin de postura dedicado. Para obtener ms informacin, consulte respectivamente "Instalacin y configuracin de un servidor de reparaciones" en la pgina 110, "Configuracin de un servidor DCHP de LANDesk" en la pgina 114, y "Instalacin y configuracin de un servidor de validacin de postura dedicado" en la pgina 146. Lea este captulo para obtener informacin sobre:
Configuracin de la seguridad de cumplimiento y publicacin de la configuracin de NAC de LANDesk

"Definicin del criterio de seguridad de legalidad en la herramienta Administrador de Seguridad y Revisiones" en la pgina 151 "Uso del grupo Legalidad para definir una poltica de seguridad de legalidad" en la pgina 152 "Uso de la configuracin de NAC de LANDesk para definir posturas apropiadas e inapropiadas" en la pgina 152 "Configuracin de credenciales de usuario alternas" en la pgina 155@nbs "Publicacin de la configuracin de NAC de LANDesk" en la pgina 155 "Comprensin y uso de las pginas de reparaciones del NAC de LANDesk" en la pgina 158 "Personalizacin de pginas HTML" en la pgina 160
Otras tareas de administracin de seguridad de legalidad

Para ms informacin sobre el rastreo de legalidad y otras tareas de administracin de NAC de LANDesk, tales como: la actualizacin de reglas de seguridad y polticas de cumplimiento en servidores de validacin de postura, la actualizacin de recursos de reparacin en los servidores de reparaciones, la adicin de dispositivos no administrados a la herramienta de Deteccin de dispositivos no administrados, la visualizacin de dispositivos afectados, la configuracin de archivos histricos y la generacin de informes, consulte "Administracin de la seguridad de cumplimiento del NAC de LANDesk" en la pgina 163.
150
Definicin del criterio de seguridad de legalidad en la herramienta Administrador de Seguridad y Revisiones

El criterio de seguridad de legalidad se define a travs de los dos factores siguientes: Las definiciones de vulnerabilidad y otras definiciones de contenido de seguridad que se han agregado al grupo Legalidad en la herramienta Administrador de Seguridad y Revisiones de la consola.
Y Las definiciones apropiadas o inapropiadas de las posturas del dispositivo que se especificaron en el cuadro de dilogo Configurar NAC de LANDesk en la consola.
Consulte la lista de pasos detallados a continuacin para cada una de las tareas. Consulte "Uso del grupo Legalidad para definir una poltica de seguridad de legalidad" en la pgina 152, y "Uso de la configuracin de NAC de LANDesk para definir posturas apropiadas e inapropiadas" en la pgina 152.
Suscripciones de Security Suite

Debe contar con una suscripcin de contenido de LANDesk Security Suite a fin de descargar los distintos "tipos" de contenido de seguridad, tales como las definiciones de vulnerabilidad de aplicacin y de sistema operativo (y las revisiones necesarias), las definiciones de spyware, de aplicaciones bloqueadas, de virus, de amenazas de seguridad de la configuracin del sistema, etc. Sin una licencia de Security Suite (o un servidor central activado con licencia de Security Suite), no podr obtener el acceso a los servicios de LANDesk Security Suite ni podr definir la seguridad de legalidad mediante dichas definiciones de seguridad.
Descarga de definiciones del tipo de seguridad

Utilice la herramienta Administrador de Seguridad y Revisiones para descargar las distintas definiciones de seguridad, tales como definiciones de vulnerabilidad, de spyware, de antivirus y de amenazas de seguridad. Esta tarea se describe de forma detallada en el captulo Administrador de Seguridad y Revisiones. Para obtener ms informacin sobre el uso de las funciones de descarga del Administrador de seguridad y revisiones, consulte "Descarga de actualizaciones del contenido de seguridad y revisiones" en la pgina 41.
151
MANUAL DE USUARIO
Uso del grupo Legalidad para definir una poltica de seguridad de legalidad
Como se explica anteriormente, el contenido del grupo Legalidad determina la poltica de seguridad de legalidad base. Puede optar por una seguridad de legalidad mnima compuesta de solamente algunas definiciones de vulnerabilidad y de amenazas de seguridad o bien, crear una poltica de seguridad compleja y estricta que est formada por varias definiciones de seguridad. Tambin puede modificar la poltica de seguridad de legalidad en cualquier momento, mediante la adicin o eliminacin de definiciones del grupo Legalidad. Derecho de administracin basada en funciones necesario para utilizar el grupo Legalidad Solamente el administrador de LANDesk o un usuario con el derecho de Legalidad de seguridad y revisiones pueden agregar o eliminar las definiciones del grupo Legalidad. Los tipos de seguridad siguientes se pueden agregar al grupo Legalidad para definir una poltica de seguridad de legalidad: Definiciones de antivirus Definiciones personalizadas: Definiciones de actualizacin de controladores Definiciones de actualizacin de software LANDesk Definiciones de amenazas de seguridad (incluso definiciones de servidor de seguridad) Definiciones de actualizacin de software Definiciones de spyware Vulnerabilidades (definiciones de vulnerabilidades de aplicacin y SO)
Nota: No se pueden agregar definiciones de aplicaciones bloqueadas al grupo Legalidad para definir polticas de seguridad de legalidad Para agregar definiciones de seguridad al grupo de Legalidad 1. En el Administrador de Seguridad y Revisiones, seleccione el tipo de contenido de seguridad que desee agregar a su poltica de seguridad de cumplimiento desde la lista desplegable de Tipo y arrastre las definiciones de la lista de elementos en el grupo Legalidad. O bien, haga clic con el botn secundario en una definicin individual o en el grupo seleccionado de definiciones y haga clic en Agregar al grupo de legalidad. Compruebe que las revisiones necesarias asociadas se descarguen antes de publicar el contenido del NAC de LANDesk para los servidores de validacin de postura y los de reparacin. Haga clic con el botn secundario en una definicin, en un grupo de definiciones seleccionado o en el mismo grupo de Legalidad y haga clic en Descargar revisiones asociadas para descargar las revisiones necesarias con el fin de reparar los dispositivos afectados.
2. 3.
Uso de la configuracin de NAC de LANDesk para definir posturas apropiadas e inapropiadas

Su poltica de seguridad de cumplimiento tambin se compone de definiciones de postura apropiadas y no apropiadas que configure en la consola.
152
Para definir las posturas apropiadas y no apropiadas 1. Requisitos previos: Si utiliza la solucin DHCP de LANDesk, asegrese de haber configurado al menos un servidor de reparaciones y el servidor DCHP de LANDesk (que tiene integrada la funcionalidad de validacin de postura). Si utiliza la solucin Cisco NAC, cercirese de haber configurado un enrutador Cisco, un servidor Cisco Secure ACS, un servidor de validacin de postura (con conexin al servidor Cisco Secure ACS) y un servidor de reparaciones. Asegrese de haber descargado las definiciones de seguridad (spyware, vulnerabilidades, amenazas de seguridad, etc.) y las revisiones que desee incluir en su poltica de legalidad de seguridad mediante la herramienta Administrador de Seguridad y Revisiones y de haber agregado dichas definiciones al grupo Legalidad. En el Administrador de Seguridad y Revisiones, haga clic con el botn secundario en el grupo Control de acceso de red y luego haga clic en Configurar NAC de LANDesk. Active la opcin Habilitar NAC de LANDesk para activar la seguridad de legalidad. Para definir la postura o estado apropiado de lo dispositivos que intenten el acceso a la red empresarial, seleccione la cantidad de horas que han transcurrido desde el ltimo rastreo de seguridad de legalidad en la lista desplegable. El valor predeterminado es de 96 horas. (Nota: Esta configuracin se aplica a los entornos de Cisco NAC y LANDesk DHCP y a los procesos de validacin de postura). Para definir la postura o estado no apropiado, seleccione la postura no apropiada en la lista desplegable (los valores posibles incluyen: Cuarentena, Verificacin e Infectado). Estas posturas predeterminadas ya deben estar predefinidas en las listas de control de acceso (ACL) del servidor Cisco Secure ACS. (Nota: Esta configuracin se aplica actualmente slo a Cisco NAC. Con el DHCP de LANDesk, un dispositivo se considera apropiado o no apropiado de acuerdo con las definiciones de seguridad del grupo de cumplimiento y la definicin de postura apropiada. Si el dispositivo no cumple estas condiciones no es apropiado). (Opcional) Especifique el nivel mnimo de registro al seleccionar una opcin de la lista desplegable. Los niveles de registro disponibles incluyen: Informacin, Advertencia, Error, Error crtico y Depurar. Los diferentes niveles de registro determinan la cantidad de informacin que se escribe en el archivo de registro.
2.
3. 4. 5.
6.
7.
Acerca del cuadro de dilogo Configurar NAC de LANDesk

Utilice este cuadro de dilogo para habilitar el NAC de LANDesk en su red, definir posturas apropiadas e inapropiadas, configurar el inicio de sesin, agregar servidores DHCP de LANDesk o servidores de validacin de postura y publicar la configuracin del NAC de LANDesk en los servidores correspondientes de la red. Nota: Primero debe instalar y configurar un servidor DHCP de LANDesk o un servidor de validacin de postura antes de agregarlos a la red con este cuadro de dilogo.
153
MANUAL DE USUARIO
Habilitar el NAC de LANDesk: Activa la seguridad de legalidad del NAC de LANDesk (para las implementaciones de DHCP de LANDesk o NAC de Cisco). De forma predeterminada esta opcin se encuentra desactivada, lo que le permite a cualquier dispositivo, apropiado o no, acceder a la red. Deje esta opcin desactivada si desea que todos tengan acceso a la red. Consideraciones: Si deja esta opcin desactivada, se puede dar suficiente tiempo para finalizar la configuracin de la red de NAC de LANDesk y la poltica de cumplimiento de seguridad base para permitir que el proceso normal del Administrador de Seguridad y Revisiones consiga que la mayor parte de sus dispositivos administrados sean compatibles, para cumplir con los diversos registros e informes de NAC de LANDesk y elegir el momento adecuado para comenzar a hacer cumplir una poltica de seguridad que restrinja el acceso a la red. Una vez que la mayora de los dispositivos administrados sean compatibles o cuando usted como administrador de red crea que es momento de comenzar a hacer cumplir la seguridad de cumplimiento de punto extremo, active esta opcin para habilitar el NAC de LANDesk en su red y bloquear el acceso a la red de los dispositivos que no cumplan.
Definicin de apropiado: Indica la cantidad de horas que han transcurrido desde el ltimo rastreo de seguridad de legalidad que no detect ninguna vulnerabilidad (tal como lo define el contenido del grupo Legalidad del Administrador de Seguridad y Revisiones en el dispositivo rastreado). Definicin de no apropiado: indica la postura no apropiada predeterminada que determina si el dispositivo rastreado no es apropiado. Las listas de control de acceso de la implementacin Cisco NAC definen las posturas predeterminadas. Intervalo mnimo de histrico: indica el nivel de registro de los archivos histricos del servidor de validacin de postura. Nombre del servidor DHCP de LANDesk o de validacin de postura: escriba el nombre del servidor en este campo (el servidor DHCP de LANDesk si utiliza la solucin de DHCP de LANDesk o un servidor de validacin de postura dedicado si utiliza la solucin Cisco NAC), y haga clic en Agregar para agregar el servidor a la red. Cuando publica configuraciones de NAC de LANDesk, stas se publican en todos los servidores incluidos en la lista. Publicar: Abre el cuadro de dilogo Publicar configuracin de NAC de LANDesk que permite especificar el contenido que desea publicar en los servidores de validacin de postura, los servidores DHCP de LANDesk y los servidores de reparaciones. Cada vez que cambie la configuracin de NAC de LANDesk, debe volver a publicar las nuevas configuraciones. (Nota: La publicacin del Contenido de NAC de LANDesk enva la configuracin de NAC de LANDesk y las reglas de cumplimiento a los servidores de validacin de postura o a los servidores DHCP de LANDesk; y las revisiones asociadas a los servidores de reparaciones. La publicacin de archivos de Infraestructura enva archivos de configuracin y compatibilidad, incluso el rastreador de seguridad del cliente y los agentes de confianza y las pginas de plantilla HTML a los servidores de reparaciones.)
154
Configuracin de credenciales de usuario alternas

Si los dispositivos conectados que intentan acceder a la red no iniciaron sesin con los derechos de administrador local, el NAC de LANDesk utiliza esta lista de las credenciales de usuario alternativas para intentar nuevamente obtener derechos administrativos en el dispositivo. De otra manera, el rastreador del cliente de seguridad no se puede ejecutar y el usuario necesitar cerrar la sesin y volver a iniciarla con derechos de administrador e intentar nuevamente (como los proveedores y visitantes). El NAC de LANDesk utiliza estas credenciales para intentar acceder a los dispositivos a fin de poder rastrear las vulnerabilidades e implementar e instalar las revisiones para la reparacin. Para configurar credenciales de usuario alternas 1. 2. 3. 4. 5. En el Administrador de Seguridad y Revisiones, haga clic con el botn secundario en el grupo Control de acceso de red y luego haga clic en Configurar credenciales. Ingrese un nombre de usuario para un usuario con derechos de administrador. Introduzca dos veces la contrasea del usuario. Haga clic en Agregar para agregar las credenciales de usuario a la lista a la derecha. Estas credenciales de usuario se utilizarn en el orden enumerado si el usuario final del dispositivo que se est conectando no inici sesin con derechos de administrador.
Cuadro de dilogo Configurar credenciales

Utilice este cuadro de dilogo para identificar credenciales de usuario alternas para los dispositivos de los usuarios finales a fin de realizar el rastreo de seguridad y la reparacin, en caso que el usuario final que inici sesin no cuente con derechos de acceso administrativo. Nombre de usuario: escriba un nombre de usuario utilizado de forma comn para los usuarios administradores de LANDesk en la red. Contrasea: escriba la contrasea del usuario. Confirme la contrasea: vuelva a escribir la contrasea. Agregar: Agrega las credenciales de usuario en la lista de la derecha. Quitar: elimina el usuario seleccionado de la lista de nombres de usuario. Aceptar: guarda los cambios y cierra el cuadro de dilogo. Cancelar: cierra el cuadro de dilogo sin guardar los cambios.
Publicacin de la configuracin de NAC de LANDesk

La publicacin de los ajustes del NAC de LANDesk enva informacin y recursos a los servidores de postura y a los de reparaciones, los cuales se requieren para poder implementar el proceso de validacin de postura y hacer efectivo el cumplimiento de la seguridad. La publicacin de las configuraciones del NAC de LANDesk se aplica tanto a la solucin DHCP de LANDesk como a la de Cisco NAC. Para poder publicar los ajustes del NAC de LANDesk desde la consola, debe tener configurados al menos un servidor de postura, un servidor de reparacin y credenciales de usuario.
155
MANUAL DE USUARIO
La publicacin inicial debe incluir TODAS las configuraciones La primera vez que publique los ajustes del NAC de LANDesk en sus servidores de validacin de postura y reparacin, debe incluir TODOS los ajustes del NAC de LANDesk, incluyendo: contenido de NAC de LANDesk y archivos de infraestructura (a continuacin podr ver los detalles de estos archivos). La publicacin subsiguiente slo puede incluir el contenido de NAC de LANDesk o las reglas de cumplimiento. Por lo general, los archivos de infraestructura slo necesitan publicarse una vez en los servidores de reparaciones. Para publicar la configuracin de NAC de LANDesk 1. Puede acceder al cuadro de dilogo de Publicar los ajustes del NAC de LANDesk y publicar la configuracin desde varias ubicaciones en la herramienta Administrador de Seguridad y Revisiones. Por ejemplo, puede hacer clic con el botn secundario en el objeto Control de acceso de red o en el grupo Legalidad y luego en Publicar. Tambin puede buscar el botn Publicar en los cuadro de dilogo Configurar NAC de LANDesk y en Configurar servidor de reparacin. Asimismo, puede hacer clic en el botn de la barra de herramientas Publicar los ajustes del NAC de LANDesk en la ventana Administrador de Seguridad y Revisiones. Para publicar todos los ajustes del NAC de LANDesk, incluso el contenido de NAC de LANDesk y los archivos de infraestructura en todos los servidores de validacin de postura y reparacin a la misma vez, seleccione la casilla de verificacin Todos y haga clic en Aceptar. Si desea publicar slo el contenido de NAC de LANDesk (definiciones de seguridad, ajustes de NAC de LANDesk o reglas de legalidad y revisiones asociadas) a los servidores de validacin de postura y a los servidores de reparacin, marque la casilla de verificacin Contenido del NAC de LANDesk y haga clic en Aceptar. Si desea publicar slo los archivos de infraestructura (rastreador de seguridad del cliente, instalaciones de agentes de confianza y en las pginas HTML para los servidores de reparacin), seleccione la casilla de verificacin Infraestructura y luego haga clic en Aceptar. (Generalmente slo tendr que publicar los archivos de infraestructura una sola vez en los servidores de reparacin).
2.
3.
4.
Acerca del cuadro de dilogo Publicar configuracin del NAC de LANDesk

Utilice este cuadro de dilogo para publicar configuraciones del NAC de LANDesk en los servidores de validacin de postura y para publicar configuraciones de reparacin (recursos) en los servidores de reparaciones de la red LANDesk. Todos: publica los contenidos de NAC de LANDesk y los archivos de infraestructura en los servidores correspondientes. Contenidos del NAC de LANDesk: Publica el contenido del NAC de LANDesk y las opciones de configuracin que defini en la herramienta Administrador de Seguridad y Revisiones para todos los servidores de validacin de postura y los servidores de reparacin que se agregaron a la red. Importante: Debe existir al menos un servidor de validacin de postura en la red para publicar el contenido de NAC de LANDesk.
156
El contenido de NAC de LANDesk representa la vulnerabilidad y otras definiciones de tipos de contenido de seguridad que se encuentran actualmente en el grupo de Legalidad en la herramienta Administrador de Seguridad y Revisiones, as como los ajustes de NAC de LANDesk, como los ajustes de postura apropiados y no apropiados, los niveles de registro, etc., que se definen en el dilogo Configurar ajustes de NAC de LANDesk. En los servidores de validacin de postura se publican las definiciones de seguridad, los ajustes de postura apropiados y no apropiados y los niveles de registro, mientras que los archivos de revisin asociados se publican en los servidores de reparacin (basados en los contenidos del grupo de Legalidad en el momento que publique). (Nota: Si cambia el contenido del grupo de Legalidad o cambia los ajustes de NAC de LANDesk en el dilogo Configurar NAC de LANDesk, debe volver a publicar esta informacin en sus servidores). Infraestructura: Publica los siguientes recursos de reparacin en todos los servidores de reparaciones que se han agregado a la red. Archivos de configuracin y compatibilidad: los archivos de instalacin y compatibilidad representan las instalaciones del rastreo del cliente de seguridad y del agente de confianza. El rastreador del cliente de seguridad lleva a cabo un rastreo de seguridad y de reparacin en los dispositivos. En este momento existen cuatro versiones del cliente de seguridad: NAC, NAC para clientes NT4 , DHCP, DHCP para clientes NT4. El rastreador del cliente de seguridad tambin incluye un agente LANDesk estndar mnimo. La instalacin del agente de confianza le permite a los usuarios finales instalar LTA y CTA en sus dispositivos mediante una URL de Web. Pginas HTML: representa las pginas HTML de plantilla que el servidor de reparaciones enva a los dispositivos con agentes de confianza instalados que intenten obtener acceso a la red empresarial. Estas pginas brindan instrucciones al usuario para obtener acceso limitado a la red o para reparar sus equipos a fin de cumplir los requisitos de la poltica de seguridad y obtener acceso total a la red empresarial. Las pginas HTML son plantillas que pueden modificarse. (Nota: por lo general, los archivos de infraestructura slo necesitan publicarse una vez en los servidores de reparaciones. A diferencia del contenido de NAC de LANDesk (criterio de legalidad), no necesita publicar estos archivos cada vez que cambia la poltica de seguridad de legalidad.
157
MANUAL DE USUARIO
Comprensin y uso de las pginas de reparaciones del NAC de LANDesk

Las pginas de reparaciones del NAC de LANDesk son archivos HTML que se publican en servidores de reparacin con la herramienta de configuracin Publicar de NAC de LANDesk en la consola. Las pginas de reparaciones son parte de los archivos de reparacin de infraestructura. Por lo general, estos archivos slo necesitan publicarse una vez en los servidores de reparaciones. Tras la instalacin de LANDesk Management Suite, estos archivos se encuentran en la carpeta siguiente del servidor central: ManagementSuite\Install\TrustedAccess\RemediationServer Las pginas HTML son plantillas que debe modificar para que se adapten a sus necesidades y requisitos de seguridad de cumplimiento. Para obtener informacin sobre la manera de personalizar las pginas HTML, consulte "Personalizacin de pginas HTML" en la pgina 160. Las secciones siguientes describen el propsito de cada pgina HTML.
Pgina de estado apropiado (para el DHCP de LANDesk)

Esta pgina HTML debe utilizarse para informar al usuario empresarial final de un dispositivo conectado que se ha evaluado la postura del dispositivo y que se ha determinado que tiene un estado apropiado, segn las credenciales de seguridad de cumplimiento y que se le ha concedido acceso completo a la red de la empresa. El nombre de esta pgina de HTML es: Healthy.html La pgina de estado apropiado SLO se ver cuando un dispositivo cambie de no apropiado a apropiado. No se mostrar cada vez que un dispositivo resulte apropiado. Debe especificar la URL de esta pgina en el servidor de reparaciones, en el campo URL de estado apropiado cuando configure las propiedades del servidor de reparaciones con la herramienta Administrador DHCP de LANDesk.
Pgina de estado de primera visita (para el DHCP de LANDesk)

Esta pgina HTML se utiliza para informar a un visitante de la red empresarial que se ha implementado la seguridad de cumplimiento o de control de acceso en la red y que puede elegir entre navegar por Internet (slo acceso a Internet) o que se rastree su equipo en busca de vulnerabilidades u otros riesgos de seguridad, y que se realice la reparacin de ser necesario, antes de permitirle el acceso a la red empresarial. La pgina HTML provee vnculos que permiten que el usuario reciba solamente acceso a Internet o que se le permita descargar e instalar el software necesario para el rastreo de cumplimiento y la reparacin, de modo que el dispositivo pueda tener acceso completo a la red. El nombre de esta pgina es: Visitor.html
158
Esta pgina provee vnculos que permiten que el usuario reciba solamente acceso a Internet o que se le permita descargar e instalar el agente de confianza y software necesario para la reparacin de modo que el dispositivo pueda repararse y rastrearse, y que se le permita el acceso completo a la red. Debe especificar la URL de esta pgina en el servidor de reparaciones, en el campo URL de primera visita cuando configure las propiedades del servidor de reparaciones con la herramienta Administrador DHCP de LANDesk.
Pgina de estado de empleado no apropiado (para el DHCP de LANDesk)

Esta pgina HTML se utiliza para informar al usuario final de un dispositivo de conexin que el dispositivo est siendo rastreado, y que no satisface una o ms credenciales de seguridad de cumplimiento, que no se considera apropiado y que se le ha negado el acceso a la red. El administrador de red debe personalizar esta pgina HTML para que muestre las vulnerabilidades u otras exposiciones de seguridad que se detectaron en el dispositivo y debe proporcionar instrucciones especficas para su reparacin. Una vez que se haya reparado el dispositivo, el usuario final debe volver a iniciar una sesin en la red a fin de obtener acceso. El nombre de esta pgina es: FailedEmployee.html Debe especificar la URL de esta pgina en el servidor de reparaciones, en el campo URL de fallo en la conexin de empleados cuando configure las propiedades del servidor de reparaciones con la herramienta Administrador DHCP de LANDesk.
Pgina de estado de visitante no apropiado (para el DHCP de LANDesk)

Esta pgina se utiliza para informar a un visitante de la red empresarial que su dispositivo est siendo rastreado, que no satisface una o ms credenciales de seguridad de cumplimiento, y que se le ha negado el acceso a la red. Al igual que con la pgina de estado no apropiado de empleado, el administrador de red puede personalizar esta pgina HTML para que muestre las vulnerabilidades u otras exposiciones de seguridad que se detectaron en el dispositivo y proporcionar instrucciones especficas para su reparacin. Una vez que se haya reparado el dispositivo, el visitante debe hacer clic en el icono Rastreo de seguridad para el acceso a la red que ahora aparece en el escritorio. El nombre de esta pgina es: FailedVisitor.html Debe especificar la URL de esta pgina en el servidor de reparaciones, en el campo URL de fallo en la conexin de visitantes cuando configure las propiedades del servidor de reparaciones con la herramienta Administrador DHCP de LANDesk.
159
MANUAL DE USUARIO
Pgina de estado no apropiado de Cisco (para Cisco NAC)

Nota: Esta pgina HTML se aplica solamente al entorno de Cisco NAC. Este archivo no se utiliza si ha implementado la solucin de DHCP de LANDesk para la seguridad de cumplimiento. Del mismo modo, todas las dems pginas HTML descritas anteriormente se aplican al entorno de DHCP de LANDesk y no se utilizan con la solucin Cisco NAC. Esta pgina HTML debe utilizarse para informar al usuario de un dispositivo que intenta el acceso a la red que se ha rastreado el dispositivo y que no cumple con las credenciales de seguridad de legalidad, que se considera que tiene un estado no apropiado y que se le ha negado el acceso a la red. El nombre de esta pgina es: UnhealthyCisco.html Esta pgina provee vnculos que permiten que el usuario reciba solamente acceso a Internet o que se le permita descargar e instalar el agente de confianza y software necesario para la reparacin de modo que el dispositivo pueda repararse y rastrearse, y que se le permita el acceso completo a la red.
Personalizacin de pginas HTML

Como se mencion anteriormente, las pginas HTML proporcionadas por el NAC de LANDesk son solamente plantillas que puede editar y modificar de forma manual para satisfacer sus requisitos y polticas de seguridad de cumplimiento especficas. Puede utilizar su editor de HTML predilecto para modificar los archivos HTML. Modifique el texto existente a fin de proporcionar informacin til adicional especfica a su red empresarial, y agregue secciones HTML DIV para las definiciones de seguridad incluidas en su poltica de seguridad de cumplimiento (por ejemplo, las definiciones contenidas en el grupo Legalidad de la herramienta Administrador de Seguridad y Revisiones). Recuerde que si cambia un archivo HTML en el servidor central despus de que ha sido publicado en los servidores de reparaciones, debe volver a publicar los archivos en dichos servidores para que puedan ser presentados en los dispositivos que establecen conexin (seleccione pginas HTML bajo el grupo Infraestructura del cuadro de dilogo Publicar los ajustes del NAC de LANDesk).
Adicin de secciones DIV para mostrar de forma dinmica las definiciones de seguridad cuya reparacin fall
Podra resultar particularmente til para los usuarios empresariales finales, al igual que para los visitantes de la red, si personalizan las pginas de estado no apropiado para que ellos puedan saber con exactitud la causa de los problemas de seguridad en sus equipos y los pasos especficos que deben realizar para reparar el problema a fin de que el dispositivo pueda volver a rastrearse, evaluarse como apropiado y se les permita el acceso completo a la red.
160
Estas pginas se han diseado para que muestren el contenido de forma dinmica cuando la herramienta de reparacin del rastreador de seguridad no logra reparar una vulnerabilidad detectada. En otras palabras, si se rastrea el dispositivo del usuario final y se detectan vulnerabilidades u otras exposiciones de seguridad (tales como amenazas de seguridad de la configuracin del sistema, spyware, etc.) y falla la tarea de reparacin, la pgina HTML de estado no apropiado puede mostrar las definiciones de seguridad especficas con sus nmeros de ID nicos, junto con otra informacin adicional que indique al usuario cmo reparar el problema, SIEMPRE Y CUANDO el administrador de sistemas haya agregado una seccin DIV para dichas definiciones de seguridad (vase un ejemplo de seccin DIV ms adelante). Si falla la reparacin de una definicin de seguridad y esta no tiene una seccin DIV correspondiente en el archivo HTML, no se mostrar informacin especfica para esa definicin en el explorador del dispositivo del usuario final. Para personalizar una pgina HTML 1. 2. Abra el archivo HTML en el editor de HTML. Edite el texto de plantilla existente a fin de proporcionar la informacin detallada deseada que desee que los usuarios finales (empleados empresariales y visitantes) vean cuando inician una sesin en la red empresarial. En el caso de las pginas HTML no apropiadas, agregue secciones DIV nuevas en el cdigo HTML (utilice las secciones de DIV de ejemplo como modelo) para las definiciones de contenido de seguridad que ha colocado en el grupo de Legalidad que define su poltica de seguridad de legalidad. No es necesario agregar secciones DIV en todas las definiciones de seguridad. Pero slo las definiciones con secciones DIV en el archivo HTLM pueden aparecer si se detecta una exposicin de seguridad Y el rastreador de seguridad no la repar. Vea la siguiente entrada DIV de muestra. Puede agregar los pasos necesarios para reparar el problema de seguridad, vnculos a los sitios de descarga de software y cualquier informacin que ayude a los usuarios finales en la resolucin del problema. Guarde los cambios. Vuelva a publicar las pginas HTML modificadas en los servidores de reparaciones.
3.
4. 5.
Entrada DIV de ejemplo en un archivo HTML de estado no apropiado

Sigue un ejemplo del texto que aparecera en el explorador si un dispositivo no realiz correctamente el rastreo de seguridad del cumplimiento y se determin que se encuentra en mal estado. Este ejemplo se basa en el texto de plantilla existente en los archivos HTML con error y describe dos definiciones de seguridad que no se pudieron reparar: Actualizacin automtica de Windows (ST000003): Paso 1: Haga clic en Inicio Paso 2: Haga clic en Panel de control Paso 3: Abra las Actualizaciones automticas Paso 4: Haga clic en Automtico Paso 5: Haga clic en Aceptar No posee software antivirus (AV-100): Haga clic aqu para instalar el cliente antivirus de Symantec
161
MANUAL DE USUARIO
Y aqu se encuentra el cdigo HTML real para ese ejemplo:

<div style="display:block;clear:both;"> </div> <div id="ttip"> <p> <ul> <li>Paso 1: Haga clic en Inicio </li> <li>Paso 2: Haga clic en Panel de control</li> <li>Paso 3: Abra las Actualizaciones automticas</li> <li>Paso 4: Haga clic en Automtico</li> <li>Paso 5: Haga clic en Aceptar</li> </ul> </p> </div> <div id="ttip"> <p> <strong>Sin Software Antivirus (AV-100):</strong> <a href="symantec.exe"><strong>Haga clic aqu</strong></a> para instalar el cliente de Symantec Anti-Virus </p> </div>
Buscar e insertar los identificadores de definicin

La definicin de seguridad se identifica con el cdigo siguiente en el archivo HTML:
<div id="ttip">
Donde "ttip" es el identificador real de la definicin de seguridad. Puede buscar un identificador de la definicin en su pgina de propiedades en Administrador de seguridad y revisiones. Escriba el identificador tal como aparece en las propiedades de la definicin. Si esta reparacin de la definicin de seguridad especfica no funciona, el contenido de la seccin DIV aparecer dinmicamente en el explorador del usuario final y le proporciona informacin til para solucionar el problema (en la medida en que se haya especificado dicha informacin).
162
Administracin de la seguridad de cumplimiento del NAC de LANDesk

Una vez que configure el Control de acceso de red (NAC) de LANDesk ya sea con un DHCP de LANDesk o con un Cisco NAC, las tareas de administracin de seguridad de legalidad continuas y subsiguientes que se describen en este captulo se aplican a ambas soluciones. Lea este captulo para obtener informacin sobre:
Administracin de seguridad de cumplimiento

"Verificacin de la activacin de los servicios NAC de LANDesk" en la pgina 163 "Uso del permiso o la restriccin de acceso a la opcin de todos" en la pgina 165 "Descripcin de lo que sucede cuando se determina la postura de los dispositivos conectados" en la pgina 165 "Visualizacin de dispositivos afectados (que no cumplen)" en la pgina 167 "Modificacin y actualizacin de polticas de seguridad de legalidad" en la pgina 167 "Adicin de dispositivos no administrados a la herramienta de Deteccin de dispositivos no administrados" en la pgina 168 "Configuracin y visualizacin del registro de cumplimiento" en la pgina 168 "Generacin de informes de legalidad" en la pgina 170
Verificacin de la activacin de los servicios NAC de LANDesk

Los servicios de NAC de LANDesk en esencia se habilitan cuando se cumplen TODAS las condiciones siguientes: Un dispositivo de control de red se encuentra instalado y configurado de forma apropiada, con los dispositivos necesarios en ejecucin. Para Cisco NAC, es el enrutador y el Cisco Secure ACS. Para DHCP de LANDesk, es el enrutador o conmutador de red y el servidor DHCP de LANDesk. La herramienta Administrador de Seguridad y Revisiones est disponible en la consola para los usuarios con los derechos necesarios y la suscripcin de contenido de Security Suite vlida permite descargar algunos o todos los tipos de contenido de seguridad (definiciones y reparaciones necesarias).
163
MANUAL DE USUARIO
Al menos una definicin de contenido de seguridad se encuentra en el grupo Legalidad de la herramienta Administrador de Seguridad y Revisiones. Puede tener la cantidad de definiciones que desee para definir la poltica de seguridad de legalidad actual en funcin de sus necesidades y objetivos de seguridad, y de los riesgos existentes. El contenido del grupo Legalidad es el factor principal que define la poltica de seguridad de legalidad y puede incluir vulnerabilidades de SO y de aplicacin, spyware, antivirus, actualizaciones de software, definiciones personalizadas y amenazas a la seguridad de la configuracin del sistema, incluso configuraciones de servidor de seguridad, lo que sea fundamental para la proteccin de la red en cualquier momento. No obstante, recuerde que debe tener al menos una definicin en el grupo Legalidad a fin de que se imponga el NAC de LANDesk y de que se produzca el proceso de validacin de postura. Si el grupo Legalidad est vaco, no existen credenciales de seguridad que verificar, no se puede realizar la validacin de postura y no funciona el NAC de LANDesk. (Solamente para Cisco NAC) Se ha configurado debidamente al menos un servidor de validacin de postura dedicado, con las reglas de legalidad de seguridad publicadas en l a partir del servidor de seguridad (por ejemplo, opciones del NAC de LANDesk que definen posturas apropiadas y no apropiadas, e informacin de contenido del grupo Legalidad). En una implementacin Cisco NAC, el servidor de validacin de postura debe configurarse para comunicarse con el Cisco Secure ACS. Se ha configurado debidamente al menos un servidor de reparaciones, con los recursos de reparacin publicados en l a partir del servidor central (por ejemplo, el cliente de seguridad o la utilidad de rastreo de vulnerabilidad, las revisiones asociadas con las vulnerabilidades contenidas en el grupo Legalidad y las pginas HTML que incluyen enlaces a: la instalacin de agentes de confianza, la realizacin de rastreos de seguridad de legalidad, la reparacin de vulnerabilidades detectadas y otros problemas). Y
Se activa la opcin Habilitar NAC de LANDesk en el cuadro de dilogo Configurar NAC de LANDesk.
Establecimiento del nivel deseado de seguridad de legalidad en puntos extremos

Si se cumplen todas las condiciones mencionadas, los servicios de NAC de LANDesk se encuentran en ejecucin en la red. Por supuesto, el servicio brinda flexibilidad y puede personalizar la forma en que el NAC de LANDesk maneja los dispositivos con opciones tales como la Lista de exclusin y Permitir a todos. Tambin puede controlar el nivel de seguridad mediante la cantidad y el tipo de definicin de contenido de seguridad que coloque en el grupo Legalidad, al igual que la cantidad de horas que especifique antes de que se ejecute un rastreo de seguridad de legalidad de forma automtica en los dispositivos conectados. Al ajustar estas opciones y el criterio de las polticas, puede definir polticas de seguridad muy estrictas, polticas de seguridad complejas o sencillas, polticas de seguridad benvolas o de cualquier nivel. En otras palabras, tiene la capacidad para personalizar el grado de dificultad o de facilidad, con el cual un dispositivo conectado puede cumplir con el criterio de seguridad que especifique.
164
Lo ms importante, puede cambiar la naturaleza de la poltica de seguridad de legalidad en cualquier momento a fin de satisfacer las circunstancias y los requisitos que estn en constante cambio. Simplemente recuerde que en cualquier momento que cambie su criterio de cumplimiento de seguridad (por ejemplo, el contenido del grupo de Legalidad en el Administrador de Seguridad y Revisiones, o la configuracin del NAC de LANDesk en el dilogo Configurar NAC de LANDesk), necesita volver a publicar la configuracin del NAC de LANDesk en los servidores de validacin de postura y en los servidores de reparacin.
Uso del permiso o la restriccin de acceso a la opcin de todos

Para las dos soluciones de NAC de LANDesk puede activar y desactivar todo el proceso de validacin de postura para la red con cada opcin de permiso o restriccin de acceso de la solucin. Puede utilizar esta opcin para dar suficiente tiempo a fin de que finalice la configuracin del NAC de LANDesk y la poltica de cumplimiento de seguridad, para permitir que el proceso normal del Administrador de Seguridad y Revisiones consiga que la mayor parte de sus dispositivos administrados sean compatibles, para cumplir con los diferentes registros e informes del NAC de LANDesk y elegir el momento adecuado para comenzar a hacer cumplir la poltica de seguridad y restringir el acceso a la red. Una vez que la mayora de los dispositivos administrados sean compatibles, o cuando el administrador de red crea que es momento de hacerlo, esta opcin activa el NAC de LANDesk en la red y bloquea el acceso a la red de los dispositivos que no son compatibles. Para permitir el acceso a todos (desactivar el proceso de validacin de postura) Si deja habilitada esta opcin, el NAC de LANDesk (el proceso de validacin de postura) se apagar y cualquier dispositivo, apropiado o no, puede acceder la red.
Para DCHP de LANDesk y Cisco NAC

1. 2. 3. En el Administrador de Seguridad y Revisiones, haga clic con el botn secundario en el grupo Control de acceso de red y luego haga clic en Configurar NAC de LANDesk. Asegrese de que la opcin Habilitar NAC de LANDesk no est activado. Los dispositivos apropiados y no apropiados se permitirn en una red hasta que cambie la configuracin.
Descripcin de lo que sucede cuando se determina la postura de los dispositivos conectados

Esta seccin describe brevemente las condiciones cuando los dispositivos se verifican para ver si son compatibles mediante el proceso de validacin de postura y lo que sucede cuando se determina la postura de los dispositivos.
165
MANUAL DE USUARIO
Observacin de los diagramas del proceso de validacin de postura para las soluciones NAC de LANDesk
Tambin puede ver el proceso de validacin de postura para los dispositivos con o sin agentes confiables en ambos entornos de NAC de LANDesk. Consulte las siguientes dos secciones con los diagramas: "Componentes y flujo de trabajo de proceso de DHCP de LANDesk" en la pgina 93 "Componentes y flujo de trabajo de proceso de Cisco NAC" en la pgina 131
En un entorno DHCP de LANDesk

Se impone una validacin de postura en el dispositivo cuando: Se adquiere una direccin IP Se cambia la direccin IP (revisin/renovacin) Se actualiza la direccin IP
Cuando se valida la postura de un dispositivo conectado sin el LTA instalado: El dispositivo se ubica en la red de cuarentena sin advertencia o notificacin. El dispositivo puede tener los recursos de red limitados que se proporcionan en la red de cuarentena Se registra un suceso de estado sin cliente en el archivo de registro. El usuario final puede instalar el agente de confianza en este momento O bien, el usuario final puede elegir si explorar solamente la Web (si el administrador de red lo ha configurado como opcin)
Cuando se valida la postura de un dispositivo conectado con el LTA instalado y se encuentra que no es apropiado ni compatible: Se explora el dispositivo
Cuando se valida la postura de un dispositivo conectado con el LTA instalado y se encuentra que es apropiado y compatible: Se permite el dispositivo en la red sin interrupcin Se registra un suceso de estado apropiado en el archivo de registro
En un entorno Cisco NAC

Se impone una validacin de postura en el dispositivo cuando: Intenta conectarse con un segmento de red protegido por Cisco NAC De forma peridica en un intervalo configurable
166
Cuando se valida la postura de un dispositivo conectado sin el CTA instalado: El dispositivo se maneja como sin clientes y sigue cualquier regla que se haya configurado para un usuario de cliente en Cisco Secure ACS
Cuando se valida la postura de un dispositivo conectado con el CTA instalado y se encuentra que no es apropiado ni compatible: El dispositivo se presenta con un cuadro de mensaje (declaracin de condicin), que puede configurarse en las instrucciones de ACS sobre lo que debe hacer a continuacin para la reparacin Se registra un estado en el archivo de registro de ACS (Apropiado, Infectado, Verificacin, Cuarentena y Desconocido) El usuario final debe explorar de forma manual la pgina de reparacin. De forma idnea, el cuadro de mensaje de Cisco NAC (declaracin de condicin) debe configurarse para que muestre la URL El usuario final puede hacer clic en el vnculo apropiado para rastrear el dispositivo (los equipos NT4 utilizan un vnculo diferente) Se explora y repara el dispositivo Se presenta la URL apropiada Se registra un suceso de estado apropiado Se permite el acceso de los dispositivos a la red O bien, el usuario final puede elegir si explorar la Web sin tener que rastrear
Cuando se valida la postura de un dispositivo conectado con el CTA instalado y se encuentra que es apropiado y compatible: Se permite el dispositivo en la red sin interrupcin Se registra un suceso de estado apropiado
Visualizacin de dispositivos afectados (que no cumplen)

Cuando desea ver en cules dispositivos se ha validado la postura y cules se encontraron que no son apropiados ni compatibles. 1. 2. 3. 4. En la herramienta Administrador de Seguridad y Revisiones, haga clic en el botn Equipos no apropiados de la barra de tareas. O bien, haga clic con el botn secundario en el grupo de Legalidad y, a continuacin, seleccione Equipos afectados. Un dilogo muestra las listas de dispositivos no compatibles. Puede seleccionar un dispositivo de la lista para ver las definiciones de seguridad con las cuales el dispositivo es vulnerable o las cuales no cumple.
Modificacin y actualizacin de polticas de seguridad de legalidad

Puede modificar y actualizar su poltica de cumplimiento de seguridad en cualquier momento.
167
MANUAL DE USUARIO
Para ello, cambie el contenido del grupo de Legalidad en el Administrador de Seguridad y Revisiones y cambie la configuracin del NAC de LANDesk, como las definiciones de postura apropiadas y no apropiadas y el nivel de registro en el dilogo Opciones de configuracin del NAC de LANDesk en la consola. A continuacin, debe volver a publicar el contenido del NAC de LANDesk en los servidores de validacin de postura y en los servidores de reparacin. Recuerde que la publicacin de contenido del NAC de LANDesk enva configuracin del NAC de LANDesk y reglas de cumplimiento para los servidores de validacin de postura Y las revisiones asociadas a los servidores de reparacin, mientras que la publicacin de los archivos de infraestructura configura y comparte los archivos (incluyendo el rastreador de cliente de seguridad, las instalaciones de agentes confiables y las pginas de plantillas de HTML) en los servidores de reparacin. (Nota: por lo general, los archivos de infraestructura slo necesitan publicarse una vez en los servidores de reparaciones. A diferencia del contenido del NAC de LANDesk, no necesita publicar estos archivos cada vez que cambia la poltica de seguridad de legalidad). Para obtener informacin detallada, consulte "Definicin del criterio de seguridad de legalidad en la herramienta Administrador de Seguridad y Revisiones" en la pgina 151.
Adicin de dispositivos no administrados a la herramienta de Deteccin de dispositivos no administrados

Si desea agregar dispositivos no administrados en la herramienta de deteccin de dispositivos no administrados, para que puedan configurarse con los agentes de LANDesk y se rastreen y reparen para la compatibilidad, siga el procedimiento a continuacin. 1. En el Administrador de Seguridad y Revisiones, haga clic con el botn secundario en el grupo Control de acceso de red y luego haga clic en Agregar dispositivos no administrados. (Nota: Para poder agregar dispositivos no administrados, debe tener instalado al menos un servidor de validacin de postura, el cual debe estar configurado en la consola). Haga clic en Herramientas | Configuracin | Deteccin de dispositivos no administrados para abrir la herramienta y haga clic en el grupo Equipos. Puede necesitar actualizar la vista de los dispositivos recientemente agregados.
2.
Configuracin y visualizacin del registro de cumplimiento

El NAC de LANDesk proporciona la capacidad para configurar y generar varios archivos de registro para varios procesos de validacin de postura. Puede personalizar los niveles de registro (la cantidad de informacin que se escribe en los archivos de registro) para estos registros. Estos archivos de registro son tiles si necesita analizar ciertos procesos o si desea resolver problemas.
Registro del servidor de validacin de postura (slo para Cisco NAC)

Este archivo de registro se encuentra en el servidor de validacin de postura en:
168
C:\Archivos de programa\LANDesk\PostureServer\PostureServer.log
El registro del servidor de validacin de postura muestra Todos los eventos de postura registrados (Apropiado, No apropiado, Desconocido) Razones para los eventos No apropiados y Desconocidos
Para configurar el nivel de registro en los registros de los servidores de validacin de postura 1. 2. En el Administrador de Seguridad y Revisiones, haga clic con el botn secundario en el grupo Control de acceso de red y luego haga clic en Configurar NAC de LANDesk. Seleccione un Nivel mnimo de registro en la lista desplegable. Los niveles de registro disponibles incluyen: Informacin, Advertencia, Error, Error crtico y Depurar. Nota: El nivel de registro que especifique se aplica a todos los servidores de validacin de postura y a los servidores DHCP de LANDesk de la lista.
Para ver registros de servidor de validacin de postura Puede ver el archivo de registro directamente en el servidor de validacin de postura en la ruta mencionada anteriormente. O bien, un acceso ms conveniente en los registros del servidor de validacin de postura se hace desde la herramienta Administrador de Seguridad y Revisiones de la consola. Sencillamente abra el objeto Control de acceso de red en el rbol del Administrador de Seguridad y Revisiones y haga doble clic en el archivo de registro que desee ver cuando est conectado.
Registro del servicio DHCP de LANDesk

Este archivo de registro slo se aplica a la solucin DHCP de LANDesk. Este archivo de registro se encuentra en el servidor LANDesk DHCP, en: C:\Archivos de programa\LANDesk\LDDHCP\DHCPService.log.
El registro del servicio DHCP de LANDesk muestra: Todos los eventos de DHCP registrados desde el servicio de LDDHCP Estado de postura de los dispositivos que solicitan las direcciones IP alquiladas de DHCP
Puede configurar el nivel de detalle de los registros de DHCP de LANDesk. Para ello defina el Nivel mnimo de registro en la lista desplegable del cuadro de dilogo Configurar NAC de LANDesk.
Registro de Cisco ACS

Este archivo de registro slo se aplica a la solucin Cisco NAC.
169
MANUAL DE USUARIO
Este archivo de registro se encuentra en el equipo de Cisco Secure ACS. Puede acceder este archivo de registro desde la utilidad de Cisco Secure ACS, en el Registro de autenticaciones fallidas.
Generacin de informes de legalidad

El NAC de LANDesk est representado por varios NAC de LANDesk e informes de compatibilidad nuevos en la herramienta Informes. Estos informes proporcionan una variedad de informacin til sobre los intentos de conexin con el NAC de LANDesk, deteccin de dispositivos no administrados, dispositivos con posturas apropiadas y no apropiadas, tendencias en el cumplimiento, cumplimiento de las polticas de seguridad y estado de cumplimiento de la red de LANDesk. La informacin para el NAC de LANDesk y los informes de cumplimiento proviene de los archivos de registro del servidor (mencionados con anterioridad). Por ejemplo, algunos de los informes de NAC de LANDesk y de cumplimiento incluyen: Todos los Registros de sucesos Dispositivo/Registro de sucesos del usuario Dispositivos detectados Registros del Histrico Resumen Histrico de inapropiados
Para acceder a la herramienta Informes y poder generar y ver los mismos, los usuarios de LANDesk deben tener derecho de administrador de LANDesk (lo que implica derechos absolutos) o derecho de informes especfico. Los informes del NAC de LANDesk siguen las mismas reglas que los del grupo de monitoreo de licencias de software, incluso la capacidad para copiarse, eliminarse, exportarse, etc.; desde los grupos Mis informes e Informes de usuarios.

En la ventana de informes se puede proceder a la ejecucin de cualquiera de ellos. En la ventana Informes, haga clic con el botn derecho del ratn en el informe que desea ejecutar y, a continuacin, en Ejecutar (o elija el botn de la barra de herramientas Ejecutar). Los datos del informe aparecen en Vista de informes. Tambin puede publicar los informes en un recurso seguro de archivos compartidos donde cualquier usuario los pueda ver, en caso de que tenga las credenciales necesarias para acceder. Para obtener ms informacin sobre el uso de la herramienta de Informes, y una lista completa de los informes de NAC de LANDesk y de seguridad de cumplimiento con descripciones, consulte "Informes" en la pgina 345.
170
Uso de la solucin LANDesk IP Security

El Control de acceso de red (NAC) de LANDesk admite dos implementaciones nuevas de control del acceso a la red (adems de las implementaciones LANDesk DHCP y Cisco NAC) como parte de la solucin completa de seguridad de cumplimiento. Las dos nuevas soluciones de NAC de LANDesk son: LANDesk IP Security LANDesk 802.1X
Este captulo describe cmo planear, instalar, configurar y habilitar la implementacin de LANDesk IP Security en el NAC de LANDesk. Para obtener informacin sobre LANDesk 802.1X, consulte "Uso de la solucin LANDesk 802.1X" en la pgina 181. Informacin general sobre el NAC de LANDesk Para obtener informacin general sobre el NAC de LANDesk y sobre otras soluciones de acceso de confianza mencionadas anteriormente, consulte el captulo NAC de LANDesk en el Manual del usuario de LANDesk Management Suite o el Manual del usuario de LANDesk Security Suite. Lea este captulo para obtener informacin sobre: "Informacin general sobre LANDesk IP Security" en la pgina 171 "Descripcin del proceso de LANDesk IP Security" en la pgina 172 "Configuracin de LANDesk IP Security" en la pgina 173 "Instalacin del agente de confianza de DHCP de LANDesk en dispositivos para la activacin del rastreo de cumplimiento" en la pgina 173 "Creacin de un certificado maestro para la directiva de buena condicin de seguridad IP" en la pgina 174 "Importacin y exportacin de certificados maestros" en la pgina 175 "Personalizacin de directivas de mantenimiento de la seguridad IP (acceso a Internet, listas de exclusin)" en la pgina 178 "Instalacin y configuracin de un servidor de reparaciones" en la pgina 180 "Comprensin y uso de la pgina Reparacin de HTML de la seguridad IP" en la pgina 180 "Visualizacin de la informacin de seguridad IP en el inventario" en la pgina 180 "Supervisin de las directivas de seguridad IP con el vigilante del agente de LANDesk" en la pgina 180
Informacin general sobre LANDesk IP Security

La solucin LANDesk IP Security aprovecha los protocolos de seguridad IP (IPsec) existentes que son nativos de TCP/IP a fin de proporcionar control de acceso al nivel bsico de la red. La seguridad IP protege la comunicacin de red a travs de la autenticacin basada en certificados. LANDesk IP Security es una solucin de control de acceso de red que resulta adecuada para las redes con direcciones IP estticas.
171
MANUAL DE USUARIO
LANDesk IP Security funciona mediante el envo de certificados firmados por la autoridad de certificacin del servidor central de LANDesk a los dispositivos administrados que han pasado de forma satisfactoria una verificacin de postura inicial. Si la verificacin de postura inicial falla, se asigna un certificado nico al dispositivo, el cual lo asla de la comunicacin con todos los dems dispositivos de la red. Si se deniega el acceso al dispositivo, un indicador muestra al usuario la forma en que puede cumplir con las directivas de seguridad estipuladas en el servidor central. Una vez que se determina que el dispositivo cumple con la directiva de seguridad, se le asigna un certificado de estado apropiado, se le otorga acceso a la red y podr comunicarse con los dems dispositivos de estado apropiado. LANDesk IP Security no requiere una configuracin por separado de componentes de hardware adicionales, tales como VLAN, servidores de postura, etc. LANDesk IP Security permite aplicar las directivas personalizadas de seguridad de cumplimiento definidas en el servidor central.
Descripcin del proceso de LANDesk IP Security

A continuacin se describe de forma bsica el proceso utilizado para aplicar el NAC de LANDesk cuando un dispositivo intenta el acceso o conexin a la red empresarial y se ha habilitado LANDesk IP Security.
Proceso de validacin de postura

1. Cuando intentan la conexin a la red, los dispositivos administrados se rastrean para comprobar su seguridad y determinar su postura ya sea como en buena condicin o en mala condicin. Las directivas de seguridad de cumplimiento para IP se definen mediante: Las definiciones de vulnerabilidad y otras definiciones de contenido de seguridad que se han agregado al grupo Cumplimiento en la herramienta Administrador de Seguridad y Revisiones de la consola; Y los ajustes que ha configurado en la directiva de mantenimiento de seguridad IP (vase a continuacin). 2. La autoridad de certificacin del servidor central asigna certificados de seguridad IP coincidentes a los dispositivos en buena condicin (comprobados). Se asigna el mismo certificado a todos los dispositivos en buena condicin. Se aplica una directiva de buena condicin al dispositivo. Se otorga acceso a la red y a los dispositivos en buena condicin, con certificados de seguridad IP coincidentes, se les permite la comunicacin entre ellos. Observe que cuando se vence un certificado (el cual es un ajuste que configura al crear el certificado maestro), debe rastrearse el dispositivo nuevamente para comprobar su seguridad a fin de validar su condicin y a continuacin, se reconfigura con un certificado nuevo.
172
3.
Los certificados en mala condicin (no comprobados) reciben una clave generada de forma aleatoria (para la directiva de mala condicin) que asegura que los equipos en mala condicin no se infecten entre ellos. Se aplica una directiva de mala condicin al dispositivo. Se deniega el acceso a la red y se aslan los dispositivos en mala condicin (en la misma red), los cuales no se pueden comunicar con ningn dispositivo excepto con los de la lista de excepcin de mala condicin. A continuacin se intenta la reparacin mediante el servidor central o el de reparacin, y se vuelve a ejecutar el rastreo de cumplimiento de la seguridad.
No se admiten los dispositivos no administrados Los dispositivos no administrados deben configurarse (a travs de la configuracin de agentes) con certificados de seguridad IP para que puedan comunicarse con los dispositivos administrados.
Configuracin de LANDesk IP Security

Antes de utilizar LANDesk 802.1X para el control del acceso a la red, primero debe realizar unas cuantas tareas de instalacin y configuracin. "Instalacin del agente de confianza de DHCP de LANDesk en dispositivos para la activacin del rastreo de cumplimiento" en la pgina 173 "Creacin de un certificado maestro para la directiva de buena condicin de seguridad IP" en la pgina 174 "Importacin y exportacin de certificados maestros" en la pgina 175 "Copia de seguridad y restauracin de certificados maestros" en la pgina 176 "Habilitacin de la seguridad IP e implementacin de la configuracin de cumplimiento en dispositivos administrados" en la pgina 177 "Personalizacin de directivas de mantenimiento de la seguridad IP (acceso a Internet, listas de exclusin)" en la pgina 178
Instalacin del agente de confianza de DHCP de LANDesk en dispositivos para la activacin del rastreo de cumplimiento
A fin de comunicarse con el servidor central de LANDesk y con su funcin de autoridad de certificacin (CA), y de evaluar su postura, el dispositivo debe tener instalado el agente de confianza de LANDesk (LTA). El Agente de confianza (LTA) de LANDesk se puede utilizar tanto por la solucin DHCP de LANDesk como por la solucin de seguridad de IP de LANDesk. Nota:Recuerde que para poder proporcionar capacidades adicionales de administracin de dispositivo, tambin puede instalar el LTA (que incluye el rastreo de inventario y programacin local) en los dispositivos administrados an cuando utiliza la solucin de Cisco NAC. Es decir, puede tener ambos agentes de confianza instalados en el dispositivo. Sin embargo, si utiliza la solucin de LANDesk DHCP, no deber instalar CTA en los dispositivos administrados.
173
MANUAL DE USUARIO
Para instalar el agente de confianza de LANDesk en dispositivos administrados por los empleados Si ya tiene el agente estndar de LANDesk, instale el LTA con una nueva configuracin de agente de dispositivo O, si no tiene el agente estndar de LANDesk, instale el LTA con una configuracin inicial de agente O instale el LTA con una configuracin de agente en los dispositivos con UDD
Para instalar el agente de confianza de LANDesk en dispositivos no administrados por los empleados Instale el agente estndar de LANDesk (wscfg32.exe) para instalar el LTA O bien, utilice la configuracin de agente autocontenida
Para instalar el agente confiable de LANDesk en los nuevos dispositivos de usuarios finales (empleado o visitante) Instale el LTA de forma manual utilizando una ruta URL o UNC (con la pgina Visitor.html ubicada en el recurso Web compartido de reparacin)
Creacin de un certificado maestro para la directiva de buena condicin de seguridad IP

Para crear un certificado maestro 1. En la ventana Administrador de Seguridad y Revisiones, ample el nodo Acceso de control de red, haga clic con el botn secundario en Seguridad IP y luego haga clic en Crear certificado maestro. Los certificados maestros se cifran automticamente y se crea una copia de seguridad de ellos en la carpeta Shared Files\Keys. Los archivos de copia de seguridad de los certificados maestros tienen la extensin de archivo .B12 Observe que si ya existe el certificado maestro, se le preguntar si desea crear un certificado nuevo que sobrescriba al anterior. Si reemplaza el certificado maestro que se est utilizando, todos los dispositivos que utilizan LANDesk IP Security deben actualizarse con el certificado nuevo. 2. 3. En el cuadro de dilogo Crear certificado maestro de seguridad de IP, escriba el nombre de la organizacin y el nombre comn. Escriba el nombre y el propsito de la creacin del certificado maestro. Esta informacin se almacena con el certificado y se utiliza para fines de control y auditora, lo que puede ser til durante la importacin y exportacin de certificados maestros entre servidores centrales. Escriba y confirme la contrasea del certificado. Especifique la cantidad de das para el vencimiento de la copia del certificado en el cliente.
4. 5.
174
6. 7.
Especifique la cantidad de das para el vencimiento del certificado maestro en el servidor central. Haga clic en Aceptar para guardar el certificado maestro y su configuracin.
Nota: si utiliza varios servidores centrales, debe copiar el mismo certificado maestro en cada uno de los servidores centrales que desee administrar con el control de acceso de red basado en la seguridad IP. Copie el certificado en el directorio: \LDLogon\LTA.
Acerca del cuadro de dilogo Crear certificado maestro de seguridad de IP

Utilice este cuadro de dilogo para crear certificados maestros de seguridad de IP. Este cuadro de dilogo contiene las opciones siguientes: Organizacin: escriba el nombre completo de la organizacin. Nombre comn: escriba el nombre comn de la organizacin. Nombre de quien est realizando la accin: escriba el nombre. Esta informacin se almacena con el certificado y se utiliza para fines de control y auditora, lo que puede ser til durante la importacin y exportacin de certificados maestros entre servidores centrales. Propsito: escriba la razn por la cual se realiza la accin. Esta informacin se almacena con el certificado y se utiliza para fines de control. Contrasea: escriba la contrasea. El administrador protege los archivos de certificado maestro con contraseas. Confirme la contrasea: verifica la exactitud de la contrasea. Das hasta que el certificado del cliente caduque: especifique la duracin (en das) hasta que caduque el certificado del cliente. Puede seleccionar entre 5 a 365 das. Aos hasta que el certificado maestro caduque: especifique la duracin (en aos) hasta que caduque el certificado maestro en el servidor central. Puede seleccionar entre 1 a 16 aos.
Tambin puede importar, exportar, crear copias de seguridad y restaurar certificados maestros.
Importacin y exportacin de certificados maestros

LANDesk IP Security permite importar y exportar certificados maestros a fin de que pueda compartirlos entre los servidores centrales y la red. Los archivos de certificado maestro exportados tienen la extensin de archivo .X12. Para importar o exportar un certificado maestro, en la ventana Administrador de Seguridad y Revisiones, ample el nodo Control de acceso de red, haga clic con el botn secundario en Seguridad IP y luego seleccione la tarea que desee realizar. Observe que si ya existe el certificado maestro, se le preguntar si desea importar un certificado nuevo que sobrescriba al anterior. Si reemplaza el certificado maestro que se est utilizando, todos los dispositivos que utilizan LANDesk IP Security deben actualizarse con el certificado nuevo.
175
MANUAL DE USUARIO
Acerca del cuadro de dilogo Importar (y Restaurar) el certificado maestro de la seguridad de IP

Utilice este cuadro de dilogo para importar (o restaurar) certificados maestros de seguridad de IP. Este cuadro de dilogo contiene las opciones siguientes Ubicacin del archivo del certificado: escriba la ruta y el archivo de certificado o haga clic en Examinar para buscarlo. Nombre de quien est realizando la accin: escriba el nombre. Esta informacin se almacena con el certificado y se utiliza para fines de control y auditora, lo que puede ser til durante la importacin y exportacin de certificados maestros entre servidores centrales. Propsito: escriba la razn por la cual se realiza la accin. Esta informacin se almacena con el certificado para fines de control. Contrasea: escriba la contrasea correcta. El administrador protege los archivos de certificado maestro con contraseas.
Copia de seguridad y restauracin de certificados maestros

LANDesk IP Security permite realizar copias de seguridad y restaurar los certificados maestros a fin de garantizar la integridad de los mismos. Para crear una copia de seguridad o restaurar un certificado maestro, en la ventana Administrador de Seguridad y Revisiones, ample el nodo Control de acceso de red, haga clic con el botn secundario en Seguridad IP y luego seleccione la opcin que desee realizar. Observe que si ya existe el certificado maestro, se le preguntar si desea restaurar un certificado nuevo que sobrescriba al anterior. Si reemplaza el certificado maestro que se est utilizando, todos los dispositivos que utilizan LANDesk IP Security deben actualizarse con el certificado nuevo.
Acerca del cuadro de dilogo Exportar (y Crear copia de seguridad para) el certificado maestro de la seguridad de IP
Utilice este cuadro de dilogo para exportar (o crear una copia de seguridad de) certificados maestros de seguridad de IP. Este cuadro de dilogo contiene las opciones siguientes Ubicacin del archivo del certificado: escriba la ruta y el archivo de certificado o haga clic en Examinar para buscarlo. Nombre de quien est realizando la accin: escriba el nombre. Esta informacin se almacena con el certificado y se utiliza para fines de control y auditora, lo que puede ser til durante la importacin y exportacin de certificados maestros entre servidores centrales.
176
Propsito: escriba la razn por la cual se realiza la accin. Esta informacin se almacena con el certificado para fines de control. Contrasea: escriba la contrasea correcta. El administrador protege los archivos de certificado maestro con contraseas.
Habilitacin de la seguridad IP e implementacin de la configuracin de cumplimiento en dispositivos administrados

Ahora que ha creado el certificado maestro, puede habilitar LANDesk IP Security en la red. Para ello, configure los ajustes de cumplimiento de la seguridad en la consola, y luego implemente dichos ajustes de cumplimiento con la seguridad IP habilitada en los dispositivos de destino. Para habilitar la seguridad IP en la consola 1. 2. 3. 4. 5. 6. 7. En la ventana del Administrador de Seguridad y Revisiones, haga clic en el botn Configurar ajustes de la barra de herramientas y luego en Ajustes de cumplimiento. Haga clic en Nuevo. Escriba un nombre para el ajuste de cumplimiento. Haga clic en la ficha Cumplimiento. Especifique una frecuencia de rastreo. En Acciones, marque la casilla de verificacin Aplicar configuracin de seguridad IP actual tras el rastreo. Haga clic en Aceptar para guardar el ajuste de cumplimiento con la seguridad IP habilitada.
Para implementar el cumplimiento de la seguridad IP en dispositivos de destino 1. 2. 3. 4. En la ventana Administrador de Seguridad y Revisiones, haga clic en el botn Crear una tarea de la barra de herramientas y luego en Tarea para cambiar ajustes. Seleccione el tipo de tarea que desee crear (directiva o tarea programada). En Ajustes de cumplimiento, seleccione los ajustes de cumplimiento que ha creado. Haga clic en Aceptar para guardar la tarea.
Una vez que haya configurado la seguridad IP con un certificado maestro y haya implementado los ajustes de cumplimiento con la aplicacin de la seguridad IP habilitada en los dispositivos de destino deseados, la seguridad IP est vigente en la red.
177
MANUAL DE USUARIO
Personalizacin de directivas de mantenimiento de la seguridad IP (acceso a Internet, listas de exclusin)

Puede personalizar la forma en que la seguridad IP se ejecuta en la red. Por ejemplo, es posible que la red incluya dispositivos que necesiten comunicarse pero que no sean compatibles con el protocolo de seguridad IP, tales como impresoras, y servidores y estaciones de trabajo que no son de Windows, al igual que dispositivos cuyo acceso no desee controlar con la seguridad IP. Acomode estos tipos de dispositivos con listas de exclusin. O quiz desee permitir que los dispositivos en buena condicin se comuniquen con otros dispositivos que no tengan habilitada la seguridad IP. Tambin puede definir una directiva de acceso a Internet. LANDesk IP Security le permite modificar sus directivas de buena (y mala) condicin por medio de las funciones a continuacin: Respuesta de seguridad IP Directiva de acceso a Internet Listas de exclusin
Para configurar la directiva de buena condicin, haga clic con el botn secundario en Directiva de dispositivos en buena condicin y seleccione una opcin. Habilitar respuesta para la seguridad de IP permite que los dispositivos en buena condicin se comuniquen con otros dispositivos que no tengan habilitada la seguridad IP. Configurar la directiva de acceso a Internet: puede permitir o bloquear el acceso directo a Internet. La opcin Permitir acceso directo agrega las direcciones IP pblicas de Internet a la lista de exclusin para que los dispositivos administrados con la seguridad IP tengan acceso a Internet. Las direccin pblicas se usan por lo general en sitios Web pblicos. Esta opcin funciona siempre y cuando no tenga un servidor proxy y el dispositivo administrado con la seguridad IP no utilice una direccin IP en el intervalo pblico. Utilice la opcin Bloquear el acceso directo, si el dispositivo administrado tiene una direccin IP pblica. En este caso, la estacin de trabajo necesita un servidor proxy configurado con las direcciones IP del servidor proxy en la lista de exclusiones de buena condicin, caso contrario, no funcionar la seguridad IP.
A continuacin, cree listas de exclusin para controlar el acceso.
El uso de las listas de exclusin permite (o deniega) el acceso a dispositivos especficos

Las listas de exclusin (tambin llamadas listas de excepcin o dispositivos permitidos) le permiten habilitar (y deshabilitar) el acceso a ciertos dispositivos. Las listas de exclusin se pueden crear tanto para directivas de buena condicin como para las de mala condicin. Puede crear las listas de exclusin de forma manual o bien, importar dispositivos a la lista de excepcin. Tambin puede exportar listas de excepcin a fin de compartirlas entre los servidores centrales.
178
Las excepciones de buena condicin son aquellos dispositivos que no admiten la seguridad IP o que no se han configurado con LANDesk IP Security, pero que todava pueden acceder a la red. Por ejemplo, debe agregar los dispositivos que no sean compatibles con la seguridad IP, tales como dispositivos de Linux y Unix, a la lista de exclusin de la directiva de buena condicin. Esto garantiza que se permita el acceso a dichos dispositivos. Las excepciones de mala condicin son sistemas aprobados con los cuales se pueden comunicar los dispositivos en mala condicin a fin de restaurar su condicin nuevamente. De forma predeterminada, esta lista incluye el servidor central, los servidores DNS y DHCP locales, y la puerta de enlace local. Para crear una lista de exclusin, agregue los dispositivos identificados con su informacin de direccin IP. Para crear una lista de exclusin de forma manual 1. En la ventana Administrador de Seguridad y Revisiones, ample el nodo Control de acceso de red, ample el nodo Seguridad IP, ample el nodo Directiva de dispositivos en buena condicin, haga clic con el botn secundario en Dispositivos permitidos y luego en Nuevo. Especifique los dispositivos que desee permitir, ya sea por direccin IP individual o por subred a fin de permitir toda la red. Haga clic en Aceptar.
2. 3.
Para crear listas de exclusin, tambin puede importar dispositivos con la herramienta Deteccin extendida de dispositivos (EDD) o a partir de un archivo CSV.
Pautas y consideraciones adicionales para el uso de listas de exclusin

Como norma general, recomendamos que slo agregue dispositivos o subredes que no tengan habilitada la Seguridad IP para las listas de exclusin o excepcin de buena condicin. La excepcin a esta regla es cuando dos dispositivos tienen habilitada la Seguridad IP pero no se tienen confianza porque usan certificados maestros distintos. En este caso, debe incluir a ambos nodos en la lista de excepcin de buena condicin del otro. La siguiente descripcin puede ayudar a comprender mejor la forma de trabajo de las listas de excepcin en el entorno de LANDesk IP Security. Si tomamos como ejemplo dos dispositivos A y B en buena condicin: Si el nodo A tiene la Seguridad IP habilitada pero el nodo B no, y B no est en la lista de excepcin de A, entonces A y B no pueden comunicarse B est en la lista de excepcin de A, entonces A y B pueden comunicarse Si tanto el nodo A como el nodo B tienen habilitada la Seguridad IP, y A y B no estn en la lista de excepcin del otro, entonces A y B pueden comunicarse B est en la lista de excepcin de A y A est en la lista de excepcin de B, entonces A y B pueden comunicarse B est en la lista de excepcin de A, entonces A y B no pueden comunicarse
179
MANUAL DE USUARIO

Constituye un componente comn y por lo tanto, una tarea comn para las soluciones DHCP de LANDesk, Cisco NAC y LANDesk IP Security. Para obtener ms informacin e instrucciones paso a paso, consulte "Instalacin y configuracin de un servidor de reparaciones" en la pgina 110.
Comprensin y uso de la pgina Reparacin de HTML de la seguridad IP

Al igual que con otras implementaciones de acceso de confianza, LANDesk proporciona una pgina de reparacin de HTML (pgina Web) para la seguridad IP. Dicha pgina HTML se visualiza en un dispositivo que no apruebe el rastreo de la seguridad de cumplimiento y se determine que est en mala condicin. Se deniega el acceso al dispositivo y se visualiza la pgina. El administrador debe editar manualmente este archivo, para permitir la visualizacin dinmica de la informacin de vulnerabilidad y cualquier paso de reparacin, al igual que con las dems pginas HTML de "desaprobacin". Para obtener ms informacin, consulte "Comprensin y uso de las pginas de reparaciones del NAC de LANDesk" en la pgina 158.
Visualizacin de la informacin de seguridad IP en el inventario

Podr ver la informacin de seguridad IP en el inventario. Dichos datos de inventario permiten realizar consultas basadas en la postura o el estado de la seguridad IP en los dispositivos rastreados (ya sea que estn en buena o mala condicin segn las directivas de seguridad IP). Para ver la entrada de la seguridad IP en el inventario, vaya a Inventario | Red | TCPIP | Directiva de seguridad de IP activo. Para ver si se ha habilitado LANDesk IP Security en el dispositivo, vea el ajuste de cumplimiento de dispositivo, el cual se encuentra en Inventario | Landesk Management | Rastreo de vulnerabilidades | Configuracin | Nombre de la configuracin de cumplimiento.
Supervisin de las directivas de seguridad IP con el vigilante del agente de LANDesk

Puede controlar la directiva de seguridad IP en los dispositivos administrados. 1. 2. 3. En la vista de red de la consola, haga clic con el botn secundario en uno o ms dispositivos y luego haga clic en Actualizar la configuracin del vigilante del agente. Seleccione la configuracin del vigilante del agente en la lista. En el cuadro de dilogo Configuracin del vigilante del agente, marque la casilla Controlar la directiva de seguridad IP.
180
Uso de la solucin LANDesk 802.1X

El Control de acceso de red (NAC) de LANDesk admite dos implementaciones nuevas de control del acceso a la red (adems de las implementaciones LANDesk DHCP y Cisco NAC) como parte de la solucin completa de seguridad de cumplimiento. Las dos nuevas soluciones de NAC de LANDesk son: LANDesk IP Security LANDesk 802.1X
Este captulo describe cmo planear, instalar, configurar y habilitar la implementacin de LANDesk 802.1X del NAC de LANDesk. Para obtener informacin sobre LANDesk IP Security, consulte "Uso de la solucin LANDesk IP Security" en la pgina 171. Informacin general sobre el NAC de LANDesk Para obtener informacin general sobre el NAC de LANDesk y sobre otras soluciones de acceso de confianza mencionadas anteriormente, consulte el captulo NAC de LANDesk en el Manual del usuario de LANDesk Management Suite o el Manual del usuario de LANDesk Security Suite. Lea este captulo para obtener informacin sobre:
Configuracin de una implementacin de LANDesk 802.1X del NAC de LANDesk

"Descripcin general de LANDesk 802.1X" en la pgina 182 "Configuracin del servidor LANDesk 802.1X Radius" en la pgina 183 "Uso del complemento de servidor Radius IAS" en la pgina 184 "Uso del proxy Radius" en la pgina 187 "configuracin de un servidor de reparaciones (para la red de cuarentena DHCP)" en la pgina 190 "Implementacin del agente de LANDesk 802.1x en los dispositivos administrados para habilitar el rastreo de cumplimiento" en la pgina 190 "Qu sucede en los dispositivos administrados configurados con 802.1X" en la pgina 191 "Resolucin de problemas de LANDesk 802.1X" en la pgina 192
Qu debe hacer tras configurar una implementacin de LANDesk 802.1X

Despus de haber completado las tareas de configuracin mencionadas, el paso siguiente en la implementacin del NAC de LANDesk es: definir su poltica de seguridad de cumplimiento, publicar las configuraciones NAC de LANDesk en los servidores apropiados y personalizar las pginas de reparaciones como lo desee. Estas tareas por lo general son idnticas y se aplican a las soluciones DCHP de LANDesk, Cisco NAC integradas y LANDesk 802.1X. Para obtener ms informacin sobre la ejecucin de estas tareas, consulte "Configuracin de los criterios de seguridad de cumplimiento y publicacin de la configuracin de NAC de LANDesk" en la pgina 150.
181
MANUAL DE USUARIO
Adems, para ms informacin sobre las tareas continuas de administracin del NAC de LANDesk, tales como: verificacin de la activacin de los servicios del NAC de LANDesk, uso de la opcin de permitir y denegar el acceso a todos, comprensin de lo que sucede cuando se determina la postura de los dispositivos conectados, actualizacin de reglas y polticas de seguridad de cumplimiento, publicacin de la configuracin del NAC de LANDesk, adicin de dispositivos a la herramienta de Deteccin de dispositivos no administrados, visualizacin de los dispositivos afectados, configuracin del inicio de sesin y generacin de informes, consulte "Administracin de la seguridad de cumplimiento del NAC de LANDesk" en la pgina 163.
Descripcin general de LANDesk 802.1X

En primer lugar, una breve explicacin del protocolo de seguridad IEEE 802.1X. El protocolo de seguridad IEEE 802.1X se utiliza para el control del acceso a la red basado en puertos. 802.1X proporciona autenticacin a los dispositivos, ya sea mediante el establecimiento de una conexin o mediante la prevencin del acceso si falla la autenticacin. 802.1X se basa en EAP (Protocolo de autenticacin ampliable). 802.1X es admitido en la mayora de los enrutadores y conmutadores de red y se puede configurar para la autenticacin de clientes que tienen instalado software de agente. El control de acceso de red 802.1X de LANDesk es una solucin 802.1X Radius proxy que funciona con todos los proveedores de conmutacin ms importantes que admiten el estndar 802.1X. LANDesk 802.1X puede realizar la puesta en cuarentena y reparacin del dispositivo en mala condicin siempre que el interruptor (entre la red de produccin y de cuarentena) y el enrutador (entre la red del servidor y las redes de produccin y de cuarentena) estn configurados para soportar la funcionalidad de cuarentena 802.1X. Con la solucin LANDesk 802.1X, el servidor Radius (tanto un servidor Microsoft IAS con el complemento LANDesk EAP IAS como un servidor Radius con el proxy LANDesk 802.1X) realiza la validacin de postura, o en otras palabras, confirma el cumplimiento de la poltica de seguridad. En este rol, el servidor Radius funciona como un punto de decisin de acceso a la red, y trabaja junto con el interruptor de red, que acta como el dispositivo de control de acceso a la red. LANDesk 802.1X con el complemento LANDesk EAP IAS usa un agente LANDesk NAC EAP de propiedad exclusiva que reside tanto en el servidor IAS Radius como en los dispositivos administrados. El agente LTA EAP puede instalarse en el dispositivo administrado como parte de una implementacin de configuracin de agente. La configuracin de agente del dispositivo determina tambin la manera en que se asigna una direccin IP a los dispositivos no apropiados cuando estn en cuarentena: ya sea a travs de una direccin IP auto asignada por medio de la funcin integrada NIC TCP/IP, o mediante la solicitud de una direccin IP nica de DHCP en el siguiente rango de direccin de red (rango IP de red de cuarentena: 169.254.0.0; mscara de red: 255.255.0.0; red clase B). Como ya se mencion, con la solucin LANDesk 802.1X, el conmutador de red acta como dispositivo de control de acceso de red (punto de paso) y enva las solicitudes de autenticacin de dispositivo al servidor Radius que realiza la autenticacin real. Segn los resultados devueltos al conmutador por el servidor Radius y los resultados de validacin de postura subsiguientes, se permite o deniega el acceso a la red de los dispositivos solicitantes.
182
Descripcin del proceso de validacin de postura de LANDesk 802.1X

La autenticacin 802.1X estndar requiere un nombre de usuario y una contrasea para el acceso a la red. El control de acceso de red LANDesk 802.1X ampla este modelo bsico por medio de la solicitud de que el agente de LANDesk estndar (CBA) est instalado en los dispositivos administrados que soliciten acceso a la red, y que se haya determinado que el dispositivo suplicante cumpla con la directiva de seguridad personalizada. El NAC de LANDesk verifica la presencia del agente de LANDesk estndar por medio de la bsqueda de un ID de dispositivo nico, creado por el mismo agente. Nota: LANDesk EAP no intenta la autenticacin a menos que encuentre el Id. del dispositivo. A continuacin, el NAC de LANDesk ejecuta un rastreo de seguridad de cumplimiento que determina el mantenimiento o el estado del dispositivo de acuerdo con los criterios definidos en la poltica de seguridad personalizada. A este rastreo lo realiza una tarea de rastreo de Cumplimiento por medio de una configuracin de Cumplimiento con la opcin Hacer cumplir el rastreo 802.1X habilitada en la ficha Cumplimiento. Para obtener ms informacin, consulte About the Scan and repair settings: Compliance tab. Rastreos de seguridad de cumplimiento Con el Administrador de Seguridad y Revisiones puede crear y configurar un rastreo de seguridad especfico del cumplimiento que busque en los dispositivos el cumplimiento de la poltica de seguridad personalizada. Un rastreo de seguridad se basa en los contenidos del grupo Cumplimiento, y puede ejecutarse como una tarea programada o como una directiva. Para obtener informacin sobre la actualizacin de las directivas y reglas de seguridad y la publicacin de la configuracin del NAC de LANDesk, consulte "Administracin de la seguridad de cumplimiento del NAC de LANDesk" en la pgina 163. Si se determina que el dispositivo rastreado tiene el estado apropiado (es decir, que cumple con los requisitos), se le concede el acceso a la red empresarial. Si se determina que el dispositivo rastreado no tiene el estado apropiado (es decir, que no cumple con los requisitos), se coloca en la red de cuarentena, en donde puede ser reparado y rastreado nuevamente para obtener el acceso a la red empresarial.
Configuracin del servidor LANDesk 802.1X Radius

Antes de utilizar el LANDesk 802.1X, primero debe realizar unas cuantas tareas de instalacin y configuracin. En primer lugar, elija uno de los mtodos siguientes para implementar LANDesk 802.1X en un servidor Radius: "Uso del complemento de servidor Radius IAS" en la pgina 184 "Uso del proxy Radius" en la pgina 187
Las secciones siguientes contienen instrucciones detalladas para ambos mtodos de configuracin del servidor LANDesk 802.1X Radius.
183
MANUAL DE USUARIO
Despus de configurar el servidor Radius, debe configurar tambin un servidor de reparaciones, y su interruptor de red y enrutador para el apoyo del 802.1X.
Uso del complemento de servidor Radius IAS

Utilice el complemento de servidor IAS de LANDesk 802.1X si desea utilizar un servidor IAS existente (o configure un servidor IAS nuevo) para la autenticacin 802.1X. Los pasos siguientes describe la instalacin (si es necesaria) y la configuracin de un servidor IAS con el complemento LANDesk EAP. Realice todos los pasos antes de habilitar LANDesk 802.1X en la consola.
Configuracin del servidor Radius IAS con LANDesk EAP

Paso 1: Instale el servidor Radius y el tipo LTA EAP 1. Instale el IAS (Servidor de autenticacin de Internet) en el servidor que desee configurar como el servidor Radius de acceso remoto. Instale IAS a partir del CD de Windows 2003. (Nota: el protocolo Radius solamente se admite en Windows 2000 y Windows 2003.) Siga las indicaciones de instalacin. Instale el tipo LTA EAP en el servidor Radius. LTA EAP es un protocolo de autenticacin privado de LANDesk. LTA EAP se instala a partir del servidor central de LANDesk. Asigne una unidad al servidor central y luego ejecute el archivo ejecutable de nombre LTAEAP.EXE que se encuentra en: el directorio \LDMain\Install\Radius. Reinicie el servidor para registrar LTA EAP en el servidor.
2.
3.
Nota: el nuevo tipo EAP se verifica en la pgina Propiedades de servidor remoto. Para ello, vaya a Herramientas administrativas | Enrutamiento y acceso remoto. Haga clic con el botn secundario en el servidor remoto, haga clic en Propiedades, en la ficha Seguridad, en Mtodos de autenticacin y en Mtodos EAP. El tipo LTA EAP debe figurar en la lista de mtodos. Si LTA EAP no se encuentra en la lista, debe instalarlo a partir del servidor central. Paso 2: Configure e inicie el servicio de acceso remoto en el servidor Radius 1. 2. Haga clic en Panel de control | Herramientas administrativas | Enrutamiento y acceso remoto. Haga clic con el botn secundario en el servidor y haga clic en Configurar y habilitar el enrutamiento y acceso remoto. Se abre el Asistente para configuracin del servidor de enrutamiento y acceso remoto. Haga clic en Siguiente. Seleccione Configuracin personalizada y a continuacin, haga clic en Siguiente. Seleccione Acceso telefnico y haga clic en Siguiente. Haga clic en Finalizar. Cuando se le solicite, haga clic en S para iniciar el servicio.
3. 4. 5. 6. 7.
184
Paso 3: Personalice el servicio de acceso remoto (configure EAP como el mtodo de autenticacin preferido para los dispositivos remotos). 1. 2. 3. En la herramienta Enrutamiento y acceso remoto, haga clic con el botn secundario en el servidor que ha configurado y haga clic en Propiedades. En la ficha General, verifique que est marcada la opcin Servidor de acceso remoto. En la ficha Seguridad, marque la casilla Protocolo de autenticacin ampliable (EAP). Quiz desee hacer clic en el botn Mtodos EAP para asegurarse de que el nuevo mtodo LTA EAP se encuentre en la lista de mtodos. Haga clic en Aceptar para salir del cuadro de dilogo Mtodos de autenticacin. Haga clic en Aceptar de nuevo para salir del cuadro de dilogo Propiedades.
4. 5.
Creacin de una directiva de acceso remoto en el servidor Radius

Debe configurar una directiva de acceso remoto que utilice el mtodo LANDesk EAP para la autenticacin. Para ello utilice la herramienta IAS o la herramienta Enrutamiento y acceso remoto. Paso 1: Cree la directiva de acceso remoto 1. 2. 3. Bajo el nodo de servidor remoto, haga clic con el botn secundario en Directivas de acceso remoto y luego en Nuevo. Se abre el Asistente para directivas de acceso remoto. Haga clic en Siguiente. Seleccione el tipo de directiva Tpica, escriba un nombre para la directiva y haga clic en Siguiente. Nota: escriba un nombre descriptivo que identifique la directiva con facilidad, tal como LANDesk EAP.) Seleccione el mtodo de acceso Ethernet y haga clic en Siguiente. Seleccione Usuario para otorgar acceso (no Grupo) y haga clic en Siguiente. Seleccione el mtodo de autenticacin LTA EAP y haga clic en Siguiente. Haga clic en Finalizar para crear la directiva de acceso remoto.
4. 5. 6. 7.
Paso 2: Configure la directiva de acceso remoto para admitir tanto redes cableadas como inalmbricas 1. 2. 3. Haga clic con el botn secundario en la directiva de acceso remoto nueva que ha creado y luego haga clic en Propiedades. Marque la opcin Otorgar permiso de acceso remoto para habilitar la compatibilidad inalmbrica. Haga clic en Aceptar.
Configuracin (adicin) de conmutadores de red como clientes Radius

Ahora necesita agregar los conmutadores de red (como clientes Radius) que desee utilizar con la autenticacin LANDesk 802.1X.
185
MANUAL DE USUARIO
Esta tarea se realiza en la herramienta IAS (IAS | Clientes Radius). Al agregar un conmutador como cliente Radius, el servidor Radius podr reconocer y procesar las solicitudes de autenticacin a travs de dicho conmutador.
Creacin de un usuario comn en el servidor Radius

Ahora debe crear un usuario nuevo en el servidor Radius para establecer las credenciales de inicio de sesin. El nombre y la contrasea del usuario determinan las credenciales de autenticacin para dispositivos administrados configurados con el NAC de LANDesk 802.1X que intenten el acceso a la red. Utilice la herramienta Administracin de equipos del servidor para realizar esta tarea. Para crear un usuario comn en el servidor Radius 1. 2. 3. 4. 5. 6. En el servidor Radius, haga clic en Inicio | Programas | Herramientas administrativas | Administracin de equipos. Abra Usuarios y grupos locales, haga clic con el botn secundario en Usuarios y luego haga clic en Usuario nuevo. Escriba un nombre de usuario. Escriba y confirme la contrasea. Configure la contrasea con las opciones siguientes: desmarque la casilla de verificacin El usuario debe cambiar la contrasea marque la casilla de verificacin El usuario no puede cambiar la contrasea marque la casilla de verificacin La contrasea nunca caduca asegrese de desactivar la casilla La cuenta est deshabilitada Haga clic en Crear.
El nombre de usuario y la contrasea especificados aqu son las credenciales de inicio de sesin que el usuario final debe proporcionar a fin de responder de forma satisfactoria a la solicitud de identificacin de autenticacin durante el proceso de autenticacin de LANDesk 802.1X. A continuacin, las credenciales se envan al servidor Radius, junto con los datos de LANDesk EAP del dispositivo, con el fin de determinar si se ha otorgado acceso a la red al dispositivo. Ahora puede habilitar LANDesk 802.1X en la consola. (El otro mtodo de implementacin de LANDesk 802.1X es mediante la configuracin e instalacin de un proxy Radius. Para obtener ms informacin, consulte "Uso del proxy Radius" en la pgina 187.)
Habilitacin de LANDesk 802.1X (con el complemento de servidor Radius IAS)

Despus de completar todas las tareas de configuracin mencionadas, podr habilitar la autenticacin de LANDesk 802.1X. Para ello, utilice la consola de LANDesk (Administrador de Seguridad y Revisiones | Acceso de confianza).
186
Esto en esencia activa los servicios de autenticacin de LANDesk 802.1X en la red. No obstante, an debe configurar los dispositivos administrados con el agente de LANDesk 802.1X antes de administrar e imponer el acceso remoto en ellos a travs de la autenticacin de LANDesk 802.1X. Consulte "Implementacin del agente de LANDesk 802.1x en los dispositivos administrados para habilitar el rastreo de cumplimiento" en la pgina 190. Para habilitar LANDesk 802.1X con el complemento de servidor Radius IAS 1. 2. 3. En la herramienta Administrador de Seguridad y Revisiones, ample el nodo Configuracin y tambin el nodo NAC de LANDesk. Haga clic con el botn secundario en el objeto 802.1X y haga clic en Configurar 802.1X | Servidor Radius. Marque la casilla Habilitar servidor Radius 802.1X. Esto activa la autenticacin 802.1X en la red (para dispositivos con el agente 802.1X) mediante el servidor Radius IAS con el complemento LANDesk EAP que ha configurado. Seleccione el Tipo EAP 4. Seleccione Utilizar el complemento LTA EAP IAS. Haga clic en Aceptar.
4. 5. 6.
La seccin siguiente describe la configuracin de LANDesk 802.1X con el mtodo de proxy Radius.
Uso del proxy Radius

Utilice el mtodo de proxy Radius si posee un servidor Radius que no sea IAS. O tambin, si no desea utilizar el complemento LANDesk EAP. El proxy Radius de LANDesk 802.1X se puede instalar en los tipos de servidores Radius siguientes: Cisco ACS Redes A10 CAMS (Comprehensive Access Management System) IAS (Internet Authentication Service)
Coexistencia con el software de servidor Radius El proxy Radius de LANDesk 802.1X puede coexistir en servidores que ejecutan el software del servidor Radius. Si el servidor Radius est basado en hardware, debe instalar el proxy Radius de LANDesk 802.1X en otro servidor. El proxy Radius se comunica entre el conmutador y el dispositivo que tiene instalado el agente de LANDesk 802.1X. El proxy se encuentra en medio y el dispositivo se autentica con el proxy Radius, y el proxy pasa el Id. y la contrasea al servidor Radius. Si el agente no est instalado en el dispositivo que intenta realizar la conexin, el proxy Radius deniega el acceso.
187
MANUAL DE USUARIO
Configuracin y habilitacin de LANDesk 802.1X (con el proxy Radius)

A fin de utilizar el mtodo de proxy Radius para implementar la autenticacin de LANDesk 802.1X, debe configurar las opciones de un archivo de instalacin de proxy Radius, habilitar LANDesk 802.1X (con la opcin de proxy Radius) e instalar el proxy Radius en el servidor Radius. Para ello, utilice la consola de LANDesk (Administrador de Seguridad y Revisiones | Acceso de confianza). Esto en esencia activa los servicios de autenticacin de LANDesk 802.1X en la red. No obstante, an debe configurar los dispositivos administrados con el agente de LANDesk 802.1X antes de administrar e imponer el acceso remoto en ellos a travs de la autenticacin de LANDesk 802.1X. Consulte "Implementacin del agente de LANDesk 802.1x en los dispositivos administrados para habilitar el rastreo de cumplimiento" en la pgina 190. Para habilitar LANDesk 802.1X con un proxy Radius 1. 2. 3. En la herramienta Administrador de Seguridad y Revisiones, ample el nodo Configuracin y tambin el nodo NAC de LANDesk. Haga clic con el botn secundario en el objeto 802.1X y haga clic en Configurar 802.1X | Servidor Radius. Marque la casilla Habilitar servidor Radius 802.1X. Esto activa la autenticacin 802.1X en la red (para dispositivos con el agente 802.1X) tras la instalacin del proxy Radius que ha configurado. Seleccione el Tipo EAP 4. Seleccione Utilizar proxy Radius LTA. Especifique el servidor Radius y la configuracin de proxy. Escriba un nombre para el archivo de instalacin del proxy Radius (MSI). El archivo de instalacin se crea en el directorio LDMAIN, bajo Install\Radius\. Puede realizar varias instalaciones de servidor proxy Radius. El proxy Radius es compatible con la plataforma de 32 bits de Windows. Haga clic en Aceptar.
4. 5. 6. 7.
8.
Para instalar un proxy Radius 1. En el servidor que desee configurar con el proxy Radius de LANDesk 802.1X, conctese con el servidor central y navegue hasta la carpeta donde haya guardado el archivo de instalacin de proxy. Haga doble clic en el archivo MSI para ejecutar la instalacin. Haga clic en Cerrar cuando se haya completado la instalacin. No es necesario reiniciar el sistema.
2. 3.
La instalacin del proxy Radius agrega datos (tal como informacin de direccin y puerto) al registro del servidor. No se admite en plataformas de 64 bits NO instale el proxy Radius en Windows 98 ni en ninguna plataforma de 64 bits.
188
La seccin siguiente describe los cuadros de dilogo mencionados en las tareas anteriores.
Acerca de la configuracin de 802.1X: Pgina del servidor Radius

Use este cuadro de dilogo para seleccionar un servidor de reparaciones y publicar la configuracin de control de acceso de red en el servidor de reparaciones, y para habilitar a LANDesk 802.1X y al NAC de LANDesk en la red. Si utiliza el mtodo del complemento de servidor Radius IAS para implementar LANDesk 802.1X, sencillamente habilite el servidor Radius, especifique el tipo EAP y seleccione la opcin de complemento IAS. Si utiliza el mtodo de proxy Radius para implementar LANDesk 802.1X, no solamente debe habilitar el servidor Radius y especificar el tipo EAP, sino que tambin debe configurar las opciones del proxy Radius en un archivo de instalacin de proxy Radius y luego instalar el proxy Radius en el servidor designado. Este cuadro de dilogo contiene las opciones siguientes: Servidor de reparaciones: Haga clic en Agregar para especificar el servidor de reparaciones que desea usar para reparar los dispositivos no apropiados ubicados en la red de cuarentena. Para obtener informacin sobre el servidor de reparaciones, haga clic en el botn Ayuda. Un servidor de remedio contiene los archivos de configuracin y compatibilidad necesarios (cliente de seguridad, definiciones de tipo de seguridad y revisiones requeridas), al igual que las pginas de plantilla HTML utilizadas para rastrear dispositivos en busca de las vulnerabilidades identificadas en la poltica de seguridad, y para reparar cualquier vulnerabilidad detectada a fin de que el dispositivo se pueda rastrear y determinar que tiene un estado apropiado para permitirle el acceso a la red. Habilitar servidor Radius 802.1X: activa el NAC de LANDesk 802.1X. De forma predeterminada esta opcin se encuentra desactivada, lo que le permite a cualquier dispositivo, apropiado o no, acceder a la red. Deje esta opcin desactivada si desea que todos tengan acceso a la red. Tipo EAP: identifica el tipo EAP que se utiliza en la autenticacin de LANDesk 802.1X. El tipo EAP 4 es un tipo EAP estndar compatible con la mayora de los dispositivos. El tipo EAP utiliza un desafo hash MD5, lo cual significa que requiere un nombre de usuario y una contrasea para la autenticacin. Utilizar el complemento LTA EAP IAS: seleccione esta opcin si desea utilizar el complemento LANDesk EAP en un servidor Radius IAS. Utilizar proxy Radius LTA: seleccione estas opciones si desea configurar e instalar un proxy Radius de LANDesk 802.1X. Una vez que seleccione esta opcin, se pueden editar los campos de configuracin del proxy Radius. Proxy Radius: Direccin de servidor Radius: especifica la direccin IP del servidor Radius. Puerto de servidor Radius: especifica el nmero de puerto del servidor Radius. El nmero de puerto predeterminado para la autenticacin Radius es el puerto UDP 1812.
189
MANUAL DE USUARIO
Clave compartida: especifica la clave compartida (por ejemplo, el secreto compartido) que proporciona seguridad a la comunicacin entre el conmutador y el servidor Radius. La clave compartida es una cadena de texto. La cadena que especifique aqu debe coincidir con la cadena de clave compartida configurada en el conmutador y en el servidor Radius. Puerto de proxy Radius: especifica el nmero de puerto del proxy Radius. Este puerto se comunica con el conmutador. Tenga en cuenta que este nmero de puerto debe ser distinto del puerto del servidor Radius (mencionado anteriormente) si se encuentran en el mismo equipo. Puerto de reenvo de proxy Radius: especifica el nmero de puerto de reenvo del proxy Radius. Este puerto reenva los datos al servidor Radius. Nombre del archivo de instalacin de proxy: identifica el archivo de instalacin del proxy Radius. El archivo de instalacin se crea en el directorio LDMain, bajo Install\Radius\. Puede crear varios archivos de instalacin de proxy Radius. El proxy Radius se admite en todas las plataformas de 32 bits de Windows.
configuracin de un servidor de reparaciones (para la red de cuarentena DHCP)

Constituye un componente comn y por lo tanto, una tarea comn para las soluciones del NAC de LANDesk, incluso LANDesk 802.1X con una red de cuarentena DHCP. Slo debe configurar un servidor de remedio si seleccion el uso de una red de cuarentena DHCP en lugar del mtodo de direccin IP auto asignada TCP/IP para poner a los dispositivos no apropiados en cuarentena. LANDesk 802.1X con direccin IP auto asignada usa la funcin integrada NIC TCP/IP. Para obtener ms informacin e instrucciones paso a paso, consulte "Instalacin y configuracin de un servidor de reparaciones" en la pgina 110.
Implementacin del agente de LANDesk 802.1x en los dispositivos administrados para habilitar el rastreo de cumplimiento
Como paso final de la configuracin de la autenticacin de LANDesk 802.1X, debe implementar el agente de LANDesk 802.1X en los dispositivos administrados de destino. Esto permite la autenticacin de los dispositivos administrados, y que se les permita el acceso a la red o bien que se los coloque en cuarentena y se los repare. Para implementar el agente de LANDesk 802.1x en los dispositivos administrados 1. 2. En la herramienta Configuracin del Agente, haga clic en Nueva configuracin de Windows. En la pgina Asistencia de LANDesk 802.1X, marque la casilla Habilitar la asistencia de LANDesk 802.1X. Nota: Esta opcin no est disponible si no ha habilitado el servidor Radius 802.1X en la herramienta NAC de LANDesk de la consola. LANDesk 802.1X utiliza el tipo EAP especificado en NAC de LANDesk de la herramienta Administrador de Seguridad y Revisiones. La configuracin del tipo EAP abarca todo el servidor central. En otras palabras, todos los dispositivos configurados con esta configuracin de agente tendrn el tipo EAP especificado en la consola.
190
3.
4.
5. 6.
Seleccione el mtodo que desea utilizar para colocar en cuarentena a todos los dispositivos no apropiados. (Use la direccin IP en el rango auto asignado, o use DHCP en la red de cuarentena.) Configure la cuarentena automtica por medio de la especificacin de cuntas horas pueden pasar desde la ejecucin del ltimo rastreo de mantenimiento en un dispositivo antes de que se lo considere no apropiado, se lo desconecte de la red empresarial y se lo coloque en la red de cuarentena. Especifique cualquier otra opcin de configuracin de agente de dispositivo que desee para los dispositivos de destino que se estn configurando. Haga clic en Guardar.
Ahora puede implementar la configuracin de agente en los dispositivos de destino en que desee usar la autenticacin 802.1X, y despus crear tareas de rastreo de cumplimiento que rastreen a los dispositivos habilitados por 802.1X para el cumplimiento de las directivas de seguridad.
Creacin de una tarea de rastreo de seguridad de cumplimiento

Para crear tareas de rastreo de seguridad, incluso rastreos de seguridad de cumplimiento, se usa la herramienta del Administrador de seguridad y revisiones. Para obtener instrucciones paso a paso, consulte "Creacin de tareas de rastreo de seguridad (y de cumplimiento)" en la pgina 58. Rastreos de seguridad de cumplimiento Con el Administrador de Seguridad y Revisiones puede crear y configurar un rastreo de seguridad especfico del cumplimiento que busque en los dispositivos el cumplimiento de la poltica de seguridad personalizada. Un rastreo de seguridad se basa en los contenidos del grupo Cumplimiento, y puede ejecutarse como una tarea programada o como una directiva. Para obtener informacin sobre la actualizacin de las directivas y reglas de seguridad y la publicacin de la configuracin del NAC de LANDesk, consulte "Administracin de la seguridad de cumplimiento del NAC de LANDesk" en la pgina 163.
Qu sucede en los dispositivos administrados configurados con 802.1X

Cuando un dispositivo administrado que se ha configurado con la autenticacin 802.1X intenta la conexin a la red, se muestra un indicador que pide el nombre de usuario y la contrasea. El usuario final debe escribir la informacin de inicio de sesin correcta (la cual se enva al servidor Radius, junto con los datos de LANDesk EAP) a fin de que se ejecute el rastreo de seguridad de cumplimiento en el dispositivo. El rastreo de seguridad de cumplimiento determina si el dispositivo es apropiado o no apropiado, de acuerdo con la directiva de seguridad personalizada. Si el dispositivo rastreado tiene el estado apropiado (es decir, que cumple con los requisitos), se le concede el acceso a la red empresarial. Si el dispositivo rastreado no tiene el estado apropiado (es decir, que no cumple con los requisitos), se coloca en la red de cuarentena, en donde puede ser reparado y rastreado nuevamente para obtener el acceso a la red empresarial.
191
MANUAL DE USUARIO
Restablecimiento manual de la autenticacin 802.1X Puede restablecer de forma manual la tarjeta de red local para forzar otro intento de autenticacin. En el dispositivo administrado, haga clic en Inicio | LANDesk Management | Restablecer 802.1X. Comportamiento del cuadro de dilogo de inicio de sesin: Cuando ejecute la opcin de restablecimiento de 802.1X, asegrese de cerrar antes todos los cuadros de dilogo abiertos de ventanas emergentes de Windows, ya que de lo contrario no se mostrar el cuadro de dilogo de inicio de sesin. Si el cuadro de dilogo de inicio de sesin desaparece con demasiada rapidez, es probable que la causa sea que el estado LINK-3-UPDOWN ha agotado el tiempo de espera, y todo lo que debe hacer es intentar nuevamente la funcin de restablecimiento de 802.1X.
Resolucin de problemas de LANDesk 802.1X

Esta seccin contiene informacin sobre algunas situaciones posibles que podran surgir con LANDesk 802.1X, y la manera de solucionarlas. La tarea programada de rastreo de seguridad de cumplimiento informa un estado de "conexin perdida" Si una tarea programada de rastreo de seguridad de cumplimiento de 802.1X informa un estado que indica que el dispositivo de destino tiene una "conexin perdida" o que la "tarea fall", puede deberse a que el estado de la tarea se envi al servidor central mientras el equipo se estaba reiniciando. Si observa este estado, puede revisar el dispositivo de destino para verificar si estaba o no en cuarentena. Mltiples solicitudes de inicio de sesin de 802.1X Durante el uso de un interruptor Layer 2 Huawei (Serie H3C S3900), si un dispositivo muestra ms de una solicitud de inicio de sesin de 802.1X y el usuario final cancela o cierra una de ellas sin ingresar las credenciales correctas, el proceso de autenticacin de 802.1X se cancela. En este caso, los usuarios deben ingresar las credenciales correctas en cada solicitud de ingreso de sesin. Si se cancela la autenticacin, use la opcin Restablecer 802.1x del men para reiniciar el proceso de autenticacin. LANDesk 802.1X y LANDesk DHCP no trabajan juntos Observe que estas dos soluciones del NAC de LANDesk no trabajan juntas como tecnologa de seguridad de cumplimiento. La razn es que LANDesk 802.1X impide que LANDesk DHCP libere direcciones IP para los clientes (agregar tambin esta nota a los temas generales). LANDesk 802.1X est diseada para trabajar slo en plataformas de escritorio LANDesk 802.1X no es compatible con plataformas de servidor.
192
LANDesk Antivirus
LANDesk Antivirus es una solucin de antivirus totalmente integrada de LANDesk Security Suite y LANDesk Management Suite que protege a los dispositivos administrados de los ataques de virus mal intencionados a travs del rastreo y la limpieza de virus basados en los ltimos archivos conocidos de definiciones de virus. LANDesk Antivirus ofrece funciones de proteccin contra virus que pueden configurarse, entre ellas: actualizaciones a peticin y automticas de las actualizaciones de los archivos de definiciones de virus, control de las operaciones de rastreo de antivirus y de las opciones interactivas del usuario final, manejo de objetos infectados, proteccin en tiempo real de archivos y mensajes de correo electrnico e informacin e informes sobre los dispositivos rastreados. Lea este captulo para obtener informacin sobre: "Informacin general de LANDesk Antivirus" en la pgina 194 "Plataformas de dispositivos compatibles" en la pgina 195 "Administracin basada en funciones con LANDesk Antivirus" en la pgina 196 "Flujo de trabajo de las tareas de antivirus" en la pgina 197 "Configuracin de dispositivos para la proteccin de LANDesk Antivirus" en la pgina 197 "Productos de antivirus que se pueden eliminar automticamente durante la configuracin" en la pgina 198 "Eliminacin de LANDesk Antivirus de los dispositivos" en la pgina 199 "Actualizacin de los archivos de definiciones de virus" en la pgina 200 "Evaluacin de los archivos de definiciones de virus con una prueba piloto" en la pgina 202 "Copia de seguridad de los archivos de definiciones de virus" en la pgina 203 "Exploracin de virus de dispositivos" en la pgina 203 "Mtodos de rastreo" en la pgina 203 "Habilitacin de la proteccin de antivirus en tiempo real (archivo, correo electrnico)" en la pgina 205 "Configuracin de las opciones de rastreo de antivirus con la configuracin de antivirus" en la pgina 207 "Configuracin de qu archivos se deben rastrear (solamente archivos infectables, exclusiones, heursticos, software riesgoso)" en la pgina 208 "Lo que sucede en un dispositivo durante un rastreo de antivirus" en la pgina 212 "Interfaz del cliente y acciones del usuario final de LANDesk Antivirus" en la pgina 212 "Cuando se detecta un objeto infectado" en la pgina 213 "Rastreo automtico de archivos en cuarentena" en la pgina 214 "Visualizacin de la informacin de actividad y estado de antivirus" en la pgina 214 "Uso de las alertas de antivirus" en la pgina 214 "Generacin de informes de antivirus" en la pgina 215 "Vista de informacin sobre antivirus en el tablero digital ejecutivo de la consola Web" en la pgina 216
193
MANUAL DE USUARIO
Informacin general de LANDesk Antivirus

LANDesk Antivirus est compuesto por un agente rastreador de antivirus integrado, una base de datos actualizada continuamente de firmas de antivirus y opciones y funciones de configuracin de antivirus disponibles en la herramienta del Administrador de Seguridad y Revisiones de la consola. El agente de LANDesk Antivirus es distinto al agente rastreador del Administrador de Seguridad y Revisiones. Los servicios de seguridad de LANDesk mantienen una base de datos actualizada de archivos de definiciones/patrones de virus que pueden descargarse, evaluarse, probarse y por ltimo distribuirse en los dispositivos de destino de la red de LANDesk. Con LANDesk Antivirus podr: Descargar las ltimas actualizaciones de los archivos de definiciones y patrones de virus (la base de datos de firmas de antivirus de LANDesk Security se actualiza varias veces al da) Programar actualizaciones peridicas de archivos de definiciones de virus Archivar los archivos con definiciones anteriores de virus Crear e implementar las tareas de instalacin del agente de LANDesk Antivirus Ejecutar rastreos de antivirus a peticin y programados en los dispositivos de destino Configurar el comportamiento del rastreo de antivirus y las opciones del usuario final Seleccionar qu tipos de archivos se deben rastrear y si se debe rastrear software riesgoso Habilitar la proteccin en tiempo real de virus en archivos y mensajes de correo electrnico Visualizar la informacin de actividad y estado de antivirus en los dispositivos rastreados Configurar alertas de antivirus Generar informes de antivirus
Tipos y suscripciones de contenidos de seguridad

Cuando instala LANDesk Management Suite o LANDesk Security Suite, la herramienta del Administrador de Seguridad y Revisiones se incluye de forma predeterminada. Sin embargo, sin la suscripcin al contenido de Security Suite, slo se puede rastrear en busca de actualizaciones de software y definiciones personalizadas de LANDesk. La suscripcin al contenido de Security Suite permite aprovechar al mximo la herramienta de Administracin de Seguridad y Revisiones al otorgar acceso a contenidos adicionales a la seguridad y revisiones (tipos de definiciones), entre ellos las reglas de deteccin del rastreador de antivirus y los archivos reales de definiciones de virus de LANDesk Antivirus que utiliza el rastreador de antivirus. Los tipos de contenido de LANDesk Security Suite incluyen: Actualizaciones de antivirus (en los rastreadores de terceros incluye slo el contenido de deteccin del rastreador de antivirus y en LANDesk Antivirus incluye el contenido de deteccin del rastreador Y los archivos de definiciones de virus, as como archivos de definiciones del software riesgoso disponibles en una base de datos ampliada) Aplicaciones bloqueadas (consulte"Aviso legal para los tipos de aplicaciones bloqueadas" en la pgina 39) Definiciones de vulnerabilidad personalizadas
194
Actualizaciones de controladores Actualizaciones de software LANDesk Amenazas de seguridad (exposiciones de la configuracin del sistema; incluye la deteccin y configuracin de servidores de seguridad) Actualizaciones de software Spyware Vulnerabilidades (vulnerabilidades de plataforma conocidas y especficas de las aplicaciones)
Para obtener ms informacin sobre las suscripciones a los contenidos de Security Suite, pngase en contacto con su distribuidor de LANDesk, o visite la pgina Web de LANDesk. Tenga en cuenta que la ficha Actualizaciones del cuadro de dilogo Descargar actualizaciones incluye varias actualizaciones de antivirus en la lista de tipos de definiciones, incluso una denominada Actualizaciones de LANDesk Antivirus. Cuando selecciona Actualizaciones de LANDesk Antivirus, se descargan el contenido de deteccin del rastreador Y las actualizaciones de los archivos de definiciones de virus de LANDesk Antivirus. En los motores rastreadores de terceros, las actualizaciones de antivirus incluyen definiciones del rastreador que detectan: La instalacin de motores rastreadores de antivirus comunes (entre ellos la herramienta de LANDesk Antivirus) El estado del rastreo en tiempo real (habilitado o deshabilitado) Versiones de los archivos de patrones especficos del rastreador (actualizadas o anteriores) Fecha del ltimo rastreo (si el ltimo rastreo se encuentra dentro del mximo perodo de tiempo permitido especificado por el administrador)
En el rastreador de LANDesk Antivirus, las actualizaciones de antivirus incluyen no slo el contenido de deteccin del rastreador mencionado anteriormente sino tambin los archivos de definiciones de virus que ste utiliza. Contenido de deteccin del rastreador de antivirus versus contenido de definiciones de virus Las actualizaciones de antivirus no implican archivos de definiciones/patrones de virus reales. Cuando se descargan actualizaciones de antivirus de terceros, slo el contenido de deteccin del rastreador puede descargarse en el depsito predeterminado ya que los archivos de definiciones de virus especficos del rastreador no se descargan. Sin embargo, cuando se descargan las actualizaciones de LANDesk Antivirus, se descargan el contenido de deteccin del rastreador Y los archivos de definiciones de virus especficos de LANDesk Antivirus. Los archivos de definiciones de virus de LANDesk Antivirus se descargan en una ubicacin aparte en el servidor central. El depsito predeterminado de los archivos de definiciones de virus es la carpeta \LDLogon\Antivirus\Bases.

LANDesk Antivirus es compatible con la mayora de las plataformas que admiten las capacidades de rastreo de seguridad del Administrador de Seguridad y Revisiones y las plataformas de dispositivos administrados con LANDesk, inclusive los siguientes sistemas operativos:
195
MANUAL DE USUARIO
Windows NT (4.0 SP6a y posterior) Windows 2000 SP2 Windows 2003 Windows XP SP1 Windows XP de 64 bits Windows XP Home Edition/Professional Windows Vista de 32 bits y 64 bits
Se deben reiniciar los equipos con Windows NT 4.0 Para activar el servicio de LANDesk Antivirus se deben reiniciar los equipos con Windows NT 4 despus de implementar la configuracin de agente.
Otros requisitos del sistema

Asegrese de que los dispositivos administrados que desea configurar con el agente de LANDesk Antivirus cumplan con los siguientes requisitos de sistema: Microsoft Internet Explorer 6.0 o posterior Ningn otro programa de antivirus instalado (Nota: Debido a que pueden generarse conflictos de software, si es que LANDesk Antivirus est instalado en un equipo con otro programa de antivirus, ste no se activar hasta que aquel producto se desinstale del dispositivo administrado).
Administracin basada en funciones con LANDesk Antivirus

LANDesk Antivirus, al igual que el Administrador de Seguridad y Revisiones, utiliza la administracin basada en funciones de LANDesk para permitirles a los usuarios acceder a las funciones de LANDesk Antivirus. La administracin basada en funciones de LANDesk constituye el marco de acceso y seguridad de Management Suite, el cual permite que los administradores de LANDesk restrinjan el acceso a herramientas y dispositivos. Cada usuario de LANDesk recibe derechos y mbitos especficos que determinan las caractersticas que puede utilizar y los dispositivos que puede administrar. El administrador de LANDesk asigna dichos derechos a los dems usuarios mediante la herramienta Usuarios de la consola. LANDesk Antivirus introduce una funcin nueva y el derecho correspondiente a la administracin basada en funciones. El derecho se denomina Antivirus y figura bajo el grupo Derechos de seguridad en el cuadro de dilogo Propiedades del usuario. A fin de ver y utilizar las funciones de LANDesk Antivirus, debe asignarse el derecho de Administrador de Seguridad y Revisiones a un usuario de LANDesk. El derecho de Antivirus confiere a los usuarios capacidad para: Implementar configuraciones de agente con LANDesk Antivirus en los dispositivos de destino Descargar actualizaciones de archivos de definiciones de virus Crear actualizaciones programadas Crear tareas programadas de rastreo de antivirus Crear ajustes antivirus
196
Implementar tareas de rastreo de antivirus y cambiar las tareas de configuracin asociadas con los ajustes de antivirus Habilitar la proteccin en tiempo real de archivos y mensajes de correo electrnico Configurar rastreos de antivirus para rastrear determinados tipos de archivos Excluir determinados archivos, carpetas y tipos de archivos (por extensin) de los rastreos de antivirus Visualizar la informacin de actividad y estado de rastreo del antivirus en los dispositivos rastreados Habilitar alertas de antivirus Generar informes de antivirus
Flujo de trabajo de las tareas de antivirus

Los pasos que se detallan a continuacin ofrecen un resumen del esquema de los procesos o las tareas habituales involucrados en la implementacin de la proteccin de antivirus de la red con LANDesk Antivirus. Todos estos procedimientos se describen detalladamente en las secciones subsiguientes. Pasos bsicos para implementar y utilizar LANDesk Antivirus: 1. 2. 3. 4. 5. 6. 7. 8. 9. Configuracin de dispositivos administrados para el rastreo de antivirus Descarga de actualizaciones de archivos de definiciones/patrones de virus desde un servidor de contenido de LANDesk Security. Determinar si los archivos de definiciones de virus estarn disponibles inmediatamente en los dispositivos administrados o si antes se evaluarn en un entorno de prueba piloto. Creacin de tareas y directivas de rastreo a peticin y programadas. Configuracin de la operacin del rastreo de antivirus y de las opciones del usuario final. Bsqueda de virus conocidos y archivos sospechosos en los dispositivos administrados. Visualizacin de resultados de antivirus de los dispositivos rastreados. Configuracin de alertas de antivirus. Generacin, visualizacin y distribucin de informes de antivirus.
Configuracin de dispositivos para la proteccin de LANDesk Antivirus

Se debe instalar el agente de LANDesk Antivirus antes de poder rastrear en busca de virus los dispositivos administrados y limpiarlos. Esto se puede hacer durante la configuracin de agente inicial del dispositivo o con otra tarea de instalacin o actualizacin.
Consideraciones de implementacin
Si implementa LANDesk Antivirus en un dispositivo que ya tiene otra solucin de antivirus instalada y ejecutndose, LANDesk Antivirus no habilita su funcin de proteccin en tiempo real para prevenir posibles conflictos de software. Cuando se elimina el otro producto de antivirus se puede habilitar la proteccin de antivirus en tiempo real de LANDesk Antivirus.
197
MANUAL DE USUARIO
Ahora puede seleccionar la eliminacin automtica del software antivirus existente de los dispositivos de destino al implementar LANDesk Antivirus durante la configuracin inicial del agente o como una tarea de instalacin o actualizacin de LANDesk Antivirus por separado. Consulte a continuacin la lista de productos antivirus que se pueden eliminar. Borrar software de antivirus protegido con contrasea Si el software de antivirus existente est protegido con contrasea, primero debe borrar la contrasea para que LANDesk Antivirus pueda desinstalar el software.
Productos de antivirus que se pueden eliminar automticamente durante la configuracin

Los productos de antivirus que se pueden eliminar automticamente al implementar LANDesk Antivirus son: Symantec* Antivirus (versiones 7, 8, 9 y 10) McAfee* Enterprise (versiones 7.0, 8.0i y 8.5) Trend Micro* PC-cillin 2004, 2005 y 2006 Trend Micro OfficeScan Trend Micro ServerProtect eTrust* Antivirus (versiones 6, 7, 7.1 y 8)
Configuracin de dispositivos para LANDesk Antivirus

Para configurar dispositivos con LANDesk Antivirus a travs de una configuracin de agente 1. 2. 3. 4. 5. En la consola, haga clic en Herramientas | Configuracin | Configuracin de agentes. Haga clic en el botn Ventanas nuevas de la barra de herramientas. Luego de especificar los ajustes deseados para la configuracin de agente, primero debe hacer clic en la pgina Inicio y luego seleccionar la opcin LANDesk Antivirus. Ahora puede tener acceso a las opciones de la pgina LANDesk Antivirus. Seleccione una configuracin de antivirus de la lista disponible y aplquela a la configuracin de agente que est creando. Para crear una configuracin nueva o editar una existente, haga clic en Configurar. La configuracin de antivirus determina si el icono de LANDesk Antivirus aparece en la bandeja del sistema del dispositivo, la disponibilidad de las opciones interactivas para los usuarios finales, la habilitacin del rastreo de correo electrnico y de la proteccin en tiempo real, los archivos y las carpetas para excluir, la cuarentena y la copia de seguridad de los archivos infectados, los rastreos de antivirus programados y las actualizaciones programadas de los archivos de definiciones de virus. Termine de especificar la configuracin del agente y luego haga clic en Guardar.
6.
Si desea instalar o actualizar LANDesk Antivirus ms adelante, puede hacerlo como una tarea aparte desde la herramienta del Administrador de Seguridad y Revisiones. Para instalar o actualizar LANDesk Antivirus como una tarea programada aparte 1. En la consola, haga clic en Herramientas | Seguridad | Administrador de Seguridad y Revisiones.
198
2. 3. 4. 5. 6.
7.
8.
Haga clic en el botn Crear una tarea de la barra de herramientas y luego en Instalar/Actualizar LANDesk Antivirus. Escriba un nombre para la tarea. Especifique si la instalacin es una tarea programada, si se basa en una directiva o ambas. Si desea mostrar el progreso de la instalacin en el cuadro de dilogo del rastreador de seguridad de los dispositivos de destino, active la opcin Mostrar IU. Seleccione una configuracin de antivirus de la lista disponible y aplquela a la tarea que est creando. Para crear una configuracin nueva o editar una existente, haga clic en Configurar. La configuracin de antivirus determina si el icono de LANDesk Antivirus aparece en la bandeja del sistema del dispositivo, la disponibilidad de las opciones interactivas para los usuarios finales, la habilitacin del rastreo de correo electrnico y de la proteccin en tiempo real, los archivos y las carpetas para excluir, la cuarentena y la copia de seguridad de los archivos infectados, los rastreos de antivirus programados y las actualizaciones programadas de los archivos de definiciones de virus. Seleccione una configuracin de rastreo y reparacin de la lista disponible para aplicar su configuracin de reinicio a la tarea que est creando. Para crear una configuracin nueva o editar una existente, haga clic en Configurar. La tarea utilizar SOLAMENTE las opciones de reinicio de la configuracin de rastreo y reparacin seleccionadas, las cuales determinan los requisitos de reinicio y las acciones en los dispositivos de destino durante la instalacin del agente de LANDesk Antivirus. Haga clic en Aceptar.
Eliminacin de LANDesk Antivirus de los dispositivos

Si desea eliminar LANDesk Antivirus de los dispositivos administrados, puede hacerlo como una tarea aparte desde la herramienta del Administrador de Seguridad y Revisiones. Para eliminar LANDesk Antivirus 1. 2. 3. 4. 5. 6. En la consola, haga clic en Herramientas | Seguridad | Administrador de Seguridad y Revisiones. Haga clic en el botn Crear una tarea de la barra de herramientas y luego en Eliminar LANDesk Antivirus. Escriba un nombre para la tarea. Especifique si la instalacin es una tarea programada, si se basa en una directiva o ambas. Si desea mostrar el progreso de la instalacin en el cuadro de dilogo del rastreador de seguridad de los dispositivos de destino, active la opcin Mostrar IU. Seleccione una configuracin de rastreo y reparacin de la lista disponible para aplicar su configuracin de reinicio a la tarea que est creando. Para crear una configuracin nueva o editar una existente, haga clic en Configurar. La tarea utilizar SOLAMENTE las opciones de reinicio de la configuracin de rastreo y reparacin seleccionadas, las cuales determinan los requisitos de reinicio y las acciones en los dispositivos de destino durante la eliminacin del agente de LANDesk Antivirus. Haga clic en Aceptar.
7.
199
MANUAL DE USUARIO
Actualizacin de los archivos de definiciones de virus

LANDesk Antivirus permite descargar los ltimos archivos de definiciones (patrones) de virus desde los servidores de contenido del servicio web de LANDesk Security. La base de datos de firmas de virus de LANDesk se actualiza varias veces al da para garantizar que estn las ltimas definiciones de virus conocidas para proteger los dispositivos administrados de estas amenazas que evolucionan rpidamente. Las actualizaciones de los archivos de definiciones de virus pueden descargarse de la consola de forma manual o como una tarea programada peridicamente. Puede especificar el lugar donde se copian los archivos de definiciones, ya sea en el depsito predeterminado de archivos de definiciones de virus desde donde se implementan en los dispositivos de destino o en una carpeta de prueba piloto desde donde pueden implementarse en un mbito limitado de dispositivos para probarlos antes de la implementacin completa. Implementacin de los archivos de definiciones de virus en dispositivos de usuario final Las actualizaciones de las definiciones de virus que se descarguen pueden implementarse en los dispositivos de usuario final de forma remota desde el servidor central. Desde sus propios equipos, los usuarios tambin pueden llevar a cabo la tarea de actualizacin de los archivos de definiciones de virus. De forma predeterminada descargan archivos desde su servidor central de LANDesk. Sin embargo, si necesitan poder descargar las ltimas actualizaciones de definiciones de virus mientras no estn conectados a la red (por ejemplo, al estar de viaje o al utilizar un equipo porttil), se les puede proporcionar la opcin de descargar archivos directamente desde el servidor de contenido de LANDesk Security a travs de una conexin a Internet. Para descargar actualizaciones de archivos de definiciones de virus 1. 2. 3. 4. Haga clic en Herramientas | Seguridad | Administrador de Seguridad y Revisiones. Haga clic en el botn Descargar actualizaciones de la barra de herramientas. Seleccione el sito de origen de la actualizacin en la lista de servidores de contenido disponibles. Seleccione la ms cercana a su ubicacin. Seleccione Actualizaciones de LANDesk Antivirus en la lista Tipos de definiciones. (Puede seleccionar ms de un tipo de definiciones para una sola descarga. Sin embargo, debe tener la correspondiente de acuerdo con su suscripcin al contenido de LANDesk Security Suite. Cuantos ms tipos seleccione, ms durar el proceso de actualizacin). Seleccione los idiomas cuyo contenido desee actualizar en los tipos especificados. Si desea que el nuevo contenido (el contenido no se encuentra en ningn grupo del rbol del Administrador de Seguridad y Revisiones) se ubique automticamente en el grupo No asignadas en lugar de la ubicacin predeterminada, la cual es el grupo Rastrear, haga clic en la casilla de verificacin Colocar nuevas definiciones en el grupo No asignadas. Haga clic en la ficha LANDesk Antivirus para configurar la ubicacin de la descarga, la aprobacin de la prueba piloto y las copias de seguridad automticas.
5. 6.
7.
200
8.
9. 10.
11.
12. 13.
14.
Seleccione el lugar donde desea descargar los archivos de definiciones de virus. Haga clic en Aprobar inmediatamente si desea que las definiciones se descarguen en la carpeta predeterminada (\LDLogon\Antivirus\Bases del servidor central) desde donde pueden implementarse en los dispositivos de destino. Si desea evaluar los archivos de definiciones de virus antes de implementarlos, puede seleccionar hacerlo con la opcin de prueba piloto (tambin puede determinar un perodo de tiempo de aprobacin automtica para no tener que hacerlo de forma manual despus de la prueba). Si selecciona realizar una prueba piloto primero, los archivos de definiciones de virus se descargan en una carpeta de prueba piloto para implementarlos slo en los dispositivos cuya configuracin de antivirus diga descargar versin "piloto" de los archivos de definiciones. Si desea descargar los ltimos archivos de definiciones ahora, haga clic en Obtener las ltimas definiciones. Si desea aprobar las definiciones de virus que actualmente residen en la carpeta de prueba piloto, haga clic en Aprobar ahora. Esto mueve los archivos de definiciones desde la carpeta de prueba piloto hacia la carpeta predeterminada (\LDLogon\Antivirus\Bases). Si desea guardar los contenidos actuales de la carpeta Bases, active la opcin Hacer copias de seguridad. Puede restaurar las copias de seguridad de los archivos de definiciones en cualquier momento. Las copias de seguridad son tiles para volver a una versin anterior de los archivos de definiciones de virus. (Las copias de seguridad de los archivos de definiciones de virus se guardan en carpetas separadas cuyo nombre corresponde a la fecha y hora de creacin bajo: \LDLogon\Antivirus\Backups\) Haga clic en Aplicar en una de las fichas en cualquier momento para guardar la configuracin. Haga clic en Actualizar ahora para descargar las actualizaciones de contenido de seguridad seleccionadas. En el cuadro de dilogo Actualizacin de definiciones se muestra el estado y la operacin actual. Una vez completada la actualizacin, haga clic en Cerrar. Tenga en cuenta que si hace clic en Cancelar antes de que finalice la actualizacin, solamente se descargar en la base de datos central el contenido de seguridad y revisiones que se ha procesado hasta ese momento. Tendr que ejecutar la actualizacin de nuevo a fin de obtener el resto del contenido de seguridad y revisiones.
Nota: Siempre que se actualizan los archivos de definicin de virus en los dispositivos administrados, se ejecuta un minirastreo de los procesos de memoria en los mismos. Este rastreo se realiza para garantizar que los procesos que se ejecutan en la memoria durante la actualizacin an estn limpios.
Programacin de actualizaciones automticas de archivos de definiciones de virus

Tambin puede configurar actualizaciones de archivos de definiciones de virus como una tarea programada para que se produzca en un momento establecido en un futuro o como tarea recurrente.
201
MANUAL DE USUARIO
Para hacerlo, configure las opciones de descarga de contenido de seguridad en el cuadro de dilogo Actualizar descargas, asegrese de seleccionar las actualizaciones de LANDesk Antivirus de la lista de tipos de definiciones en la ficha Actualizaciones, configure las opciones de los archivos de definiciones de virus en la ficha LANDesk Antivirus y luego haga clic en el botn Programar actualizacin.& ;El cuadro de dilogo Informacin de actualizaciones programadas muestra la configuracin especfica de la tarea. Haga clic en Aceptar para crear una tarea Descargar contenido de seguridad y revisiones en la ventana Tareas programadas, donde puede especificar las opciones de programacin. Configuracin especfica de la tarea y configuracin globalObserve que slo la configuracin de la descarga de los tipos de definiciones, idiomas y definiciones y parches se guardan y asocian con una tarea especfica cuando la crea. Esas tres configuraciones se consideran especficas de la tarea. Sin embargo, la configuracin de las otras fichas del cuadro de dilogo Descargar actualizaciones es global. Ello significa que se aplican a todas las tareas de descarga de contenido de seguridad posteriores. La configuracin global incluye: ubicacin de la descarga de revisiones, servidor proxy, reparacin automtica de spyware, alertas de seguridad y antivirus. Siempre que se cambia una configuracin global, dicho cambio se aplica a todas las tareas de descarga del contenido de seguridad desde ese punto en adelante.
Evaluacin de los archivos de definiciones de virus con una prueba piloto

Es probable que desee evaluar los archivos de definiciones de virus antes de implementarlos en los dispositivos administrados. Esto puede hacerse muy fcilmente si especifica en la ficha de LANDesk Antivirus la restriccin de las actualizaciones de los archivos de definiciones de virus a una carpeta de prueba piloto y luego aplica una configuracin de antivirus con la opcin Descargar versin piloto de los archivos de definiciones de virus seleccionada. Para ejecutar una prueba piloto de los archivos de definiciones de virus 1. 2. En la ficha LANDesk Antivirus del cuadro de dilogo Descargar actualizaciones, haga clic en Restringirlas a una prueba piloto primero. Si no desea mover los archivos de definiciones de virus probados de forma manual desde la carpeta de prueba piloto hacia la carpeta predeterminada (\LDLogon\Antivirus\Bases), haga clic en Aprobar automticamente y especifique el perodo de tiempo mnimo. Cuando transcurre este perodo de tiempo, los archivos de definiciones de virus se aprueban y mueven automticamente. Para descargar los archivos de definiciones de virus ms recientes del servidor de contenido de LANDesk Security, haga clic en Obtener las ltimas definiciones. Si desea aprobar inmediatamente los archivos de definiciones de virus que actualmente residen en la carpeta de prueba piloto, haga clic en Aprobar ahora. A continuacin, cree una configuracin de antivirus de prueba piloto que le permita implementar los archivos de definiciones de antivirus en un grupo limitado de equipos de prueba. En la ficha Actualizaciones de archivos de definiciones de virus de la configuracin de antivirus, seleccione Descargar versin piloto de los archivos de definiciones.
3. 4. 5.
202
6.
Aplique dicha configuracin de antivirus de prueba piloto a una tarea de rastreo de antivirus (consulte Creacin de una tarea de rastreo de antivirus ms adelante) que pueda utilizar para seleccionar su grupo de equipos de prueba. Observe la actividad y los resultados del rastreo de antivirus en estos dispositivos para evaluar la eficacia de los archivos de definiciones de virus descargados antes de implementarlos en una audiencia ms amplia.
Copia de seguridad de los archivos de definiciones de virus

Si desea guardar las versiones anteriores de los archivos de definiciones de virus descargados, utilice la configuracin Copias de seguridad de las definiciones de virus de la ficha LANDesk Antivirus. Esto puede resultar muy til si tiene que volver a un archivo de definiciones de virus anterior para rastrear y limpiar archivos infectados especficos o para restaurar un archivo de definiciones de virus que resolvi un problema en particular. Las copias de seguridad de los archivos de definiciones de virus se guardan en carpetas separadas cuyo nombre corresponde a la fecha y hora en que se guardaron bajo la carpeta padre LDLogon\Antivirus\Backups\.
Exploracin de virus de dispositivos

Esta seccin brinda informacin sobre el rastreo de dispositivos administrados para detectar virus conocidos y objetos sospechosos. El rastreo requiere una suscripcin adecuada al contenido Recuerde que para poder rastrear un tipo especfico de contenido de seguridad, incluso virus, debe tener la suscripcin adecuada al contenido de LANDesk Security. Para obtener ms informacin sobre las suscripciones a los contenidos de Security Suite, pngase en contacto con su distribuidor de LANDesk, o visite la pgina Web de LANDesk.
Mtodos de rastreo
Existen varios mtodos diferentes para ejecutar un rastreo de antivirus en los dispositivos administrados que tienen LANDesk Antivirus instalado: Rastreo de antivirus programado Rastreo de antivirus a peticin Rastreo de antivirus iniciado por el usuario Proteccin de archivos en tiempo real Proteccin de mensajes de correo electrnico en tiempo real
203
MANUAL DE USUARIO
Ejecucin de un rastreo de antivirus programado desde la consola

Desde la consola puede configurar las tareas de rastreo de antivirus para que se ejecuten como un rastreo a peticin o como una tarea o directiva programada desde el servidor central. La reparacin de tarea programada se puede considerar como una distribucin de instalacin automtica, ya que la revisin se instala automticamente desde el servidor central en los dispositivos; sin embargo, una directiva se considera una instalacin solicitada porque el agente de directivas del dispositivo busca en el servidor central directivas aplicables y, posteriormente, instala la revisin desde el servidor central. Para crear una tarea de rastreo de antivirus 1. 2. 3. Haga clic en Herramientas | Seguridad | Administrador de Seguridad y Revisiones. Compruebe que los archivos de definiciones de virus se hayan actualizado recientemente. Compruebe que la carpeta predeterminada de archivos de definiciones de virus (\LDLogon\Antivirus\Bases) contenga slo las definiciones que desea rastrear. 4. Haga clic en el botn Crear una tarea de la barra de herramientas y luego en Rastreo de LANDesk Antivirus. 5. Escriba un nombre para el rastreo. 6. Especifique si el rastreo es una directiva o tarea programada, o ambas. 7. Si desea rastrear TODOS los dispositivos administrados que tengan instalado el agente de LANDesk Antivirus, seleccione una tarea programada y luego seleccione todos los dispositivos con LANDesk Antivirus. Tambin puede seleccionar iniciar el rastreo de antivirus de todos los dispositivos con LANDesk Antivirus inmediatamente. 8. Seleccione una configuracin de antivirus en la lista disponible (tambin puede crear una configuracin personalizada para este rastreo; para ello haga clic en el botn Configurar), para determinar la forma en que el rastreador opera en los dispositivos de usuarios finales. Si desea que el rastreo de antivirus utilice la configuracin de antivirus local (configuracin predeterminada) del dispositivo, seleccione dicha opcin de la lista desplegable. Para ms informacin sobre la configuracin del rastreo de antivirus con una configuracin de antivirus, consulte About the Antivirus settings dialog. 9. Si desea asegurar que el rastreo utiliza los ltimos archivos conocidos de definiciones de virus, active la opcin Actualizar definiciones de virus. 10. Haga clic en Aceptar. (Para una tarea de rastreo programada tpica, haga clic en Aceptar y luego agregue los dispositivos de destino y configure las opciones de programacin en la herramienta de Tareas programadas).
Ejecucin de un rastreo de antivirus a peticin desde la consola

Tambin puede ejecutar un rastreo de antivirus inmediato (botn rojo) en uno o ms dispositivos de destino. Para ello, haga clic con el botn secundario en el dispositivo seleccionado (o hasta en 20 dispositivos seleccionados), haga clic en Rastreo de LANDesk Antivirus ahora, seleccione una configuracin de antivirus, elija si va actualizar los archivos de definiciones de virus antes de realizar el rastreo y luego haga clic en Aceptar.
204
Al hacer clic en Aceptar, el cuadro de dilogo Estado de las acciones requeridas muestra la siguiente informacin: Progreso Resultados Informacin del tiempo de rastreo
Ejecucin de un rastreo de antivirus en un dispositivo administrado

Adems, si ha configurado el antivirus para que el icono de LANDesk Antivirus aparezca en la bandeja del sistema del dispositivo, los usuarios finales pueden realizar sus propios rastreos de antivirus a peticin. Para hacerlo en el dispositivo administrado, haga clic con el botn secundario en el icono de la barra de herramientas de LANDesk Antivirus y luego seleccione Rastrear mi equipo. O bien, desde el cuadro de dilogo LANDesk Antivirus, haga clic en Rastrear mi equipo.
Habilitacin de la proteccin de antivirus en tiempo real (archivo, correo electrnico)

La proteccin de antivirus en tiempo real proporciona rastreos continuos de segundo plano de archivos, tipos de archivos, mensajes de correo electrnico y datos adjuntos de correo electrnico especificados basados en las definiciones de virus conocidas. Tambin puede habilitar la notificacin en tiempo real para informar a los usuarios finales sobre archivos infectados. La proteccin de archivos, el rastreo de mensajes de correo electrnico y la notificacin en tiempo real se encuentran configurados con la configuracin de antivirus. Indicador del icono de la bandeja del sistema de LANDesk Antivirus Cuando se habilita la proteccin de antivirus en tiempo real, el icono de la bandeja del sistema de LANDesk Antivirus (en el dispositivo del usuario final) es amarillo. Cuando la habilitacin en tiempo real se encuentra deshabilitada, el icono es gris.
Proteccin de archivos en tiempo real

Configure la proteccin de archivos en tiempo real con las opciones que aparecen en la ficha Proteccin en tiempo real del cuadro de dilogo Configuracin de Antivirus. Para obtener ms informacin, haga clic en Ayuda. Cuando se ejecuta la proteccin en tiempo real, se buscan virus en los archivos siempre que los archivos: Se abren Se cierran
205
MANUAL DE USUARIO
Se acceden Se copian Se guardan
Rastreo de mensajes de correo electrnico en tiempo real

Configure el rastreo de mensajes de correo electrnico en tiempo real con la opcin Habilitar rastreo de mensajes de correo electrnico de la ficha General del cuadro de dilogo Configuracin de Antivirus. La proteccin de mensajes de correo electrnico en tiempo real proporciona un rastreo continuo de los mensajes entrantes y salientes. LANDesk Antivirus rastrea el cuerpo del mensaje, los cuerpos de los mensajes adjuntos y los archivos adjuntos. La proteccin de mensajes de correo electrnico en tiempo real de LANDesk Antivirus es compatible con: Microsoft Outlook
Cuando se ejecuta la proteccin de mensajes de correo electrnico en tiempo real, los mensajes y los datos adjuntos: Se rastrean cuando se abren o se les hace una vista previa No se rastrean cuando estn seleccionados
Si se detecta un mensaje de correo electrnico infectado en el dispositivo administrado, LANDesk Antivirus intenta limpiarlo. Si no puede limpiarse: se coloca un nuevo encabezado en el cuerpo del mensaje para informarle al usuario final. Si el mensaje de correo electrnico no puede limpiarse: se elimina todo el cuerpo del mensaje y se reemplaza con un nuevo encabezado. Cuando se detecta un mensaje de correo electrnico sospechoso, el cuerpo del mensaje se transforma a texto simple y se le agrega un encabezado. Tambin aparece un cuadro de dilogo en el dispositivo del usuario final que muestra: Ruta del archivo Nombre de archivo Nombre del virus Nota que le informa al usuario que debe ponerse en contacto con su administrador de red
Notificacin (de archivos infectados) en tiempo real

Se notifica a los usuarios finales siempre que se detecta, se pone en cuarentena, se elimina, se omite o se limpia un archivo infectado con un virus. Configure la notificacin en tiempo real de archivos infectados con la opcin que aparece en la ficha Proteccin en tiempo real del cuadro de dilogo Configuracin de Antivirus. Aparece un cuadro de dilogo en el dispositivo del usuario final que muestra:
206
Ruta del archivo Nombre de archivo Nombre del virus Nota que le informa al usuario que debe ponerse en contacto con su administrador de red
Configuracin de las opciones de rastreo de antivirus con la configuracin de antivirus

LANDesk Antivirus ofrece un control completo de la forma en que los rastreos de antivirus se ejecutan en los dispositivos de destino y de las opciones que se encuentran disponibles para los usuarios finales. Por ejemplo, segn el propsito o el horario programado del rastreo de antivirus, es probable que desee mostrar el cliente de LANDesk Antivirus en los dispositivos del usuario final, permitirle al usuario final realizar rastreos de antivirus, visualizar y restaurar los objetos que se encuentran en cuarentena, descargar actualizaciones de archivos de definiciones de virus, etc. Puede hacerlo si crea una configuracin de antivirus y la aplica a una tarea de rastreo. Crear configuraciones de antivirus (un conjunto guardado de opciones configuradas) y aplicarlas a las tareas de rastreo de antivirus. Se pueden crear tantas configuraciones de antivirus como se desee. Las configuraciones de antivirus pueden disearse para un propsito, un horario o un conjunto de dispositivos de destino especficos. Con la configuracin de antivirus se pueden configurar las siguientes opciones: Si el icono de LANDesk Antivirus aparece en las bandejas de los sistemas de los dispositivos (se otorga acceso al usuario final a las tareas de rastreo de antivirus, visualizacin de cuarentenas y copias de seguridad y manejo de archivos) Rastreo de mensajes de correo electrnico en tiempo real Rastreos de botn secundario de usuario final Uso de la CPU Propietario de configuracin (para restringir el acceso) Rastreos de antivirus programados Tamao de la carpeta de cuarentena/copia de seguridad Restauracin de objetos infectados y sospechosos Qu archivos, carpetas y tipos de archivo se van a rastrear Exclusiones del rastreo Si se va a utilizar el anlisis de heursticos para detectar archivos sospechosos Si se debe rastrear el software riesgoso Proteccin de archivos en tiempo real (entre ellos archivos para rastrear, heursticos y exclusiones) Descarga de actualizaciones de archivos de definiciones de virus (versiones de prueba piloto, descargas programadas, permiso de descarga para los usuarios finales y descargas directas desde el servidor de contenido de LANDesk Security)
Todas las configuraciones de antivirus que crea se almacenan en el grupo LANDesk Antivirus que se encuentra bajo Configuracin en la vista de rbol del Administrador de Seguridad y Revisiones.
207
MANUAL DE USUARIO
Para crear ajustes de antivirus 1. En la ventana del Administrador de Seguridad y Revisiones, haga clic en el botn Configurar ajustes de la barra de herramientas y luego en Configuracin de LANDesk Antivirus. Haga clic en Nuevo. (O bien, puede hacer clic en Editar o Configurar en cualquier cuadro de dilogo de tarea que permita aplicar una configuracin de antivirus). Escriba un nombre para la configuracin de antivirus. Especifique la configuracin de las fichas como lo desee para la tarea en particular. Para obtener ms informacin sobre una opcin, haga clic en Ayuda.
2. 3. 4.
Una vez configurado, puede aplicar la configuracin de antivirus a las tareas de rastreo de antivirus (o a una tarea de cambiar configuracin).
Cambio de la configuracin de antivirus predeterminada de un dispositivo

La configuracin predeterminada de antivirus de un dispositivo se implementa como parte de la configuracin inicial del agente. Cuando se asocia o se asigna una configuracin de antivirus distinta a una tarea especfica, la configuracin predeterminada se sobrescribe. Tambin puede elegir utilizar la configuracin predeterminada del dispositivo. Para ello, seleccinela cuando cree una tarea. Es probable que en algn momento desee cambiar la configuracin predeterminada de antivirus en ciertos dispositivos. El Administrador de Seguridad y Revisiones ofrece un modo para hacer esto sin necesidad de volver a implementar una configuracin de agente completamente nueva. Para ello, utilice la tarea Cambiar configuracin que se encuentra en la lista desplegable del botn Crear una tarea de la barra de herramientas. El cuadro de dilogo que aparece permite especificar un nombre nico para la tarea, indicar si se trata de una tarea o de una directiva programada, y ya sea seleccionar una configuracin de antivirus existente como predeterminada o utilizar el botn Editar para crear una nueva configuracin de antivirus predeterminada en los dispositivos de destino.
Visualizacin de la configuracin de antivirus de dispositivos en el inventario

Puede detectar y/o verificar la configuracin de antivirus de dispositivos en la vista de inventario. Para ello, haga clic con el botn secundario en el dispositivo seleccionado y haga clic en Inventario | LANDesk Management | Configuracin de AV.
Configuracin de qu archivos se deben rastrear (solamente archivos infectables, exclusiones, heursticos, software riesgoso)
Puede especificar qu archivos (o elementos) desea rastrear y qu archivos no desea rastrear, tanto con los rastreos de antivirus como con la proteccin de archivos de antivirus en tiempo real.
208
Consulte las secciones siguientes para obtener informacin sobre la personalizacin de lo que se rastrea: "Todos los archivos o solamente los archivos infectables" en la pgina 209 "Exclusin de elementos de los rastreos de antivirus y de la proteccin en tiempo real" en la pgina 210 "Uso del anlisis de heursticos para rastrear objetos sospechosos" en la pgina 211 "Rastreo de software riesgoso (base de datos ampliada)" en la pgina 211
Todos los archivos o solamente los archivos infectables

Configure rastrear todos los archivos o slo los infectables en las fichas Rastreo de virus y Proteccin en tiempo real de una configuracin de antivirus. Todos los archivos:Especifica que todos los tipos de archivos del dispositivo de destino se rastreen por medio de un rastreo de antivirus. Esto puede tardar bastante por lo tanto se recomienda rastrear todos los tipos de archivos con un rastreo a peticin en lugar de una proteccin en tiempo real. Slo archivos infectables:Especifica que slo se rastreen los archivos infectables. Los archivos infectables son aquellos tipos de archivos conocidos por ser vulnerables a las infecciones de virus. Resulta ms eficiente rastrear slo los archivos infectables que rastrear todos, ya que algunos virus afectan slo a determinados tipos de archivos. No obstante, debe acostumbrarse a rastrear peridicamente todos los archivos con un rastreo a peticin a fin de asegurarse de que los dispositivos estn limpios.
Tipos de archivos infectables

Los tipos de archivos infectables se identifican por su identificador de formato en el encabezado del archivo en lugar de por la extensin del archivo, a fin de garantizar que se rastreen los archivos cuyos nombres hayan cambiado. Los archivos infectables son: archivos de documentos tales como archivos de Word y Excel, archivos de plantillas asociados con archivos de documentos y archivos de programa tales como Dynamic Link Libraries (.DLL), archivos de comunicacin (.COM), archivos ejecutables (.EXE) y otros. La lista siguiente contiene los tipos de archivos infectables segn el estndar del formato de archivo o la extensin del archivo original. ACM ACV ADT AX BAT BIN BTM CLA COM CPL CSC CSH DLL
209
MANUAL DE USUARIO
DOC DOT DRV EXE HLP HTA HTM HTML HTT INF INI JS JSE JTD MDB MSO OBD OBT OCX PIF PL PM POT PPS PPT RTF SCR SH SHB SHS SMM SYS VBE VBS VSD VSS VST VXD WSF WSH
Exclusin de elementos de los rastreos de antivirus y de la proteccin en tiempo real

Tambin puede especificar qu elementos no rastrear en los rastreos de antivirus y la proteccin de archivos en tiempo real. Para configurar las exclusiones del rastreo de antivirus agregue archivos, carpetas y tipos de archivos a la lista de exclusiones de las fichas Rastreo de virus y Proteccin en tiempo real de la configuracin de antivirus.
210
Lista de elementos de confianza en los dispositivos administrados Observe que tambin puede habilitar una opcin que le permite a los usuarios finales especificar los archivos y las carpetas que no deseen que LANDesk Antivirus rastree. Esta funcin se denomina lista de elementos de confianza y se configura en la ficha General de la configuracin de antivirus.
Uso del anlisis de heursticos para rastrear objetos sospechosos

Puede habilitar el anlisis de heursticos para buscar archivos sospechosos (probablemente infectados) con los rastreos de antivirus y la proteccin en tiempo real. Habilite el rastreo de heursticos en las fichas Rastreo de virus y Proteccin en tiempo real de una configuracin de antivirus. El rastreo del anlisis de heursticos intenta detectar archivos sospechosos de estar infectados con un virus desconocido (no definido en la base de datos de firmas de virus) mediante la observacin de su comportamiento sospechoso. El comportamiento sospechoso puede hacer referencia a un programa que se modifica automticamente y luego trata de buscar otros ejecutables o que se modifica despus de terminar. El anlisis de heursticos simula la ejecucin de programas para hacer protocolos de actividad observada sospechosa y luego los utiliza para identificar posibles infecciones de virus. Este mecanismo es eficaz y confiable en casi todos los casos y muy pocas veces genera positivos falsos. LANDesk Antivirus utiliza un analizador de heursticos para verificar archivos que ya se han rastreado con un rastreo de antivirus basado en definiciones de virus conocidas. Tenga en cuenta que el rastreo de heursticos puede afectar negativamente el desempeo de los dispositivos administrados.
Rastreo de software riesgoso (base de datos ampliada)

LANDesk Antivirus le permite habilitar el rastreo de software riesgoso, tambin denominado riskware, en los dispositivos de destino. El software riesgoso es simplemente el software cliente cuya instalacin presenta un riesgo posible, pero no definitivo, para el usuario final. Por ejemplo: software promocional, programas proxy, software pornogrfico, utilidades de administracin remota, IRC, marcadores, monitores de actividad, utilidades de contraseas y otras herramientas de Internet tales como FTP, Web, Proxy y Telnet. Cuando especifica el rastreo de software riesgoso en dispositivos administrados, LANDesk Antivirus carga una base de datos ampliada que contiene archivos de definicin que se utilizan para realizar el rastreo. El rastreo de la base de datos ampliada requiere ms tiempo que el rastreo de antivirus estndar.
211
MANUAL DE USUARIO
Notas adicionales sobre el reastreo de archivos

Rastreo de puntos de reparacin del sistema: LANDesk Antivirus rastrear los archivos en cualquiera de las carpetas de puntos de reparacin del sistema que puedan existir en el dispositivo administrado.
Lo que sucede en un dispositivo durante un rastreo de antivirus

Esta seccin describe la forma en que LANDesk Antivirus se visualiza en los dispositivos de usuario final que tienen instalado LANDesk Antivirus y lo que sucede cuando los dispositivos se rastrean en busca de virus con un rastreo de antivirus o a travs de la proteccin de virus en tiempo real. Se incluyen las opciones de usuario final posibles, al igual que las acciones que los usuarios finales pueden realizar si el rastreo detecta un objeto infectado.
Interfaz del cliente y acciones del usuario final de LANDesk Antivirus

Si la opcin Mostrar el icono de LANDesk Antivirus en la bandeja del sistema se encuentra activada en la configuracin de antivirus de un dispositivo, aparece el cliente de LANDesk Antivirus y muestra los elementos siguientes:
Icono en la bandeja del sistema

La proteccin en tiempo real est habilitada (el icono en la bandeja del sistema est amarillo) o deshabilitada (el icono en la bandeja del sistema est gris).
Ventana de LANDesk Antivirus

La proteccin en tiempo real est habilitada o deshabilitada (si la opcin est habilitada en la configuracin de antivirus, el usuario final puede deshabilitar la proteccin en tiempo real durante el tiempo que usted especifique). El rastreo de mensajes de correo electrnico est habilitado o deshabilitado ltimo rastreo (fecha y hora) Rastreo programado (fecha y hora) Nmero de versin del motor de rastreo Definiciones de virus (la ltima vez que se actualizaron los archivos de patrones) Cuarentena (muestra la cantidad de objetos que se ha puesto en cuarentena. Los usuarios finales pueden hacer clic en Ver detalles para tener acceso al cuadro de dilogo Objetos en cuarentena. Si la opcin est habilitada, el usuario final tambin puede restaurar archivos. Si la opcin de requisito de contrasea est habilitada, el usuario final debe especificar dicha contrasea). Copia de seguridad (muestra la cantidad de objetos a los que se les ha realizado copia de seguridad)
212
Elementos de confianza (muestra los elementos que el usuario final ha agregado a su lista de elementos de confianza y en los que no se realizar el rastreo de virus o software riesgoso)
Acciones del usuario final

Si LANDesk Antivirus se instala en su equipo y su configuracin de antivirus (predeterminada o especfica de la tarea) lo permite, los usuarios pueden realizar las siguientes tareas: Rastrear mi equipo (pueden ver el estado del rastreo y adems pausarlo y cancelarlo) Hacer clic con el botn secundario del ratn para realizar un rastreo de antivirus en los archivos y las carpetas de Windows Explorer (si la configuracin de antivirus tiene la opcin habilitada) Ver tareas locales programadas de rastreo de antivirus Crear rastreos locales de antivirus programados en sus equipos (si la opcin se ha habilitado en la configuracin de antivirus). Actualizar los archivos de definiciones de virus Deshabilitar de forma temporal la proteccin en tiempo real (si la configuracin de agente tiene la opcin habilitada y se ha limitado a un perodo de tiempo especfico) Ver objetos en cuarentena Ver objetos de copia de seguridad Ver elementos de confianza Restaurar objetos sospechosos (si la configuracin de antivirus tiene la opcin habilitada) Restaurar objetos infectados y software riesgoso (si la configuracin de antivirus tiene la opcin habilitada) Agregar y eliminar archivos, carpetas o subcarpetas en su lista de elementos de confianza
Observe que los usuarios finales no pueden configurar los ajustes del rastreo de antivirus ni deshabilitar el rastreo de mensajes de correo electrnico.
Cuando se detecta un objeto infectado

Este proceso se aplica a los archivos y a los mensajes de correo electrnico infectados. Si el objeto est infectado: 1. 2. 3. 4. Se realiza una copia de seguridad automticamente. (El archivo de copia de seguridad se guarda en la carpeta \LDClient\Antivirus\ con una extensin *.bak). Se intenta limpiar el objeto infectado. Si puede limpiarse, se lo restaura a su ubicacin original. Si no puede limpiarse, se coloca en cuarentena. (Luego se quita la cadena del virus y se codifica el archivo para que no se pueda ejecutar. El archivo de cuarentena se guarda en la carpeta \LDClient\Antivirus\ con una extensin *.qar).
Si los usuarios finales tienen habilitada la opcin correspondiente en la configuracin de antivirus (predeterminada o especfica de la tarea), pueden restaurar, eliminar y volver a rastrear los objetos en cuarentena.
213
MANUAL DE USUARIO
Rastreo automtico de archivos en cuarentena

Cuando se ejecuta un rastreo de antivirus a peticin o cuando se actualizan los archivos de definiciones de virus, el rastreador de antivirus rastrea automticamente los objetos que se encuentran en la carpeta cuarentena para ver si los archivos infectados pueden limpiarse con los archivos de definiciones de virus actuales. Si un archivo en cuarentena puede limpiarse, ste se restaura automticamente y se notifica al usuario. Los usuarios finales pueden abrir un archivo de copia de seguridad para ver un encabezado que proporciona informacin sobre la ubicacin original del archivo y la razn por la que se le hizo una copia de seguridad. Tenga en cuenta que slo los usuarios originales pueden eliminar o modificar los archivos de copia de seguridad. El usuario que ha iniciado sesin cuando se detect un archivo infectado.
Visualizacin de la informacin de actividad y estado de antivirus

Si el rastreador de antivirus detecta alguna de las definiciones de virus seleccionadas en los dispositivos de destino, esta informacin se transmite al servidor central. Puede utilizar cualquiera de los siguientes mtodos para ver la informacin de seguridad detectada tras la ejecucin del rastreo. Para obtener informacin de antivirus de toda la red, haga clic en el botn Actividad de Antivirus de la barra de herramientas del Administrador de Seguridad y Revisiones. La ventana muestra informacin de actividad y estado de antivirus segn las siguientes categoras: Infecciones por equipo Infecciones por virus Equipos que no se han rastreado recientemente Equipos con actividad de antivirus reciente
Adems, haga clic con el botn secundario en el dispositivo rastreado, seleccione Informacin de Seguridad y Revisiones y en la lista desplegable Tipo seleccione Antivirus. Se puede ver: Actualizaciones de antivirus faltantes Actualizaciones de antivirus instaladas Purgar historial de reparaciones
Uso de las alertas de antivirus

Puede configurar alertas de antivirus para recibir notificacin si se detectan eventos de antivirus especficos en los dispositivos administrados del sistema. LANDesk Antivirus utiliza la herramienta de alertas estndar de LANDesk.
214
Para configurar alertas de antivirus La configuracin de las alertas de antivirus se encuentra en la ficha LANDesk Antivirus del cuadro de dilogo Configuracin de alertas. Primero debe configurar las alertas de antivirus en la herramienta Configuracin de alertas de la consola. Las alertas de antivirus incluyen: Error en la accin activada por alerta Accin correcta activada por alerta Alerta de brotes de virus (por virus)
Los siguientes eventos de antivirus pueden generar alertas de antivirus: Error al eliminar virus Correcta eliminacin del virus Error al poner en cuarentena Cuarentena correcta Error al eliminar Eliminacin correcta
Seleccione las alertas que desea que se generen. La opcin del intervalo de tiempo le permite evitar demasiadas alertas. Ms de una alerta (para cualquier activacin de antivirus) durante el intervalo de tiempo especificado se ignora. Puede visualizar el historial completo de alertas de antivirus de un dispositivo en el cuadro de dilogo Informacin de Seguridad y Revisiones. Haga clic con el botn secundario en un dispositivo, seleccione Informacin de Seguridad y Revisiones, seleccione el tipo de antivirus en la lista desplegable Tipo y luego seleccione el objeto Historial de antivirus.
Generacin de informes de antivirus

LANDesk Antivirus est representado por diversos informes relacionados con el antivirus en la herramienta de Informes. Estos informes proporcionan una variada informacin til sobre los dispositivos rastreados en su red. Para acceder a la herramienta Informes y poder generar y ver los mismos, los usuarios de LANDesk deben tener derecho de administrador de LANDesk (lo que implica derechos absolutos) o derecho de informes especfico. Los informes de antivirus pueden copiarse, eliminarse, exportarse, etc. desde los grupos Mis informes e Informes del usuario. Los informes de antivirus se ubican en la ventana de la herramienta Informes bajo el grupo Administrador de Seguridad y Revisiones.

En la ventana de informes se puede proceder a la ejecucin de cualquiera de ellos. En la ventana Informes, haga clic con el botn secundario en el informe que desea ejecutar y, a continuacin, en Ejecutar (o haga clic en el botn Ejecutar de la barra de herramientas). Los datos del informe aparecen en Vista de informes.
215
MANUAL DE USUARIO
Tambin puede publicar los informes en un recurso seguro de archivos compartidos donde cualquier usuario los pueda ver, en caso de que tenga las credenciales necesarias para acceder. Para obtener ms informacin sobre el uso de la herramienta Informes y un listado completo de los informes del Administrador de Seguridad y Revisiones con descripciones, consulte la Administracin de informes.
Vista de informacin sobre antivirus en el tablero digital ejecutivo de la consola Web

Tambin puede visualizar la informacin del rastreo de antivirus en el Tablero ejecutivo. Esta informacin resulta til para identificar los brotes de virus y para mostrar la proteccin de antivirus a lo largo del tiempo. Los artefactos especficos de LANDesk Antivirus muestran: Los cinco principales virus detectados (en los ltimos 10 das o semanas) Los dispositivos administrados infectados con virus (en los ltimos 10 das o semanas) Medicin del porcentaje de dispositivos administrados que tienen habilitada la proteccin en tiempo real Medicin del porcentaje de dispositivos administrados que tienen definiciones de virus actualizadas
216
LANDesk Host Intrusion Prevention System

LANDesk Host Intrusion Prevention System, o LANDesk HIPS, constituye una herramienta de seguridad que agrega un nivel adicional de proteccin a los dispositivos administrados. LANDesk HIPS ofrece a los administradores la capacidad para proteger sus sistemas de ataques de malware conocidos y desconocidos antes de que contaminen los sistemas en la red empresarial. LANDesk HIPS mejora LANDesk Antivirus a travs de procesos de supervisin activa y de la deteccin y prevencin de ataques maliciosos de da de lanzamiento. HIPS supervisa de forma constante y continua los archivos, las aplicaciones y las claves de registro especificados con el fin de evitar conductas no autorizadas. Podr controlar qu aplicaciones se ejecutan en los dispositivos y la forma en que se permite su ejecucin. A diferencia de la deteccin y reparacin de vulnerabilidades, la deteccin y eliminacin de spyware o el rastreo de antivirus, la proteccin ofrecida por HIPS no requiere actualizaciones de archivos de revisiones, de archivos de definiciones o patrones o de bases de datos de firmas. LANDesk HIPS brinda seguridad ininterrumpida basada en configuraciones personalizadas que satisfacen su entorno y sus requisitos. La ventana y las funciones de la herramienta LANDesk Host Intrusion Prevention (HIPS) estn disponibles en la consola principal de LANDesk (Herramientas | Seguridad | Host Intrusion Prevention System). La herramienta LANDesk HIPS permite crear tareas de instalacin, actualizacin y eliminacin del agente de LANDesk HIPS; configurar las opciones de HIPS que se pueden implementar en los dispositivos de destino que desea proteger y personalizar las opciones de visualizacin e interaccin de HIPS que determinan la forma en que este aparece y funciona en los dispositivos administrados, al igual que las opciones interactivas que estn disponibles para los usuarios finales. Tambin puede ver la informacin de actividad y estado de HIPS de los dispositivos protegidos. Este captulo introduce la herramienta de administracin de la seguridad LANDesk HIPS. Contiene informacin general, instrucciones detalladas para el uso de las funciones de LANDesk HIPS y secciones de ayuda en lnea correspondientes que describen los cuadros de dilogo de la herramienta LANDesk HIPS. Desde la interfaz de la consola, se puede acceder a estas secciones de ayuda si hace clic en el botn Ayuda de su respectivo cuadro de dilogo. Lea este captulo para obtener informacin sobre: "Informacin general de LANDesk HIPS" en la pgina 218 "Plataformas de dispositivos compatibles" en la pgina 219 "Administracin basada en funciones con LANDesk HIPS" en la pgina 220 "Flujo de trabajo de las tareas de LANDesk HIPS" en la pgina 220 "Configuracin de dispositivos para la proteccin de LANDesk HIPS" en la pgina 221 "Proteccin de dispositivos administrados con LANDesk HIPS" en la pgina 224 "Definicin de las opciones de proteccin de LANDesk HIPS en la configuracin de HIPS" en la pgina 225 "Qu sucede en los dispositivos configurados con LANDesk HIPS" en la pgina 233 "Visualizacin de la informacin de actividad de HIPS" en la pgina 234
217
MANUAL DE USUARIO
Informacin general de LANDesk HIPS

HIPS son las siglas de Host-based Intrusion Prevention System (sistema de prevencin de intrusin basada en host). LANDesk HIPS proporciona otro nivel de proteccin por encima de los antivirus, los programas antispyware, la administracin de revisiones y la configuracin del servidor de seguridad de Windows, que evita actividades maliciosas en los equipos. Debido a que es un sistema basado en reglas y no en definiciones, puede ser ms eficaz en la proteccin de sistemas en contra de ataques de da de lanzamiento (explotaciones de cdigo vulnerable antes de que estn disponibles las revisiones). LANDesk HIPS protege los servidores y las estaciones de trabajo mediante la colocacin de agentes de software entre las aplicaciones y el kernel de sistema operativo. Con las reglas predeterminadas que se basan en el comportamiento habitual de los ataques de malware, estos sistemas evalan actividades tales como solicitudes de conexin de red, intentos de lectura o escritura en la memoria o intentos de acceso a aplicaciones especficas. Se permite el comportamiento que se sabe que es aceptable, el comportamiento conocido como inaceptable se bloquea y el comportamiento sospechoso se marca para su posterior evaluacin.
Funciones de seguridad activa de HIPS

Ofrece proteccin a nivel del kernel contra aplicaciones que intenten modificar los archivos binarios (o cualquier archivo que especifique) en el equipo o la memoria de aplicacin de los procesos en ejecucin. Tambin bloquea los cambios en ciertas reas del registro y puede detectar los procesos de rootkit. Utiliza la proteccin de la memoria contra desbordamientos de bfer y explotaciones de pila. Ejecuta esquemas de proteccin a fin de evitar que un atacante genere y ejecute cdigo en un segmento de datos. Vigila el acceso no autorizado o no habitual a los archivos. Ofrece proteccin en tiempo real en los equipos sin depender de las bases de datos de firmas.
LANDesk HIPS proporciona la siguiente seguridad a nivel de sistema: Proteccin de sistema de archivos basada en reglas y a nivel del kernel Proteccin del registro Control de inicio Deteccin de rootkits indetectables Filtro de red Certificacin de procesos, archivos y aplicaciones Las reglas de proteccin de archivos que restringen las acciones que los programas ejecutables pueden realizar en archivos especficos
Funciones de cliente de HIPS

El cliente de LANDesk HIPS ofrece a los administradores una nueva y potente herramienta para controlar las aplicaciones que se ejecutan en los equipos de escritorio y los servidores de una empresa y la forma en que dichas aplicaciones pueden ejecutarse.
218
El software de cliente de HIPS utiliza tcnicas comprobadas heursticas y de reconocimiento de comportamiento que identifican patrones y acciones habituales de cdigo malicioso. Por ejemplo, se podra bloquear un archivo que intente escribir en el registro del sistema y marcarlo como con potencial malicioso. El cliente de LANDesk HIPS utiliza una variedad de tcnicas privadas con el fin de detectar el malware de manera fiable an antes de que se haya identificado una firma.
Funciones de la consola de HIPS

LANDesk HIPS brinda a los administradores la capacidad para definir y administrar perfiles distintos para los diferentes grupos de usuarios. Las configuraciones de HIPS satisfacen las necesidades de todos los grupos de usuarios, ya que permite que los administradores creen varias configuraciones altamente flexibles para los diversos perfiles de usuario. Cada configuracin de HIPS puede incluir una proteccin de contrasea personalizada, administracin de WinTrust, modo de proteccin, dispositivos permitidos, polticas de control de acceso de red y aplicacin, certificaciones de archivos y reglas de proteccin de archivos.

LANDesk HIPS es compatible con muchas de las mismas plataformas de equipos de escritorio y de servidores admitidas por las capacidades de rastreo de seguridad de LANDesk Security Suite y las plataformas de dispositivos administrados estndares de LANDesk, inclusive los siguientes sistemas operativos: Windows 2000 SP2 Windows 2003 Windows XP SP1 Windows Vista de 32 bits
LANDesk HIPS no se admite en los servidores centrales ni en los servidores centrales de resumen No debe instalar o implementar LANDesk HIPS en servidores centrales o en servidores centrales de resumen. No obstante, puede implementar LANDesk HIPS en una consola adicional.
Otros requisitos del sistema

Asegrese de que los dispositivos administrados que desee configurar con la proteccin de LANDesk HIPS cumplan con los siguientes requisitos de sistema: LANDesk HIPS solamente es compatible con LANDesk Antivirus y Symantec Antivirus (versiones Enterprise). Dicha compatibilidad significa que LANDesk HIPS no interferir con los procesos antivirus, tales como rastreos, proteccin en tiempo real, etc. NO implemente LANDesk HIPS en dispositivos que tengan instalados otros productos o soluciones de antivirus.
Licencias de LANDesk HIPS

A fin de tener acceso a la herramienta de LANDesk HIPS, primero debe activar el servidor central con una licencia de LANDesk HIPS.
219
MANUAL DE USUARIO
Para obtener ms informacin sobre las licencias de LANDesk HIPS, pngase en contacto con su distribuidor de LANDesk o visite la pgina Web de LANDesk.
Administracin basada en funciones con LANDesk HIPS

LANDesk HIPS, al igual que el Administrador de Seguridad y Revisiones, utiliza la administracin basada en funciones de LANDesk para permitirles a los usuarios acceder a las funciones de LANDesk HIPS. La administracin basada en funciones de LANDesk constituye el marco de acceso y seguridad de Management Suite, el cual permite que los administradores de LANDesk restrinjan el acceso a herramientas y dispositivos. Cada usuario de LANDesk recibe derechos y mbitos especficos que determinan las caractersticas que puede utilizar y los dispositivos que puede administrar. Si desea ms informacin sobre este tema, consulte Administracin basada en funciones. El administrador de LANDesk asigna dichos derechos a los dems usuarios mediante la herramienta Usuarios de la consola. LANDesk HIPS introduce una funcin nueva y el derecho correspondiente a la administracin basada en funciones. El derecho se denomina Host Intrusion Prevention System y figura en el dilogo Propiedades de usuario. A fin de ver y utilizar las funciones de LANDesk HIPS, debe asignarse el derecho necesario a un usuario de LANDesk. El derecho de HIPS confiere a los usuarios capacidad para: Ver y acceder a la herramienta Host Intrusion Prevention System (HIPS) en el men Herramientas y en el cuadro de herramientas de la consola Configurar dispositivos administrados para la proteccin de HIPS Administrar configuraciones de HIPS (proteccin de contrasea, administracin de cdigo firmado, accin, modo de proteccin, certificaciones de archivos, reglas de proteccin de archivos, etc.) Implementar tareas de instalacin o actualizacin de HIPS y cambiar las tareas de configuracin Ver la actividad de HIPS en los dispositivos protegidos Definir opciones de umbral de datos de HIPS para registrar y visualizar la actividad de HIPS en toda la red
Flujo de trabajo de las tareas de LANDesk HIPS

Los pasos que se detallan a continuacin ofrecen un resumen del esquema de los procesos o las tareas habituales involucrados en la proteccin de HIPS de la red de LANDesk. Todos estos procedimientos se describen detalladamente en las secciones subsiguientes. Pasos bsicos para implementar y utilizar LANDesk HIPS: 1. 2. Configuracin de dispositivos administrados para proteccin HIPS (por ejemplo, implementacin del agente LANDesk HIPS a los dispositivos de destino). Configuracin de opciones de HIPS, como: administracin de cdigo firmado, modo de proteccin, dispositivos permitidos (aplicaciones permitidas para ejecutar en dispositivos), certificaciones de archivos, reglas de proteccin de archivos y opciones interactivas de usuario final, con configuraciones de HIPS. Deteccin de comportamiento de archivos y aplicaciones en dispositivos con el modo de aprendizaje de HIPS.
3.
220
4. 5.
Aplicacin de la proteccin de HIPS en los dispositivos administrados con el modo automtico (de bloqueo) de HIPS. Visualizacin de la actividad de HIPS en los dispositivos protegidos
Configuracin de dispositivos para la proteccin de LANDesk HIPS

Para proteger los dispositivos administrados contra ataques de da de lanzamiento, estos deben tener instalado el agente de LANDesk HIPS. Esto se puede hacer durante la configuracin de agente inicial del dispositivo o con otra tarea de instalacin o actualizacin.
Configuracin de dispositivos para LANDesk HIPS

Para configurar dispositivos con LANDesk HIPS a travs de una configuracin de agente 1. 2. 3. En la consola, haga clic en Herramientas | Configuracin | Configuracin de agentes. Haga clic en el botn Ventanas nuevas de la barra de herramientas. Luego de especificar los ajustes deseados para la configuracin de agente, primero debe hacer clic en la pgina Inicio y seleccionar la opcin Host Intrusion Prevention bajo Seguridad. Ahora puede acceder a las opciones en la pgina Host Intrusion Prevention System. Seleccione una configuracin de HIPS de la lista disponible y aplquela a la configuracin de agente que est creando. Para crear una configuracin nueva o editar una existente, haga clic en Configurar. Las configuraciones de HIPS determinan si el cliente de LANDesk HIPS tiene proteccin de contrasea, administracin de cdigo firmado WinTrust, acciones en programas agregados al inicio del sistema, proteccin contra desbordamientos de bfer, modo de operacin, dispositivos permitidos, certificaciones de archivos y reglas de proteccin de archivos. Termine de especificar la configuracin del agente y luego haga clic en Guardar.
4. 5.
6.
Si desea instalar o actualizar LANDesk HIPS ms adelante, puede hacerlo como una tarea aparte desde la herramienta HIPS en la consola. Para instalar o actualizar LANDesk HIPS como una tarea aparte 1. 2. 3. 4. 5. En la consola, haga clic en Herramientas | Seguridad | Host Intrusion Prevention. Haga clic en el botn Crear una tarea de la barra de herramientas y luego en Instalar/Actualizar LANDesk HIPS. Escriba un nombre para la tarea. Especifique si la instalacin es una tarea programada, si se basa en una directiva o ambas. Si desea mostrar el progreso de la instalacin en el cuadro de dilogo del rastreador de seguridad de los dispositivos de destino, active la opcin Mostrar IU.
221
MANUAL DE USUARIO
6.
7.
8.
Seleccione una configuracin de HIPS de la lista disponible y aplquela a la configuracin de agente que est creando. Para crear una configuracin nueva o editar una existente, haga clic en Configurar. Las configuraciones de HIPS determinan si el cliente de LANDesk HIPS tiene proteccin de contrasea, administracin de cdigo firmado WinTrust, acciones en programas agregados al inicio del sistema, proteccin contra desbordamientos de bfer, modo de operacin, dispositivos permitidos, certificaciones de archivos y reglas de proteccin de archivos. Seleccione una configuracin de rastreo y reparacin de la lista para aplicar su configuracin de reinicio (solamente) a la configuracin de agente que est creando. Al igual que con la configuracin de HIPS anterior, para crear una configuracin nueva o editar una existente, haga clic en Configurar. Recuerde que SOLAMENTE las opciones de reinicio especificadas en la configuracin de rastreo y reparacin que ha seleccionado se utilizan en esta implementacin del agente de LANDesk HIPS de la configuracin del agente en los dispositivos de destino. Puede utilizar una configuracin de rastreo y reparacin que ya incluya la configuracin de reinicio que desee o bien, crear una configuracin de rastreo y reparacin nueva especfica para la implementacin de LANDesk HIPS. Haga clic en Aceptar.
La seccin siguiente describe los campos del cuadro de dilogo utilizado en las tareas anteriores.
Acerca del cuadro de dilogo Instalar o actualizar tarea de LANDesk HIPS

Utilice este cuadro de dilogo para crear y configurar una tarea que instale el agente de LANDesk HIPS en los dispositivos de destino que an no lo tienen o que actualice las versiones existentes del agente de LANDesk HIPS en dispositivos de destino que ya lo tienen instalado. El rastreador de seguridad de la herramienta del Administrador de Seguridad y Revisiones ejecuta la instalacin de LANDesk HIPS. Esta tarea permite implementar y actualizar de forma conveniente el agente de LANDesk HIPS (y la configuracin asociada) de un dispositivo administrado sin tener que volver a implementar una configuracin completa del agente. Este cuadro de dilogo contiene las opciones siguientes: Nombre de la tarea: escriba un nombre nico para identificar la tarea. Crear una tarea programada: agrega la tarea a la ventana Tareas programadas, donde puede configurar sus opciones de programacin y recurrencia y asignarles dispositivos de destino. Crear una directiva: agrega la tarea como una directiva a la ventana de Tareas programadas, donde puede configurar las opciones de directiva. Mostrar IU: Indica si el cuadro de dilogo del rastreador de seguridad muestra el progreso de la instalacin/actualizacin del agente de LANDesk HIPS en los dispositivos de destino.
222
Configuracin de LANDesk HIPS: Especifica la configuracin de HIPS asociada con esta instalacin particular del agente de LANDesk HIPS. Seleccionar una configuracin de la lista desplegable. Haga clic en Editar para modificar las opciones de la configuracin seleccionada. Haga clic en Configurar para crear una configuracin nueva. Para obtener ms informacin, consulte "Acerca del cuadro de dilogo Configuracin de Host Intrusion Prevention" en la pgina 226. Configuracin de rastreo y reparacin (slo en el reinicio): Especifica la configuracin de rastreo y reparacin asociada con esta instalacin particular del agente de LANDesk HIPS. La tarea utilizar SOLAMENTE las opciones de reinicio de la configuracin de rastreo y reparacin seleccionadas, las cuales determinan los requisitos de reinicio y las acciones en los dispositivos de destino durante la instalacin del agente de LANDesk HIPS.
Eliminacin de LANDesk HIPS de los dispositivos

Si desea eliminar LANDesk HIPS de los dispositivos administrados, puede hacerlo como una tarea aparte desde la herramienta HIPS en la consola. Para eliminar LANDesk HIPS 1. 2. 3. 4. 5. 6. En la consola, haga clic en Herramientas | Seguridad | Host Intrusion Prevention. Haga clic en el botn Crear una tarea de la barra de herramientas y luego en Eliminar LANDesk HIPS. Escriba un nombre para la tarea. Especifique si la instalacin es una tarea programada, si se basa en una directiva o ambas. Si desea mostrar el progreso de la instalacin en el cuadro de dilogo del rastreador de seguridad de los dispositivos de destino, active la opcin Mostrar IU. Seleccione una configuracin de rastreo y reparacin de la lista disponible para aplicar su configuracin de reinicio a la tarea que est creando. Para crear una configuracin nueva o editar una existente, haga clic en Configurar. La tarea utilizar SOLAMENTE las opciones de reinicio de la configuracin de rastreo y reparacin seleccionadas, las cuales determinan los requisitos de reinicio y las acciones en los dispositivos de destino durante la eliminacin del agente de LANDesk HIPS. Haga clic en Aceptar.
7.
Acerca del cuadro de dilogo Eliminar LANDesk HIPS

Utilice este cuadro de dilogo para crear y configurar una tarea que elimine el agente de LANDesk HIPS de los dispositivos de destino. Este cuadro de dilogo contiene las opciones siguientes: Nombre de la tarea: escriba un nombre nico para identificar la tarea. Crear una tarea programada: agrega la tarea a la ventana Tareas programadas, donde puede configurar sus opciones de programacin y recurrencia y asignarles dispositivos de destino. Crear una directiva: agrega la tarea como una directiva a la ventana de Tareas programadas, donde puede configurar las opciones de directiva.
223
MANUAL DE USUARIO
Mostrar IU: Indica si el cuadro de dilogo del rastreador de seguridad muestra el progreso de la eliminacin del agente de LANDesk HIPS de los dispositivos de destino. Configuracin de rastreo y reparacin: Especifica la configuracin de rastreo y reparacin asociada con esta tarea de eliminacin particular del agente de LANDesk HIPS. La tarea utilizar SOLAMENTE las opciones de reinicio de la configuracin de rastreo y reparacin seleccionadas, las cuales determinan los requisitos de reinicio y las acciones en los dispositivos de destino durante la eliminacin del agente.
Proteccin de dispositivos administrados con LANDesk HIPS

LANDesk HIPS se puede ejecutar ya sea en el modo de bloqueo automtico en el cual se bloquean todas las violaciones de HIPS o bien, en el modo de aprendizaje.
Uso del modo de aprendizaje de HIPS

A continuacin se describe el proceso de modo de aprendizaje de HIPS: En el modo de aprendizaje, HIPS aprende qu tipo de aplicaciones estn instaladas en el dispositivo, su comportamiento y sus derechos (o privilegios). HIPS supervisa la actividad en el dispositivo y registra informacin en un archivo de historial de acciones. Los datos del historial de acciones se envan del dispositivo al servidor central. Los administradores leen el historial de acciones para ver lo que las aplicaciones estn haciendo en el dispositivo. Observe que los archivos y las aplicaciones y los derechos asociados que se enumeran en el archivo (XML) de historial de acciones, se visualizan en la pgina Certificaciones de archivo del cuadro de dilogo Configuracin de HIPS. A continuacin, los administradores pueden personalizar la configuracin de HIPS para permitir y denegar privilegios en aplicaciones relevantes.
El modo de aprendizaje se puede aplicar a dispositivos administrados, lo que por lo general permite que ocurran violaciones al HIPS hasta que se implementa una nueva configuracin de HIPS, o el modo de aprendizaje se puede aplicar inicialmente durante un perodo especificado de tiempo para descubrir las aplicaciones que se ejecutan y su comportamiento y para crear un dispositivo permitido (aplicaciones que se pueden ejecutar en dispositivos). Si el modo de proteccin general es el bloqueo automtico, todava podr utilizar el modo de aprendizaje para descubrir el comportamiento de aplicaciones y luego volver a aplicar el modo de bloqueo una vez que caduque el perodo de aprendizaje. Note que tanto el servidor central como el dispositivo administrado deben operar en el modo de aprendizaje para que se produzca la comunicacin con el historial de acciones.
224
Definicin de las opciones de proteccin de LANDesk HIPS en la configuracin de HIPS

LANDesk HIPS ofrece un control completo sobre la forma en que LANDesk HIPS funciona en los dispositivos de destino y sobre las opciones que se encuentran disponibles para los usuarios finales. Puede crear y aplicar las configuraciones de HIPS a una instalacin de HIPS o actualizar la tarea a tareas de cambio de configuracin. Se pueden crear tantas configuraciones de HIPS como se desee. Las configuraciones de HIPS pueden disearse para un propsito, un horario o un conjunto de dispositivos de destino especficos. Todas las configuraciones de HIPS que crea se almacenan en el grupo Certificacin de aplicacin que se encuentra bajo Configuracin en la vista de rbol de Host Intrusion Prevention. Consulte las secciones siguientes para obtener informacin sobre la creacin y administracin de configuraciones de HIPS: "Creacin y uso de configuraciones de HIPS" en la pgina 225 "Cambio de la configuracin de HIPS predeterminada de un dispositivo" en la pgina 232 "Visualizacin de la configuracin de HIPS de dispositivos en el inventario" en la pgina 233
Creacin y uso de configuraciones de HIPS

Para crear configuraciones de HIPS 1. 2. En la ventana Host Intrusion Prevention, haga clic en el botn Nueva configuracin de la barra de herramientas. (O bien, haga clic en Definir configuracin | Nueva). En la pgina Configuraciones, escriba un nombre para la configuracin de HIPS y luego especifique los requisitos y las acciones generales. Haga clic en Ayuda para obtener informacin sobre una opcin (vase a continuacin). En la pgina de Configuracin de modo, seleccione si desea aplicar el modo de proteccin de bloqueo automtico de HIPS, o el modo de aprendizaje. Tambin puede elegir crear un dispositivo permitido (aplicaciones que se pueden ejecutar en dispositivos) segn los archivos certificados actuales, y si desea que se ejecute la generacin de un dispositivo permitido durante un perodo de tiempo especificado inicialmente y luego volver a aplicar el modo de bloqueo automtico o continuar con el uso del modo de aprendizaje. Note que si elige el modo de aprendizaje como el modo de proteccin general y desea generar un dispositivo permitido, se deshabilitar la opcin aplicar modo automtico. Haga clic en Ayuda para obtener informacin sobre una opcin (vase a continuacin). En la pgina Certificaciones de archivos, agregue, modifique o elimine las certificaciones de archivos. Haga clic en Ayuda para obtener informacin sobre una opcin (vase a continuacin).
3.
4.
225
MANUAL DE USUARIO
5.
6.
En la pgina Reglas de proteccin de archivos, agregue, modifique, asigne prioridades o elimine las reglas de proteccin de archivos. LANDesk HIPS incluye un conjunto (predeterminado) predefinido de reglas de proteccin. Haga clic en Ayuda para obtener informacin sobre una opcin (vase a continuacin). En una de las pginas de configuracin de HIPS, haga clic en Guardar en cualquier momento para guardar las opciones establecidas para la configuracin de HIPS, o haga clic en Cancelar para salir del cuadro de dilogo sin guardar la configuracin.
Una vez configurado, puede implementar la configuracin de HIPS en los dispositivos de destino mediante la aplicacin de tareas de instalacin y actualizacin de HIPS (o de una tarea de cambio de configuracin).
Acerca del cuadro de dilogo Definicin de configuraciones de HIPS

Utilice este cuadro de dilogo para administrar la configuracin de LANDesk HIPS. Una vez definida, puede aplicar la configuracin de HIPS a las tareas de configuracin de agente, las tareas de instalacin y actualizacin de HIPS y las tareas de cambio de configuracin. La configuracin de HIPS determina si el cliente de LANDesk HIPS tiene proteccin con contrasea, la disponibilidad de las opciones interactivas para los usuarios finales, el manejo de cdigo firmado, el modo de operacin y las certificaciones de archivo. Este cuadro de dilogo contiene las opciones siguientes: Nuevo: Abre el cuadro de dilogo Configuracin de LANDesk HIPS donde puede configurar las opciones de HIPS. Editar: Abre el cuadro de dilogo de Configuracin de LANDesk HIPS, donde puede modificar la configuracin seleccionada. Copiar: abre una copia de la configuracin seleccionada como una plantilla que luego puede modificar y a la que se le puede cambiar el nombre. Esto resulta til si desea realizar ajustes menores en la configuracin y guardarlos para un propsito especfico. Eliminar: quita la configuracin seleccionada de la base de datos. (Tenga en cuenta que la configuracin seleccionada puede estar asociada a una o ms tareas o dispositivos administrados. Si elige eliminar la configuracin: los dispositivos con esa configuracin la seguirn utilizando hasta que se implemente una tarea cambiar configuracin nueva; las tareas programadas con esa configuracin se seguirn ejecutando en los dispositivos de destino tal como lo hacen las tareas del programador local con esa configuracin hasta que se implemente una nueva.) Cerrar: Cierra el cuadro de dilogo sin aplicar una configuracin a la tarea.
Acerca del cuadro de dilogo Configuracin de Host Intrusion Prevention

Utilice este cuadro de dilogo para crear y editar una configuracin de HIPS. Cuando se crean configuraciones de HIPS, primero se definen los requisitos y las acciones generales y luego se agregan las certificaciones de archivos especficas. Se pueden crear tantas configuraciones de HIPS como se desee y editarlas en cualquier momento.
226
Si desea modificar la configuracin predeterminada de HIPS del dispositivo sin volver a instalar el agente de LANDesk HIPS o a implementar una configuracin completa del agente, realice los cambios deseados en cualquier opcin del cuadro de dilogo Configuracin de HIPS, asigne la nueva configuracin a una tarea de cambio de configuracin y luego implemntela en los dispositivos de destino. Una vez definida, puede aplicar la configuracin de HIPS a las tareas de instalacin o actualizacin de LANDesk HIPS (y a las tareas de cambio de configuracin). El cuadro de dilogo Configuracin de HIPS contiene las siguientes pginas: "Acerca de la pgina Configuraciones de HIPS" en la pgina 227 "Acerca de la pgina Configuracin de modo de HIPS" en la pgina 228 "Acerca de la pgina Certificaciones de archivos de HIPS" en la pgina 229 "Acerca de la pgina Reglas de proteccin de archivos de HIPS" en la pgina 230
Acerca de la pgina Configuraciones de HIPS

En esta pgina se configuran los requisitos y las acciones generales para las configuraciones de HIPS. Esta pgina contiene las siguientes opciones: Nombre: Identifica la configuracin de HIPS con un nombre nico. Este nombre aparece en la lista desplegable Configuracin de LANDesk HIPS en un cuadro de dilogo de tarea de instalacin o actualizacin de LANDesk HIPS. Contrasea de administrador: Especifica la contrasea requerida en los dispositivos configurados con las configuraciones de HIPS a fin de realizar ciertas acciones en el dispositivo protegido. Las acciones que requieren una contrasea incluyen: acceso a la interfaz de cliente de LANDesk HIPS, instalacin de software sin firma, autorizacin de violaciones de HIPS, descarga de LANDesk HIPS, borrado del informe local y cambio del modo de operacin de HIPS. Confirmacin de contrasea: Garantiza la precisin de la contrasea. WinTrust: Determina la forma en que se proporcionan derechos a software con firma digital. Un archivo ejecutable que haya sido firmado de forma digital por su fabricante es confiable, y mostrar la firma digital en el cuadro de dilogo de propiedades de archivo. HIPS permite los derechos a software con firma digital segn la opcin que seleccione en la lista que aparece a continuacin. No verificar el cdigo firmado Permitir automticamente el cdigo firmado Permitir automticamente el cdigo firmado de estos proveedores Accin: Cuando se agrega un programa al inicio del sistema: Determina la accin que se realiza cuando se agrega un programa al inicio. Esto proporciona una segunda lnea de defensa para los procesos de autorizacin en la carpeta inicio del sistema. HIPS supervisa el contenido del inicio y si encuentra un proceso nuevo, realiza la accin que seleccione en la lista siguiente. Alertar y solicitar accin Registrar en el informe sin generar alerta Eliminar del inicio, sin generar alerta Permitir que el usuario final detenga el servicio HIPS: Permite que el usuario detenga el servicio HIPS en su equipo.
227
MANUAL DE USUARIO
Usar la proteccin contra desbordamientos de bfer: Le permite proteger los dispositivos de explotaciones de la memoria del sistema que se aprovechan de un programa o proceso que est en espera de la entrada del usuario. Establecer como predeterminado: Asigna esta opcin como la opcin predeterminada para las tareas que utilizan la configuracin de HIPS. Id: Identifica esta configuracin particular. Esta informacin se almacena en la base de datos y se utiliza para llevar un control de cada una de las configuraciones. Guardar: guarda los cambios y cierra el cuadro de dilogo. Cancelar: cierra el cuadro de dilogo sin guardar los cambios.
Acerca de la pgina Configuracin de modo de HIPS

Use esta pgina para configurar el modo de operacin para la proteccin de LANDesk HIPS. Esta pgina contiene las siguientes opciones: Modo de proteccin: Especifica el comportamiento de HIPS cuando se producen violaciones de seguridad en dispositivos administrados. Automtico: Todas las violaciones de seguridad de HIPS se bloquean automticamente. En otras palabras, se aplican todas las reglas de certificacin de archivos que cre para archivos especficos. Si selecciona el modo de bloqueo automtico y tambin desea utilizar la funcin de dispositivo permitido, puede aplicar cualquiera de los modos de dispositivos permitidos a continuacin (aplicar o aprendizaje). Aprendizaje: Se permiten todas las violaciones de seguridad (modificaciones de software y sistema), pero las mismas se supervisan y se registran en un archivo de historial de acciones. Adems, se aprenden todas las aplicaciones que se ejecutan en el dispositivo y se pueden agregar a los dispositivos permitidos (aplicaciones permitidas) mediante la opcin aprendizaje de dispositivos permitidos a continuacin. Utilice este modo de operacin para descubrir el comportamiento de aplicaciones en un dispositivo o conjunto de dispositivos especficos, y luego utilice esa informacin para personalizar las polticas de HIPS antes de implementarlas y aplicar la proteccin de HIPS en toda la red. Contrariamente al modo automtico, si selecciona el modo de aprendizaje y tambin desea utilizar la funcin de dispositivos permitidos, slo se aplicar el modo de aprendizaje. Dispositivos permitidos Utilice archivos certificados como dispositivos permitidos: Crea un dispositivo permitido (aplicaciones permitidas) basado en los archivos actuales cuya certificacin tiene habilitada la opcin permitir ejecucin. Modo de aprendizaje por primera vez: Le permite al administrador especificar un perodo de tiempo en el que el usuario final puede ejecutar alguna de las aplicaciones de su equipo. Durante este perodo, HIPS observa o aprende cules son las aplicaciones que se ejecutan. El administrador puede utilizar las opciones a continuacin para especificar qu modo de operacin de HIPS est en ejecucin despus de que caduca dicho perodo de tiempo: ya sea aplicar el modo de operacin automtico regular, en que slo se permite que se ejecuten los archivos certificados, O permitir que el dispositivo contine ejecutndose en el modo de aprendizaje, en que se permite que todas las aplicaciones se ejecuten y se agreguen automticamente a los dispositivos permitidos de archivos certificados.
228
Dispositivos del modelo de seguridad: Especifica el modo de proteccin de HIPS para un subconjunto de dispositivos que se configuran con las mismas configuraciones de HIPS. Puede utilizar esta funcin para observar o aprender las modificaciones del software o del sistema y cules son las aplicaciones que se ejecutan en un grupo limitado de dispositivos. Por ejemplo, podra utilizar la misma configuracin de HIPS con el modo de proteccin establecido en el Modo de bloqueo automtico, pero identificar algunos dispositivos de destino sobre los que desea aprender al agregar dichos equipos a la lista de dispositivos del modelo de seguridad con el modo de proteccin establecido en Aprendizaje.
Acerca de la pgina Certificaciones de archivos de HIPS

Utilice esta pgina para ver y administrar las certificaciones de archivos. Las certificaciones de archivos son un conjunto de derechos (privilegios o autorizaciones) que permiten y deniegan ciertas acciones que se pueden realizar MEDIANTE una aplicacin en dispositivos administrados. Esta pgina contiene las siguientes opciones: Archivos certificados: Enumera los archivos que tienen derechos de certificacin configurados para LANDesk HIPS. Agregar: Abre un cuadro de dilogo de exploracin de archivos donde puede navegar y seleccionar el archivo que desee configurar con las certificaciones de archivos. Configurar: Permite editar las certificaciones del archivo seleccionado. Eliminar: Elimina el archivo seleccionado y sus certificaciones.
Acerca del cuadro de dilogo Configurar certificacin de archivo de HIPS

Utilice este cuadro de dilogo para configurar certificaciones para un archivo de aplicacin especfico. Este cuadro de dilogo contiene las opciones siguientes: Nombre de archivo: Identifica la aplicacin a la que se estn asignando las certificaciones. Ruta completa: Especifica la ubicacin del archivo. Tamao de archivo: Especifica el tamao (en KB) del archivo. Fecha del archivo: Indica la fecha y hora de creacin del archivo. Versin: Indica el nmero de versin del archivo, si est disponible. Certificado: Indica la fecha y hora en que se crearon o se modificaron por ltima vez las certificaciones del archivo. Hash de MD5: Muestra el hash de MD5 del archivo. El archivo hash se utiliza para garantizar la integridad del archivo. Descripcin: Proporciona un cuadro de texto para escribir una descripcin del archivo. Omitir toda la proteccin: Permite todos los privilegios del archivo de aplicacin. El archivo no emplea ningn tipo de filtro o supervisin. Omitir la proteccin contra desbordamientos de bfer: Le permite omitir la proteccin contra desbordamientos de bfer. Desear utilizar esta opcin para archivos (procesos) que tienen certificacin y en los que confa.
229
MANUAL DE USUARIO
Seguridad del sistema Modificar archivos ejecutables: Otorga a la aplicacin el derecho para modificar otros archivos ejecutables. Modificar archivos protegidos: Otorga a la aplicacin el derecho para modificar archivos protegidos. Puede generar una lista de los archivos protegidos, tales como los agentes de dispositivos de LANDesk. Modificar claves de registro protegidas: Otorga a la aplicacin el derecho para modificar claves de registro protegidas. Las claves protegidas previenen las infecciones de malware. Seguridad de red Enviar mensajes de correo electrnico: Permite que la aplicacin enve mensajes de correo electrnico. (Nota:LANDesk HIPS reconoce las aplicaciones de cliente de correo electrnico estndar y las certifica de forma automtica para que puedan enviar mensajes de correo electrnico. Archivos en disco Agregar al inicio del sistema: Otorga a la aplicacin el derecho para agregar archivos al inicio del sistema. Permitir ejecucin: Permite que la aplicacin (proceso) se ejecute en el dispositivo. Los archivos certificados tienen habilitada automticamente la opcin permitir ejecucin. Adems, si el certificado de un archivo proporciona derechos parciales, entonces se habilita automticamente la opcin permitir ejecucin. Reglas de seguridad avanzadas Proteger la aplicacin en la memoria: Impone la proteccin en la aplicacin cuando se ejecuta en la memoria. La aplicacin tiene proteccin contra terminaciones o modificaciones. Heredar a procesos secundarios: Asigna las mismas certificaciones de archivos (derechos) a cualquier proceso subordinado que sea ejecutado por esta aplicacin. Por ejemplo, se puede utilizar con un ejecutable de configuracin o instalacin para que pase los mismos derechos a los procesos subsiguientes ejecutados por el programa de configuracin. Instalador autorizado: Indica que la aplicacin puede realizar la instalacin o implementacin del software. ste es el caso de la herramienta de distribucin de software de LANDesk, y tambin se puede aplicar a otras aplicaciones de distribucin de software. Certificacin de bloqueo de archivos (las autorizaciones no se actualizarn a travs del modo de aprendizaje): Aceptar: Guarda las certificaciones del archivo y lo agrega a la lista de archivos certificados en el cuadro de dilogo Configuracin de HIPS principal. Cancelar: Cierra el cuadro de dilogo sin guardar las certificaciones de archivos.
Acerca de la pgina Reglas de proteccin de archivos de HIPS

Utilice esta pgina para ver, administrar y dar prioridad a las reglas de proteccin de archivos. Las reglas de proteccin de archivos son un conjunto de restricciones que evita que programas ejecutables especificados realicen ciertas acciones EN archivos especificados. Con las reglas de proteccin de archivos, puede permitir o denegar el acceso, la modificacin, la creacin y la ejecucin de cualquier programa en algn archivo. Este cuadro de dilogo contiene las opciones siguientes:
230
Reglas de proteccin: muestra todas las reglas de proteccin de archivos (predeterminadas) predefinidas que proporciona LANDesk, as como tambin todas las reglas de proteccin de archivos que cre. Nombre de la regla: identifica la regla de proteccin de archivos. Restricciones: visualiza las acciones especficas de los programas en los archivos restringidos por la regla de proteccin de archivos. Aplicar regla a: muestra los programas ejecutables protegidos por la regla de proteccin. Subir \ Bajar: determinar la prioridad de la regla de proteccin de archivos. Una regla de proteccin de archivos superior en la lista precede a la regla que est debajo en la lista. Por ejemplo, podra crear una regla que restrinja que un programa tenga acceso o modifique cierto archivo o tipo de archivo, pero luego crear otra regla que permita una excepcin a dicha restriccin para uno o ms programas mencionados. Siempre y cuando la segunda regla permanezca arriba en la lista de reglas, tendr efecto. Restablecer: restaura las reglas de proteccin de archivos (predeterminadas) predefinidas que se proporcionan en LANDesk. Agregar: abre el cuadro de dilogo Configurar regla de proteccin de archivos en el que puede agregar o quitar programas y archivos y especificar las restricciones. Configurar: abre cuadro de dilogo Configurar regla de proteccin de archivos en el que puede editar una regla de proteccin de archivos existente. Eliminar: elimina la regla de proteccin de archivos de la base de datos.
Nota: Las reglas de proteccin de archivos se guardan en el archivo FILEWALL.XML, ubicado en: Archivo de programas\Landesk\ManagementSuite\ldlogon\AgentBehaviors\Hips_Behavior.ZIP.
Acerca del cuadro de dilogo Configurar regla de proteccin de archivos

Utilice esta pgina para configurar las reglas de proteccin de archivos. Este cuadro de dilogo contiene las opciones siguientes: Nombre de la regla: identifica la regla de proteccin de archivos con un nombre descriptivo. Aplicar regla a: Todos los programas: especifica que todos los programas ejecutables estn restringidos para realizar las acciones seleccionadas a continuacin en los archivos especificados abajo. Programas mencionados: especifica que slo en los programas ejecutables en la lista se han aplicado las restricciones seleccionadas a continuacin. Agregar: le permite elegir los programas restringidos por la regla de proteccin de archivos. Puede utilizar nombres de archivos y comodines. Editar: le permite modificar el nombre del programa. Eliminar: Elimina el programa de la lista. Restricciones Denegar acceso: impide que los programas especificados anteriormente tengan acceso a los archivos protegidos. Denegar modificacin: impide que los programas especificados anteriormente realicen cambios en los archivos protegidos.
231
MANUAL DE USUARIO
Denegar creacin: impide que los programas especificados anteriormente creen los archivos. Denegar ejecucin: impide que los programas especificados anteriormente ejecuten los archivos protegidos. Excepciones Permitir excepciones para programas certificados: permite que cualquiera de los programas ejecutables que pertenecen actualmente a la lista de archivos certificados omitan las restricciones asociadas a la regla de proteccin de archivos. Archivos Cualquier archivo: especifica que todos los archivos tienen proteccin de los programas especificados anteriormente segn sus restricciones. Archivos mencionados: especifica que slo los archivos en la lista tienen proteccin. Agregar: le permite elegir el archivo o archivos protegidos por la regla. Puede utilizar nombres de archivos o comodines. Editar: le permite modificar el nombre del archivo. Eliminar: Elimina el archivo de la lista. Aplicar tambin a subdirectorios: aplica las reglas de proteccin de archivos a cualquier subdirectorio de un directorio mencionado.
Cambio de la configuracin de HIPS predeterminada de un dispositivo

La configuracin predeterminada de HIPS de un dispositivo se implementa como parte de la configuracin inicial del agente. Es probable que en algn momento desee cambiar la configuracin predeterminada de HIPS en ciertos dispositivos. LANDesk HIPS ofrece un modo para hacer esto sin necesidad de volver a implementar una configuracin de agente completamente nueva. Para ello, utilice la tarea Cambiar configuracin que se encuentra en la lista desplegable del botn Crear una tarea de la barra de herramientas. El cuadro de dilogo que aparece permite escribir un nombre nico para la tarea, indicar si se trata de una tarea o de una directiva programada y seleccionar una configuracin de HIPS existente como predeterminada o utilizar el botn Editar para crear una nueva configuracin de HIPS predeterminada en los dispositivos de destino.
Acerca del cuadro de dilogo Crear tarea de cambio de configuracin

Utilice este cuadro de dilogo para crear y configurar una tarea que cambie la configuracin predeterminada de los servicios de LANDesk HIPS en los dispositivos de destino. Con una tarea de cambio de configuracin usted puede cambiar de forma conveniente la configuracin predeterminada (que se encuentra escrita en el registro local del dispositivo) de un dispositivo administrado sin tener que implementar nuevamente una configuracin de agente completa. Este cuadro de dilogo contiene las opciones siguientes: Nombre de la tarea: escriba un nombre nico para identificar la tarea.
232
Crear una tarea programada: agrega la tarea a la ventana Tareas programadas, donde puede configurar sus opciones de programacin y recurrencia y asignarles dispositivos de destino. Crear una directiva: agrega la tarea como una directiva a la ventana de Tareas programadas, donde puede configurar las opciones de directiva. Configuracin de HIPS: Especifica la configuracin de HIPS asociada con esta tarea de cambio de configuracin particular. Seleccione la configuracin de HIPS que desee implementar en los dispositivos de destino, modifique las configuraciones existentes mediante su seleccin y haga clic en Editar o bien, haga clic en Configurar | Nueva para crear una configuracin nueva.
Visualizacin de la configuracin de HIPS de dispositivos en el inventario

Puede detectar o verificar la configuracin de HIPS de dispositivos en la vista de inventario. Para ello, haga clic con el botn secundario en el dispositivo seleccionado, haga clic en Inventario | LANDesk Management | Host Intrusion Prevention.
Qu sucede en los dispositivos configurados con LANDesk HIPS

El cliente de LANDesk HIPS permite la prevencin de intrusin basada en el comportamiento y sin el uso de firmas en los dispositivos administrados. Esta seccin describe la forma en que LANDesk HIPS se visualiza en los dispositivos administrados que tienen instalado LANDesk HIPS, lo que sucede en los dispositivos de los usuarios finales cuando cuentan con la proteccin de LANDesk HIPS y las acciones que los usuarios finales pueden realizar cuando se detecta una violacin de seguridad.
Interfaz del cliente y acciones del usuario de LANDesk HIPS

Una vez que LANDesk HIPS se haya implementado en los dispositivos administrados, el cliente de LANDesk HIPS est disponible ya sea en el men Inicio o en forma de icono en la bandeja del sistema. Proteccin de contrasea de administrador Si el administrador ha habilitado la opcin de proteccin de contrasea en la configuracin de HIPS, debe escribirse la contrasea correcta a fin de tener acceso y utilizar las funciones del cliente de HIPS.
Icono en la bandeja del sistema

El icono de la bandeja del sistema muestra si HIPS se est ejecutando en el modo de aprendizaje o en el modo de bloqueo automtico.
233
MANUAL DE USUARIO
Los usuarios finales pueden hacer clic con el botn secundario en el icono de HIPS para tener acceso a su men contextual y seleccionar las opciones siguientes: Abrir: Abre el cliente de LANDesk HIPS. Opciones: Muestra las opciones de HIPS que el administrador ha configurado en la consola (slo lectura). Modo automtico: Permite que LANDesk HIPS se ejecute en el modo automtico en el cual se bloquean todas las violaciones de seguridad predefinidas. Modo de aprendizaje: Permite que LANDesk HIPS se ejecute en el modo de aprendizaje, en el cual se permiten todas las violaciones de seguridad, las cuales se supervisan y se registran en el archivo de historial de acciones. Instalar software: Abre una ventana de exploracin de archivos donde el usuario final puede seleccionar un programa de instalacin o configuracin que ejecutar. Descargar: Permite que el usuario final desinstale LANDesk HIPS de su equipo.
Cliente de LANDesk HIPS y acciones de usuario final

El cliente de LANDesk HIPS se visualiza en una ventana que incluye los elementos siguientes: Ver el registro de actividad. Ver las opciones de HIPS que el administrador ha configurado en la consola (slo lectura). En la pgina Estado: Ver la informacin del cliente de HIPS, el modo de operacin actual y la actividad que se est ejecutando en el cliente. Cambiar el modo de operacin (automtico o de aprendizaje). En la pgina Actividad: Ver las aplicaciones que estn en ejecucin y sus autorizaciones. Seleccionar los programas y ver todas sus autorizaciones o bien, detener el proceso. Modificar las opciones de visualizacin En la pgina Inicio: Ver y editar el contenido del inicio del sistema. Adems, ver los servicios que se estn ejecutando en el cliente y las extensiones de Internet Explorer. En la pgina Proteccin: Ver los derechos de acceso de los programas y las protecciones de las carpetas. Crear, editar y eliminar las reglas de proteccin de archivos, y cambiar la prioridad de las reglas en la lista ordenada. En la pgina Certificaciones: Ver los programas que tienen certificaciones de archivos especiales. Agregar y eliminar certificaciones de archivos.
Visualizacin de la informacin de actividad de HIPS

Si HIPS detecta violaciones en sus reglas y en los derechos de certificacin, dicha informacin se informa al servidor central. Puede usar los mtodos siguientes para ver la actividad de HIPS detectada. Para obtener informacin acerca de la actividad de HIPS en la red, haga clic en el botn Actividad de HIPS de la barra de herramientas de LANDesk HIPS. La ventana muestra la actividad de HIPS segn las siguientes categoras: Prevenciones por equipo Prevenciones por aplicacin Prevenciones por accin
234
Tambin puede ver la actividad de intrusin de host especfica en la parte inferior de la ventana, donde se incluyen los detalles siguientes: Fecha de la accin Accin Descripcin Aplicacin Versin de archivo Tamao de archivo Fecha de archivos Modo Hash de MD5
Acerca del cuadro de dilogo Actividad de Host Intrusion Prevention

Utilice este cuadro de dilogo para ver en detalle la actividad de HIPS en todos los dispositivos administrados que tengan el agente de LANDesk HIPS. Los datos se utilizan para generar informes de LANDesk HIPS que se encuentran disponibles en la herramienta Informes. Para personalizar el alcance y el enfoque de los datos que se visualizan, haga clic en Umbrales y cambie el umbral de perodo de tiempo para el almacenamiento de la informacin de actividad de HIPS en la base de datos central, y para la cantidad de elementos que se visualizan en las listas de la ventana de actividad de HIPS. En esta vista, tambin puede hacer clic con el botn secundario sobre un dispositivo y acceder a su men de acceso directo y desde all realizar directamente las tareas disponibles. Este cuadro de dilogo contiene las opciones siguientes: Actualizar: Actualiza los campos del cuadro de dilogo con la ltima informacin sobre HIPS de la base de datos. Umbrales: Abre el cuadro de dilogo Configuracin de umbrales, donde puede definir la duracin (en das) para el almacenamiento de los datos de HIPS en la base de datos central y la cantidad de elementos que visualizar en las listas de actividad de HIPS. Purgar: Elimina de forma total y permanente los datos de actividad de HIPS tanto en la ventana de visualizacin como en la base de datos central. Prevenciones por equipo: Enumera en el panel derecho los dispositivos en los cuales se detectaron violaciones de HIPS. Seleccione un dispositivo para ver las violaciones especficas. Prevenciones por aplicacin: Enumera en el panel derecho las aplicaciones que se detectaron en los dispositivos administrados. Seleccione una aplicacin para ver los dispositivos donde se detect la misma. Prevenciones por accin: Enumera en el panel derecho las acciones que se realizaron en los dispositivos administrados. Seleccione una accin para ver los dispositivos donde se realiz la misma.
235
MANUAL DE USUARIO
Acerca del cuadro de dilogo Configuracin de umbrales (de LANDesk HIPS)

Utilice este cuadro de dilogo para definir los perodos de tiempo de actividad de HIPS que se muestran en el cuadro de dilogo Actividad de HIPS. Eliminar automticamente la actividad de HIPS de ms de: Indica la cantidad mxima de das que se debe conservar en la base de datos central la actividad de HIPS detectada en los dispositivos protegidos. Puede especificar de 1 a 999 das. No obstante, es recomendable que observe con cuidado la cantidad de datos que se envan al servidor central para determinar la cantidad ptima de das a fin de que los datos de HIPS no utilicen demasiado espacio ni alteren el rendimiento. Al visualizar los resultados, truncar las listas en: Indica la cantidad mxima de entradas que se deben visualizar en las listas del cuadro de dilogo de actividad de HIPS. Puede especificar de 1 a 999,999 elementos.
236
Vigilante del agente de LANDesk

El vigilante del agente de LANDesk permite supervisar de forma proactiva el estado de los servicios y los archivos seleccionados del agente de LANDesk para garantizar su integridad y preservar el funcionamiento adecuado de los servicios LANDesk vitales en los dispositivos administrados. Se puede habilitar el vigilante del agente e implementar su configuracin con una configuracin inicial de agente en el dispositivo. Tambin se puede actualizar en cualquier momento sin configurarlo completamente. El vigilante del agente no slo supervisa los servicios y archivos crticos de LANDesk sino que tambin puede reiniciar servicios finalizados, restablecer servicios programados para iniciarse automticamente, restaurar archivos pendientes por eliminar en el reinicio e informar pruebas sobre manipulacin de archivos al servidor central. Lea este captulo para obtener informacin sobre: Informacin general del Vigilante del agente de LANDesk Plataformas soportadas del dispositivo y requisitos del sistema Habilitacin, configuracin y deshabilitacinSupervisin del Vigilante del agente Acerca del cuadro de dilogo Configurar Vigilante del agente Acerca del cuadro de dilogo Configuracin del vigilante del agente Acerca del cuadro de dilogo Actualizar la configuracin del Vigilante del agente Uso de los informes del Vigilante del agente
Informacin general del Vigilante del agente de LANDesk

El vigilante del agente de LANDesk supervisa los servicios y los archivos de LANDesk especificados por la configuracin del vigilante del agente de un dispositivo. La configuracin del vigilante del agente tambin determina la frecuencia con la que se debe verificar el estado de los servicios y archivos del agente, si el vigilante del agente permanece residente en los dispositivos y si se deben buscar cambios para la configuracin del vigilante del agente aplicado. De forma predeterminada, el vigilante del agente de LANDesk se encuentra apagado. Puede habilitar el vigilante del agente de LANDesk con una configuracin de agente o hacerlo luego con otra tarea de Actualizar la configuracin del vigilante del agente. En otras palabras, no es necesario que habilite el vigilante del agente durante la configuracin inicial de un dispositivo. Puede hacerlo en cualquier momento directamente desde la consola en uno o ms dispositivos administrados. Al supervisar servicios y archivos, el vigilante del agente realiza las acciones de recuperacin que se detallan a continuacin.
Monitoreo de servicios y archivos de LANDesk

Se pueden supervisar los siguientes servicios del agente de LANDesk:
237
MANUAL DE USUARIO
Programador local LANDesk Antivirus Control remoto de LANDesk Supervisin de software de LANDesk Multidifusin dirigida LANDesk Monitor USB de LANDesk
No se deberan seleccionar servicios que no se estn implementando para que el vigilante del agente los supervise Cuando configure el vigilante del agente, no seleccione servicios que no pretenda instalar en los dispositivos de destino. De lo contrario, el servidor central recibir alertas para servicios no instalados que no se instalaron a propsito. Sin embargo, tenga en cuenta que aunque se seleccione un servicio no instalado para supervisarlo, no se envan alertas diciendo que el servicio no puede reiniciarse o que su tipo de inicio no puede cambiarse. Al supervisar los servicios del agente, el vigilante del agente de LANDesk: Reinicia los servicios cuando stos se apagan (una vez). Cambia el tipo de inicio del servicio a automtico cuando este se modifica Enva alertas al servidor central cuando los servicios no estn instalados Enva alertas al servidor central cuando los servicios no pueden reiniciarse Enva alertas al servidor central cuando un tipo de inicio del servicio no puede cambiarse a automtico
Los siguientes archivos de LANDesk se pueden supervisar: Ldiscn32.exe Vulscan.dll Vulscan.exe Sdclient.exe Amclient.exe Usbmon.exe Usbmon.ini
El vigilante del agente de LANDesk, cuando supervisa los archivos: Quita del registro los archivos que se programaron para eliminarse en el reinicio. Enva alertas al servidor central cuando los archivos estn programados para eliminarse en el reinicio Enva alertas al servidor central cuando los archivos se han eliminado
Plataformas soportadas del dispositivo y requisitos del sistema

El vigilante del agente de LANDesk admite la mayora de las plataformas que admite el Administrador de Seguridad y Revisiones, incluso los siguientes sistemas operativos (detallados con los requisitos mnimos de software y hardware):
238
Microsoft Windows XP 64 Bit Professional (procesador Intel Pentium de 64 bits o compatible; 128 MB de RAM, se recomienda ms; 72 MB disponibles en HDD para instalar) Windows 2000 Professional (SP2 y superior; procesador Intel Pentium de 133 MHz o compatible; 64 MB de RAM, se recomienda 96MB; 50 MB disponibles en HDD para instalar) Microsoft Windows XP Professional (Microsoft Internet Service Pack 2.0 o superior; procesador Intel Pentium de 300 MHz o compatible; 128 MB de RAM, se recomienda ms; 72 MB disponibles en HDD para instalar)
Habilitacin, configuracin y deshabilitacin de la Supervisin del vigilante del agente

La utilidad del vigilante de agente de LANDesk se instala con el agente de LANDesk estndar, pero se encuentra apagado de forma predeterminada. El vigilante del agente puede activarse a travs de la configuracin inicial del agente del dispositivo o luego a travs de la tarea Actualizar la configuracin del vigilante del agente. Para habilitar el vigilante del agente de LANDesk durante la configuracin de agente 1. 2. 3. 4. 5. En la consola, haga clic en Herramientas | Configuracin | Configuracin de agentes. Haga clic en el botn Ventanas nuevas de la barra de herramientas. Luego de especificar la configuracin deseada para el agente haga clic en Vigilante del agente para abrir dicha pgina en el cuadro de dilogo. Active Usar vigilante del agente. Si desea buscar cambios para la configuracin del vigilante del agente aplicada con el objeto de asegurar que la configuracin del dispositivo de destino est actualizada, seleccione Buscar cambios en la configuracin seleccionada, y luego especifique un intervalo de tiempo. Esta opcin compara automticamente la versin actual de la configuracin seleccionada del vigilante del agente con la que se implement en los dispositivos de destino (en el intervalo de tiempo especificado a continuacin). Si la configuracin se ha modificado durante dicho perodo, se implementa la nueva configuracin del vigilante del agente y este se reinicia. Seleccione una configuracin para el vigilante del agente de la lista disponible y aplquela a la configuracin de agente que est creando. Puede crear una configuracin nueva o editar una existente haciendo clic en Configurar. La configuracin del vigilante del agente que se aplica determina qu servicios y archivos se van a supervisar y con qu frecuencia y si el vigilante del agente ejecutable permanece residente en la memoria de los dispositivos supervisados. Termine de especificar la configuracin del agente y luego haga clic en Guardar.
6.
7.
Si desea activar el vigilante del agente (o actualizar su configuracin) ms adelante, puede hacerlo en uno o ms dispositivos administrados directamente desde la consola. Tambin puede deshabilitar el vigilante del agente en uno o ms dispositivos con la tarea Actualizar vigilante del agente.
239
MANUAL DE USUARIO
Para habilitar el vigilante del agente de LANDesk (o actualizar su configuracin) como una tarea aparte 1. 2. 3. En la consola, haga clic con el botn derecho en uno o ms dispositivos y luego seleccione Actualizar la configuracin del vigilante del agente. Active Usar vigilante del agente. Si desea buscar cambios para la configuracin del vigilante del agente aplicada con el objeto de asegurar que la configuracin del dispositivo de destino est actualizada, seleccione Buscar cambios en la configuracin seleccionada, y luego especifique un intervalo de tiempo. Seleccione una configuracin para el vigilante del agente de la lista disponible y aplquela a la configuracin de agente que est creando. Puede crear una configuracin nueva o editar una existente haciendo clic en Configurar. La configuracin del vigilante del agente que se aplica determina qu servicios y archivos se van a supervisar y con qu frecuencia y si el vigilante del agente ejecutable permanece residente en la memoria de los dispositivos supervisados. Haga clic en Aceptar.
4.
5.
Cuando selecciona el botn Aceptar, todos los dispositivos de destino seleccionados se actualizan con la nueva configuracin y aparece un mensaje de estado. Para deshabilitar el vigilante del agente de LANDesk 1. 2. 3. En la consola, haga clic con el botn derecho en uno o ms dispositivos y luego seleccione Actualizar la configuracin del vigilante del agente. Asegrese de desactivar la casilla de verificacin Usar vigilante del agente Haga clic en Aceptar.
Acerca del cuadro de dilogo Configurar Vigilante del agente

Utilice este cuadro de dilogo para administrar la configuracin de su vigilante del agente. Cuando el vigilante del agente ya est configurado, puede aplicar dicha configuracin a los dispositivos administrados a travs de una tarea de configuracin de agente o de cambio de configuracin. El vigilante del agente permite crear varias opciones de configuracin que pueden aplicarse a los dispositivos o a los grupos de dispositivos. Este cuadro de dilogo contiene las opciones siguientes: Nuevo: Abre el cuadro de dilogo Configuracin del vigilante del agente donde puede configurar las opciones. Editar: Abre el cuadro de dilogo de configuracin donde puede modificar la configuracin del vigilante del agente seleccionada. Copiar: abre una copia de la configuracin seleccionada como una plantilla que luego puede modificar y a la que se le puede cambiar el nombre. Eliminar: quita la configuracin seleccionada de la base de datos. Cerrar: cierra el cuadro de dilogo sin aplicar una configuracin a la tarea.
240
Acerca del cuadro de dilogo Configuracin del vigilante del agente

Utilice este cuadro de dilogo para crear y editar una configuracin de vigilante del agente. La configuracin del vigilante del agente determina qu servicios y archivos se supervisan y con qu frecuencia, as como tambin si la utilidad permanece residente en el dispositivo. (El vigilante del agente tambin puede configurarse para que busque automticamente una configuracin nueva. Para ello habilite la opcin Buscar cambios en la configuracin seleccionada con una configuracin de agente). Este cuadro de dilogo contiene las opciones siguientes: Nombre: identifica la configuracin con un nombre nico. El vigilante de alertas permanece residente: Indica si LDRegwatch.exe (el ejecutable del vigilante del agente) permanece residente en la memoria todo el tiempo. Si no activa esta opcin, LDRegwatch.exe permanece en la memoria slo para hacer las verificaciones de servicios y archivos seleccionados en los tiempos programados. Supervisar estos servicios: Especifica qu servicios crticos del agente de LANDesk se van a supervisar con esta configuracin del vigilante del agente. Supervisar estos archivos: Especifica qu servicios crticos del agente de LANDesk se van a supervisar con esta configuracin del vigilante del agente. Intervalo de verificacin: Especifica la frecuencia con la que el Vigilante del agente va a supervisar los servicios y archivos seleccionados. La configuracin mnima de este intervalo es de 30 segundos.
No se deberan seleccionar servicios que no se estn implementando para que el vigilante del agente los supervise Cuando configure el vigilante del agente, no seleccione servicios que no pretende instalar en los dispositivos de destino. De lo contrario, el servidor central recibir alertas para servicios no instalados que no se instalaron a propsito. Sin embargo, tenga en cuenta que aunque se seleccione un servicio no instalado para supervisarlo, no se envan alertas diciendo que el servicio no puede reiniciarse o que su tipo de inicio no puede cambiarse.
Acerca del cuadro de dilogo Actualizar la configuracin del Vigilante del agente
Utilice este cuadro de dilogo para actualizar los cambios de configuracin del vigilante del agente en los dispositivos de destino y para habilitar o deshabilitar la utilidad del Vigilante del agente de LANDesk en los dispositivos de destino. Si el vigilante del agente no se encuentra activo en los equipos de escritorio seleccionados, active la casilla de verificacin Usar vigilante del agente, configure el vigilante del agente y luego haga clic en Aceptar. El vigilante del agente se activar cuando se enve la configuracin a los dispositivos seleccionados. Para cambiar los archivos o servicios que se van a supervisar, haga clic en el botn Configurar para mostrar el cuadro de dilogo Configuracin del vigilante del agente.
241
MANUAL DE USUARIO
Con el cuadro de dilogo Actualizar la configuracin del vigilante del agente tambin puede desactivar el vigilante del agente si deshabilita la casilla de verificacin Usar vigilante del agente y hace clic en Aceptar. Este cuadro de dilogo contiene las opciones siguientes: Usar Vigilante del agente Habilita el servicio del Vigilante del agente en los dispositivos de destino. Buscar cambios en la configuracin seleccionada: Compara automticamente la versin actual de la configuracin del vigilante del agente seleccionada con la que se implement en los dispositivos de destino (en el intervalo de tiempo especificado a continuacin). Si la configuracin se ha modificado durante dicho perodo, se implementa la nueva configuracin del vigilante del agente y este se reinicia. Intervalo de verificacin: Especifica el perodo de tiempo de la comparacin peridica. Seleccione una configuracin para el vigilante del agente: Especifica qu configuracin se utiliza para la tarea. Seleccione una configuracin de la lista desplegable o haga clic en Configurar para crear una nueva.
Cuando selecciona el botn Aceptar, todos los dispositivos de destino seleccionados se actualizan con la nueva configuracin y aparece un mensaje de estado.
Uso de los informes del Vigilante del agente

Se puede acceder a las alertas del Vigilante del agente que se envan desde los dispositivos administrados a travs de la herramienta Informes de la consola de Management Suite. Haga clic en Herramientas | Informes estndar | Vigilante del agente. Todos los informes del Vigilante del agente incluyen el nombre del equipo de escritorio, el servicio o archivo supervisado, el estado de la alerta (encontrada o resuelta y la fecha de deteccin del evento. El Vigilante del agente guarda el estado de las alertas para que el servidor central reciba slo una cuando se encuentre la condicin y otra cuando sta se resuelva. Pueden haber varias alertas al reiniciar el Vigilante del agente para reiniciar el sistema, o cuando se enva o se extrae una configuracin nueva del equipo de escritorio. Tambin pueden generarse informes para una categora determinada basados en distintos intervalos de tiempo, tales como: hoy, la semana pasada, los ltimos 30 das u otro. Informacin de alertas del vigilante del agente eliminadas automticamente al cabo de 90 das Todas las alertas del vigilante del agente que tienen ms de 90 das se eliminan automticamente de la base de datos. La informacin de alertas se utiliza para generar informes del vigilante del agente.
Informes del vigilante del agente

A continuacin se mencionan los cinco informes del Vigilante del agente:
242
No se pudo cambiar el tipo de servicio Este informe ofrece una lista de todas las alertas del Vigilante del agente de los equipos de escritorio que no pudieron modificar el tipo de inicio de un servicio LANDesk supervisado. Servicios requeridos de LANDesk no instalados Este informe ofrece una lista de todas las alertas del Vigilante del agente de los equipos de escritorio donde se ha desinstalado un servicio supervisado. Servicios requeridos de LANDesk no iniciados Este informe ofrece una lista de todas las alertas del Vigilante del agente de los equipos de trabajo donde dicho Vigilante no pudo reiniciar un servicio supervisado. Archivos de LANDesk no encontrados en los clientes Este informe ofrece una lista de todas las alertas del Vigilante del agente de los equipos de escritorio donde se han eliminado archivos del agente supervisados. Archivos pendientes por eliminar encontrados en clientes Este informe ofrece una lista de todas las alertas del Vigilante del agente de los equipos de escritorio donde se ha programado eliminar los archivos del agente supervisados despus del reinicio. El Vigilante del agente tambin quita automticamente estos archivos del registro de Windows para que no se eliminen.
243
MANUAL DE USUARIO
Administrador del control de conexiones

El Administrador del control de conexiones monitorea y restringe los dispositivos de E/S y las conexiones de red. Se pueden restringir las direcciones IP de red con las que los dispositivos pueden establecer conexin y tambin restringir el uso de dispositivos que permiten el acceso a los datos de los dispositivos, tales como puertos, mdems, unidades y conexiones inalmbricas. Para que el Administrador del control de conexiones (CCM) funcione en un dispositivo, deben haberse implementado el agente de programador local y el agente de LANDesk estndar en el dispositivo. Cada vez que el dispositivo inicia una conexin de red o dispositivo o realiza cambios en las conexiones de red o de dispositivo, el Administrador del control de conexiones aplica las reglas de configuracin. Estas reglas incluyen la terminacin de conexiones no permitidas y el envo de alertas al servidor central. Plataforma no admitida El Administrador del control de conexiones no se admite en dispositivos administrados en los que se ejecute la versin de 64 bits de Windows XP o de Windows Vista Utilice las Configuraciones de control de conexiones para administrar las conexiones de red. Las restricciones de red se configuran de dos formas generales: mediante la especificacin de las direcciones de red que se permiten o de las que se bloquean. Utilice las Configuraciones de control de dispositivos para administrar las conexiones de USB, mdem, puertos de E/S, unidades de CD/DVD, PCMCIA y red Puede configurar restricciones USB ya sea mediante el bloqueo de una clase completa de dispositivos USB, tales como dispositivos de almacenamiento o mediante opciones avanzadas para restringir ciertos dispositivos USB segn la informacin que especifique. Cada configuracin de control de conexiones que define se guarda y se puede aplicar a los dispositivos administrados que especifique. Puede guardar varias configuraciones y aplicarlas a distintos dispositivos, como sea necesario. Al crear una configuracin, debe implementarla en los dispositivos a fin de que tenga efecto. El Administrador del control de conexiones es compatible con los dispositivos que tengan instalado Windows 2000, Windows Server 2003 o Windows XP. El Administrador del control de conexiones es un componente de LANDesk Security Suite El Administrador del control de conexiones no est disponible a menos que cuente con una licencia para LANDesk Security Suite. Lea este captulo para obtener informacin sobre: "Uso de las configuraciones del control de conexiones para restringir el acceso a la red" en la pgina 245 "Uso de las configuraciones del control de dispositivos para restringir el acceso a los dispositivos USB" en la pgina 248 "Configuracin avanzada de USB" en la pgina 254 "Implementacin de configuraciones" en la pgina 257 "Resolucin de problemas del CCM" en la pgina 258
244
Uso de las configuraciones del control de conexiones para restringir el acceso a la red
El uso de las configuraciones del control de conexiones le ayuda a limitar las redes en las cuales puede residir una estacin de trabajo. Si una estacin de trabajo no reside en una red permitida, se puede deshabilitar la conectividad de redes. Un control de conexin en un dispositivo administrado monitorea las conexiones a travs de la red y las conexiones que usan dispositivos de E/S. El control de conexin aplica reglas en base a los elementos seleccionados para la configuracin del control de conexiones. Estas reglas incluyen la terminacin de conexiones no permitidas y el envo de alertas al servidor central. Puede crear varias configuraciones y aplicarlas a distintos dispositivos administrados. Sin embargo, un dispositivo administrado solo puede tener una configuracin de red aplicada por vez. Las restricciones de red se configuran de dos formas generales: Mediante la especificacin de las direcciones de red que se permiten. En este caso, el dispositivo slo puede recibir direcciones IP que se encuentren dentro del rango de direcciones permitidas de manera explcita. Mediante la especificacin de las direcciones de red que se permiten. En este caso, si cualquier dispositivo de red recibe una direccin IP que est dentro del rango de direcciones bloqueadas, el mismo quedar deshabilitado.
Pueden aplicarse restricciones a dispositivos de E/S junto con restricciones de red que se seleccionen. Estas restricciones pueden ubicarse en dispositivos que permiten el acceso a los datos, tales como puertos, mdems, unidades y conexiones inalmbricas. Cuando hay una restriccin vigente, el dispositivo queda deshabilitado en Windows y no se puede acceder al mismo. Para crear una configuracin del control de conexiones 1. 2. 3. 4. Haga clic en Herramientas | Seguridad | Administrador del control de conexiones. En el panel inferior, en el men de acceso directo de la opcin Configuracin del control de conexiones, haga clic en Nueva configuracin del control de conexiones. Introduzca un Nombre de configuracin. Marque Limitar conexiones a redes de la lista para que aparezcan en la lista las direcciones permitidas. Si se pueden conectar los dispositivos a otras redes cuando no estn conectados a direcciones de red restringidas, seleccione Permitir redes que no estn en la lista si no hay conexin. O BIEN Seleccione Bloquear conexiones a redes de la lista e incluya las direcciones de red que no se permiten.
245
MANUAL DE USUARIO
5.
6.
7. 8.
Escriba un intervalo de direcciones IP y haga clic en Agregar. Repita este paso como sea necesario. Para eliminar un intervalo de direcciones IP, seleccinelo de la lista y haga clic en Eliminar. Para verificar que el servidor central est en ejecucin en la red con la que establece conexin el dispositivo, marque la opcin Verificar la existencia del servidor central en la red. Esta opcin se aplica solamente si se ha seleccionado Limitar conexiones a redes de la lista. Si lo desea, seleccione una configuracin de control de conexiones que desee aplicar durante la conexin a redes que formen parte de la lista o que no se encuentren en ella. Haga clic en Guardar al finalizar.
Verificacin de la existencia del servidor central en la red

En ocasiones un intervalo de direcciones IP podra ser utilizado por ms de una red. Para mayor seguridad en la restriccin del acceso a redes, podra cerciorarse de que se est ejecutando el servidor central antes de permitir que un dispositivo establezca conexin con una red. Marque la opcin Verificar la existencia del servidor central en la red para implementar esta seguridad adicional. Si no se encuentra el servidor central en la red a la que se est accediendo, se deshabilita la conexin. Deje la opcin sin marcar si tiene la seguridad de que las direcciones de red de la lista de acceso son de confianza o si prefiere reducir el trfico de la red al no enviar pings al servidor central.
Permitir redes que no estn en la lista si no hay conexin

Marque el cuadro Permitir redes que no estn en la lista si no hay conexin si desea permitir que un dispositivo (tal como un equipo porttil) establezca conexin con una red que no est en la lista siempre que no est conectado a una red de la lista restringida. El Administrador del control de conexiones garantiza que el dispositivo establezca conexin solamente con las redes de la lista o solamente con las redes que no estn en la lista, pero no con las dos al mismo tiempo. La siguiente vez que el dispositivo establezca conexin con la red en la que se ejecuta el servidor central, se enva la alerta desde el dispositivo al servidor central, la cual indica que se ha establecido conexin fuera de las direcciones IP de la lista. Si no se marca la opcin, el dispositivo solamente puede establecer conexin con las direcciones de red de la lista.
Aplicacin de configuraciones de dispositivo a las conexiones de red

Puede aplicar las configuraciones de dispositivo a los tipos de conexin de red que se encuentran en la lista y a los que no figuran en ella. Si marca la opcin Aplicar la configuracin de dispositivo si hay conexin, puede seleccionar la configuracin que el administrador del control de conexiones aplicar al equipo administrado. Si tambin marca la opcin Permitir redes que no estn en la lista si no hay conexin, la aplicacin se puede aplicar tanto a las conexiones de la red de la lista como las que no estn en ella, siempre y cuando no utilice la opcin Aplicar otra configuracin al conectar a redes que no estn en la lista.
246
Si marca ambas opciones Permitir redes que no estn en la lista si no hay conexin y Aplicar otra configuracin al conectar a redes que no estn en la lista, puede especificar otra configuracin que solamente se aplique a los equipos que estn conectados a una red que no se encuentre en la lista. Puede especificar las configuraciones en la parte inferior del cuadro de dilogo Configuracin de control de conexiones. Las opciones de dicho cuadro de dilogo estn disponibles una vez que marca la opcin Aplicar la configuracin de dispositivo si hay conexin y/o Aplicar otra configuracin al conectar a redes que no estn en la lista. Si define la configuracin que se aplicar en Ninguna, el administrador del control de conexiones no aplicar una configuracin de control de dispositivos mientras est conectado a la red. Esto significa que aunque una configuracin de control de dispositivos haya estado activa antes de una conexin de red, una vez que se establece la conexin de red, no habr ninguna configuracin de control de dispositivos activa y el acceso a todos los dispositivos no tendr restriccin. Si selecciona una configuracin en la lista, una vez que se establece una conexin de red coincidente, el administrador del control de conexiones cambia la configuracin de control de dispositivos en el equipo a fin de concordar con la seleccin. Las configuraciones de control de dispositivos aplicadas a travs de una configuracin de control de conexiones se aplican al equipo y no al usuario. Las configuraciones de control de dispositivos activas basadas en el usuario tienen precedencia sobre las configuraciones de control de dispositivos basadas en el equipo. Si existe una configuracin activa de control de dispositivos basada en el usuario, la configuracin de control de dispositivos aplicada a travs de una configuracin de control de conexiones no tiene ningn efecto. Si desea que siempre se aplique la configuracin de control de dispositivos especificada en una configuracin de control de conexiones, asegrese de que en el equipo no exista ninguna configuracin de control de dispositivos basada en el usuario. La seleccin de una configuracin de control de dispositivos a aplicar en el cuadro de dilogo Configuracin del control de conexiones no implementa dicha configuracin en los equipos. Las configuraciones de control de dispositivos y las de control de conexiones se implementan de forma independiente. Asegrese de implementar configuraciones de control de dispositivos a las cuales haga referencia una configuracin de control de conexiones. Si la configuracin no est disponible en un equipo, ste enva una alerta de error de configuracin al servidor central. Consulte las alertas en el registro de alertas AMS (Ver | Historial de alertas).
Cuadro de dilogo Configuracin del control de conexiones

Este cuadro de dilogo tiene tres opciones: Nombre: Nombre de la configuracin. Este nombre aparece en la ventana principal del Administrador del control de conexiones. Limitar conexiones a redes de la lista: Solamente permite las conexiones a los intervalos de direcciones IP de la lista. Permitir redes que no estn en la lista si no hay conexin: Permite la conexin a redes que no estn en la lista, pero solamente si el dispositivo no est conectado a una red de la lista. Aplicar la configuracin de dispositivo si hay conexin: Aplica la configuracin que especifica en la parte inferior del cuadro de dilogo cuando el usuario se conecta a una red.
247
MANUAL DE USUARIO
Aplicar otra configuracin al conectar a redes que no estn en la lista: Aplica otra configuracin cuando el usuario se conecta a una red que no se encuentra en la lista. Deben permitirse las conexiones a redes que no estn en la lista para que esta opcin est disponible. Bloquear conexiones a redes de la lista: Bloquea las conexiones a los intervalos de direcciones IP de la lista. Direccin IP inicial: Direccin IP inicial del intervalo que desee controlar. Direccin IP final: Direccin IP final del intervalo que desee controlar. Agregar: Agrega intervalos de direccin IP vlidos a la lista controlada. Quitar: Elimina el intervalo de direcciones IP seleccionado de la lista controlada. Verificar la existencia del servidor central en la red: En ocasiones un intervalo de direcciones IP podra ser utilizado por ms de una red. Para mayor seguridad en la restriccin del acceso a redes, podra cerciorarse de que se est ejecutando el servidor central antes de permitir que un dispositivo establezca conexin con una red. Marque esta opcin para implementar esta seguridad adicional. Si no se encuentra el servidor central en la red a la que se est accediendo, se deshabilita la conexin. Configuracin de dispositivo a aplicar al conectar a redes de la lista: Si ha marcado la opcin Aplicar la configuracin de dispositivo si hay conexin, puede especificar la configuracin que desee aplicar. Configuracin de dispositivo a aplicar al conectar a redes que no estn en la lista: Si ha marcado la opcin Aplicar otra configuracin al conectar a redes que no estn en la lista, puede especificar la configuracin que desee aplicar.
Uso de las configuraciones del control de dispositivos para restringir el acceso a los dispositivos USB
Las configuraciones del Administrador del control de conexiones pueden tener dos partes. La parte principal es la configuracin del control de conexiones, donde se limita el acceso a la red. La segunda parte que consta de la configuracin del control de dispositivos es opcional. El servicio de configuracin de control de dispositivos, usbmon, se ejecuta en dispositivos administrados, donde monitorea y restringe las conexiones USB y las conexiones a dispositivos especificados. Las configuraciones del control de dispositivos son independientes y puede implementar una configuracin del control de dispositivos sin implementar una configuracin del control de conexiones. De forma predeterminada, las configuraciones del control de dispositivos pueden restringir diversos tipos de dispositivos. Puede utilizar la configuracin avanzada de USB para restringir cualquier dispositivo USB o clase de dispositivo USB que especifique. Entre los dispositivos que puede restringir se encuentran: Dispositivos USB, tales como controladores, teclados, ratones, impresoras y escneres Dispositivos de bolsillo RIM Blackberry*, Pocket PC* y Palm* Volmenes de red Redes de rea personal Bluetooth* Redes inalmbricas 802.11x Mdems
248
Dispositivos PCMCIA* Puertos serie, paralelos, infrarrojos y FireWire 1394 Unidades de disquete y de CD/DVD
El servicio usbmon puede: Evitar el uso de dispositivos USB y PCMCIA no autorizados. Evitar el uso de dispositivos de almacenamiento extrables no autorizados. Activar un programa o una secuencia de comandos externos al detectar un dispositivo no autorizado.
Para crear una configuracin del control de dispositivos 1. 2. 3. 4. Haga clic en Herramientas | Seguridad | Administrador del control de conexiones. En el panel inferior, en el men de acceso directo de la opcin Configuracin del control de dispositivos, haga clic en Nueva configuracin del control de dispositivos. Introduzca un Nombre de configuracin. Seleccione si desea que el perfil se aplique al Usuario actual o a todos los usuarios del Equipo. Para obtener ms informacin, consulte "Descripcin de los perfiles" en la pgina 252. Personalice las opciones que desee. Si desea obtener informacin adicional, consulte la seccin siguiente que describe las opciones que se encuentran en los dilogos de configuracin del Control de dispositivos. Haga clic en Guardar para guardar el perfil.
5.
6.
El Administrador del control de conexiones almacena las configuraciones de control de dispositivo en la carpeta LDLogonmon del servidor central. Las configuraciones de control de dispositivos son archivos .INI con el nombre de la configuracin que ha especificado.
Acerca de la Pgina Configuraciones generales del cuadro de dilogo Configuracin del control de dispositivos
Nombre: Nombre de la configuracin. Este nombre aparece en la ventana principal del Administrador del control de conexiones. Aplicar configuracin a: Usuario: Aplica la configuracin solamente al usuario conectado en el momento de la implementacin. Para obtener ms informacin, consulte "Descripcin de los perfiles" en la pgina 252. Equipo: Aplica la configuracin a todos los usuarios del dispositivo. Comandos: Permite configurar comandos que se ejecutan cuando se detecta un dispositivo no autorizado. Para obtener ms informacin, consulte "Configuracin de comandos que se ejecutan cuando se detecta un dispositivo no autorizado" en la pgina 256.
249
MANUAL DE USUARIO
Acerca de la Pgina Dispositivos USB del cuadro de dilogo Configuracin del control de dispositivos
Crear almacenamiento en USB de slo lectura: Especifica que con esta configuracin los usuarios pueden leer el dispositivo de almacenamiento USB, pero no grabar en el mismo. Utilizar cifrado: Esta opcin implementa un programa llamado EncArchive.exe en los dispositivos de destino, de manera que los archivos sean cifrados cuando se los grabe en un dispositivo y descifrados cuando se los lea desde el dispositivo. Slo se permite el acceso mediante la contrasea correcta. Puede usar esta opcin que brinda proteccin adicional en dispositivos que contengan datos confidenciales. Porcentaje de espacio en el dispositivo USB para el cifrado: Especifica el porcentaje de espacio total en un dispositivo de almacenamiento USB que puede usarse para archivos cifrados. Bloquear los dispositivos USB: Permite lo siguiente: Teclados y ratones: Si se marca esta opcin se permiten teclados y ratones USB, y se agrega Service=hidusb a la lista de reglas de USB. Para ms informacin sobre las listas de reglas, consultar "Configuracin avanzada de USB" en la pgina 254. PC de bolsillo: Si se marca esta opcin se permiten dispositivos de bolsillo y se agrega Service=wceusbsh a la lista de reglas de USB. Almacenamiento: Si se marca esta opcin se permiten dispositivos de almacenamiento USB, y se agrega Service=usbstor a la lista de reglas de USB. Impresoras: Si se marca esta opcin se permiten impresoras USB, y se agrega Service=usbprint a la lista de reglas de USB. Dispositivos Palm: Si se marca esta opcin se permiten dispositivos de bolsillo Palm y se agrega Service=PalmUSBD a la lista de reglas de USB. Escneres: Si se marca esta opcin se permiten escneres USB, y se agrega Service=usbscan a la lista de reglas de USB. RIM Blackberry: Si se marca esta opcin se permiten dispositivos RIM Blackberry y se agrega Service=RimUsb a la lista de reglas de USB. Lector biomtrico de huellas digitales: Si se marca esta opcin se permiten lectores biomtricos de huellas digitales y se agrega Service=TcUsb a la lista de reglas de USB. Permitir sobrescribir las contrasea de los dispositivos bloqueados: La seleccin de esta opcin permite un acceso temporal a un dispositivo bloqueado. Una vez seleccionada esta casilla de verificacin, puede especificar una contrasea dos veces para confirmarla. Para tener acceso al dilogo de la contrasea en el cliente: A fin de mostrar el dilogo de la contrasea en un equipo cliente, es necesario que pulse la secuencia de teclas: CTRL + MAYSC + FLECHA ARRIBA en el teclado del cliente. Luego puede especificar la contrasea. Si la contrasea coincide con la especificada en la configuracin del control de dispositivos, entonces los dispositivos USB bloqueados ahora le permiten acceso. Para finalizar el acceso y restaurar la restriccin de acceso original, vuelva a pulsar la secuencia de teclas CTRL + MAYSC + FLECHA ARRIBA y haga clic en Terminar la sesin.
250
Notificar al usuario cuando se detectan dispositivos USB no autorizados: Si se marca esta opcin se muestra un cuadro de mensaje cuando el usuario conecta un dispositivo USB no autorizado. Para obtener ms informacin, consulte "Creacin de mensajes personalizados cuando se detectan dispositivos o volmenes no autorizados" en la pgina 256. Configuracin avanzada de USB: Abre el cuadro de dilogo Configuracin avanzada del control de dispositivos, en el cual puede ver los dispositivos bloqueados y crear sus propias reglas para desbloquear dispositivos. Para obtener ms informacin, consulte "Configuracin avanzada de USB" en la pgina 254.
Acerca de la Pgina Volmenes y red del cuadro de dilogo Configuracin del control de dispositivos
Bloquear todos los volmenes desconocidos: Bloquea el acceso a cualquier volumen que no estaba presente cuando se instal la configuracin del control de dispositivos. Observe que si un dispositivo que contiene un volumen se encontraba conectado al instalar la configuracin, el servicio usbmon permite el dispositivo en el futuro, aunque sea extrable. Notificar al usuario cuando se detectan volmenes no autorizados: Si se marca esta opcin se muestra un cuadro de mensaje cuando el servicio usbmon detecta un volumen de almacenamiento no autorizado. Para obtener ms informacin, consulte "Creacin de mensajes personalizados cuando se detectan dispositivos o volmenes no autorizados" en la pgina 256. Bloquear redes de rea personal Bluetooth (PAN): Bloquea el acceso a redes Bluetooth. Bloquear wireless LAN 802.11X: Bloquea el acceso a redes inalmbricas 802.11X. Bloquear wireless LAN 802.11X slo cuando existe una conexin con cable: Bloquea el acceso a redes inalmbricas 802.11X cuando existe una conexin con cable.
Acerca de la Pgina Otros dispositivos del cuadro de dilogo Configuracin del control de dispositivos
Bloquear mdems: Bloquea los mdems. Bloquear dispositivos PCMCIA, permitir lo siguiente: Tarjetas de red: Si se marca esta opcin se permiten las tarjetas de red PCMCIA. Almacenamiento: Si se marca esta opcin se permiten las tarjetas de almacenamiento PCMCIA. Bloquear todos los puertos: Marca y desmarca todas las opciones de bloqueo de puertos. Serie: Bloquea los puertos serie. Paralelo: Bloquea los puertos paralelos. Infrarrojo: Bloquea los puertos infrarrojos. FireWire 1394: Bloquea los puertos 1394. Bloquear todas las unidades: Marca y desmarca todas las opciones de bloqueo de unidades. Disquete: Bloquea las unidades de disquete. CD/DVD: Bloquea las unidades de CD/DVD.
251
MANUAL DE USUARIO
Ajustar grabadoras de CD/DVD a slo lectura Configura un dispositivo interno o externo de grabacin o escritura de CD o DVD, de manera que los datos puedan leerse pero no grabarse en el mismo.
Descripcin de los perfiles

El cuadro de dilogo Configuracin del control de dispositivos contiene la opcin Aplicar configuracin a, en la cual puede seleccionar si la configuracin se aplica al Usuario o al Equipo. Es importante que comprenda lo que sucede cuando selecciona cada una de estas opciones: Usuario: La configuracin actual se aplica al usuario que ha iniciado una sesin. Se conservan todas las configuraciones anteriores de otros usuarios y del dispositivo. Equipo: Todos los usuarios sin una configuracin de usuario privada obtienen esta configuracin. Si un usuario en particular ya tena una configuracin, la configuracin anterior permanece activa.
Manejo dispositivos no autorizados

Las configuraciones del control de dispositivos utilizan el servicio usbmon en los dispositivos administrados. Cuando el servicio usbmon recibe notificacin del SO de que se ha insertado un nuevo dispositivo USB o PCMCIA, el servicio usbmon aplica ciertas reglas personalizadas definidas para decidir si se permite el dispositivo. Puede definir reglas simples para permitir solamente cierto tipo de dispositivos, tales como ratones, impresoras y escneres. Las reglas ms complejas podran permitir solamente dispositivos de almacenamiento seguros de un fabricante determinado o excluir dispositivos de cierto fabricante. Si detecta un dispositivo no autorizado, el servicio usbmon har lo siguiente: Elimina el dispositivo del Administrador de dispositivos de Windows para que ya no sea visible a Windows. Los controladores del dispositivo permanecen instalados. En el caso de un volumen o dispositivo USB no autorizado, muestra un mensaje configurable al usuario de forma opcional (si desea ms informacin, consulte "Creacin de mensajes personalizados cuando se detectan dispositivos o volmenes no autorizados" en la pgina 256). De forma opcional, carga un programa externo (si desea ms informacin, consulte "Configuracin de comandos que se ejecutan cuando se detecta un dispositivo no autorizado" en la pgina 256). Por ejemplo, el programa externo podra ser una secuencia de comandos que enva una alerta a la consola central. Enva una alerta AMS de "Dispositivo desactivado fue activado" al servidor central. El mensaje de alerta incluye el nombre del dispositivo.
Manejo de dispositivos de almacenamiento extrables

Usbmon es el nombre del servicio de dispositivos administrados que restringe las conexiones USB. Al montar un volumen nuevo, el servicio usbmon recibe notificacin del sistema operativo. A continuacin, el servicio usbmon utiliza la llamada GetDriveType() API para verificar el tipo de unidad que se ha montado. Si el SO describe la unidad como "extrable" o "fija", el servicio usbmon entra en accin. El servicio usbmon tambin verifica los volmenes extrables durante el tiempo de inicio. Si se encuentra un volumen no autorizado durante el tiempo de inicio, se realizan las mismas acciones que si el volumen se monta ms adelante.
252
Las unidades que se consideran extrables incluyen (sin limitacin) los dispositivos de almacenamiento USB. Las unidades de CD (de slo lectura o de lectura y escritura) no se consideran de almacenamiento extrable. El SO no considera las unidades de disco duro como extrables. La llamada GetDriveType() las describe como "unidades fijas" aunque estn conectadas a travs de un puerto USB o de cualquier otro puerto externo. Para permitir que las unidades de disco duro extrables se manejen del mismo modo que otros dispositivos de almacenamiento extrables, el servicio usbmon registra la lista de unidades de disco duro al mismo tiempo que se instala el servicio. Por ejemplo, si un tiene dos unidades de disco duro (C: y D:) al momento en que se instala el servicio usbmon, ste considera ambas unidades como fijas y no las verifica. Sin embargo, si ms adelante se encuentra una unidad de disco duro con la letra E:, el servicio usbmon la considera como dispositivo extrable. El servicio usbmon mantiene la lista de "unidades fijas" en el registro que se encuentra en HKLM\Software\LANDesk\usbmon\FixedDrives. La lista se crea durante la instalacin del servicio. La opcin Bloquear todos los volmenes desconocidos bloquea el acceso a cualquier volumen que no estaba presente cuando se instal la configuracin del control de dispositivos. Observe que si un dispositivo que contiene un volumen se encontraba conectado al instalar la configuracin, el servicio usbmon permite el dispositivo en el futuro, aunque sea extrable. Si detecta un dispositivo de almacenamiento extrable, el servicio usbmon har lo siguiente: Bloquear el volumen. Los usuarios que intenten el acceso al volumen recibirn un error de "acceso denegado". De forma opcional, mostrar un mensaje configurable al usuario. De forma opcional, cargar un programa externo. Por ejemplo, el programa externo podra ser una secuencia de comandos que enva una alerta a la consola central. Enva una alerta AMS de "Dispositivo desactivado fue activado" al servidor central. La alerta indica que se ha activado el volumen, pero no existe informacin adicional disponible sobre el volumen.
El bloqueo de todos los volmenes desconocidos solamente funciona en Windows XP o Windows 2003 En Windows 2000, el sistema operativo indica que el volumen ha sido bloqueado cuando en realidad no lo est. LANDesk recomienda que para Windows 2000, bloquee los dispositivos especficos a fin de impedir la adicin de volmenes nuevos.
Qu sucede si un tcnico de asistencia necesita utilizar un memory stick USB?

Si usted es un tcnico de asistencia y desea utilizar un dispositivo de almacenamiento USB en el equipo de un usuario, puede hacer lo siguiente: El mtodo ms conveniente para permitir acceso temporal a un dispositivo USB consiste en habilitar la opcin de sobrescribir la contrasea durante la definicin e implementacin de la configuracin del control de dispositivos para los dispositivos administrados. Para obtener ms informacin, consulte "Acerca de la Pgina Configuraciones generales del cuadro de dilogo Configuracin del control de dispositivos" en la pgina 249.
253
MANUAL DE USUARIO
Si el control de dispositivos no est configurado con la funcin para anular la contrasea, puede intentar los mtodos siguientes: Iniciar una sesin con derechos administrativos y desactivar el servicio usbmon de forma temporal. Iniciar una sesin con derechos administrativos, ejecutar la GUI de usbmon y agregar el dispositivo a la lista de volmenes autorizados. Utilizar perfiles. Los dispositivos que no se permiten al usuario final podran permitirse cuando el tcnico inicia una sesin en el mismo equipo con su cuenta de asistencia debido a que posee un perfil usbmon distinto.
Configuracin avanzada de USB

Una vez que el Administrador del control de conexiones se instala en un dispositivo, el agente almacena informacin sobre los ltimos diez dispositivos USB a los cuales bloque el acceso. El rastreador de inventario enva esta informacin a la base de datos central. A continuacin, la informacin sobre los dispositivos bloqueados aparece en el cuadro de dilogo Configuracin avanzada de USB. Puede utilizar esta informacin para crear reglas avanzadas que permiten o bloquean dispositivos USB especficos. Estas reglas avanzadas permiten controlar ms que solamente las categoras de dispositivo bsicas que se ven en el cuadro de dilogo Configuracin del control de dispositivos. Puede basar una regla en cualquiera de las seis columnas del cuadro de dilogo Configuracin avanzada de USB. Haga clic con el botn secundario en la columna deseada y haga clic en Permitir para crear una regla que permita dispositivos segn dicho atributo. Las palabras clave creadas para cada una de las columnas son las siguientes:
DeviceDesc HardwareID Servicio Mfg LocationInformation Class
Son los mismos nombres que se utilizan en el registro bajo la clave HKLM\System\CurrentControlSet\Enum\USB. El campo ms til en el cual se basan las reglas es por lo general el campo Servicio. Esto corresponde a un controlador de Windows. Por ejemplo, el controlador para conexiones USB ActiveSync en PDA de Windows CE se denomina wceusbsh (consulte HKLM\CurrentControlSet\Services\wceusbsh). Las reglas se pueden basar en cualquiera de las seis columnas, no obstante, usted elige las reglas que desea utilizar en su situacin.
Comodines
Las reglas permiten el uso de comodines, por ejemplo, la instruccin siguiente permite cualquier dispositivo que contenga la cadena "floppy" en su descripcin:
DeviceDesc=*floppy*
254
Reglas de dispositivos permitidos y no permitidos

Todas las reglas ilustradas hasta ahora han sido reglas de dispositivos permitidos, donde los dispositivos se prohben a menos que satisfagan al menos una de las reglas. El servicio usbmon tambin admite reglas de dispositivos no permitidos. Las reglas precedidas por un signo menos son reglas de dispositivos no permitidos. Por ejemplo:
Service=usbstor -DeviceDesc=*floppy*
La primera regla permite dispositivos de almacenamiento USB. La segunda regla no permite los dispositivos que contengan la cadena "floppy" en su descripcin. Si se definen tanto reglas de dispositivos permitidos como de no permitidos, el servicio usbmon primero verifica los dispositivos en funcin de las reglas de dispositivos permitidos. Si no existe ninguna regla de dispositivos permitidos que permita el dispositivo, se prohbe el mismo. Si existe al menos una regla de dispositivos permitidos que permita el dispositivo, el servicio usbmon verifica ste en funcin de las reglas de dispositivos no permitidos. Si el dispositivo no satisface ninguna de las reglas de dispositivos no permitidos, se permite el mismo. De lo contrario, se prohbe. Si solamente existen reglas de dispositivos permitidos, el dispositivo se prohbe a menos que satisfaga una de estas reglas. Si solamente existen reglas de dispositivos no permitidos, el dispositivo se permite menos que satisfaga una de estas reglas.
Reglas compuestas
Todas las reglas ilustradas hasta ahora han sido reglas simples, en las cuales se prueba un solo campo. Usbmon tambin admite reglas compuestas, tal como el ejemplo siguiente:
Service=wceusbsh,DeviceDesc=*iPAQ*
Esta regla slo permite dispositivos Windows CE que contengan la cadena IPAQ en su descripcin. Tambin son posibles las reglas compuestas de dispositivos no permitidos. Ejemplo:
Service=wceusbsh -Service=wceusbsh,Mfg=*iPAQ*
Las dos lneas anteriores permiten dispositivos Windows CE, con excepcin de los que contienen la cadena IPAQ en el campo del fabricante. Dichas lneas son equivalentes a la lnea individual siguiente:
Service=wceusbsh,-Mfg=*iPAQ*
255
MANUAL DE USUARIO
Creacin de mensajes personalizados cuando se detectan dispositivos o volmenes no autorizados

En el cuadro de dilogo Configuracin del control de dispositivos, puede personalizar el texto del mensaje que el usuario recibe cuando se detectan dispositivos o volmenes no autorizados. En el mensaje de texto, puede utilizar estos marcadores de posicin para mostrar informacin sobre el volumen o dispositivo no autorizado: %vol%: nmero de serie del volumen %desc%: descripcin %service%: servicio %hwid%: id de hardware %mfg%: fabricante %loc%: ubicacin %class%: clase
Configuracin de comandos que se ejecutan cuando se detecta un dispositivo no autorizado

Cuando el servicio usbmon detecta un volumen o dispositivo no autorizado, puede ejecutar programas externos. Se pueden incluir uno o ms marcadores de posicin en los comandos: %1: se reemplaza con el "volumen" o el "dispositivo", en funcin de si detect un volumen o un dispositivo USB no autorizado. %2: se reemplaza con el nmero de serie del volumen no autorizado o con la cadena de identificacin del dispositivo USB no autorizado.
Por ejemplo, si se emite un comando como el siguiente:

wscript myscript.vbs %1 %2
Esto podra ocasionar que se ejecute el comando siguiente:

wscript myscript.vbs volume "1234ABCD" wscript myscript.vbs device "Y-E Data USB Floppy: Vid_057b&Pid_0000"
Usbmon garantiza que solamente est en ejecucin una instancia de la secuencia de comandos al mismo tiempo. Para configurar comandos 1. 2. 3. En una configuracin del control de dispositivos, haga clic en Comandos. Escriba los comandos que desee. Haga clic en Aceptar.
256
Configuracin de alertas
Las configuraciones del Administrador del control de conexiones utiliza el sistema de administracin de alertas para las alertas (Herramientas | Configuracin de alertas | Administrador de control de conexiones). El Administrador del control de conexiones puede iniciar las alertas en estos eventos: Error de Configuracin Dispositivo desactivado fue activado Intento de conexin de red restringida Intento de conexin de red no listada Sesin de red no listada detectada
Visualizacin de la lista de dispositivos no autorizados

En cada equipo, el Administrador del control de conexiones almacena la lista de los diez dispositivos a los que se ha dado autorizacin y que se han conectado ms recientemente. Esta informacin se muestra en la Vista de red. Para verla, haga clic en Inventario en el men de acceso directo de un dispositivo. A continuacin, haga clic en LANDesk Management | Administrador del control de conexiones | Alerta de Usbmon.
Implementacin de configuraciones
Una vez que ha creado una configuracin del control de conexiones o una configuracin del control de dispositivos, debe implementarla en los dispositivos administrados para activarla. Para implementar una configuracin 1. 2. 3. En el men contextual de la configuracin guardada, seleccione Programar. La configuracin se agrega a la ventana Tareas programadas. En esa ventana, arrastre los dispositivos al icono de configuracin. Una vez que se han agregado todos los dispositivos, en el men contextual de la tarea, seleccione Propiedades. En el rbol, haga clic en Programar tarea y configure las opciones de programacin.
Para obtener ms informacin sobre la programacin de tareas, consulte "Tareas y secuencias de comando" en la pgina 360. Al programar una configuracin de control de dispositivos para la implementacin, el Administrador del control de conexiones realiza lo siguiente: Crea un paquete de distribucin ejecutable que tiene el nombre de la configuracin de control de dispositivos de origen. El archivo principal del paquete es usbmon.exe. Los archivos adicionales son usbmon.reg, devactalert.exe, netres.mrl y <nombre de la configuracin de control de dispositivos>.ini.
257
MANUAL DE USUARIO
Si el objetivo de la tarea de configuracin de control de dispositivos son usuarios, el Administrador del control de conexiones utiliza un mtodo de entrega basado en polticas de nombre "Entrega a peticin de Usbmon". Si no existe este mtodo, el Administrador del control de conexiones lo crea. Cuando los destinos de las tareas son usuarios, el Administrador del control de conexiones tiene un mtodo de entrega basado en polticas, para asegurarse de que el usuario correcto obtenga la configuracin. Cuando los usuarios de destino inician una sesin, se activa el mtodo de entrega basado en polticas e instala la configuracin. Si el objetivo de la tarea de configuracin de control de dispositivos son equipos, el Administrador del control de conexiones utiliza un mtodo de entrega de instalacin automtica compatible con polticas de nombre "Entrega automtica de Usbmon". Si no existe este mtodo, el Administrador del control de conexiones lo crea. Debido a que la configuracin tiene como destino el dispositivo, cualquier usuario que inicie una sesin en el dispositivo obtendr la configuracin de control de dispositivos; sin importar quin inicia una sesin cuando se instala la configuracin. Puede utilizar los mtodos de entrega de instalacin automtica o de polticas para los equipos.
Una vez que el Administrador del control de conexiones cree los mtodos de entrega de instalacin automtica de polticas o basado en polticas de usbmon, puede personalizar los mismos. Siempre y cuando no cambie el nombre del mtodo, el Administrador del control de conexiones utilizar el mtodo de entrega modificado. Si desea ms informacin sobre la creacin de configuraciones de control de dispositivos de forma manual en los equipos administrados y sobre la implementacin de dichas configuraciones de forma manual, consulte el archivo de ayuda de usbmon, usbmon.chm, en el recurso compartido LDMain del servidor central.
Resolucin de problemas del CCM

Esta seccin contiene informacin sobre algunas situaciones posibles que podran surgir con el Administrador del control de conexiones, y la manera de solucionarlas. Las configuraciones de control de conexiones nuevas se guardan en un archivo de configuracin y en un archivo de secuencia de comandos en las carpetas siguientes: ldmain\ccmgr\name.cfg ldmain\scripts\name.ini Si ya existe una secuencia de comandos o una configuracin con el mismo nombre que el dado a la configuracin, se le preguntar si desea sobrescribir la secuencia de comandos o configuracin existente. Esto podra ocasionar que se sobrescriba una secuencia de comandos de distribucin con el mismo nombre y que no est relacionada. Al especificar intervalos IP para restricciones de red, no restrinja el acceso al intervalo de red en el que se encuentra el servidor. Si los clientes obtienen acceso a una red restringida y el administrador de control de conexiones deshabilita el acceso a la red, solamente la comunicacin con el servidor central puede restaurar el acceso. Si los dispositivos no se pueden comunicar con el servidor central debido a una restriccin, no se puede restaurar el acceso a la red. Al restringir el acceso a dispositivos de E/S, no restrinja dispositivos de E/S que alojen adaptadores de red. Si restringe el acceso a dispositivos de E/S que alojan adaptadores de red, el cliente ya no tendr acceso a la red. Por ejemplo, la restriccin del acceso a USB evita que funcionen todos los adaptadores de red USB. Sin acceso a la red, no podr actualizar las configuraciones de restriccin de ese cliente.
258
Si selecciona las opciones siguientes en el Administrador de control de conexiones y el servidor central no se encuentra disponible en una de las redes de la lista, los clientes tendrn acceso ilimitado a los dispositivos de E/S durante la conexin a la red: Limitar conexiones a redes de la lista Permitir redes que no estn en la lista si no hay conexin Verificar la existencia del servidor central en la red Si la opcin "Permitir redes que no estn en la lista si no hay conexin" est marcada y el agente no puede encontrar el servidor central en una red de la lista, supondr que la red no se encuentra en la lista. En este punto, podra otorgarse el acceso no intencionado a los dispositivos de E/S locales. Esto podra crear un riesgo de seguridad. Asegrese de que el servidor central est disponible para evitar que esto suceda.
259
MANUAL DE USUARIO
Uso de la consola
LANDesk Management Suite proporciona una gama completa de herramientas de administracin de sistemas que le permiten ver, configurar, administrar y proteger los dispositivos de la red. Todas estas tareas se pueden realizar a travs de una sola consola. Este captulo describe la interfaz de la consola, al igual que la configuracin y navegacin de la vista de red y las ventanas de herramientas de la consola. Lea este captulo para obtener informacin sobre: "Introduccin a la consola" en la pgina 260 "Inicio de la consola" en la pgina 261 "Cambio de la conexin al servidor central" en la pgina 262 "Vista de red" en la pgina 262 "Creacin de grupos" en la pgina 265 "Iconos de dispositivos" en la pgina 267 "Visualizacin de dispositivos administrados en el grupo Todos los dispositivos" en la pgina 268 "Mens contextuales" en la pgina 269 "Configuracin de la vista de red con conjuntos de columnas" en la pgina 270 "Opciones de la barra de herramientas" en la pgina 273 "Uso de las herramientas de la consola" en la pgina 274 "Ventanas de herramientas acoplables" en la pgina 274 "Ocultar automticamente" en la pgina 275 "Guardar disposiciones de ventanas" en la pgina 275 "Barra Buscar" en la pgina 276 "Barra de estado" en la pgina 276 "Visualizacin de las propiedades del dispositivo" en la pgina 277 "Configuracin de la deteccin de agentes" en la pgina 278 "Supervisin de dispositivos para la conectividad de red" en la pgina 280
Introduccin a la consola
El poder de la consola radica en que se pueden llevar a cabo todas las funciones crticas de la administracin de la red desde una cmoda ubicacin, por lo que no es necesario desplazarse hasta cada dispositivo administrado para realizar el mantenimiento rutinario o solucionar problemas. Desde una nica consola, puede distribuir y actualizar el software o las opciones de configuracin, diagnosticar problemas de hardware y software, implementar imgenes del SO y migrar perfiles de usuario, utilizar la administracin basada en funciones para controlar el acceso de los usuarios a las funciones y a los dispositivos, utilizar las funciones de control remoto para orientar a los usuarios finales o resolver problemas. Puede disponer de varios servidores y bases de datos para satisfacer sus necesidades especficas de administracin de redes. Si desea obtener informacin sobre la instalacin de un servidor y una consola centrales, consolas adicionales o una consola Web, e informacin sobre la administracin de varios servidores y bases de datos centrales, consulte el Manual de instalacin e implementacin (este manual se encuentra disponible como archivo PDF imprimible).
260
Ms adelante en este captulo se explica cmo desplazarse y utilizar la nueva consola para visualizar y organizar los dispositivos y obtener acceso a las diferentes herramientas de administracin. (Cada una de las herramientas, como la distribucin de software, el control remoto, la seguridad y Patch Manager, etc. se describen en detalle en los siguientes captulos de este manual).
Inicio de la consola
Para iniciar la consola 1. Haga clic en Inicio | Programas | LANDesk | LANDesk Management Suite 8. (El nombre real del programa puede cambiar dependiendo del producto LANDesk que se haya instalado y de la licencia que se us para la activacin en el servidor central). Escriba un nombre de usuario y una contrasea vlidos. Si se va conectar a un servidor central remoto, siga las reglas habituales de Windows para el inicio de sesin remoto (por ejemplo, si el usuario es local para el servidor central, escriba nicamente el nombre de usuario; si se trata de un usuario de dominio, escriba el nombre de dominio o de usuario). Seleccione el servidor central al que desea conectarse. El usuario debe disponer de las credenciales de autenticacin adecuadas para el servidor central. Haga clic en Aceptar.
2.
3. 4.
La consola se abre con la disposicin (tamao, posicin, ventanas de herramientas abiertas, etc.) utilizada la ltima vez que el usuario finaliz una sesin. En las consolas adicionales, las credenciales que utiliza para iniciar una sesin en Management Suite deben coincidir con las credenciales utilizadas para las unidades que ha asignado al servidor central. Caso contrario, podra ver un error de "Conexiones mltiples" en el cuadro de dilogo de la consola.
Acerca del cuadro de dilogo de Inicio de sesin

Utilice este cuadro de dilogo para ejecutar la consola y conectarse a un servidor central. Nombre de usuario: Identifica a un usuario de LANDesk. Puede ser un usuario administrador u otro tipo de usuario con acceso restringido (consulte "Administracin basada en funciones" en la pgina 282). El usuario debe ser miembro del grupo de LANDesk Management Suite en el servidor central. Siga las normas habituales de Windows NT para el inicio de sesin remoto (por ejemplo, si el usuario es local para el servidor central, escriba nicamente el nombre de usuario; si se trata de un usuario de dominio, escriba el nombre de usuario o de dominio). Contrasea: La contrasea de usuario.(Nota: Si un administrador de LANDesk cambia la contrasea de otro usuario, por ejemplo, un usuario de una consola adicional, la nueva contrasea no surte efecto hasta que el usuario reinicia la consola. En ese momento, el usuario debe introducir la contrasea nueva para iniciar una sesin en la consola). Servidor central: Especifica el servidor central al que desea conectarse. Esta lista desplegable coincide con la lista desplegable de servidores centrales disponibles en la barra de herramientas de la consola.
261
MANUAL DE USUARIO
Cambio de la conexin al servidor central

La consola le permite ver y administrar el contenido de cualquier base de datos asociada a un servidor central al que se puede conectar en la red. Esto permite crear bases de datos para diferentes sitios, unidades organizativas o redes internas lgicas. nicamente se puede conectar a un servidor central a la vez. Para cambiar las conexiones al servidor central 1. Seleccione un servidor central de la lista desplegable Central situada en la barra de herramientas de la consola. O bien, escriba el nombre del servidor central en el cuadro de texto y pulse Intro. Se busca el servidor en la red. Si se encuentra, se le solicitar que inicie una sesin en el cuadro de dilogo estndar Inicio de sesin. 2. Escriba un nombre de usuario y una contrasea vlidos.
Siga las normas habituales de Windows NT para el inicio de sesin remoto (por ejemplo, si el usuario es local para el servidor central, escriba nicamente el nombre de usuario; si se trata de un usuario de dominio, escriba el nombre de usuario o de dominio). Una vez conectado al servidor central, el nombre de ste se agrega automticamente a la lista desplegable Central de la barra de herramientas.
Vista de red
La vista de red es la ventana principal de la consola y constituye el punto de inicio de la mayor parte de las funciones. Aqu puede ver los datos de inventario del dispositivo, crear consultas para buscar y agrupar dispositivos, seleccionar dispositivos para el control remoto, etc. La ventana de la vista de red se encuentra siempre abierta y contiene dos paneles. En el panel izquierdo se muestra una vista de rbol jerrquica del servidor o la base de datos central a la que est conectado actualmente, as como los grupos de Dispositivos, Consultas y Configuracin correspondientes. Los objetos del rbol se pueden expandir o contraer segn sea necesario. En el panel derecho de la vista de red se muestra una lista detallada de los dispositivos, consultas o elementos de configuracin del grupo seleccionado en funcin del tipo de grupo.
Iconos de grupo
Los iconos siguientes se utilizan para representar distintos tipos de grupos en la vista de red: Carpeta azul: Indica los grupos pblicos y privados. Carpetas amarillas dobles: Indica los grupos pblicos que contienen una lista completa de elementos de un tipo especfico, tal como Todos los dispositivos.
262
Puede cambiar el tamao de la ventana de la vista de red y de los paneles y columnas correspondientes, aunque no se puede cerrar. Al contrario que las ventanas de herramientas, la ventana de la vista de red no es acoplable. Administracin basada en funciones Los dispositivos que puede visualizar y administrar en la vista de red y las herramientas que puede utilizar dependern de los derechos de acceso y del mbito de los dispositivos que le haya asignado el administrador. Para obtener ms informacin, consulte "Administracin basada en funciones" en la pgina 282. LaVista de red contiene los siguientes grupos y subgrupos:
Central
El objeto Central identifica el servidor central al que est conectado actualmente. El objeto Central se encuentra justo debajo de la raz de la vista de la red y se puede contraer y expandir. Sintaxis del nombre del objeto central La sintaxis para el nombre de objeto central es: Nombre de servidor\Instancia de base de datos
Dispositivos
El grupo Dispositivos incluye los siguientes subgrupos de dispositivos. Mis dispositivos: Muestra una lista de los dispositivos del usuario que ha iniciado sesin en funcin del mbito de dicho usuario. El usuario puede crear subgrupos de dispositivos nicamente en Mis dispositivos. Para agregar dispositivos al grupo Mis dispositivos o a uno de sus subgrupos, el usuario debe copiarlos de los grupos Dispositivos pblicos y Todos los dispositivos. Los usuarios tambin pueden hacer clic y arrastrar los dispositivos de Dispositivos pblicos y Todos los dispositivos al grupo Mis dispositivos.
Arrastre y colocacin de elementos en la vista de red Al hacer clic en un elemento para arrastrarlo a otro grupo en la vista de red, el cursor indica dnde puede o no colocar dicho elemento. Al mover el cursor sobre un objeto del grupo, el signo ms (+) indica que puede agregar el elemento al grupo; el signo de tachado indica que no puede agregar el elemento al grupo. Dispositivos pblicos: muestra una lista de los dispositivos que un administrador (es decir un usuario con derecho de administrador de LANDesk) ha agregado desde el grupo Todos los dispositivos. El administrador ve todos los dispositivos del grupo y los dems usuarios ven solamente los dispositivos permitidos en su mbito. Asimismo, slo el administrador puede crear un subgrupo en Dispositivos pblicos.
263
MANUAL DE USUARIO
Todos los dispositivos: Se muestra un listado no jerrquico (sin subgrupos) de todos los dispositivos que puede ver el usuario que actualmente ha iniciado sesin en funcin del mbito de dicho usuario. Para el administrador, Todos los dispositivos incluye la totalidad de los dispositivos administrados que se han rastreado en la base de datos central. Los dispositivos configurados con los agentes LANDesk estndar aparecen automticamente en el grupo Todos los dispositivos cuando el rastreador de inventario los rastrea en la base de datos central.
Para los usuarios regulares, Todos los dispositivos es un compuesto de los grupos Mis dispositivos y Dispositivos pblicos del usuario. Los administradores y usuarios pueden ejecutar informes de activos en los dispositivos de este grupo. Tambin puede agregar de forma manual los equipos a la vista de red. Para ello, haga clic con el botn secundario en el grupo Todos los dispositivos, seleccione y haga clic en Insertar nuevo equipo, complete la informacin de dispositivo y de red, y haga clic en Aceptar. Estos equipos tambin aparecen en el subgrupo Equipos agregados por el usuario bajo el grupo Configuracin. Dispositivos de usuario: Muestra una lista de todos los dispositivos de la base de datos central, organizados en subgrupos de usuario. A los subgrupos de usuario se les asigna un nombre compuesto por los ID de inicio de sesin del usuario (por ejemplo, nombre de equipo\cuenta de usuario o cuenta de dominio\usuario). Cada grupo de usuario incluye los dispositivos que aparecen en el grupo Mis dispositivos de dicho usuario.
Tenga en cuenta que SLO los administradores pueden ver el grupo Dispositivos de usuario y sus subgrupos. El resto de los usuarios no pueden ver el grupo Dispositivos de usuario.
Consultas
El grupo Consultas incluye los siguientes subgrupos de consultas. Mis consultas: Muestra una lista de las consultas creadas por el usuario que ha iniciado una sesin o de aquellas consultas agregadas al grupo Consultas de usuarios por un administrador. El usuario puede crear, modificar y eliminar grupos de consultas y consultas en el grupo Mis consultas. Adems, puede copiar consultas a este grupo desde el grupo Consultas pblicas.
Toda consulta ejecutada por un usuario est limitada a la serie de dispositivos definida por el mbito del usuario. Por ejemplo, si el mbito de un usuario es Todos los equipos, la consulta buscar todos los dispositivos de la base de datos central, pero si el mbito del usuario se limita a 20 equipos, la consulta slo buscar estos 20 equipos. Para obtener ms informacin sobre la creacin de consultas, consulte "Creacin de consultas de base de datos" en la pgina 325. Consultas pblicas: muestra una lista de las consultas agregadas por un administrador o usuario con derecho de Administracin de consultas pblicas (PQM). nicamente un usuario con derechos de administrador de LANDesk o derecho de PQM puede agregar, modificar o eliminar grupos de consultas o consultas del grupo Consultas pblicas. No obstante, todos los usuarios pueden ver las consultas del grupo y pueden copiarlas en su propio grupo Mis consultas.
264
Todas las consultas: Se muestra un listado no jerrquico (sin subgrupos) de todas las consultas que puede ver el usuario que actualmente ha iniciado sesin en funcin del mbito de dicho usuario. Todas las consultas es un compuesto de los grupos Mis consultas y Consultas pblicas del usuario. Consultas de usuarios: Muestra una lista de todas las consultas de la base de datos central, organizadas en subgrupos por usuario. A los subgrupos de usuario se les asigna un nombre compuesto por los ID de inicio de sesin del usuario (por ejemplo, nombre de equipo\cuenta de usuario o cuenta de dominio\usuario). Cada grupo de usuario incluye las consultas que aparecen en el grupo Mis consultas de dicho usuario.
Tenga en cuenta que SLO los administradores pueden ver el grupo Consultas de usuarios y sus subgrupos. El resto de los usuarios no pueden ver el grupo Consultas de usuarios. Los administradores pueden utilizar este grupo para ejecutar las consultas de un usuario que quedan fuera del mbito de dicho usuario, actuando como si fueran el propio usuario. De este modo, el administrador puede obtener la vista previa exacta de los resultados que el usuario puede ver al ejecutar la consulta.
Configuracin
El grupo Configuracin incluye los siguientes grupos de configuracin. Cola de espera de PXE: Se muestra un listado de las colas de espera de PXE y de los dispositivos que estn esperando en stas. Para obtener ms informacin, consulte Using the PXE holding queue. Representantes de dominio de multidifusin: Muestra una lista de los representantes de dominio de multidifusin que se pueden utilizar para el equilibrio de carga de la distribucin de software. Para obtener ms informacin, consulte "Uso de la multidifusin dirigida con distribucin de software" en la pgina 395. Representantes de PXE: Muestra una lista de los dispositivos configurados como representantes de PXE que pueden implementar imgenes del SO en los dispositivos de su subred. Para obtener ms informacin, consulte Using PXE representatives. Implementaciones de los clientes no administrados pendientes: Muestra un listado de dispositivos que se han detectado con la herramienta de Deteccin de dispositivos no administrados y que estn esperando una tarea de configuracin de agente. Para obtener ms informacin, consulte "Deteccin de dispositivos no administrados" en la pgina 416. Equipos agregados por los usuarios: lista de los equipos que se han agregado de forma manual a la vista de red a travs del cuadro de dilogo Insertar nuevo equipo (haga clic con el botn secundario en el grupo Todos los dispositivos).
Creacin de grupos
Los grupos le ayudan a organizar los dispositivos y consultas en la vista de red de la consola. Puede crear grupos para organizar los dispositivos de red segn la funcin, ubicacin geogrfica, departamento, atributos del dispositivo o cualquier otra categora que satisfaga sus necesidades. Puede crear, por ejemplo, un grupo de marketing para todos los dispositivos del departamento de marketing o un grupo que incluya todos los dispositivos que ejecutan un SO concreto.
265
MANUAL DE USUARIO
Reglas para la creacin de grupos

Mis dispositivos y Mis consultas: los administradores y todos los dems usuarios pueden crear grupos en Mis dispositivos y en Mis consultas. Dispositivos pblicos: Slo los administradores pueden crear grupos en Dispositivos pblicos. Consultas pblicas: nicamente los administradores o los usuarios con derecho de Administracin de consultas pblicas (PQM) pueden crear grupos en Consultas pblicas. Todos los dispositivos y Todas las consultas: No existe ningn subgrupo en Todos los dispositivos o Todas las consultas. Los usuarios, incluyendo los administradores, no pueden crear grupos en Todos los dispositivos o Todas las consultas. Dispositivos de usuario: Slo los administradores pueden crear grupos en estos subgrupos especficos de usuario en Dispositivos de usuario. Consultas de usuarios: nicamente los administradores y los usuarios con derecho de Administracin de consultas pblicas (PQM) pueden crear grupos en los subgrupos especficos de usuario de Consultas de usuarios.
Para crear un grupo 1. En la vista de red de la consola, haga clic con el botn derecho sobre el grupo principal (como por ejemplo Mis dispositivos) y, a continuacin, seleccione Nuevo grupo. O bien, seleccione el grupo principal y, a continuacin, haga clic en Edicin | Mis dispositivos | Nuevo grupo. Escriba un nombre para el nuevo grupo y, a continuacin, pulse la tecla Intro.
2.
Puede hacer clic con el botn derecho en los grupos para realizar diversas tareas segn el tipo de grupo. Por ejemplo, si ha creado un subgrupo de dispositivos, el men contextual le permitir: Agregar dispositivos Crear un subgrupo nuevo Ejecutar un informe de inventario Ver un informe Cortar Copiar Pegar Quitar Cambiar nombre
Para obtener ms informacin sobre las funciones del botn secundario, consulte "Mens contextuales" en la pgina 269 a continuacin.
266
Iconos de dispositivos
Los iconos de dispositivos aparecen en la vista de red de la consola y muestran el agente actual y la integridad de un dispositivo. El agente y la integridad se pueden actualizar para los dispositivos de uno en uno a medida que se seleccionan en la vista de red o bien para todos los dispositivos visibles en la vista de red al mismo tiempo. Asimismo, puede actualizar el estado de un dispositivo si lo selecciona y hace clic en el botn Actualizar de la barra de herramientas. Para obtener informacin sobre la configuracin de la forma de utilizacin del agente de deteccin, consulte "Configuracin de la deteccin de agentes" en la pgina 278 ms adelante en este captulo. En la tabla siguiente se muestra un listado de los iconos de dispositivos y de estado posibles as como de sus significados: Icono Tipo y descripcin Servidor: Representa un dispositivo de servidor.
Dispositivo con Windows: Representa un dispositivo con Windows.
Dispositivo con Macintosh: Representa un dispositivo con Macintosh.
Dispositivo de bolsillo: Representa un dispositivo de bolsillo.
A continuacin se muestran los iconos de estado que pueden aparecer junto a los iconos de dispositivo enumerados anteriormente, en funcin de la configuracin y el estado actuales del dispositivo.
No disponible: Indica que el dispositivo no se encuentra actualmente disponible en la consola.
Desconocido: Indica que el estado del dispositivo no se conoce actualmente. Este icono aparece unos instantes mientras se actualiza el estado del dispositivo.
Agente de LANDesk estndar: Indica que el agente LANDesk estndar est cargado en el dispositivo.
267
MANUAL DE USUARIO
Icono
Tipo y descripcin Control remoto: Indica que el agente de control remoto est cargado en el dispositivo.
Advertencia: Indica una alerta de integridad para el dispositivo. Un icono de integridad puede aparecer slo si el agente del Administrador de sistema de LANDesk est cargado en el dispositivo.
Crtica: Indica una integridad crtica para el dispositivo. Un icono de integridad puede aparecer slo si el agente del Administrador de sistema de LANDesk est cargado en el dispositivo.
Calidad de visualizacin de iconos Se trata de iconos de colores de alta densidad que requieren como mnimo una configuracin de color de 16 bits. Si los iconos de la consola aparecen desenfocados, cambie la configuracin de color en Propiedades de pantalla de Windows. Si el servidor de seguridad bloquea los paquetes UDP Si administra dispositivos a travs de un servidor de seguridad que bloquea paquetes UDP, no podr utilizar las funciones de men contextual de dispositivo siguientes: Reactivar, Apagar, Reiniciar y Rastreo de inventario.
Visualizacin de dispositivos administrados en el grupo Todos los dispositivos

Los dispositivos que ejecutan agentes de LANDesk aparecen automticamente en el grupo Todos los dispositivos cuando el rastreador de inventario los rastrea en la base de datos central. Generalmente, este rastreo se realiza por primera vez durante la configuracin inicial de un agente de dispositivo. Una vez que se rastrea un dispositivo en la base de datos central, ste se considera un dispositivo administrado. En otras palabras, ese servidor central podr administrarlo ahora. Para obtener ms informacin sobre la configuracin de los dispositivos, consulte "Configuracin de agentes de dispositivo" en la pgina 314. Como el grupo Todos los dispositivos se rellena automticamente mediante un rastreo de inventario, es probable que nunca necesite detectar a los dispositivos manualmente. Para detectar a los dispositivos que an no se han rastreado en la base de datos central, puede realizar un sondeo de la red mediante la herramienta de deteccin de dispositivos no administrados. Para obtener ms informacin, consulte "Deteccin de dispositivos no administrados" en la pgina 416.
268
Cuando se encuentra conectado con un servidor central especfico, el administrador puede ver todos los dispositivos administrados por ese servidor central. Los usuarios normales, por otra parte, tienen restricciones y nicamente pueden ver los dispositivos que residen dentro del mbito que tengan asignado (un mbito est definido por una consulta de base de datos o por una ubicacin de directorio). Para obtener ms informacin, consulte "Administracin basada en funciones" en la pgina 282.
Mens contextuales
Los mens contextuales se han ampliado considerablemente para incluir todos los elementos de la consola, incluidos grupos, dispositivos, consultas, tareas programadas, secuencias de comandos, informes, etc. Los mens contextuales proporcionan un acceso rpido a las tareas comunes y a la informacin esencial de un elemento. Para ver el men contextual de un elemento, seleccione y haga clic con el botn derecho en el elemento. Opciones disponibles en el men contextual Las opciones que aparecen en el men contextual del dispositivo, al igual que las opciones que estn desactivadas o atenuadas, podran depender de la plataforma de dispositivo y de los agentes de LANDesk que estn instalados en el dispositivo. Por ejemplo, si hace clic con el botn derecho en un dispositivo administrado en la vista de red, el men contextual mostrar por lo general las siguientes opciones: Inventario: Muestra todos los datos de inventario del dispositivo rastreados en la base de datos central. Historial de inventario: Muestra los cambios en los datos de inventario de los atributos que se hayan seleccionado para realizar un seguimiento. Se puede imprimir el historial de inventario o exportarlo a un archivo .CSV. Control remoto: Abre una sesin de control remoto con el dispositivo. Conversacin: Abre una sesin de conversacin remota con el dispositivo. Transferencia de archivos: Abre el cuadro de dilogo de transferencia de archivos desde donde se pueden transferir archivos al dispositivo y desde l. Ejecucin remota: Permite desplazarse hasta un archivo por lotes o una aplicacin que se encuentren en el dispositivo y ejecutarlos. Reactivar: Reactiva de forma remota un dispositivo cuyo BIOS admite la tecnologa Wake on LAN*. Apagar: Apaga de forma remota el dispositivo. Reiniciar: Reinicia el dispositivo de forma remota. Rastreo de inventario: Ejecuta un rastreo de inventario en el dispositivo. Tareas programadas y polticas: Muestra las tareas programadas actuales y las polticas de administracin de aplicaciones del dispositivo. Agregar a nuevo grupo: Agrega una copia del dispositivo a un nuevo grupo definido por el usuario en el grupo Mis dispositivos. Se le solicitar que escriba un nombre para el grupo nuevo. Agregar a grupo existente: Permite seleccionar el grupo en que desea agregar una copia del dispositivo. Pertenencia a grupos: Muestra todos los grupos de los que el dispositivo es actualmente miembro.
269
MANUAL DE USUARIO
Ejecutar consultas de informes: Abre el cuadro de dilogo Informes desde el que puede seleccionar de entre una lista de informes para ejecutarlos en el dispositivo. Haga doble clic sobre el nombre del informe para ejecutarlo. Actualizar la configuracin del Vigilante del agente: Abre el cuadro de dilogo Actualizar la configuracin del Vigilante del agente, donde puede habilitar o deshabilitar el monitoreo en tiempo real de agentes y servicios especficos de LANDesk, elegir una configuracin para el Vigilante del agente o configurar una nueva y especificar un intervalo de tiempo para buscar cambios en la configuracin seleccionada. Informacin de revisiones y seguridad: Abre el cuadro de dilogo Informacin de Revisiones y Seguridad, el cual muestra los datos de rastreo de vulnerabilidad y de reparacin del dispositivo: incluye las vulnerabilidades detectadas y otros riesgos de seguridad, las revisiones instaladas y el historial de reparacin. Rastrear ahora la seguridad y revisiones: Abre un cuadro de dilogo que permite seleccionar las opciones de rastreo y reparacin. A continuacin, haga clic en Aceptar para ejecutar un rastreo de seguridad de inmediato en el dispositivo. Rastrear ahora con LANDesk Antivirus: Abre un cuadro de dilogo que permite seleccionar la configuracin de LANDesk Antivirus. Luego haga clic en Aceptar para ejecutar un rastreo antivirus inmediato en el dispositivo. Administrar usuarios y grupos locales: Abre el cuadro de dilogo Usuarios y grupos locales, el cual permite administrar de forma remota los usuarios y grupos locales de un dispositivo Windows. Cortar: Elimina elementos de un grupo definido por el usuario. No se pueden cortar elementos de los grupos "Todos". Copiar: Crea una copia del elemento que se puede agregar a otro grupo. Pegar. Coloca el elemento que se ha cortado o copiado en un grupo definido por el usuario. Quitar: quita el elemento del grupo definido por el usuario. Eliminar: Elimina el elemento del grupo "Todos" Y, al mismo tiempo, de cualquier otro grupo del que sea miembro. Propiedades: Muestra el resumen de inventario, informacin sobre dispositivos, el estado del agente y la configuracin del control remoto del dispositivo.
Este manual no cubre el posible men de acceso directo de todos los tipos de elementos. Es recomendable que haga clic con el botn secundario en cualquier elemento para ver las opciones que estn disponibles.
Configuracin de la vista de red con conjuntos de columnas

Los conjuntos de columnas permiten la personalizacin de los datos de inventario que se muestran en el panel derecho de la vista de red, para las listas de dispositivos y de resultados de consultas. Cada columna de un conjunto de columnas representa un atributo (o componente) nico del inventario rastreado. Por ejemplo, el conjunto de columnas predeterminado que se muestra en la vista de red est compuesto por los atributos Nombre del dispositivo, el Tipo y el Nombre del SO. Utilice la herramienta de configuracin de conjuntos de columnas (Herramientas | Administracin | Configuracin de conjuntos de columnas) para crear la cantidad de conjuntos de columnas que desee. Luego, para aplicar un conjunto de columnas, arrstrelo hasta un grupo de dispositivos o a un objeto de consulta en la vista de red en forma de rbol.
270
Ventana Conjuntos de columnas

Nota: la ventana Conjuntos de columnas reemplaza el dilogo Administrar configuraciones de columnas que se encontraba en versiones anteriores. La ventana Conjuntos de columnas organiza los conjuntos de columnas en tres categoras: Mis conjuntos de columnas: conjuntos de columnas creados por el usuario que ha iniciado la sesin. Conjuntos de columnas pblicos: conjuntos de columnas creados por un administrador, o predefinidos en los conjuntos de columnas. Todos los conjuntos de columnas (slo visibles para el administrador): conjuntos de columnas creados por todos los usuarios de LANDesk.
Los usuarios pueden copiar un conjunto de columnas del grupo Conjuntos de columnas pblicos en su propio grupo Mis conjuntos de columnas y luego modificar las propiedades de los conjuntos de columnas. Puede crear subgrupos bajo el objeto Mis conjuntos de columnas para organizar los conjuntos de columnas an ms.
Creacin de conjuntos de columnas

Los conjuntos de columnas se crean en el cuadro de dilogo Configuracin de columnas. Cada columna representa un atributo o componente de inventario nico que se ha rastreado en la base de datos central. Las columnas se muestran de izquierda a derecha en la vista de red en el orden en el que aparecen en la lista de Columnas. Para crear un conjunto de columnas 1. 2. 3. 4. Haga clic en Herramientas | Administracin | Configuracin de conjuntos de columnas. Seleccione el objeto Mis conjuntos de columnas (o el objeto Conjuntos de columnas pblicos) y luego haga clic en el botn Nuevo de la barra de herramientas. En el cuadro de dilogo Configuracin de columnas, escriba un nombre para el nuevo conjunto de columnas. Seleccione los atributos de inventario de la lista y agrguelos a la lista de Columnas haciendo clic en Agregar a las columnas. No olvide seleccionar los atributos que le ayudarn a identificar los dispositivos de la lista de dispositivos devueltos por la consulta. (Opcional) Puede personalizar cmo y cundo aparecen las columnas en la vista de red mediante la modificacin directa de los campos de encabezado, alias y orden de un componente; o mediante la eliminacin o traslado del componente seleccionado hacia arriba o abajo en la lista haciendo uso de los botones disponibles. (Opcional) Puede especificar datos de calificacin ms precisos para los componentes de software. Seleccione el componente, haga clic en el botn Calificar y seleccione un valor clave principal en la lista de valores disponibles. Para obtener ms informacin, consulte "Uso de la opcin de calificacin con los componentes de software" en la pgina 272. Haga clic en Aceptar para guardar el conjunto de columnas.
5.
6.
7.
271
MANUAL DE USUARIO
Restauracin de las columnas predeterminadas originales Para restaurar las columnas predeterminadas en la vista de red, cree un conjunto personalizado de columnas que incluya el nombre de dispositivo, el tipo y los atributos de nombre de SO, y luego aplquelo a los grupos de dispositivos y a los objetos de consulta. O bien, puede utilizar el conjunto de columnas predefinidas de nombre Original en el grupo Mis conjuntos de columnas.
Aplicacin de conjuntos de columnas a grupos y consultas de dispositivos

Una vez que ha creado un conjunto de columnas, arrstrelo a un grupo o subgrupo de dispositivos o a un objeto especfico de consulta en un grupo o subgrupo de consultas. La lista de dispositivos, o de resultados de consultas, muestra la informacin de inventario especificados por el conjunto de columnas seleccionado en el panel derecho de la vista de red. Observe que para las listas de dispositivos, es persistente seleccionar distintos conjuntos de columnas an cuando se seleccionan varias vistas de consultas. No obstante, para los resultados de las consultas, el conjunto de columnas debe reaplicarse cuando se alterna entre diversas consultas. Tambin puede hacer clic con el botn secundario en el conjunto de columnas para acceder al men contextual para ver y ejecutar tareas comunes, as como para ver y editar sus propiedades. El men contextual incluye las opciones siguientes: Agregar a nuevo grupo Agregar a grupo existente Pertenencia a grupos Establecer como configuracin predeterminada Cortar Copiar Quitar Cambiar nombre Propiedades
Uso de la opcin de calificacin con los componentes de software

Durante la creacin de los conjunto de columnas que incluyen componentes de software, puede especificar un criterio calificador para los componentes mediante la eleccin de un valor clave especfico principal. El calificador de software permite la identificacin ms precisa de los datos que desee buscar con una consulta y que desee mostrar en la columna de componentes de software. Por ejemplo, puede configurar el conjunto de columnas para que muestre la informacin de una sola versin de las aplicaciones especficas. Para ello, seleccione el nombre del archivo ejecutable de la aplicacin como calificador. Para especificar un calificador de componentes de software, seleccione el componente en la lista de Columnas, haga clic en el botn Calificar y seleccione un valor en la lista de valores claves principales disponibles.
272
De forma similar al campo Alias, una vez que seleccione un valor de clave principal y lo agregue al campo Calificador del componente de software, podr modificarlo de forma manual al hacer clic en el campo.
Acerca del cuadro de dilogo Configuracin de columnas

Utilice este cuadro de dilogo para crear una nueva configuracin de columnas. Nombre: Identifica la configuracin de columnas. Atributos del inventario: Se enumeran todos los objetos y atributos del inventario rastreados en la base de datos central. Expande o contrae los objetos al hacer clic en el cuadro que hay a la izquierda de cada objeto. Agregar a las columnas: Desplaza el atributo de inventario seleccionado hasta la lista de columnas. Si selecciona un componente de inventario completo, todos los atributos de directorio que contiene dicho componente se agregarn a la lista de columnas. Columnas: Se enumeran los atributos de inventario en el orden en que aparecern, de izquierda a derecha, en la vista de red. Calificar: Permite especificar un calificador de datos preciso para el componente de software seleccionado. Para obtener ms informacin, consulte "Uso de la opcin de calificacin con los componentes de software" en la pgina 272. Quitar: Elimina el atributo seleccionado de la lista. Subir: Desplaza el atributo seleccionado una posicin hacia arriba. Bajar: Desplaza el atributo seleccionado una posicin hacia abajo. Aceptar: Guarda la configuracin de columnas actual y cierra el cuadro de dilogo. Cancelar: cierra el cuadro de dilogo sin guardar ninguno de los cambios.
Opciones de la barra de herramientas

La consola incluye una barra de herramientas que proporciona acceso mediante un solo clic a las operaciones ms comunes de la vista de red as como a algunas opciones bsicas de configuracin de la consola. Los botones de la barra de herramientas aparecen atenuados cuando se selecciona un elemento de la vista de red que no admite esa operacin. Para activar las descripciones de texto para los botones de la barra de herramientas, haga clic en Ver | Mostrar texto de la barra de herramientas. La barra de herramientas de la consola contiene los botones siguientes: Cortar: Quita elementos de la vista de red y los almacena temporalmente en el portapapeles. Si corta un elemento por error, utilice el comando pegar para restaurarlo. Se debe restaurar el elemento eliminado antes de ejecutar cualquier otro comando. Copiar: Copia elementos de una ubicacin de la vista de red a otra diferente. Pegar. Pega elementos que se han cortado o copiado. Eliminar: Elimina el elemento de modo permanente. No se pueden restaurar elementos que se hayan eliminado de la vista de red. Actualizar: Actualiza el grupo o elemento seleccionado en la vista de red. Adems, puede contraer y expandir un grupo para actualizar sus elementos. Tambin puede hacer clic en Ver | Actualizar para actualizar el elemento seleccionado actualmente en la vista de red.
273
MANUAL DE USUARIO
Actualizar mbito: Actualiza el grupo o elemento seleccionado en la vista de red, en funcin del mbito del usuario que ha iniciado la sesin (tal como se define en la herramienta Usuarios). Disposicin: Muestra un listado de las disposiciones de ventana que tenga guardadas. Seleccione una disposicin de la lista desplegable para restaurar la consola a esa disposicin. Si desea guardar la disposicin actual, haga clic en el botn Guardar la disposicin actual. Servidor central: Muestra un lista de los servidores centrales a los cuales se ha conectado antes (lo cual hace que figuren en la lista). Puede seleccionar un servidor central de la lista o bien escribir el nombre de uno y pulsar Escribir. Se busca el servidor central en la red y si se encuentra, se le solicita que inicie sesin con un nombre de usuario y una contrasea vlidos.
Uso de las herramientas de la consola

?Las herramientas estn disponibles tanto a travs del men Herramientas como del Cuadro de herramientas. Para habilitar el Cuadro de herramientas, haga clic en Ver | Cuadro de herramientas. El administrador de LANDesk ve todas las herramientas tanto del men Herramientas como del Cuadro de herramientas. El resto de los usuarios de LANDesk vern nicamente las herramientas (funciones) que les estn permitidas en funcin de los derechos que tengan asignados. Las herramientas que dependen de los derechos que no se le han concedido a un usuario no aparecern en el men Herramientas ni en el Cuadro de herramientas cuando el usuario inicie una sesin en la consola. Por ejemplo, si un usuario no tiene derechos para Informes, la herramienta Informes no aparecer en el men Herramientas ni en el Cuadro de herramientas. Cuando se hace clic sobre el nombre de una herramienta, se abre la ventana de dicha herramienta en la consola. Las ventanas de las herramientas se pueden cambiar de tamao, acoplar, hacer flotar, ocultar y cerrar. Puede tener varias ventanas de herramientas abiertas al mismo tiempo, ya sean acopladas o flotantes. Consulte la siguiente seccin para obtener ms informacin sobre cmo manipular las ventanas de herramientas.
Ventanas de herramientas acoplables

Las ventanas acoplables son una funcin de la consola que permiten abrir tantas herramientas como desee y moverlas dentro y fuera de la ventana principal de la consola. Nota: Puede guardar las disposiciones de consola diseadas y preferidas para determinadas tareas de administracin, y restaurar una disposicin guardada siempre que sea necesario. Para obtener ms informacin, consulte "Guardar disposiciones de ventanas" en la pgina 275 ms adelante en este captulo. Cuando abre varias ventanas de herramientas, stas aparecen como fichas en una nica ventana. La ventana de herramienta activa se muestra en la parte superior, con una ficha para cada herramienta abierta en un lado o en la parte inferior de la misma. Haga clic sobre una ficha para visualizar la ventana de herramientas. Puede acoplar la ventana de herramientas con las fichas o arrastrarla de modo que quede flotando fuera de la ventana de la consola.
274
El acoplamiento de una ventana de herramientas implica adjuntarla en uno de los vrtices de la consola. Se dice que la ventana se encuentra acoplada cuando est adjunta a un vrtice de la consola. Asimismo, puede desacoplar la ventana de herramientas y dejarla como flotante fuera de la consola. Puede acoplar las ventanas en sentido horizontal o vertical en la consola. Para acoplar una ventana de herramientas 1. 2. Haga clic en la barra de ttulo de la ventana y arrastre la ventana a un vrtice de la consola. Cuando aparezca el rectngulo de acoplamiento (contorno atenuado de la ventana que indica que la ventana se va a acoplar), suelte el botn del ratn. La ventana se adjuntar a ese vrtice de la consola.
Observe que nicamente las ventanas de herramientas (aqullas a las que se puede tener acceso desde el men Herramientas o el Cuadro de herramientas) pueden existir como ventanas acopladas, flotantes o con fichas. Se puede cambiar el tamao de la ventana de vista de red, pero no puede organizar con fichas junto con otras ventanas, convertir en una ventana flotante fuera de la consola o cerrar. Si minimiza y, a continuacin, restaura la ventana principal de la consola, todas las ventanas acopladas y flotantes, incluidas las ventanas con fichas, tambin se minimizan y restauran.
Ocultar automticamente
Las ventanas de herramientas tambin admiten la funcin de ocultar automticamente. Ocultar automticamente es un botn en forma de chincheta en la esquina superior derecha de una ventana que permite mantener una ventana en su lugar u ocultarla. Cuando la chincheta est clavada (por ejemplo, la imagen de la chincheta apunta hacia abajo), la ventana permanecer fija en ese lugar y la funcin de ocultar automticamente estar temporalmente inhabilitada. Cuando la chincheta est desclavada (por ejemplo, la imagen de la chincheta apunta hacia la izquierda) la ventana entra en el modo de ocultar automticamente cuando el cursor se desplaza fuera de ella. Mediante la funcin de ocultar automticamente se minimiza y acopla la ventana en uno de los vrtices de la consola y, en su lugar, se muestra una ficha. El Cuadro de herramientas tambin admite esta funcin.
Guardar disposiciones de ventanas

Las disposiciones son configuraciones de la consola guardadas, lo que incluye la posicin y tamao de la vista de red, el Cuadro de herramientas y todas las ventanas de herramientas abiertas. Se pueden utilizar para guardar y restaurar configuraciones de consola personalizadas que resulten particularmente tiles para determinadas tareas o usuarios. Para cambiar la disposicin de la consola, seleccione una guardada en la lista desplegable de Disposicin de la barra de herramientas principal.
275
MANUAL DE USUARIO
Para guardar la disposicin actual 1. 2. 3. 4. Configure la interfaz de consola del modo que desee. Haga clic en el botn Disco situado junto a la lista desplegable Disposicin de la barra de herramientas. Escriba un nombre exclusivo para la disposicin. Haga clic en Aceptar.
Acerca del cuadro de dilogo Administrar disposiciones de ventanas

Utilice este cuadro de dilogo para administrar disposiciones de ventanas guardadas y para restablecer la ventana de la consola a la disposicin anterior. Disposiciones guardadas: Muestra una lista de todas las disposiciones guardadas. Restablecer: Devuelve la ventana de la consola a la disposicin anterior. Eliminar: Elimina la disposicin seleccionada. Cambiar nombre: Permite cambiar el nombre de la disposicin seleccionada.
Barra Buscar
Buscar le permite realizar bsquedas en una lista de elementos que contienen una palabra o frase concretas. La barra Buscar est disponible en la vista de red y las ventanas de herramientas que contienen listas no jerrquicas de elementos. La barra Buscar se muestra, por ejemplo, al visualizar: Grupo Todos los dispositivos Grupo Todas las consultas Grupo de implementaciones de los clientes no administrados pendientes Ventana de la herramienta de deteccin de dispositivos no administrados Todos los informes de activos
Para buscar un elemento con la barra Buscar 1. 2. 3. 4. Seleccione el grupo Todos los dispositivos. La barra Buscar aparece al principio de la lista. En el cuadro de texto Buscar, escriba el texto que desea buscar. En la lista desplegable En la columna, seleccione la columna que desea buscar. Haga clic en el botn de la barra de herramientas Buscar.
La lista resultante muestra slo los elementos que coinciden con los criterios de bsqueda.
Barra de estado
La barra de estado de la parte inferior de la consola muestra la siguiente informacin (de izquierda a derecha):
276
Nmero de elementos seleccionados en un listado Nombre y estado de la tarea actual Nombre del usuario que actualmente ha iniciado sesin Das que faltan para que el servidor central intente comunicarse con el servidor de licencias
La barra de estado est siempre visible.
Visualizacin de las propiedades del dispositivo

En la vista de red de la consola, puede ver rpidamente la informacin acerca de un dispositivo si hace clic sobre ste en la lista de dispositivos y selecciona Propiedades. Los datos de inventario proveen informacin ms detallada sobre el dispositivo. Puede visualizar los datos de inventario en las columnas de la vista de red (que se pueden configurar) o bien, haciendo clic con el botn derecho sobre el dispositivo y seleccionando Inventario para abrir la ventana del Inventario completo.
Acerca del cuadro de dilogo Propiedades del dispositivo

Utilice este cuadro de dilogo para visualizar informacin til acerca del dispositivo seleccionado. El cuadro de dilogo contiene tres fichas: Inventario, Dispositivo y Agentes. Haga clic en cada una de ellas para ver la informacin correspondiente.
Ficha Inventario
La ficha Inventario contiene un resumen de los datos de inventario del dispositivo. Para obtener ms detalles, consulte "Visualizacin de un inventario resumen" en la pgina 337.
Ficha Dispositivo
La ficha Dispositivo contiene informacin bsica acerca de un dispositivo, incluidas su ubicacin e identidad en la red. Esta ficha tambin aparece al insertar manualmente un dispositivo (en el men contextual del grupo Todos los dispositivos, haga clic en Insertar equipo nuevo). Dispositivo: Nombre: El nombre que aparece en la base de datos central y en la vista de red del dispositivo. Si inserta un dispositivo de forma manual, podr asignar un nombre fcil de recordar. Si no escribe un nombre, el nombre predeterminado del dispositivo ser el nombre del equipo Windows. Tipo: El tipo de dispositivo como, por ejemplo, Windows 2000 Server o XP Workstation. Red: Nombre de IP: El nombre del equipo Windows del dispositivo. Direccin IP: La direccin IP asignada al dispositivo.
277
MANUAL DE USUARIO
Memoria fsica: Direccin fsica del dispositivo.
Ficha Agentes
La ficha Agentes contiene informacin acerca del estado actual de los agentes y la configuracin del control remoto del dispositivo. Estado del CBA (Common Base Agent): Indica si el agente LANDesk estndar (Agente base comn) est cargado en el dispositivo. Estado del Administrador de sistema de LANDesk: Indica si el agente del Administrador de sistema de LANDesk est cargado en el dispositivo. Este agente nicamente se cargar si tiene el Administrador de sistema de LANDesk instalado en el servidor central y si ha implementado el agente de Administrador de sistema en este dispositivo. Para obtener ms informacin, consulte "Configuracin de agentes de dispositivo" en la pgina 314. Estado del agente de control remoto: Indica si el agente de control remoto est cargado en el dispositivo. Si este agente no est cargado en el dispositivo, las operaciones de control remoto (como por ejemplo, la transferencia de archivos y la conversacin) no estarn disponibles. Tipo de seguridad: Indica el modelo de seguridad de control remoto utilizado para el dispositivo. Entre las opciones se incluyen: Plantilla local, Seguridad de Windows NT/plantilla local y Basada en certificado/plantilla local. Permitir: Muestra las operaciones de control remoto que se permiten en el dispositivo. Estas operaciones se habilitaron en la configuracin del agente de dispositivo. Configuracin: Indica el modo en que funciona el control remoto cuando intenta interactuar con el dispositivo.
Configuracin de la deteccin de agentes

La deteccin de agentes es el proceso utilizado para encontrar dispositivos administrados que tienen instalados los agentes LANDesk estndar o de control remoto. Estos dos agentes proporcionan la siguiente capacidad: Agente LANDesk estndar: Activa el PDS (Servicio de deteccin de ping). Si el agente LANDesk estndar est instalado en un dispositivo, puede programar las distribuciones de software y las configuraciones de dispositivo. Control remoto: Permite tener acceso a un dispositivo y controlarlo de modo remoto.
La deteccin de agentes utiliza TCP/IP para comprobar los agentes que se ejecutan en los dispositivos. Se utilizan las direcciones IP se utilizan como criterio de bsqueda para llevar a cabo una deteccin de agentes LANDesk estndar con TCP/IP. LANDesk busca los agentes LANDesk estndar y de control remoto en los dispositivos en un mbito especfico de direcciones IP. Este mbito de direcciones depender de la direccin de red IP que se proporcione. Si no designa direcciones de red de subred cuando realiza la bsqueda en TCP/IP, la deteccin se realiza nicamente en el segmento de red en el que reside la consola que inicia la deteccin. Por ejemplo, si ha instalado cuatro consolas y cada una reside en un segmento de red diferente, deber iniciar cuatro rastreos, uno desde cada una de las cuatro consolas.
278
En los segmentos de red en los que no existen consolas, DEBER utilizar direcciones de red de subredes para tener acceso a la informacin de ese segmento de red. Nota sobre los servidores de seguridad: Si dispone de uno o ms servidores de seguridad en la red, la deteccin de agentes no se puede utilizar para buscar fuera de los servidores de seguridad, ya que stos generalmente limitan el flujo del trfico de paquetes a los puertos designados. Para configurar las opciones de deteccin de agentes 1. 2. Haga clic en Configurar | Opciones de deteccin del agente. Seleccione si desea que la deteccin de agentes actualice el estado del agente nicamente para el elemento seleccionado en la vista de red o todos los elementos visibles en sta. Especifique la frecuencia de actualizacin del estado del agente. Configure el modo en que desea detectar el agente de control remoto y establecer prioridad entre los mtodos de resolucin de direcciones. Especifique el tiempo de espera durante el que la deteccin de agentes intentar detectar el agente de control remoto en el dispositivo. Haga clic en Aceptar.
3. 4. 5. 6.
Acerca del cuadro de dilogo Opciones de deteccin del agente

Utilice este cuadro de dilogo para configurar las opciones de deteccin del agente siguientes. Obtener estado del agente: Slo para el elemento seleccionado: Especifica que el estado del agente de un dispositivo se actualiza cuando el dispositivo se selecciona en la vista de red. Esta opcin genera la menor cantidad de trfico de red y es la predeterminada. Para los elementos visibles en la vista de red: Especifica que se actualizar el estado del agente de todos los dispositivos visibles en la vista de red segn la frecuencia de actualizacin. Cuando nuevos dispositivos se hacen visibles se actualiza su estado del agente (e integridad). Actualizar el agente y el estado de integridad cada < > minutos: Indica si el estado del agente se actualiza automticamente. Se puede especificar la frecuencia de actualizacin. Mtodos de deteccin: Indica la forma en que se detecta el agente. Direccin IP: Utiliza la base de datos central para recuperar la direccin IP almacenada en el equipo. Servicio de nombres de dominio (DNS): Resuelve el nombre de Id. del equipo con el servidor DNS cuando se comprueba el agente de control remoto. Si no dispone de un servidor DNS, desactive esta opcin. Subir y Bajar: el mtodo seleccionado se sube o se baja en la lista de deteccin de agente que se est utilizando. Los mtodos se prueban en el orden en que aparecen en la lista. Tiempo de espera: Establece el valor del tiempo de espera antes de que se produzca un error en la deteccin de agente por control remoto para todos los mtodos de resolucin de direcciones que estn activados.
279
MANUAL DE USUARIO
Supervisin de dispositivos para la conectividad de red

La supervisin de dispositivos permite supervisar con regularidad la conectividad de todos los dispositivos administrados. La configuracin del ping es especfica del dispositivo que ha seleccionado. Cuando un dispositivo deja de responder a un ping (cuando se queda sin conexin), se generan alertas AMS para notificarlo. Asimismo, se pueden configurar alertas que informen en el momento en que los dispositivos vuelvan a tener conexin.
Acerca del cuadro de dilogo Configurar supervisin del dispositivo

Utilice este cuadro de dilogo para configurar las opciones de supervisin del dispositivo siguientes. Supervisar estos dispositivos: Muestra una lista de los dispositivos que se estn supervisando actualmente. Agregar: Abre el cuadro de dilogo Agregar dispositivos supervisados desde donde puede buscar y seleccionar los dispositivos administrados que desee supervisar. Quitar: Elimina el dispositivo seleccionado de la lista. Frecuencia de ping: Controla el momento y el modo en que ocurre la operacin de ping. Esta configuracin se puede aplicar a todos los dispositivos individualmente. Ping cada: Programa un ping peridico en el intervalo de minutos especificado. Programar diariamente a: Programa un ping diario a la hora especificada. Reintentos: Especifica el nmero de intentos de ping. Tiempo de espera: Especifica el nmero de segundos del tiempo de espera de los intentos de ping. Configuracin de alertas: Abre el cuadro de dilogo Configurar alertas desde donde puede configurar las alertas de AMS para que le notifiquen cuando el dispositivo recupera la conexin o la pierde. Configuracin de alertas contiene su propia Ayuda en lnea a la que puede tener acceso si hace clic en el botn de Ayuda. Aceptar: guarda los cambios y cierra el cuadro de dilogo. Cancelar: Cierra el cuadro de dilogo sin guardar los cambios.
Configuracin de las alertas de supervisin de dispositivos

Si desea que la supervisin de dispositivos le notifique cuando los dispositivos administrados entran en conexin o la pierden, deber configurar primero la alerta. Para configurar la alerta de supervisin de dispositivos 1. 2. En el cuadro de dilogo Configurar supervisin del dispositivo haga clic en Configuracin de alertas. En el cuadro de dilogo Configurar alertas expanda el rbol Monitor de dispositivos.
280
3. 4. 5.
6.
Seleccione la alerta que desea configurar y haga clic en Configurar. Seleccione una accin de alerta y haga clic en Siguiente. Seleccione el dispositivo en el que desea que se lleve a cabo la accin de alerta. No seleccione el dispositivo que est supervisando puesto que si se queda sin conexin, no podr procesar la accin de alerta. Finalice el asistente para la configuracin de alertas.
Nota: Cuando configura las alertas, la configuracin se aplica a todos los dispositivos que est supervisando.
281
MANUAL DE USUARIO
Administracin basada en funciones

La administracin basada en funciones mejora la seguridad de la red de LANDesk, al permitir el control del acceso de los usuarios a los dispositivos administrados, las vistas de la consola y las herramientas y funciones especficas. Este captulo describe el funcionamiento de la administracin basada en funciones y cmo implementarla para la gestin eficaz de la red administrada por LANDesk. Lea este captulo para obtener informacin sobre: "Informacin general sobre la administracin basada en funciones" en la pgina 282 "Administracin de usuarios de LANDesk" en la pgina 284 "Administracin de grupos" en la pgina 288 "Conocimiento de los derechos" en la pgina 290 "Creacin de mbitos" en la pgina 298 "Asignacin de derechos y mbito a los usuarios" en la pgina 301
Informacin general sobre la administracin basada en funciones

La administracin basada en funciones le permite controlar el acceso de los usuarios a los dispositivos de la red y a las herramientas o funciones especficas que pueden utilizar en dichos dispositivos. Los administradores de LANDesk tienen todos los derechos, lo cual les permite obtener acceso a todas las reas de la aplicacin y asignar derechos especiales a los usuarios (haga clic en Herramientas | Administracin | Usuarios). Tambin se pueden asignar derechos a los grupos y a las unidades de organizacin (OU) a partir de un servicio de directorio, los cuales se propagan (o enumeran) a los usuarios que pertenecen al grupo o a la OU. Derechos: determinan las herramientas y funciones que el usuario ve y utiliza (consulte "Conocimiento de los derechos" en la pgina 290). mbitos: determinan el conjunto de dispositivos que el usuario puede ver y administrar (consulte "Creacin de mbitos" en la pgina 298).
Nota: los usuarios que no tengan derechos de Administrador, no podrn ver la herramienta Usuarios. Puede crear funciones para los usuarios segn sus responsabilidades, las tareas de administracin que desea que realicen y los dispositivos a los que desea que tengan acceso, vean y administren. El acceso a los dispositivos se puede limitar a una ubicacin geogrfica como un pas, regin, estado, ciudad o incluso una sola oficina o departamento. El acceso tambin se puede limitar a una plataforma de dispositivo, tipo de procesador o cualquier otro atributo de hardware o software determinado del dispositivo. Con la administracin basada en funciones, puede elegir el nmero de funciones que desea crear, qu usuarios pueden actuar en dichas funciones y la dimensin del mbito de acceso al dispositivo. Por ejemplo, puede haber uno o ms usuarios cuya funcin sea la de administrador de distribucin de software, otro usuario responsable de las operaciones de control remoto, un usuario que ejecute informes, etc.
282
Ejemplo de funciones administrativas

En la siguiente tabla se incluyen algunas de las funciones administrativas posibles de Management Suite que puede que desee implementar, las tareas comunes que el usuario puede realizar y los derechos que el usuario necesita para desempear con eficacia una funcin. Funcin Administrador Tareas Derechos requeridos
Configurar servidores centrales, instalar consolas Administrador de adicionales, realizar resmenes de bases de LANDesk datos, administrar usuarios, configurar alertas, (todos los derechos integrar el Administrador de sistema de LANDesk, implcitos) etc. (Los administradores con derechos completos pueden realizar cualquier tarea de administracin).
Administrador de inventario de dispositivos
Detectar dispositivos, configurar dispositivos, ejecutar el rastreo de inventario, crear y distribuir formularios de datos personalizados, activar el seguimiento del historial de inventario, etc.
Deteccin de dispositivos no administrados, distribucin de software, configuracin de distribucin de software y administracin de consultas pblicas
Asistencia tcnica Controlar de forma remota a los dispositivos, conversar, transferir archivos, ejecutar software, apagar, reiniciar, ver el agente e integridad, etc.
Control remoto
Administrador de aplicaciones
Distribuir paquetes de software, utilizar la multidifusin dirigida y la descarga entre iguales, etc.
Distribucin de software y configuracin de distribucin de software
Administrador de migracin
Crear imgenes, implementar imgenes del SO, Implementacin de SO migrar perfiles de usuario, crear y distribuir paquetes de migracin de perfiles iniciados por el usuario, implementar representantes de PXE, asignar colas de espera de PXE, configurar el men de inicio de PXE, crear discos de inicio, etc.
Administrador de
Ejecutar informes predefinidos, crear informes personalizados, imprimir, publicar, importar,
Informes (requerido para
283
MANUAL DE USUARIO
Funcin informes
Tareas exportar y probar informes, etc.
Derechos requeridos todos los informes)
Administrador de supervisin de licencia de software Administrador de seguridad
Configurar aplicaciones para su monitoreo, agregar licencias, actualizar y degradar licencias, comprobar informes, etc.
Supervisin de licencias de software
Descargar actualizaciones de contenido de seguridad y revisiones, configurar dispositivos para el rastreo de seguridad y antivirus, crear rastreos de vulnerabilidades y configurar los ajustes del rastreador de seguridad, crear rastreos de antivirus y configurar los ajustes de antivirus, editar variables personalizadas y configurar ajustes de reemplazo de variable personalizada y muchas otras tareas relacionadas con la seguridad.
Administrador de Seguridad y Revisiones Cumplimiento de seguridad y revisiones Antivirus Editar variables personalizadas
Nota: algunas de las funciones administrativas de ejemplo requieren el derecho de consola Web bsico a fin de utilizar las funciones en la consola Web. Los anteriores slo son ejemplos de funciones administrativas. La administracin basada en funciones es lo suficientemente flexible para permitirle crear tantas funciones personalizadas como sea necesario. Puede asignar los mismos derechos a varios usuarios, aunque deber restringir el acceso a una serie limitada de dispositivos con un mbito reducido. Se puede limitar incluso el mbito de un administrador, sobre todo si pasa a ser administrador de un rea geogrfica o un tipo de dispositivo administrado especficos. El modo en que aproveche las ventajas de la administracin basada en funciones depende tanto de los recursos de red y personal como de sus necesidades concretas. Para implementar y hacer efectiva la administracin basada en funciones, slo tiene que designar a los usuarios actuales de NT o crear y agregar nuevos usuarios de NT, como los usuarios de LANDesk, y asignarles a continuacin los derechos (para las funciones) y mbitos (para los dispositivos administrados) necesarios.
Administracin de usuarios de LANDesk

Los usuarios de LANDesk son aqullos que pueden iniciar una sesin en la consola y realizar tareas concretas para determinados dispositivos de la red. Los usuarios aparecen en el grupo Todos los usuarios (haga clic en Herramientas | Administracin | Usuarios | Todos los usuarios) una vez que se han creado y agregado al grupo de LANDesk Management Suite de Windows NT del servidor central (consulte "Adicin de usuarios de LANDesk" en la pgina 286). El grupo Todos los usuarios muestra todos los usuarios que actualmente residen en el grupo de LANDesk Management Suite del servidor central.
284
El usuario que ha iniciado la sesin en el servidor durante la instalacin de LANDesk se coloca automticamente en el grupo de LANDesk Management Suite de Windows NT, se agrega como usuario de LANDesk y se le asignan derechos como administrador. Este individuo es responsable de agregar usuarios a la consola y asignar derechos y mbitos. Una vez que se han creado los dems administradores, stos pueden realizar las mismas tareas administrativas. Todos los usuarios agregados a la consola tras la instalacin de LANDesk asumen los mismos derechos y mbitos que el Usuario de plantilla predeterminado. Este usuario funciona como plantilla de propiedades del usuario (derechos y mbito) que se utiliza para configurar nuevos usuarios. Cuando se agregan usuarios al grupo de LANDesk Management Suite en el entorno de Windows NT, los usuarios heredan los mismos derechos y mbitos definidos actualmente en las propiedades del usuario de plantillas predeterminado. Para cambiar la configuracin de propiedades para el usuario de plantillas predeterminado, haga doble clic en l y haga clic en Propiedades. La capacidad para configurar los derechos y mbitos que los usuarios reciben al ser agregados a la consola, facilita considerablemente la administracin de usuarios. Por ejemplo, si desea agregar un elevado nmero de usuarios a la vez pero no desea que tengan acceso a todas las herramientas o dispositivos, primero debe cambiar la configuracin del usuario de plantillas predeterminado y agregar a continuacin los usuarios al grupo de LANDesk Management Suite. Nota: El usuario de plantillas predeterminado no se puede eliminar. Al agregar un usuario a la consola, se muestran el nombre de usuario, los mbitos y los derechos. Adems, se crean subgrupos para el nuevo usuario, con el ID exclusivo de inicio de sesin del usuario, en los grupos Dispositivos de usuario, Consultas de usuarios, Informes de usuarios y Secuencias de usuario (tenga en cuenta que adems del usuario actual, SLO el administrador puede ver los grupos de usuarios). Para actualizar el grupo Todos los usuarios y mostrar los usuarios recin aadidos, haga clic con el botn derecho en Todos los usuarios y haga clic en Actualizar.
Creacin de usuarios de LANDesk

Los usuarios de LANDesk se pueden crear en la consola o en el sistema de administracin de cuentas local del servidor central. Para crear un usuario de LANDesk en la consola 1. 2. 3. En la Vista de red de la consola haga clic en Dispositivos | Todos los dispositivos. Haga clic con el botn secundario en el servidor central y seleccione Administrar usuarios y grupos locales. En el cuadro de dilogo Usuarios y grupos locales, haga clic con el botn secundario en Usuarios y haga clic en Agregar. Observe que aqu slo se pueden administrar usuarios locales, no usuarios de dominio. En el cuadro de dilogo Nuevo usuario, escriba un nombre de usuario, un nombre completo y una contrasea. Escriba una contrasea, confirme la misma y especifique las opciones de contrasea. Haga clic en Guardar.
4. 5. 6.
Nota: Recuerde agregar el usuario al grupo de LANDesk Management Suite para que aparezca en el grupo Todos los usuarios de la consola.
285
MANUAL DE USUARIO
Para crear un usuario de LANDesk en el cuadro de dilogo Administracin de equipos de Windows NT 1. 2. 3. 4. 5. 6. En el servidor, desplcese hasta la utilidad Herramientas administrativas | Administracin de equipos | Usuarios locales y grupos | Usuarios. Haga clic con el botn secundario en Usuarios y, a continuacin, haga clic en Nuevo usuario. En el cuadro de dilogo Nuevo usuario, escriba un nombre y una contrasea. Especifique la configuracin de la contrasea. Haga clic en Crear. El cuadro de dilogo Nuevo usuario permanece abierto para que pueda crear usuarios adicionales. Haga clic en Cerrar para salir del cuadro de dilogo.
Nota: Recuerde agregar el usuario al grupo de LANDesk Management Suite para que aparezca en el grupo Todos los usuarios de la consola.
Adicin de usuarios de LANDesk

Los usuarios de LANDesk deben agregarse al grupo de LANDesk Management Suite a fin de que sean reconocidos como usuarios de LANDesk y figuren en la consola. Tambin se pueden agregar otros grupos de dominio al grupo de LANDesk Management Suite Si agrega un grupo de dominio al grupo de LANDesk Management Suite, se enumeran todos los usuarios del grupo de dominio y se agregan como usuarios de la consola. LANDesk solamente permite la enumeracin individual, de modo que se hace caso omiso de cualquier grupo de dominio adicional bajo el grupo de dominio de nivel superior. Para agregar usuarios al grupo de LANDesk Management Suite en la consola 1. 2. 3. 4. 5. 6. 7. 8. En la Vista de red de la consola haga clic en Dispositivos | Todos los dispositivos. Haga clic con el botn secundario en el servidor central y seleccione Administrar usuarios y grupos locales. En el cuadro de dilogo Usuarios y grupos locales, haga clic en Grupos. Haga clic con el botn secundario en el grupo de LANDesk Management Suite y, a continuacin, haga clic en Editar. En el cuadro de dilogo Editar grupo - LANDesk Management Suite, haga clic en Agregar. En el cuadro de dilogo Seleccionar usuarios, seleccione los usuarios que desee y haga clic en Agregar>>. Haga clic en Aceptar. En el cuadro de dilogo Editar grupo - LANDesk Management Suite, haga clic en Aceptar.
Para agregar usuarios al grupo de LANDesk Management Suite en el cuadro de dilogo Administracin de equipos de Windows NT 1. 2. En el servidor, desplcese hasta la utilidad Herramientas administrativas | Administracin de equipos | Usuarios locales y grupos | Grupos. Haga clic con el botn secundario en el grupo de LANDesk Management Suite y, a continuacin, seleccione Agregar al grupo.
286
3. 4. 5. 6.
En el cuadro de dilogo Propiedades de LANDesk Management Suite, haga clic en Agregar. En el cuadro de dilogo Seleccionar usuarios y grupos, seleccione los usuarios (y grupos) que desee y haga clic en Agregar. Haga clic en Aceptar. En el cuadro de dilogo Propiedades de LANDesk Management Suite, haga clic en Aceptar.
Nota: Para agregar un usuario al grupo de LANDesk Management Suite, tambin puede hacer clic con el botn derecho en la cuenta de usuario de la lista de usuarios, hacer clic en Propiedades | Miembro de y, a continuacin, hacer clic en Agregar para seleccionar el grupo y agregar el usuario. Ahora puede asignar los derechos y mbitos de usuario de LANDesk.
Eliminacin de usuarios de LANDesk

Si elimina un usuario del grupo LANDesk Management Suite en la consola o en el entorno de usuarios de Windows NT, el usuario todava aparece en el grupo Todos los usuarios, pero tiene cruzada una X roja, que indica que ya no es miembro de ese grupo y que no puede autenticarse en ninguna consola de LANDesk. La cuenta de usuario sigue existiendo en su base de datos y se puede volver a agregar al grupo de LANDesk Management Suite en cualquier momento. Asimismo, los subgrupos de usuario de Dispositivos de usuario, Consultas de usuarios, Informes de usuarios y Secuencias de usuario se conservan de modo que pueda restaurar el usuario sin perder los datos y copiar los datos a otros usuarios. Tambin puede eliminar de forma permanente un usuario de la base de datos. ADVERTENCIA: Al eliminar un usuario de la base de datos, toda la informacin que posee el mismo se elimina permanentemente, incluso secuencias de comandos, tareas, consultas, etc. Para eliminar un usuario en la consola 1. 2. 3. 4. 5. En la Vista de red de la consola haga clic en Dispositivos | Todos los dispositivos. Haga clic con el botn secundario en el servidor central y seleccione Administrar usuarios y grupos locales. En el cuadro de dilogo Usuarios y grupos locales, haga clic en Usuarios. Haga clic con el botn secundario en el usuario que desee eliminar y haga clic en Eliminar. Haga clic en S para verificar el procedimiento.
Para eliminar un usuario en el cuadro de dilogo Administracin de equipos de Windows NT 1. 2. 3. En el servidor, desplcese hasta la utilidad Herramientas administrativas | Administracin de equipos | Usuarios locales y grupos | Usuarios. Haga clic con el botn secundario en el usuario que desee eliminar y haga clic en Eliminar. Haga clic en S para verificar el procedimiento.
287
MANUAL DE USUARIO
Para eliminar de forma permanente un usuario de la base de datos 1. Asegrese de que el usuario se ha eliminado del grupo LANDesk Management Suite de Windows NT en la consola o en el cuadro de dilogo Administracin de equipos de Windows NT. En la consola, haga clic en Herramientas | Administracin | Usuarios. Haga clic con el botn secundario en el usuario (con una X roja) y haga clic en Eliminar. Recuerde que esta accin resulta en la prdida permanente de los datos del usuario. Haga clic en S para verificar el procedimiento.
2. 3. 4.
Administracin de grupos
LANDesk interacta con Microsoft Active Directory Services* (ADS) a fin de asignar derechos a grupos y unidades de organizacin (OU). Cualquier usuario, grupo u OU que se agregue al grupo u OU, heredar los mismos derechos. Para clasificar los usuarios, colquelos en grupos y OU a los cuales se hayan asignado derechos especficos. Solamente debe asignar al grupo u OU los derechos especficos y luego agregar los usuarios deseados, en lugar de configurar los derechos para cada usuario, uno a la vez. Esto simplifica la administracin de usuarios y acelera la asignacin de derechos, al igual que reduce la probabilidad de asignar derechos de forma incorrecta a los usuarios.
Uso de directorios activos

LANDesk permite utilizar directorios activos para agregar grupos y unidades organizativas (OU) a la consola y asignarles derechos. Se puede autenticar en el servidor desde la consola. Una vez que inicie una sesin en el servidor de directorio activo, puede agregar grupos y OU a la consola y asignarles derechos. LANDesk admite el uso de un directorio LDAP a la vez. La administracin de directorios activos debe realizarla un usuario experto con amplia experiencia con servicios de directorio, de forma especfica con ADS. Las tareas incluyen la adicin y eliminacin de usuarios y grupos, el mantenimiento de la estructura (bosque, rboles, dominios, grupos, OU, etc.) y la comprensin de la interaccin de LANDesk con el servicio de directorio. Debe tener en cuenta los aspectos siguientes al administrar los directorios activos para su uso con LANDesk: Por lo general, el directorio activo est completamente integrado con DNS y TCP/IP (se requiere DNS y para el funcionamiento total, el servidor DNS debe admitir registros de recursos o registros de servicios SRV. El uso de directorios activos para agregar un usuario a un grupo que se utiliza en la consola no permite que el usuario inicie una sesin en la consola aunque se hayan asignado derechos de LANDesk al usuario. Para iniciar una sesin en la consola, el usuario debe pertenecer al grupo de LANDesk Management Suite de Windows NT en el servidor central.
288
Para activar los directorios a fin de que funcionen debidamente con la administracin basada en funciones, debe configurar las credenciales del servidor COM+ en el servidor central. Esto permite que el servidor central utilice una cuenta en el grupo LANDesk Management Suite de Windows NT, la cual cuenta con los derechos necesarios para enumerar los miembros del dominio Windows, tal como la cuenta de administrador. Para obtener instrucciones sobre cmo realizar la configuracin, consulte Configuracin de credenciales del servidor COM+.
Para obtener ms informacin sobre LDAP, incluso las consultas LDAP, consulte "Informacin adicional sobre el protocolo ligero de acceso a directorios (LDAP) " en la pgina 332.
Inicio de sesin en el directorio activo

Debe iniciar una sesin en el directorio activo para poder agregar grupos y unidades de organizacin a la consola. Para iniciar una sesin en el directorio activo 1. 2. 3. Haga clic en Herramientas | Administracin | Usuarios. Haga clic en el botn Inicio de sesin para Active Directory. En el cuadro de dilogo Inicio de sesin para Active Directory, inserte la ruta al directorio LDAP y proporcione el nombre de usuario y la contrasea para autenticar el servidor. Haga clic en Aceptar.
4.
Adicin de grupos y unidades de organizacin en la consola

Debe agregar grupos y unidades organizativas (OU) de LDAP a la consola antes de asignarles derechos. Para agregar grupos y OU 1. 2. 3. 4. Haga clic en Herramientas | Administracin | Usuarios. Haga clic en Active Directory. Haga clic en el botn Agregar un nuevo grupo u OU. En el cuadro de dilogo Grupos y OU de Active Directory Disponibles, seleccione los grupos y OU deseados y haga clic en Aceptar.
Asignacin de derechos a un grupo o unidad de organizacin

Puede asignar derechos a los grupos y a las unidades de organizacin (UO). Cualquier usuario, grupo u OU que se coloque en el grupo u OU, heredar los derechos que asigne. Esto permite asignar los mismos derechos a varios nodos al mismo tiempo, en lugar de tener que configurar los derechos de forma individual. Para asignacin derechos a un grupo o unidad de organizacin
289
MANUAL DE USUARIO
1. 2. 3. 4.
Haga clic en Herramientas | Administracin | Usuarios. Haga clic en Active Directories. Haga clic con el botn secundario en el grupo u OU y haga clic en Propiedades. Bajo la ficha Derechos, seleccione los derechos correspondientes y haga clic en Aceptar.
Conocimiento de los derechos

Los derechos proporcionan acceso a las herramientas y funciones de LANDesk. Los usuarios deben tener el derecho (o derechos) necesarios para realizar las tareas correspondientes. Por ejemplo, para controlar los dispositivos de forma remota en su mbito, el usuario debe tener el derecho de control remoto. Para asignar derechos a un usuario, un grupo o una unidad de organizacin (OU) y para que ellos tambin pueden heredar derechos, agrguelos a un grupo u OU. En la herramienta Usuarios se ven los derechos asignados o heredados: Este icono indica un derecho asignado. Este icono indica un derecho heredado.
La administracin basada en funciones incluye los derechos siguientes: Administrador de LANDesk Configuracin de agentes Alertas Configuracin de activos Entrada de datos de activos Consola Web bsica Administrador del control de conexiones Implementacin de SO Aprovisionamiento - Configuracin Aprovisionamiento - Programacin Administracin de consultas pblicas Control remoto Informes Administrador de Seguridad y Revisiones Administrador de revisiones Cumplimiento de revisiones Antivirus Editar variables de revisin personalizadas Host Intrusion Prevention System Distribucin de software Configuracin de la distribucin de software (slo privada): Configuracin de la distribucin de software (pblica o privada) Supervisin de licencias de software Deteccin de dispositivos no administrados
Consulte las descripciones que se incluyen a continuacin si desea obtener ms informacin sobre los derechos y el modo en que se pueden utilizar estos derechos para crear funciones administrativas.
290
El mbito controla el acceso a los dispositivos Recuerde que al utilizar las funciones permitidas por estos derechos, los usuarios siempre estarn limitados por su mbito (los dispositivos que pueden ver y manipular).
Administrador de LANDesk
El derecho de administrador (Admin) de LANDesk proporciona un acceso completo a todas las herramientas de aplicacin (no obstante, el uso de estas herramientas est limitado a los dispositivos incluidos en el mbito del administrador). Es el derecho predeterminado de un usuario recin agregado, a menos que haya modificado la configuracin del usuario de plantillas predeterminado. El derecho de administrador de LANDesk confiere a los usuarios capacidad para: Ver y acceder a la herramienta Usuarios del men Herramientas y el Cuadro de herramientas Ver y administrar los grupos de Dispositivos de usuarios en la Vista de red Ver y administrar los grupos de Consultas de usuarios en la Vista de red Ver y administrar los grupos de Secuencias de usuario en la ventana Administrar secuencias de comandos Ver y administrar los grupos de Informes de usuario en la ventana Informes Ver y configurar licencias de productos en el men Configurar Ver y configurar el Escritorio ejecutivo (slo los administradores obtienen un vnculo de la consola Web que les brinda acceso al escritorio ejecutivo) Importante: Realizar TODAS las tareas de Management Suite permitidas por el resto de los derechos
Reglas bsicas sobre los derechos y las herramientas El derecho de administrador de LANDesk se asocia exclusivamente con la herramienta Usuarios. En otras palabras, si un usuario no tiene derechos de administrador de LANDesk, la herramienta Usuarios no aparecer en la consola. Todos los usuarios, sin considerar los derechos asignados a ellos, pueden ver y utilizar las siguientes funciones universales. opciones de inventario, historial de alertas, consultas y configuracin de alertas. Todas las dems herramientas de la consola de Management Suite estn asociadas al derecho correspondiente (como se describe a continuacin).
Configuracin de agentes
El derecho a la Configuracin de agentes ofrece a los usuarios la posibilidad de abrir la herramienta de configuracin de agentes y programar una tarea de configuracin de agentes. Alertas El derecho a la configuracin de alertas ofrece a los usuarios la posibilidad de abrir la herramienta de alerta y configurarlas.
291
MANUAL DE USUARIO
Configuracin de activos
El derecho de configuracin de activos es especfico al producto complementario Asset Manager. Si no se ha instalado el producto complementario, los derechos correspondientes an figuran en la lista de LDMS (estn marcados), pero estn atenuados. Por supuesto, las herramientas y funciones respectivas de los productos complementarios no estn disponibles. Despus que se instala un producto complementario, los derechos respectivos se activan en la lista y pueden marcarse para permitir el acceso a las funciones complementarias o desmarcarse para denegar el acceso. Para obtener ms informacin, consulte Uso del complemento Asset Manager. El derecho de Configuracin de activos es un derecho de nivel administrativo que brinda a los usuarios la capacidad para: Ver y acceder a todos los vnculos de administracin de activos de la consola Web: Activos, Contratos, Facturas, Proyectos, Listas globales, Plantillas de detalles e Informes. (Y el nuevo vnculo Acceso a activos.) Crear tipos nuevos Editar tipos (predefinidos y personalizados) Eliminar tipos Crear, editar y eliminar subgrupos utilizados para organizar tipos Crear detalles nuevos para tipos Editar detalles (predefinidos y personalizados) Crear y modificar plantillas de detalles Crear y modificar tablas de detalles Crear, editar y eliminar secciones utilizadas para organizar detalles Realizar todas las tareas de Asset Manager permitidas por el resto de los derechos que se especifican a continuacin.
Entrada de datos de activos

El derecho de Entrada de datos de activos es especfico al producto complementario Asset Manager. Si no se ha instalado el producto complementario, los derechos correspondientes an figuran en la lista de LDMS (estn marcados), pero estn atenuados. Por supuesto, las herramientas y funciones respectivas de los productos complementarios no estn disponibles. Despus que se instala un producto complementario, los derechos respectivos se activan en la lista y pueden marcarse para permitir el acceso a las funciones complementarias o desmarcarse para denegar el acceso. Para obtener ms informacin, consulte Uso del complemento Asset Manager. El derecho de Entrada de datos de activos brinda a los usuarios la capacidad para: Ver y acceder a los vnculos Activos, Contratos, Facturas, Proyectos y Listas globales en la consola Web. Navegar a travs de los tipos y detalles (no se pueden agregar, editar o eliminar) Agregar elementos a la base de datos mediante los formularios de entrada de datos Editar elementos que se han agregado a la base de datos
292
Consola Web bsica

El derecho de Consola Web bsica se aplica a la consola Web. El derecho confiere a los usuarios capacidad para: Ver y utilizar Mis dispositivos (el derecho no permite la actualizacin de grupos pblicos ni la eliminacin de dispositivos bajo la ficha Acciones) Cambiar preferencias (pero no los atributos personalizados) Utilizar el escritorio digital Utilizar la distribucin de software en la consola Web Utilice el escritorio ejecutivo (el administrador debe proporcionar la URL)
Administrador del control de conexiones

El derecho de Administrador del control de conexiones confiere a los usuarios capacidad para: Ver y acceder a la herramienta de configuracin del control de conexiones en el men Herramientas y Cuadro de herramientas Controlar el acceso a dispositivos externos para controlarlos y configurarlos
Implementacin de SO
El derecho de implementacin de SO confiere a los usuarios capacidad para: Ver y acceder a la herramienta Administrar secuencias de comandos del men Herramientas y el Cuadro de herramientas Crear y ejecutar la implementacin de SO y las secuencias de comandos de migracin de perfiles Programar las tareas de implementacin de SO y migracin de perfiles Configurar los representantes de PXE con la secuencia de comandos de implementacin de representantes PXE Designar colas de espera de PXE Configurar el men de inicio de PXE Crear e implementar formularios de datos personalizados
Aprovisionamiento - Configuracin
El derecho de Aprovisionamiento - Configuracin le permite a los usuarios crear y modificar plantillas de aprovisionamiento.
Aprovisionamiento - Programacin
El derecho de aprovisionamiento - programacin le permite a los usuarios programar las plantillas de aprovisionamiento existentes para que se ejecuten en los dispositivos de destino.
293
MANUAL DE USUARIO
Administracin de consultas pblicas

El derecho de administracin de consultas pblicas confiere a los usuarios capacidad para: Crear, modificar, copiar, eliminar y mover consultas del grupo Consultas pblicas de la Vista de red. (Sin este derecho, los dispositivos del grupo Consultas pblicas son de slo lectura).
Herramientas de control remoto

El derecho de herramientas de control remoto confiere a los usuarios capacidad para: Utilizar las opciones de control remoto en el men contextual de un dispositivo (en caso contrario, aparecen atenuadas) Controlar remotamente a los dispositivos que tengan cargado el agente de control remoto Reactivar, apagar y reiniciar dispositivos Conversar con dispositivos Ejecutar programas de dispositivo de forma remota Transferir archivos a y desde los dispositivos Slo lectura
Haga clic en el botn Configuracin del control remoto en la parte inferior del dilogo para configurar derechos de control remoto y restricciones de tiempo especficos.
Informes
Para utilizar la herramienta de informes debe pertenecer al grupo Informes de LANDesk de Windows NT y recibir el derecho Informes. El derecho de informes confiere a los usuarios capacidad para: Ver y utilizar la herramienta Informes del men Herramientas y el Cuadro de herramientas Ejecutar informes predefinidos Ver informes que se han ejecutado Crear y ejecutar informes de activos personalizados Publicar informes a fin de que estn disponibles para los usuarios que tienen credenciales de acceso

El derecho del Administrador de Seguridad y Revisiones confiere a los usuarios la capacidad para: Ver y acceder a la herramienta Administrador de Seguridad y Revisiones del men Herramientas y el Cuadro de herramientas Configurar los dispositivos administrados para rastreos de evaluacin y reparacin de la seguridad
294
Configurar dispositivos para el rastreo en tiempo real de spyware y de aplicaciones bloqueadas Configurar dispositivos para el rastreo de alta frecuencia de riesgos de seguridad crticos Descargar las actualizaciones de seguridad (definiciones y reglas de deteccin) y las revisiones asociadas a los tipos de seguridad para los cuales posee una suscripcin de contenido de Security Suite Crear tareas programadas que descargan definiciones o actualizaciones de revisiones de forma automtica Crear definiciones de vulnerabilidad y reglas de deteccin personalizadas Importar, exportar y eliminar definiciones personalizadas Ver el contenido de seguridad y revisin descargado por tipo (incluye: todos los tipos, aplicaciones bloqueadas, definiciones personalizadas, actualizaciones de LANDesk, amenazas de seguridad, spyware, vulnerabilidades, actualizaciones de controladores y actualizaciones de software) Personalizar las amenazas de seguridad seleccionadas con variables personalizadas Configurar y ejecutar rastreos de seguridad en dispositivos administrados en forma de tarea programada o de directiva Dividir el rastreo de una tarea programada en una fase de preparacin y una de implementacin Crear y configurar las configuraciones de rastreo y reparacin que determinan las opciones de rastreo, tales como: el tipo de contenido que rastrear, la visualizacin de la informacin y el progreso del rastreador, el comportamiento del reinicio del dispositivo y la cantidad de interaccin con el usuario final A continuacin, aplique las configuraciones de rastreo y reparacin a las tareas de rastreo de seguridad, reparacin, desinstalacin y reinicio. Ver los resultados detallados del rastreo (datos de seguridad detectados) ordenados por: grupo detectado, definicin especfica, dispositivo individual o grupo de dispositivos seleccionados Realizar la reparacin en forma de tarea programada o de directiva Utilizar la correccin automtica para reparar de forma automtica los tipos de seguridad siguientes, si se detectan: vulnerabilidades, spyware, actualizaciones de software LANDesk y definiciones personalizadas (debe ser administrador de LANDesk). Controlar y verificar el estado de la implementacin y la instalacin de revisiones (historial de reparacin) en dispositivos rastreados. Purgar las definiciones de tipos de seguridad no utilizados (debe ser administrador de LANDesk) Desinstalar revisiones de dispositivos rastreados Quitar revisiones de la base de datos central Configurar alertas de vulnerabilidad Generar una variedad de informes relacionados con la seguridad (tambin requiere el derecho de Informes)
Cumplimiento de la seguridad y revisiones

El derecho Cumplimiento de la seguridad y revisiones es un derecho subordinado del derecho Administrador de Seguridad y Revisiones. Confiere a los usuarios capacidad para: Agregar y eliminar definiciones de seguridad del grupo Cumplimiento Cambiar el estado de las definiciones contenidas en el grupo Cumplimiento
295
MANUAL DE USUARIO
Nota: Aunque tenga este derecho, un usuario no puede configurar los servicios del NAC de LANDesk, tales como agregar servidores de postura o reparacin o configurar y publicar reglas de cumplimiento. El usuario debe ser administrador de LANDesk para poder configurar el NAC de LANDesk.
Antivirus
El derecho de Antivirus es un derecho subordinado del derecho del Administrador de Seguridad y Revisiones. Confiere a los usuarios capacidad para: Implementar configuraciones de agente con LANDesk Antivirus en los dispositivos de destino Descargar actualizaciones de archivos de definiciones de virus Crear actualizaciones programadas de archivos de definiciones de virus Crear tareas programadas de rastreo de antivirus Crear y editar configuraciones de antivirus Habilitar la proteccin en tiempo real de archivos y mensajes de correo electrnico Configurar rastreos de antivirus para rastrear determinados tipos de archivos Excluir determinados archivos, carpetas y tipos de archivos (por extensin) de los rastreos de antivirus Visualizar la informacin de actividad y estado de rastreo del antivirus en los dispositivos rastreados Habilitar alertas de antivirus Generar informes de antivirus
Editar variables personalizadas

El derecho Editar variables personalizadas es un derecho subordinado del derecho Administrador de Seguridad y Revisiones. Confiere a los usuarios capacidad para: Editar valores de variables personalizadas (para tipos de contenido de seguridad con variables personalizadas, tales como las amenazas de seguridad) Habilitar la opcin de reemplazo de las variables personalizadas para ignorar el valor modificado y rastrear el original. Crear e implementar una tarea cambiar configuracin que incluya la configuracin de reemplazo de variables personalizadas.
Distribucin de software
El derecho de distribucin de software confiere a los usuarios capacidad para: Ver y acceder a la herramienta Administrar secuencias de comandos del men Herramientas y el Cuadro de herramientas. Los usuarios pueden crear secuencias personalizadas de comandos, secuencias de comandos del programador local y secuencias de comandos de transferencia de archivos. Ver y acceder a la herramienta Programar tareas del men Herramientas y el Cuadro de herramientas. Los usuarios pueden programar secuencias personalizadas de comandos, secuencias de comandos del programador local y secuencias de comandos de transferencia de archivos.
296
Ver y acceder a las herramientas Mtodos de entrega y Paquetes de distribucin en el men Herramientas y Cuadro de herramientas (solamente se pueden seleccionar los elementos) Ejecutar secuencias de comandos para la distribucin de software. Los usuarios pueden crear y programar secuencias personalizadas de comandos, secuencias de comandos del programador local y secuencias de comandos de transferencia de archivos. Ejecutar configuraciones de agente de dispositivo (no se puede crear, editar ni eliminar) Programar otras tareas basadas en secuencias de comandos (con la excepcin de la implementacin del SO y las secuencias de comandos de migracin de perfiles) Implementar formularios de datos personalizados. Los usuarios pueden crear, editar y eliminar formularios personalizados, incluso los creados por otros usuarios. Ver directorios LDAP
Nota: los usuarios requieren el derecho de consola Web bsico para utilizar la distribucin de software en la consola Web.
Slo configuracin privada

El derecho Slo configuracin privada es un derecho subordinado del derecho Distribucin de software. Confiere a los usuarios capacidad para realizar las tareas siguientes solamente en favor de ellos mismos y no de otros usuarios pblicos: Crear, modificar y eliminar los mtodos de entrega y los paquetes de distribucin Crear y ejecutar secuencias de comandos de distribucin de software Crear y ejecutar configuraciones de agentes de dispositivos Programar otras tareas basadas en secuencias de comandos (con la excepcin de la implementacin del SO y las secuencias de comandos de migracin de perfiles) Crear e implementar formularios de datos personalizados Crear y distribuir paquetes de software mediante las directivas de aplicacin
Configuracin pblica y privada

El derecho Configuracin pblica y privada es un derecho subordinado del derecho Slo configuracin privada y del derecho Distribucin de software. Confiere a los usuarios capacidad para realizar todas las tareas de distribucin de software permitidas al derecho Slo configuracin privada en favor de otros usuarios, al igual que en favor de ellos mismos.
Supervisin de licencias de software

El derecho de supervisin de licencias de software confiere a los usuarios capacidad para: Ver y acceder a la herramienta Supervisin de licencias de software: del men Herramientas y el Cuadro de herramientas Configurar aplicaciones para su supervisin, agregar licencias, actualizar y degradar licencias, y comprobar informes
297
MANUAL DE USUARIO

El derecho de deteccin de dispositivos no administrados confiere a los usuarios capacidad para: Ver y acceder a la herramienta Deteccin de dispositivos no administrados del men Herramientas y el Cuadro de herramientas Crear configuraciones de rastreador y ejecutar distintos tipos de rastreo de deteccin (agente LANDesk, dominio de NT, etc.) Crear y ejecutar los distintos tipos de tareas de rastreo de deteccin
Creacin de mbitos
El mbito define los dispositivos que puede visualizar y administrar el usuario de Management Suite. El mbito puede tener una dimensin tan amplia o reducida como desee y abarcar as todos los dispositivos administrados que se rastrean en la base de datos central o bien un solo dispositivo. Esta flexibilidad, combinada con el acceso a las herramientas modulares, es lo que hace que la administracin basada en funciones sea una funcin de administracin tan verstil.
mbitos predeterminados
La administracin basada en funciones de Management Suite incluye un mbito predeterminado. Este mbito predefinido puede resultar til al configurar las propiedades del usuario de plantillas predeterminado. mbito predeterminado Todos los equipos: Incluye todos los dispositivos administrados de la base de datos.
El mbito predeterminado no se puede editar ni quitar.
mbitos personalizados
Existen tres de mbitos personalizados que puede crear y asignar a los usuarios: Consulta LDMS: controla el acceso tan slo a aquellos dispositivos que coinciden con una bsqueda de consultas personalizadas. Puede seleccionar una consulta existente o crear consultas nuevas en el cuadro de dilogo Propiedades de mbito, para definir un mbito. Tenga en cuenta que tambin puede copiar las consultas de los grupos Consultas de la vista de red directamente en el grupo mbitos. Para obtener ms informacin sobre la creacin de consultas, consulte "Creacin de consultas de base de datos" en la pgina 325.
298
LDAP: controla el acceso solamente a los dispositivos recopilados por el rastreador de inventario que se encuentran en una estructura de directorio compatible con LDAP. Seleccione ubicaciones de directorios en el cuadro de dilogo Seleccionar dispositivos visibles para definir un mbito. Este tipo de mbito basado en directorios admite las ubicaciones de directorios personalizadas (si ingres rutas de directorio personalizadas como parte de la configuracin de agentes). Los directorios personalizados disponibles aparecen en el dilogo Seleccionar dispositivos visibles. Utilice directorios personalizados para definir un mbito si no se dispone de una estructura de directorios compatible con LDAP, o si desea limitar el acceso a los dispositivos por un detalle especfico de organizacin, como la ubicacin geogrfica o el departamento. Grupo de dispositivos: controla solamente el acceso a los dispositivos que pertenecen a un grupo de dispositivos especfico en la vista de red.
A un usuario de Management Suite se le puede asignar uno o ms mbitos al mismo tiempo. Adems, un mbito puede asociarse a varios usuarios.
Funcionamiento de los mbitos mltiples

Puede asignar ms de un mbito a cualquiera de los usuarios de Management Suite. Si se asignan mbitos mltiples a un usuario, el mbito acumulado efectivo (la gama completa de los dispositivos que se pueden acceder y administrar como resultado de la combinacin de los mbitos asignados) es un compuesto sencillo. Puede personalizar el mbito efectivo de un usuario mediante la adicin y eliminacin de mbitos en cualquier momento. Los tres tipos de mbitos se pueden utilizar juntos.
Creacin de mbitos
Para crear un mbito 1. 2. 3. 4. Haga clic en Herramientas | Administracin | Usuarios. Haga clic con el botn secundario en mbitos y seleccione mbito nuevo. En el cuadro de dilogo Propiedades de mbito, escriba un nombre para el nuevo mbito. Para especificar el tipo de mbito que desee crear (consulta LDMS, directorio LDAP o personalizado, o grupo de dispositivos), haga clic en el tipo de mbito deseado en la lista desplegable y en Nuevo. Si est creando un mbito basado en una consulta LDMS, defina la consulta en el cuadro de dilogo Consulta de mbito nuevo y haga clic en Aceptar. Si est creando un mbito basado en directorio, seleccione las ubicaciones (directorio LDAP y/o uno personalizado) en la lista Seleccionar dispositivos visibles y haga clic en Aceptar.
5. 6.
Haga clic en los signos ms (+) y menos (-) para expandir y contraer los nodos del rbol de directorios. Para seleccionar varias ubicaciones a la vez, utilice Ctrl-clic. En el mbito se incluirn todos los nodos del nodo principal seleccionado.
299
MANUAL DE USUARIO
Las ubicaciones de directorio LDAP se determinan mediante la ubicacin del servicio de directorio del dispositivo. Para obtener ms informacin, consulte "Uso de directorios activos" en la pgina 288. Las ubicaciones de directorio personalizado se determinan mediante el atributo de ubicacin de equipo del dispositivo en la base de datos del inventario. Este atributo se define durante la configuracin del agente de dispositivo. 7. 8. Si est creando un mbito basado en un grupo de dispositivos, seleccione un grupo en la lista de grupos de dispositivos disponibles y haga clic en Aceptar. Haga clic en Aceptar de nuevo para guardar el mbito y cierre el cuadro de dilogo.
Acerca del cuadro de dilogo Propiedades de mbito

Utilice este cuadro de dilogo para crear o editar un mbito. Puede tener acceso a este cuadro de dilogo si selecciona un mbito y hace clic en el botn Modificar mbito de la barra de herramientas o bien, haga clic con el botn derecho sobre el mbito y seleccione Propiedades. Nombre del mbito: identifica el mbito. Seleccione un tipo de mbito: Consulta LDMS: crea un mbito cuya serie de dispositivos se determina mediante una consulta personalizada. Si hace clic en Nuevo con el tipo de mbito seleccionado, se abre el cuadro de dilogo Nueva consulta en el cual puede definir y guardar una consulta. Es el mismo cuadro de dilogo utilizado al crear una consulta de base de datos desde la vista de red. (Tenga en cuenta que tambin puede copiar las consultas de los grupos de Consultas de la vista de red directamente en el grupo mbitos). LDAP: crea un mbito cuya serie de dispositivos se determina mediante la ubicacin de los dispositivos (directorio LDAP y/o uno personalizado) Si hace clic en Nuevo con el tipo de mbito seleccionado, se abre el cuadro de dilogo Seleccionar dispositivos visibles, en el cual puede seleccionar las ubicaciones. Haga clic en los signos ms (+) y menos (-) para expandir y contraer los nodos del rbol de directorios. Para seleccionar varias ubicaciones a la vez, utilice Ctrl-clic. En el mbito se incluirn todos los nodos del nodo principal seleccionado. Grupo de dispositivos: crea un mbito cuya gama de dispositivos es determinada por un grupo de dispositivos existente contenido bajo el objeto Dispositivos de la vista de red. Si hace clic en Nuevo con el tipo de mbito seleccionado, se abre el cuadro de dilogo Filtro de consulta en el cual puede seleccionar un grupo de dispositivos. Definicin actual de mbito: muestra las instrucciones de consulta de un mbito basado en una consulta, las rutas de ubicacin de un mbito basado en un directorio o el nombre de grupo de un mbito basado en un grupo de dispositivos. Editar: abre el cuadro de dilogo correspondiente al mbito, en el cual puede modificar los parmetros e instrucciones de la consulta. Aceptar: guarda el mbito y cierra el cuadro de dilogo. Cancelar: cierra el cuadro de dilogo sin guardar ninguno de los cambios.
300
Asignacin de derechos y mbito a los usuarios

Una vez que haya agregado los usuarios de LANDesk, obtenido informacin sobre los derechos y el modo en que controlan el acceso a las funciones y herramientas y creado mbitos para permitir o limitar el acceso a los dispositivos administrados, el siguiente paso para establecer la administracin basada en funciones es asignar los derechos y mbitos adecuados para cada usuario. Se puede configurar la funcin de los usuarios. La funcin puede tener cualquier combinacin de derechos. Adems, se les puede asignar uno o ms mbitos (consulte "Funcionamiento de los mbitos mltiples" en la pgina 299). Puede modificar los derechos y mbitos de un usuario en cualquier momento. Si modifica los derechos o mbitos de un usuario, dichos cambios slo surtirn efecto la prxima vez que el usuario inicie una sesin en el servidor central. Para asignar derechos y mbitos a un usuario 1. 2. Haga clic en Herramientas | Administracin | Usuarios. Seleccione el grupo Todos los usuarios para ver todos los usuarios que actualmente son miembros del grupo de LANDesk Management Suite en el entorno de Windows NT del servidor central.
El panel derecho muestra una lista de usuarios, incluyendo su nombre, mbito actual y derechos asignados (el carcter x indica si el derecho se ha habilitado o est activo). Para actualizar esta lista, haga clic con el botn derecho en Todos los usuarios y haga clic en Actualizar. 3. 4. Haga clic con el botn secundario en un usuario y haga clic en Propiedades. En el cuadro de dilogo Propiedades de usuario, haga clic en la ficha Derechos y a continuacin, marque o desmarque los derechos, segn lo desee (consulte "Conocimiento de los derechos" en la pgina 290). Haga clic en la ficha mbitos y defina un mbito compuesto para el usuario seleccionado mediante la adicin y eliminacin de mbitos. Para obtener ms informacin, consulte "Funcionamiento de los mbitos mltiples" en la pgina 299. Haga clic en Aceptar.
5.
6.
Los nuevos derechos y mbito se muestran junto al nombre del usuario en la lista y surten efecto la prxima vez que el usuario se conecta al servidor central. Nota: Si el usuario tiene ms de un mbito asignado, la columna mbito indica Mltiple.
301
MANUAL DE USUARIO
Configuracin de servicios
Muchas de las funciones ms integrales y fundamentales proporcionadas por los componentes de LANDesk, tales como el servidor de inventario y el servicio programador, pueden y deben configurarse a fin de optimizar el rendimiento del entorno de red particular. Para hacer esto, utilice el subprograma Configurar los servicios de LANDesk que puede ejecutar en el grupo de programas del men Inicio de LANDesk. La configuracin de servicios est restringida solamente a los administradores de LANDesk Solamente los usuarios con derechos de administrador de LANDesk pueden modificar la configuracin de los servicios. Adems, la opcin Configurar servicios est disponible nicamente en la consola principal y no en las consolas adicionales que se configuren. Lea este captulo para obtener informacin sobre: "Seleccin de un servidor y una base de datos centrales con la configuracin General" en la pgina 302 "Configuracin del servicio de Inventario" en la pgina 303 "Resolucin de registros de dispositivo duplicados en la base de datos" en la pgina 305 "Configuracin del servicio programador" en la pgina 307 "Configuracin de credenciales del servidor preferido" en la pgina 309 "Configuracin del servicio de tareas personalizadas" en la pgina 310 "Configuracin del servicio de multidifusin" en la pgina 311 "Configuracin del servicio de implementacin de SO" en la pgina 312 Managing Intel* vPro devices
Seleccin de un servidor y una base de datos centrales con la configuracin General

Antes de configurar un servicio, utilice la ficha General para especificar el servidor y la base de datos centrales para los que desea configurar el servicio. Nota: Todos los cambios en la configuracin de un servicio que realice para un servidor y una base de datos centrales no tendrn efecto hasta que reinicie el servicio en el servidor central.
Acerca del cuadro de dilogo Configuracin de servicios de Management Suite: Ficha General
Utilice este cuadro de dilogo para seleccionar el servidor y la base de datos centrales para los que desea configurar un servicio especfico. A continuacin, seleccione la ficha de servicios oportuna y especifique la configuracin para ese servicio. Nombre del servidor:muestra el nombre del servidor central al que est actualmente conectado.
302
Servidor:le permite escribir el nombre de un servidor central diferente y el directorio de la base de datos del mismo. Base de datos:le permite escribir el nombre de la base de datos central. Nombre de usuario: Identifica un usuario con credenciales de autenticacin a la base de datos central (especificada durante la configuracin). Contrasea: Identifica la contrasea de usuario necesaria para tener acceso a la base de datos central (especificada durante la configuracin). Base de datos Oracle:indica que la base de datos central especificada anteriormente es de Oracle. Actualizar configuracin: Restaura la configuracin que exista al abrir el cuadro de dilogo.
Al especificar los nombres de usuario y las contraseas de una base de datos, el nombre de usuario y la contrasea no pueden contener un apstrofe ('), un punto y coma (;) o un signo de igual (=).
Configuracin del servicio de Inventario

Utilice la ficha Inventario para configurar el servicio de Inventario para el servidor y la base de datos centrales que se seleccionaron con la ficha General.
Acerca del cuadro de dilogo Configuracin de servicios de Management Suite: Ficha Inventario
Utilice esta ficha para especificar las opciones de inventario siguientes: Nombre del servidor:muestra el nombre del servidor central al que est actualmente conectado. Registrar estadsticas: Mantiene un registro de las acciones y estadsticas de la base de datos central. Puede ver los datos de registro en el registro de Aplicacin del Visor de eventos de Windows. Transporte de datos cifrados: habilita el rastreador de inventario para enviar los datos de inventario del dispositivo rastreado de regreso al servidor central como datos cifrados a travs de SSL. Rastrear el servidor en: Especifica la hora en que se rastrear el servidor central. Realizar el mantenimiento en: Especifica la hora en que se realizar el mantenimiento estndar de la base de datos central. Das que conservar los rastreos de inventario: Define el nmero de das anteriores a la eliminacin del registro de rastreo de inventario. Inicios de sesin del propietario primario: Define el nmero de veces que el rastreador de inventario realiza un seguimiento de los inicios de sesin para determinar el propietario primario de un dispositivo. El propietario principal es el usuario que ha iniciado sesin la mayora de las veces dentro de este nmero especificado de inicios de sesin. El valor predeterminado es 5 y los valores mnimo y mximo son 1 y 16 respectivamente. Si todos los inicios de sesin son exclusivos, el ltimo usuario que ha iniciado una sesin se considera el propietario principal. Un dispositivo slo puede tener un propietario principal asociado cada vez. Los datos de inicio de sesin del usuario principal incluyen el nombre completo del usuario en formato ADS, NDS, nombre de dominio o nombre local (en este orden), as como tambin la fecha del ltimo inicio de sesin.
303
MANUAL DE USUARIO
Avanzada: Muestra el cuadro de dilogo Configuracin avanzada. Aqu puede cambiar la configuracin avanzada pertinente al inventario. Al hacer clic en cada uno de los elementos, el texto de ayuda aparece en la parte inferior del cuadro dilogo y explica cada opcin. Los valores predeterminados deben ser adecuados para la mayora de las instalaciones. Para cambiar un valor, haga clic en l, cambie el Valor y haga clic en Establecer. Al finalizar, reinicie el servicio de inventario. Software: Muestra el cuadro de dilogo Valores del Rastreo de software. Especifique en qu momento se ejecuta el rastreo de software y por cunto tiempo se guarda el historial de inventario. Administrar duplicados: Dispositivos: Abre el cuadro de dilogo Dispositivos duplicados, en el cual puede configurar la forma en que se manejan los dispositivos duplicados. Administrar duplicados: ID de dispositivo: Abre el cuadro de dilogo Id. de dispositivos duplicados desde donde se pueden seleccionar atributos que identifican de modo exclusivo a los dispositivos. Puede utilizar esta opcin para evitar rastrear Id. de dispositivos duplicados en la base de datos central (consulte "Resolucin de registros de dispositivo duplicados en la base de datos" en la pgina 305). Estado del servicio de inventario: Indica si el servicio se inicia o se detiene en la base de datos central. Iniciar: Inicia el servicio en el servidor central. Detener: Detiene el servicio en el servidor central. Reiniciar: reinicia el servicio en el servidor central.
Cuadro de dilogo Rastreo de software

Utilice este cuadro de dilogo (Configurar | Servicios | ficha Inventario| botn Software) para configurar la frecuencia de los rastreos de software. El hardware de un dispositivo se rastrea cada vez que el rastreador de inventario se ejecuta en el dispositivo y, por el contrario, el software del dispositivo se rastrea nicamente en el intervalo de tiempo que se especifique aqu. Cada inicio de sesin:rastrea todo el software instalado en el dispositivo cada vez que el usuario inicia sesin. Una vez cada (das):rastrea el software del dispositivo nicamente en el intervalo diario especificado, como un rastreo automtico. Guardar historial (das):especifica el periodo de tiempo durante el que se guarda el historial de inventario del dispositivo.
Configuracin de los atributos de rastreo de inventario que se almacenan en la base de datos

El administrador de inventario busca cientos de elementos de inventario. Si no necesita toda la informacin de rastreo en la base de datos, puede acelerar el tiempo de insercin del rastreo y reducir el tamao de la base de datos mediante la limitacin de la cantidad de atributos de rastreo que se almacenan en la base de datos. Al hacerlo, los dispositivos administrados an envan rastreos de inventario completos, pero el servicio de inventario del servidor central solamente almacena los atributos que especifique en la base de datos.
304
De forma predeterminada, el servicio de inventario inserta todos los atributos de rastreo en la base de datos. Los cambios que realice en el filtro de atributos no tendrn efecto en los datos que ya se encuentran en la base de datos. A fin de limitar los datos que se almacenan, realice los pasos siguientes. Para configurar el filtro de datos de rastreo de inventario 1. 2. Haga clic en Configurar | Servicios | ficha Inventario| botn Atributos. Los atributos de la columna Atributos seleccionados de la derecha se insertan en la base de datos. Coloque los atributos que no desee incluir en la base de datos en la columna Atributos disponibles de la izquierda. Para reiniciar el servicio de inventario, haga clic en Reiniciar en la ficha Inventario. Haga clic en Aceptar.
3. 4.
Resolucin de registros de dispositivo duplicados en la base de datos

En algunos entornos se utilizan las imgenes de SO con regularidad y frecuencia para configurar dispositivos. Debido a esto, aumenta la posibilidad de que existan ID de dispositivo duplicados entre los dispositivos. Para evitar este problema, especifique otros atributos de dispositivo que, junto con el Id. del dispositivo, creen un identificador nico para los dispositivos. Ejemplos de stos y otros atributos son el nombre del dispositivo, el nombre de dominio, el BIOS, el bus, el coprocesador, etc. La funcin de ID duplicado le permite seleccionar los atributos de dispositivo que se pueden utilizar para identificar al dispositivo de modo exclusivo. Especifique los atributos y la cantidad de atributos que deben faltar para que el dispositivo se designe como duplicado de otro. Si el rastreador de inventario detecta un dispositivo duplicado, escribe un evento en el registro de eventos de la aplicacin para indicar el Id. del dispositivo duplicado. Adems de los ID de dispositivo duplicados, tambin es probable que existan nombres de dispositivo o direcciones MAC duplicados que se hayan acumulado en la base de datos. Si se presentan problemas con la duplicacin de dispositivos con frecuencia (y para evitar el rastreo de registros de dispositivo duplicados en la base de datos durante los rastreos de inventario futuros), tambin puede especificar la eliminacin de los nombres de dispositivo duplicados que se encuentren en la base de datos. La funcin complementaria de resolucin de dispositivos duplicados se incluye en el procedimiento a continuacin. Para configurar la resolucin de dispositivos duplicados 1. 2. Haga clic en Configurar | Servicios | Inventario | ID de dispositivo. Seleccione los atributos de la lista de Atributos que desee utilizar para identificar de modo exclusivo a un dispositivo y, a continuacin, haga clic en el botn de flecha hacia abajo para agregar el atributo a la lista de Atributos de identidad. Podr introducir tantos atributos como desee. Seleccione el nmero de atributos de identidad (y de hardware) que deben no coincidir en un dispositivo para que ste se considere un duplicado de otro dispositivo. Si desea que el rastreador de inventario rechace los Id. de dispositivos duplicados, active la opcin Rechazar identidades duplicadas.
3. 4.
305
MANUAL DE USUARIO
5. 6.
Haga clic en Aceptar para guardar la configuracin y regresar al cuadro de dilogo Configuracin de inventario. (Opcional) Si tambin desea resolver los dispositivos duplicados por nombre y/o direccin, haga clic en Dispositivos para abrir el cuadro de dilogo Dispositivos duplicados, en el cual puede especificar las condiciones cuando se eliminan dispositivos duplicados, como por ejemplo, cuando coinciden los nombres de los dispositivos, cuando coinciden las direcciones MAC o cuando coinciden ambos.
Acerca del cuadro de dilogo ID de dispositivos duplicados

Utilice este cuadro de dilogo (haga clic en Configurar | Servicios | ficha Inventario| botn ID de dispositivos para configurar el manejo de ID de dispositivos duplicados. Lista de atributos:muestra una lista de atributos que puede elegir para identificar de modo exclusivo a un dispositivo. Atributos de identidad:muestra los atributos que ha seleccionado para identificar exclusivamente a un dispositivo. Desencadenantes de Id. de dispositivo duplicado: Registrar como ID de dispositivo duplicado cuando:identifica el nmero de atributos que deben ser distintos en un dispositivo para que ste se considere un duplicado de otro. Rechazar identidades duplicadas:hace que el rastreador de inventario registre el Id. del dispositivo duplicado y rechace todos los intentos posteriores de rastrear el Id. de ese dispositivo. A continuacin, el rastreador de inventario genera un nuevo Id. de dispositivo.
Acerca del cuadro de dilogo Dispositivos duplicados

Utilice este cuadro de dilogo (haga clic en Configurar | Servicios | ficha Inventario| botn Dispositivos) para especificar las condiciones de nombre y direccin cuando se eliminan dispositivos duplicados de la base de datos. Si se marca una de las opciones de eliminacin de duplicados, se permiten duplicados en la base de datos pero los mismos se eliminan la siguiente vez que se realiza el mantenimiento de la base de datos. Eliminar duplicados si: Los nombres de dispositivo coinciden:quita el registro ms antiguo cuando dos o ms nombres de dispositivos coinciden en la base de datos. Las direcciones MAC coinciden:quita el registro ms antiguo cuando dos o ms direcciones MAC coinciden en la base de datos. Los nombres de dispositivo y las direcciones MAC coinciden: Elimina el registro ms antiguo SOLAMENTE si dos o ms nombres de dispositivo y direcciones MAC (en el mismo registro) coinciden. Restaurar ID originales: Restaura el ID original del dispositivo a partir del registro anterior de un dispositivo rastreado. SI existen dos registros del dispositivo en la base de datos y se selecciona al menos una de las opciones de eliminacin y se satisface el criterio de la misma, se restaura el ID original del dispositivo cuando se ejecuta el siguiente rastreo de mantenimiento de inventario. Esta opcin no tiene vigor a menos que se seleccione una de las opciones de eliminacin anteriores.
306
Configuracin del servicio programador

Utilice la ficha Programador para configurar el servicio programador (Herramientas | Distribucin | Tareas programadas) para el servidor y la base de datos centrales que se seleccionaron mediante la ficha General. Debe tener los derechos apropiados para llevar a cabo estas tareas, incluidos los privilegios de administrador completos para los dispositivos de Windows NT/XP/2000/2003 de la red y permitirles recibir distribuciones de paquetes desde el servidor central. Para especificar varias credenciales de inicio de sesin que puedan utilizarse en los dispositivos, haga clic en Cambiar inicio de sesin. Una configuracin adicional que puede establecer manualmente es la frecuencia de actualizacin de la ventana Tareas programadas. De forma predeterminada, la ventana Tareas programadas comprueba la base de datos central cada dos minutos para determinar si se ha actualizado alguno de los elementos visibles. Si desea cambiar la frecuencia de actualizacin, desplcese hasta esta clave del registro. HKEY_CURRENT_USER\Software\LANDesk\ManagementSuite\WinConsole
Configure "TaskRefreshIntervalSeconds" en el nmero de segundos entre las actualizaciones de una tarea activa. Configure "TaskAutoRefreshIntervalSeconds" para el intervalo de actualizacin de toda la ventana Tareas programadas.
Acerca del cuadro de dilogo Configuracin de servicios de Management Suite: Ficha Programador
Utilice esta ficha para ver el nombre del servidor y la base de datos centrales que se seleccionaron previamente as como para especificar las opciones de tareas programadas siguientes: Nombre de usuario: Nombre de usuario con el que se ejecutar el servicio de tareas programadas. Para cambiarlo haga clic en el botn Cambiar inicio de sesin. Nmero de segundos entre reintentos: Cuando una tarea programada se configura con varios reintentos, esta configuracin controla el nmero de segundos que el programador esperar antes de reintentar la tarea. Nmero de segundos para intentar la activacin: Cuando se configura una tarea programada para que utilice Wake On LAN, esta configuracin controla el nmero de segundos que el servicio de tareas programadas esperar para que se active un dispositivo. Intervalo entre las evaluaciones de las consultas: Nmero que indica el periodo de tiempo entre las evaluaciones de las consultas, y la unidad de medida para el nmero (de minutos, horas, das o semanas). Configuracin de reactivacin Wake On LAN: Puerto IP que utilizar el paquete Wake On LAN configurado por las tareas programadas para activar los dispositivos. Estado del servicio programador: Indica si el servicio se inicia o se detiene en la base de datos central. Iniciar: Inicia el servicio en el servidor central. Detener: Detiene el servicio en el servidor central. Reiniciar: reinicia el servicio en el servidor central.
307
MANUAL DE USUARIO
Avanzada: Muestra el cuadro de dilogo Configuracin avanzada del programador. Aqu puede cambiar la configuracin avanzada pertinente al programador. Al hacer clic en cada uno de los elementos, el texto de ayuda aparece en la parte inferior del cuadro dilogo y explica cada opcin. Los valores predeterminados deben ser adecuados para la mayora de las instalaciones. Para cambiar una configuracin, haga clic en ella, luego en Editar, inrgrese un valor nuevo y por ltimo haga clic en Aceptar. Al finalizar, reinicie el servicio de programacin.
Acerca del cuadro de dilogo Configuracin de servicios de Management Suite: Cuadro de dilogo Cambiar inicio de sesin
Utilice el cuadro de dilogo Cambiar inicio de sesin (haga clic en Cambiar inicio de sesin en la ficha Programador) para cambiar el inicio de sesin predeterminado del programador. Tambin puede especificar credenciales alternativas que el servicio programador puede intentar cuando necesite ejecutar una tarea en dispositivos no administrados. Para instalar agentes de LANDesk en dispositivos no administrados, el servicio programador debe tener la capacidad de establecer conexin con dispositivos mediante una cuenta administrativa. La cuenta predeterminada que utiliza el servicio programador es LocalSystem. Por lo general, las credenciales de LocalSystem funcionan en dispositivos que no se encuentran en un dominio. Si los dispositivos estn en un dominio, especifique una cuenta de administrador de dominio. Si desea cambiar las credenciales de inicio de sesin del servicio programador, puede especificar otra cuenta administrativa a nivel de dominio para utilizarla en los dispositivos. Si administra dispositivos a travs de varios dominios, puede agregar credenciales adicionales para el programador. Si desea utilizar una cuenta diferente a LocalSystem para el servicio programador o si desea proveer credenciales alternativas, debe especificar un servicio de inicio de sesin primario para el programador que posea derechos administrativos en el servidor central. Las credenciales alternativas no requieren derechos administrativos en el servidor central, pero s en los dispositivos. El servicio programador intenta las credenciales predeterminadas y utiliza cada credencial especificada en la lista Credenciales alternativas hasta que tiene xito o se terminan las credenciales. Las credenciales especificadas se codifican y almacenan de forma segura en el registro del servidor central. Defina las opciones siguientes para las credenciales predeterminada del programador: Nombre de usuario:escriba el dominio\nombre de usuario o el nombre de usuario predeterminado que el programador va a utilizar. Contrasea:escriba la contrasea para las credenciales especificadas. Confirme la contrasea:vuelva a escribir la contrasea para confirmarla.
Defina las opciones siguientes para las credenciales adicionales del programador: Agregar: haga clic para agregar el nombre de usuario y la contrasea especificados a la lista de credenciales alternas. Quitar:haga clic para quitar las credenciales seleccionadas de la lista. Modificar:haga clic para cambiar las credenciales seleccionadas.
308
Cuando agregue credenciales alternativas, especifique lo siguiente: Nombre de usuario:escriba el nombre de usuario que el programador va a utilizar. Dominio:escriba el dominio para el nombre de usuario especificado. Contrasea:escriba la contrasea para las credenciales especificadas. Confirme la contrasea:vuelva a escribir la contrasea para confirmarla.
Configuracin de credenciales del servidor preferido

En la parte inferior del cuadro de dilogo Configurar servicios para LANDesk Software se encuentra el botn Credenciales. Este botn inicia el cuadro de dilogo Credenciales del servidor, donde puede especificar los servidores preferidos en los cuales los dispositivos buscarn los paquetes de distribucin de software. Los servidores preferidos reducen la demanda en el servidor central y le ayudan a distribuir el trfico de red en los entornos WAN de baja velocidad, donde no desea que los dispositivos descarguen paquetes de servidores externos. Los servidores preferidos funcionan con todos los mtodos de entrega con excepcin de la multidifusin. Los recursos compartidos de paquetes UNC funcionan con todos los paquetes. Los recursos compartidos de paquetes HTTP solamente funcionan con paquetes MSI o SWD. El cuadro de dilogo Nombre del usuario y contrasea (haga clic en Agregar en el cuadro de dilogo Credenciales del servidor) contiene las opciones siguientes: Descripcin: descripcin del servidor preferido. La descripcin aparece en el cuadro de dilogo Credenciales del servidor. Nombre del servidor: nombre del servidor que alojar los paquetes. Nombre de usuario: nombre de usuario que los dispositivos utilizarn para iniciar una sesin en el servidor. El nombre de usuario debe permitir el acceso de slo lectura por razones de seguridad. Contrasea y Confirmar contrasea: contrasea del nombre de usuario especificado. Limitar el uso del servidor preferido con los estos intervalos de direcciones IP: Si desea que solamente los dispositivos que se encuentran en un intervalo especfico de IP utilicen este servidor preferido, especifique la Direccin IP inicial y la Direccin IP final, y haga clic en Agregar. Probar credenciales: haga clic en este botn para asegurarse de que el nombre de servidor y las credenciales que ha especificado sean las correctas.
Cuando se controla el acceso al servidor preferido a travs de rangos de direcciones IP, observe que los dispositivos que se encuentran dentro del mismo dominio de multidifusin comparten sus archivos de configuracin y pueden utilizar los mismos servidores, aunque algunos no se encuentran en un rango de direcciones IP del servidor preferido en particular.
309
MANUAL DE USUARIO
Configuracin del servicio de tareas personalizadas

Utilice la ficha Tareas personalizadas para configurar el servicio de tareas personalizadas para el servidor y la base de datos centrales que se seleccionaron mediante la ficha General. Algunos ejemplos de tareas personalizadas son los rastreos de inventarios, los despliegues de dispositivos y las distribuciones de software. Cuando deshabilita TCP como protocolo de ejecucin remota, los trabajos personalizados utilizan el protocolo del agente LANDesk estndar de forma predeterminada, ya est marcado como inhabilitado o no. Asimismo, si estn habilitadas la ejecucin remota TCP y del agente LANDesk estndar, los trabajos personalizados utilizan la ejecucin remota TCP en primer lugar y, si no est presente, utilizan el LANDesk estndar. La ficha Tareas personalizadas tambin permite elegir las opciones de la deteccin de dispositivos. Para que un servicio de tareas personalizadas pueda procesar una tarea, debe detectar cada direccin IP actual de los dispositivos. Esta ficha permite configurar el modo en que el servicio se comunicar con los dispositivos.
Acerca del cuadro de dilogo Configuracin de servicios de Management Suite: Ficha Tareas personalizadas
Utilice esta ficha para configurar las opciones siguientes de tareas personalizadas: Opciones de ejecucin remota Deshabilitar ejecucin por TCP: inhabilita TCP como protocolo de ejecucin remota y utiliza el protocolo de agente LANDesk estndar de forma predeterminada. Inhabilitar ejecucin/transferencia de archivos por CBA: Deshabilita el agente LANDesk estndar como protocolo de ejecucin remota. Cuando el agente LANDesk estndar est deshabilitado y el protocolo TCP no se encuentra en el dispositivo, la ejecucin remota fallar. Habilitar tiempo de espera de ejecucin remota: Habilita un tiempo de espera de ejecucin remota y especifica el nmero de segundos que deben transcurrir hasta que finalice el tiempo de espera. Los tiempos de espera de ejecucin remota se activan cuando el dispositivo enva transacciones de control pero la tarea en el dispositivo est bloqueada o en un bucle. Esta configuracin se aplica a los dos protocolos (TCP o agente LANDesk estndar). El valor se puede establecer entre 300 segundos (5 minutos) y 86.400 segundos (1 da). Habilitar tiempo de espera del cliente: Habilita un tiempo de espera del dispositivo y especifica el nmero de segundos que deben transcurrir hasta que finalice el tiempo de espera. De forma predeterminada, la ejecucin remota por TCP enva una transaccin de control desde el dispositivo al servidor a intervalos de 45 segundos hasta que la ejecucin remota se completa o finaliza el tiempo de espera. Los tiempos de espera del dispositivo se activan cuando el dispositivo no enva una transaccin de control al servidor. Puerto de ejecucin remota (el predet. es el 12174): Puerto a travs del cual tiene lugar la ejecucin remota por TCP. Si se cambia este puerto, se deber cambiar asimismo en la configuracin del dispositivo.
310
Opciones de distribucin Distribuir a <nn> equipos simultneamente: Nmero mximo de dispositivos a los que se distribuir el trabajo personalizado simultneamente.
Opciones de deteccin UDP: Al seleccionar UDP se utiliza un ping UDP al agente LANDesk . La mayora de los componentes de dispositivo de LANDesk dependen del agente LANDesk estndar, de modo que los dispositivos administrados deben tenerlo. Constituye el mtodo de deteccin predeterminado y el ms rpido. Con UDP, tambin puede seleccionar Reintentos y Tiempo de espera del ping de UDP. TCP: al seleccionar TCP se utiliza una conexin HTTP al dispositivo en el puerto 9595. Este mtodo de deteccin tiene la ventaja de que es capaz de funcionar a travs de un servidor de seguridad si se abre el puerto 9595. No obstante, est sujeto a los tiempos de espera de conexin HTTP si no se encuentran los dispositivos. Dichos tiempos de espera pueden ser de 20 segundos o ms. Si muchos de los dispositivos de destino no responden a la conexin TCP, la tarea tardar mucho en iniciarse. Ambos:al seleccionar Ambos, el servicio intenta la deteccin primero con UDP, luego con TCP y finalmente con DNS/WINS, si est seleccionado. Inhabilitar difusin en subred:si se selecciona, se deshabilita la deteccin a travs de una difusin de subred. DNS/WINS:si se selecciona, se deshabilita la bsqueda del servicio de nombre para cada dispositivo, si falla el mtodo de deteccin TCP/UDP seleccionado.
Configuracin del servicio de multidifusin

Utilice la ficha Multidifusin para configurar las opciones de deteccin del representante de dominio de multidifusin para el servidor y la base de datos centrales que haya seleccionado mediante la ficha General.
Acerca del cuadro de dilogo Configuracin de servicios de Management Suite: Ficha Multidifusin
Utilice esta ficha para establecer las opciones de multidifusin siguientes: Utilizar representante de dominio de multidifusin: utiliza la lista de representantes de dominio de multidifusin almacenados en el grupo Configuracin | Dominio de multidifusin, en la vista de red. Usar archivo guardado en cach: consulta cada dominio de multidifusin para averiguar quin podra tener el archivo, por lo que no es necesario descargar el archivo en un representante. Usar archivo de cach antesdel representante de dominio preferido: Cambia el orden de deteccin de modo que Usar archivo guardado en cach sea la primera opcin que se intente. Usar difusin:enva una difusin dirigida por subred para encontrar los dispositivos de esa subred que podran ser representantes de dominio de multidifusin.
311
MANUAL DE USUARIO
Registrar perodo de descarte (das): especifica el nmero de das que se mantendrn las entradas en el registro antes de eliminarse.
Configuracin del servicio de implementacin de SO

Utilice la ficha Implementacin de SO para designar los representantes de PXE como colas de espera de PXE y para configurar las opciones bsicas de inicio de PXE para el servidor y la base de datos centrales que haya seleccionado mediante la ficha General. Las colas de espera de PXE son un mtodo para implementar imgenes del SO en dispositivos habilitados para PXE. Se designan los representantes de PXE existentes (ubicados en el grupo Configuracin de la vista de red) como colas de espera de PXE. Para obtener ms informacin, consulte PXE-based deployment. Seleccione y mueva los representantes de PXE de la lista de Servidores proxy disponibles a la lista de Servidores proxy de la cola de espera.
Acerca del cuadro de dilogo Configurar servicios de Management Suite: Ficha Despliegue de SO
Utilice esta ficha para asignar los servidores proxy PXE (representantes) de la cola de espera y para especificar las opciones de inicio de PXE. Servidores proxy disponibles: muestra una lista de todos los servidores proxy PXE en la red, identificados por nombre de dispositivo. Esta lista se genera cuando el rastreo de inventario detecta software de PXE (protocolos PXE y MTFTP) que se ejecuta en el dispositivo. Servidores proxy de cola de espera: muestra un listado de los servidores proxy PXE que se han desplazado de la lista de Servidores proxy disponibles y, por lo tanto, designa el proxy como una cola de espera de PXE. Los dispositivos habilitados para PXE que estn en la misma subred que el proxy de cola de espera de PXE se agregarn automticamente al grupo de Cola de espera de PXE de la vista de red de la consola cuando se inicie PXE. Posteriormente, los dispositivos se pueden programar para una tarea de implementacin de imgenes. Restablecer: este botn hace que todos los dispositivos habilitados para PXE en la misma subred que el representante de PXE seleccionado vuelvan a entrar en el grupo de la Cola de espera de PXE en la vista de red de la consola. Posteriormente, los dispositivos se pueden programar para una tarea de creacin de imgenes. El botn Restablecer se activa cuando se selecciona un proxy de PXE en la lista de servidores proxy de la cola de espera.
Nota: Los cambios realizados aqu a las opciones de inicio de PXE no surtirn efecto en ninguno de los representantes de PXE hasta que se ejecute la secuencia de comandos de implementacin de representantes PXE en ese representante. Tiempo de espera: Indica por cunto tiempo se mostrar la indicacin de inicio antes de que finalice el tiempo de espera y se reanude el proceso de inicio predeterminado. 60 es el nmero mximo de segundos que se puede indicar.
312
Mensaje: especifica el mensaje de indicacin de inicio de PXE que aparece en el dispositivo. Puede escribir cualquier mensaje que desee en el cuadro de texto, con un mximo de 75 caracteres de longitud.
Configuracin de la contrasea BMC

Use la ficha Contrasea BMC para crear una contrasea para el Controlador IPMI Baseboard Management (BMC). Esta ficha aparece solamente en los servidores centrales que incluyen LANDesk Server Manager o LANDesk System Manager. En la ficha Contrasea BMC , ingrese una nueva contrasea en el cuadro de texto Contrasea, vuelva a ingresarla en el cuadro de texto Confirmar contrasea, y luego haga clic en Aceptar.
La contrasea no debe tener ms de 15 caracteres y los mismos deben ser nmeros (0-9) o letras maysculas o minsculas (a-z).
313
MANUAL DE USUARIO
Configuracin de agentes de dispositivo

Los dispositivos necesitan disponer de agentes de Management Suite para que se puedan administrar por completo. Lea este captulo para obtener informacin sobre: "Operaciones con configuraciones de agentes" en la pgina 314 "Creacin de una configuracin de agente" en la pgina 315 "Uso del agente de avance" en la pgina 316 "Actualizacin de preferencias de agentes en los dispositivos" en la pgina 318 "Creacin de un paquete independiente de configuracin de agente" en la pgina 318 "Seguridad de agente y certificados de confianza" en la pgina 319 "Desinstalacin de agentes de dispositivo" en la pgina 322
La ventana Configuracin de agentes permite crear nuevas configuraciones de agente para los dispositivos de Windows, Linux y Macintosh. Las configuraciones de agente creadas se instalan automticamente en los clientes mediante la ventana Tareas programadas de la consola. Implementacin de agentes en dispositivos con Windows 95/98/NT Management Suite ya no incluye agentes que admitan dispositivos Windows 95, Windows 98, o Windows NT. Puede comunicarse con el Servicio de atencin al cliente de LANDesk si necesita el agente heredado que funciona con estos dispositivos. Creacin de configuraciones de dispositivo para dispositivos con Windows 2000/2003/XP no habilitados para la administracin Si dispone de dispositivos de Windows 2000/2003/XP que formen parte de un dominio de Windows 2000/2003/XP, puede instalar automticamente una configuracin en dichos dispositivos aunque no estn presentes el agente LANDesk estndar y el agente de control remoto. Para obtener ms informacin, consulte el Manual de instalacin e implementacin.
Operaciones con configuraciones de agentes

Management Suite utiliza las configuraciones de agente creadas para implementar agentes y preferencias de agentes para dispositivos administrados. Una vez que los dispositivos tienen los agentes Management Suite, se pueden actualizar fcilmente las configuraciones de agentes. Si desea ms informacin sobre la implementacin inicial de agentes, consulte el captulo "Implementacin de agentes en los clientes" y el Manual de instalacin e implementacin. En los siguientes captulos encontrar los temas siguientes: Cambios en la configuracin de agentes en Management Suite 8.5 Creacin de una configuracin de agente Actualizacin de preferencias de agentes en los dispositivos Creacin de un paquete independiente de configuracin de agente
314
Cambios en la configuracin de agentes en Management Suite 8.5+

Los usuarios de versiones de Management Suite anteriores a la versin 8.5 notarn varios cambios en la configuracin de agentes con respecto a las versiones previas. El agente de LANDesk estndar es el nuevo nombre para el CBA y ahora incluye el rastreo de inventario, el programador local, el rastreador de seguridad y revisiones, el monitoreo de software y la deteccin del ancho de banda. Estos componentes no se pueden seleccionar de forma individual y se instalan de forma predeterminada. Tambin puede definir opciones de reinicio en el agente de LANDesk estndar. La administracin de polticas de administracin ahora se denomina entrega basada en polticas y se configura bajo la distribucin de software. La multidifusin dirigida es compatible con la distribucin de software. No se necesita activarla de forma separada o configurarla. El agente del rastreador de seguridad y revisiones se instala de forma predeterminada con el agente de LANDesk estndar. Puede configurar los rastreos de seguridad para determinar la manera y el momento en que el rastreador de seguridad se ejecuta en los dispositivos administrados y si muestra o no el progreso y las opciones interactivas al usuario final. (El rastreador de seguridad permite buscar las actualizaciones del software de LANDesk en los dispositivos y los servidores centrales aunque no se tenga una suscripcin al contenido de LANDesk Security Suite. Con una suscripcin a Security Suite, se pueden aprovechar al mximo las capacidades del rastreador para encontrar y corregir vulnerabilidades conocidas, spyware, aplicaciones no autorizadas, virus y otros posibles riesgos de seguridad).
Creacin de una configuracin de agente

Utilice la ventana Configuracin de agentes para crear y actualizar las configuraciones de agente de dispositivo y servidor (por ejemplo, qu agentes estn instalados en los dispositivos y qu protocolos de red utilizan los agentes). Se pueden crear diferentes configuraciones para las necesidades especficas de los grupos. Por ejemplo, pueden crear configuraciones para los dispositivos en su departamento de contabilidad, o bien, para dispositivos que utilicen un sistema operativo determinado. Para instalar automticamente una configuracin en los dispositivos, debe realizar lo siguiente: Crear una configuracin de agente: Establezca las configuraciones especficas para los dispositivos. Programar la configuracin de dispositivo: instale automticamente la configuracin en los dispositivos que tienen instalado el agentes de LANDesk estndar. Para obtener ms informacin, consulte "Tareas y secuencias de comando" en la pgina 360. Los usuarios que tienen derechos administrativos tambin pueden instalar la configuracin predeterminada del agente al ejecutar WSCFG32.EXE o IPSETUP.BAT desde el recurso compartido LDLogon del servidor central.
Para crear una configuracin de agente 1. 2. En la consola, haga clic en Herramientas | Configuracin | Configuracin de agentes. Haga clic en el botn Nuevo de la barra de herramientas.
315
MANUAL DE USUARIO
3. 4. 5.
6. 7.
Introduzca un Nombre de configuracin. En la ventana Configuracin de agentes, en la pgina Inicio, seleccione el agente que desea implementar. Utilice el rbol para navegar a travs de los dilogos pertinentes a las opciones seleccionadas. Personalice las opciones que ha seleccionado, como sea necesario. Haga clic en Ayuda para obtener ms informacin sobre una pgina determinada. Haga clic en Guardar y cerrar. Si desea que la configuracin sea la predeterminada, (se instala el archivo LDLOGON\WSCFG32.EXE o LDLOGON\IPSETUP.BAT de la configuracin), en el men de acceso directo de la configuracin, haga clic en Configuracin predeterminada.
Para obtener ms informacin sobre opciones de configuracin de dispositivos, consulteManaged device help y el Manual de instalacin e implementacin.
Uso del agente de avance

El agente de avance reduce la cantidad de ancho de banda de red utilizado en la configuracin de agentes basados en Windows. El agente de avance funciona bien en la mayora de los dispositivos, incluso en los equipos porttiles con conexiones de red intermitentes o lentas. El agente de avance no admite PDA y otros dispositivos de bolsillo. El agente de avance es un pequeo paquete de .MSI de 500 KB. Si se ejecuta el paquete en un dispositivo administrado, se descarga un completo paquete asociado de configuracin de agentes, el cual puede tener un tamao de hasta 15 MB, segn los agentes que haya seleccionado. En el cuadro de dilogo Configuracin del Agente de avance puede configurar las opciones de distribucin de bajo ancho de banda que .MSI utiliza en la descarga de la configuracin completa de agentes. El agente de avance funciona de forma independiente del servidor central una vez que inicia la descarga de la configuracin completa de agentes. Si el dispositivo se desconecta de la red antes de que finalice la descarga de la configuracin de agentes, el agente de avance reanuda la descarga de forma automtica una vez que el dispositivo se conecta de nuevo a la red. Al crear una configuracin de agente de avance, la consola toma unos segundos para crear un paquete de configuracin completa de agentes. La consola coloca el paquete de agente de avance (<nombre de configuracin>.msi) y el paquete de configuracin completa de agentes recientemente creado (<nombre de configuracin>.exe) en la carpeta LDLogon\AdvanceAgent del servidor central. Los nombres de los archivos se basan en el nombre de la configuracin de agentes. Una vez que ha creado un paquete de configuracin de agentes, debe ejecutar la porcin .MSI en los dispositivos mediante uno de los mtodos siguientes: Programe la porcin .MSI pequea para una distribucin automtica. Ejecute .MSI de forma manual en cada dispositivo. Configure .MSI de forma manual para que se ejecute a travs de una secuencia de comandos de inicio de sesin.
316
Una vez que implemente el agente de avance en los dispositivos, ste empieza la descarga de la configuracin asociada de agentes. El agente se ejecuta de forma silenciosa en el dispositivo administrado, sin mostrar ningn dilogo o informacin de estado. El agente de avance utiliza las preferencias de ancho de banda que ha especificado en el cuadro de dilogo Configuracin del Agente de avance, tales como la descarga entre iguales y el lmite de ancho de banda dinmico. Una vez que se instala .MSI y se configuran los agentes de forma satisfactoria en un dispositivo, se elimina el paquete de configuracin completa de agentes. La porcin .MSI permanece en el dispositivo y si se ejecuta el mismo .MSI de nuevo no vuelve a instalar los agentes. Para crear una configuracin del agente de avance 1. 2. 3. 4. Cree una configuracin de agentes basada en Windows (Herramientas | Configuracin | Configuracin del Agente). En el men contextual de la configuracin, seleccione Agente de avance. Seleccione las opciones que desee. Si selecciona Descarga de iguales, debe asegurarse de que que el agente de avance de un archivo .msi y el paquete .EXE de configuracin de agente completo estn en el cach de distribucin de software de un dispositivo en el dominio de difusin. Si selecciona Peer download y no hace esto antes de implementar la configuracin del agente de avance, la implementacin fallar debido a que los cachs o los iguales que se encuentran en el dominio de difusin no cuentan con los archivos necesarios. Si cambia la ubicacin del paquete de configuracin de agentes asociado (el archivo .EXE), cambie la ruta del paquete de configuracin de agentes para que coincida con la ubicacin nueva. Haga clic en Aceptar. De ser necesario, copie el archivo .EXE asociado de la carpeta LDLogon\AdvanceAgent al servidor de distribucin. Asegrese de que la ruta al archivo ejecutable de la configuracin de agentes coincida con la ruta especificada en el cuadro de dilogo Configuracin del Agente de avance. Debe dejar el paquete MSI en la ubicacin predeterminada del servidor central. Caso contrario, el paquete no estar visible para la tarea de distribucin automtica del agente de avance que se describe a continuacin.
5.
6. 7.
Para configurar la distribucin automtica del agente de avance 1. En la ventana Configuracin del Agente (Herramientas | Configuracin | Configuracin del Agente), haga clic en el botn Programar envo de configuracin del Agente de avance. El cuadro de dilogo Configuraciones del Agente de avance muestra las configuraciones de agente de la carpeta LDLogon\AdvanceAgent. Haga clic en la configuracin que desee distribuir y haga clic en Aceptar. Se abre la ventana Tareas programadas con la tarea de agente de avance que ha creado seleccionada. El nombre de la tarea es "Agente de avance <nombre de la configuracin>". Para agregar dispositivos de destino a la tarea, arrstrelos desde la Vista de red y sultelos en la tarea de la ventana Tareas programadas. En el men contextual de la tarea, haga clic en Propiedades para programarla. Puede observar el progreso de la distribucin de la porcin .MSI en la ventana Tareas programadas. No se muestra informacin del estado de la configuracin de agentes completa una vez que finaliza la distribucin de .MSI.
317
2.
3.
4. 5.
MANUAL DE USUARIO
Actualizacin de preferencias de agentes en los dispositivos

Si desea actualizar las preferencias de agentes en los dispositivos, como la peticin de permisos para el control remoto, no es necesario implementar una configuracin de agente completa. Se pueden realizar los cambios que se deseen en la ventana Configuracin de agentes, y desde el men contextual de dicha configuracin, haga clic en Programar actualizacin. Esta accin abre la ventana Tareas programadas y crea una tarea de actualizacin y un paquete para la configuracin que se program desde el formulario de actualizacin. El tamao de este paquete es de unos pocos cientos de kilobytes. Las preferencias de actualizacin no instalarn ni desinstalarn agentes en los dispositivos. Si la actualizacin contiene preferencias para agentes que no se encuentren en un dispositivo, las preferencias que no se aplican se ignorarn. Actualizacin de preferencias de agentes en los dispositivos 1. 2. 3. 4. Haga clic en Herramientas | Configuracin | Configuracin de agente. Personalice la configuracin que desee utilizar. Una vez que haya finalizado, desde el men contextual de la configuracin, seleccione Programar actualizacin. Esta accin abre la ventana Tareas programadas. Seleccione los dispositivos de destino que se deseen actualizar y programe la tarea.
Creacin de un paquete independiente de configuracin de agente

Generalmente, la utilidad de configuracin del cliente, WSCFG32.EXE, se encarga de la configuracin de los clientes. Si desea, puede hacer que una ventana Configuracin de agentes cree un archivo de ejecucin automtica que instale la configuracin de agente en el dispositivo que se est ejecutando. Esto resulta til cuando se desea instalar agentes desde una unidad de CD o de USB porttil, o si se desea ejecutar una multidifusin de una configuracin de agente. Para crear una configuracin de agente independiente 1. 2. 3. 4. 5. Haga clic en Herramientas | Configuracin | Configuracin de agente. Personalice la configuracin que desee utilizar. Una vez que haya finalizado, desde el men contextual de la configuracin, seleccione Crear un paquete de instalacin de cliente auto contenido.. Seleccione la ruta donde desee que se almacene el paquete. Espere que Management Suite cree el paquete. Esta operacin puede demorar algunos minutos.
318
Seguridad de agente y certificados de confianza

Con Management Suite 8, la autenticacin basada en certificados ha sido simplificada. Los agentes de dispositivo an se autentican en servidores centrales autorizados, con lo que se evita que los servidores centrales no autorizados accedan a los clientes. Sin embargo, Management Suite 8 no requiere otra autoridad de certificacin para administrar certificados para el servidor central, la consola o los clientes. En su lugar, todos los servidores centrales tienen una clave privada y un certificado exclusivos que crea el programa de configuracin de Management Suite al instalar el servidor central o central de resumen por primera vez. Estas son las claves privadas y los archivos de certificado: <nombredeclave>.key: el archivo .KEY es la clave privada para el servidor central y slo reside en dicho servidor. Si esta clave no es confidencial, las comunicaciones entre el dispositivo y servidor central no sern seguras. No d a conocer esta clave. Por ejemplo, no la incluya en ningn correo electrnico. <nombredeclave>.crt: el archivo .CRT contiene la clave pblica para el servidor central. Este archivo es una versin de la clave pblica fcil para el visualizador que se puede consultar para ver ms informacin sobre la clave. <hash>.0: el archivo .0 es un archivo de certificado de confianza y su contenido es idntico al del archivo .CRT. Sin embargo, se le ha dado un nombre que permite al equipo encontrar rpidamente el archivo de certificado que se est buscando en un directorio que contiene varios. El nombre es un valor hash (suma comprobacin) de la informacin del asunto del certificado. A fin de determinar el nombre de archivo hash de un certificado especfico, abra el archivo <nombredeclave>.CRT. Hay una seccin de archivo .INI [LDMS] en el archivo. El par hash=valor indica el valor <hash>.
Otro mtodo alternativo para obtener el valor hash es utilizar la aplicacin openssl, la cual est almacenada en el directorio \Archivos de programa\LANDesk\Shared Files\Keys. Se mostrar el valor hash asociado al certificado mediante la siguiente lnea de comandos:
openssl.exe x509 -in <nombredeclave>.crt -hash -noout
Todas las claves se almacenan en el servidor central en \Archivos de programa\LANDesk\Shared Files\Keys. La clave pblica <hash>.0 tambin se incluye en el directorio LDLOGON y es necesario que permanezca all de forma predeterminada. <nombredeclave> es el nombre del certificado que suministr durante la instalacin de Management Suite. En dicho proceso, resulta til ofrecer un nombre de clave descriptivo, como el nombre del servidor central (o incluso su nombre completo) y el de la clave (ejemplo: ldcore o ldcore.org.com). De este modo, se facilitar la identificacin de los archivos de certificado/clave privada en un entorno de varios servidores. Cree una copia de seguridad del directorio de claves del servidor central en un sitio seguro. Si por alguna razn debe reinstalar o reemplazar el servidor central, no podr administrar los dispositivos de dicho servidor si no agrega los certificados del servidor central original al nuevo servidor, tal como se describe a continuacin.
319
MANUAL DE USUARIO
Uso compartido de claves entre los servidores centrales

Los dispositivos slo se comunicarn con los servidores central y central de resumen para los que tienen un archivo de certificado de confianza que coincide. Por ejemplo, digamos que tiene tres servidores centrales, administrando 5.000 dispositivos cada uno. Tambin tiene un servidor central de resumen administrando los 15.000 dispositivos. Cada servidor central tendr su propio certificado y claves privadas, y de forma predeterminada, los agentes de dispositivo que se implementen desde ellos slo hablarn con aqul desde el que se implement el software de dispositivo. Principalmente, hay dos formas de compartir las claves entre los servidores centrales y centrales de resumen: 1. 2. Distribuyendo el certificado de confianza de cada servidor central (el archivo <hash>.0 ) a los dispositivos y sus respectivos servidores centrales. Es el mtodo ms seguro. Copiando la clave privada y los certificados en cada servidor central. No requiere realizar ninguna accin en los dispositivos, pero, dado que se tiene que copiar la clave privada, supone algo ms de riesgo.
En nuestro ejemplo, si desea que el servidor central de resumen y la consola Web puedan administrar dispositivos de los tres servidores centrales, necesitar distribuir el archivo de certificado de confianza del servidor central de resumen (<hash>.0) a todos los dispositivos, adems de copiar el mismo archivo en el directorio LDLOGON de cada servidor central. Para obtener ms informacin, consulte "Distribucin de certificados de confianza a los dispositivos" en la pgina 320. Otra opcin es copiar los archivos de certificado/clave privada desde cada servidor central al servidor central de resumen. De este modo, cada dispositivo podr buscar la clave privada coincidente para su servidor central en el servidor central de resumen. Para obtener ms informacin, consulte "Copia de archivos de certificado/clave privada entre los servidores centrales" en la pgina 321. Si desea que un servidor central pueda administrar dispositivos de otro servidor central, puede realizar el mismo proceso, distribuyendo el certificado de confianza a los dispositivos o copiando los archivos de certificado/clave privada entre los servidores centrales. Si copia certificados entre servidores centrales independientes (no en servidores centrales de resumen), existe un factor adicional. El servidor central no podr administrar los dispositivos de otro servidor central a menos que el primero tenga un rastreo de inventario de esos dispositivos. Un modo de llevar los rastreos de inventario a otro servidor central es mediante la programacin de una tarea de rastreo de inventario con una lnea de comandos personalizada que enve el rastreo al servidor central nuevo. Si se utilizan varios servidores centrales, el uso de un servidor central de resumen y una consola Web provee un modo ms sencillo de administrar dispositivos a travs de los servidores centrales. Los servidores centrales de resumen obtienen los datos de rastreo de inventario automticamente de todos los dispositivos en los servidores centrales que se resumen en ellos.
Distribucin de certificados de confianza a los dispositivos

Hay dos maneras de implementar los certificados de confianza en los dispositivos:
320
1. 2.
Implementar una configuracin de dispositivo que incluya los certificados de confianza del servidor central que desee. Utilizar un trabajo de distribucin de software para copiar directamente los archivos de certificado de confianza en cada dispositivo.
Cada certificado de confianza adicional del servidor central (<hash>.0) que desee que utilicen los dispositivos deber ser copiado en el directorio LDLOGON de dicho servidor. Una vez que este certificado se encuentre en este directorio, podr seleccionarlo en la pgina Agente de base comn del cuadro de dilogo de configuracin de dispositivos. El programa de configuracin de dispositivos copia las claves en este directorio en los dispositivos: Dispositivos con Windows: \Archivos de programa\LANDesk\Shared Files\cbaroot\certs Dispositivos con Mac OS X: /usr/LANDesk/common/cbaroot/certs
Si desea agregar un certificado del servidor central a un dispositivo, y no desea volver a implementar agentes de dispositivo mediante el programa de configuracin de dispositivos, cree un trabajo de distribucin de software que copie <hash>.0 en el directorio especificado anteriormente en el dispositivo. Entonces podr utilizar la ventana Tareas programadas para implementar la secuencia de comandos de distribucin de certificados que haya creado. A continuacin se muestra un ejemplo de una secuencia de comandos personalizada que se puede utilizar para copiar un certificado de confianza desde el directorio LDLOGON del servidor central a un dispositivo. Para utilizarla, sustituya d960e680 por el valor hash del certificado de confianza que desee implementar.
; Copie un certificado de confianza desde el directorio ldlogon del servidor central ; al directorio del certificado de confianza del cliente [MACHINES] REMCOPY0=%DTMDIR%\ldlogon\d960e680.0, %TRUSTED_CERT_PATH%\d960e680.0
Copia de archivos de certificado/clave privada entre los servidores centrales

Otra manera de implementar certificados (<hash>.0) en los dispositivos es copiar los conjuntos de certificados/claves privadas entre los servidores centrales. Estos servidores pueden contener varios archivos de certificado/clave privada. Siempre que un dispositivo pueda autenticarse con una de las claves en un servidor central, podr comunicarse con dicho servidor. Cuando se utiliza el control remoto basado en certificados, los dispositivos de destino deben encontrarse en la base de datos central. Si utiliza seguridad por control remoto basada en certificados en los dispositivos, solamente podr controlar de forma remota los dispositivos que tienen un registro de inventario en la base de datos central con la cual tiene conexin. Antes de comunicarse con un nodo a fin de iniciar el control remoto, el servidor central busca en la base de datos y verifica que el solicitante tiene derechos para ver el dispositivo. Si el dispositivo no se encuentra en la base de datos, el servidor central deniega la solicitud.
321
MANUAL DE USUARIO
Para copiar un conjunto de certificados/claves privadas de un servidor central a otro 1. 2. 3. En el servidor central de origen, dirjase a la carpeta \Archivos de programa\LANDesk\Shared Files\Keys. Copie los archivos <nombredeclave>.key, <nombredeclave>.crt y <hash>.0 del servidor de origen en un disquete o en otro lugar que sea seguro. En el servidor central de destino, copie los archivos desde el servidor central de origen a la misma carpeta (\Archivos de programa\LANDesk\Shared Files\Keys). Las claves surtirn efecto de inmediato.
Es muy importante asegurarse de que la clave privada <nombredeclave>.key es confidencial. El servidor central utiliza este archivo para autenticar los dispositivos, y cualquier equipo con el archivo <nombredeclave>.key puede realizar ejecuciones remotas y transferencia de archivos en un dispositivo de Management Suite.
Desinstalacin de agentes de dispositivo

Antes de existir el Management Suite 8.5, cualquier usuario poda instalar los agentes de Management Suite mediante la ejecucin de WSCFG32 con el parmetro /u. Debido a que WSCFG32 se encontraba en el recurso compartido LDLogon, al que tenan acceso los dispositivos administrados, era relativamente fcil que los usuarios desinstalaran los agentes de Management Suite. Con el Management Suite 8.5 y los posteriores, se ha eliminado el parmetro /u de WSCFG32. Existe una utilidad nueva denominada UninstallWinClient.exe en el recurso compartido LDMain, el cual constituye la carpeta principal del programa Management Suite. Solamente los administradores tienen acceso a dicho recurso compartido. Este programa desinstala los agentes de Management Suite o Server Manager en todos los dispositivos en los que se ejecuta. Puede moverlo a cualquier carpeta que desee o agregarlo a la secuencia de comandos de inicio de sesin. Es una aplicacin de Windows que se ejecuta en segundo plano sin mostrar una interfaz. La ejecucin de este programa no elimina los dispositivos de la base de datos central. Si vuelve a implementar agentes en un dispositivo en el que se ejecut el programa, se almacenar en la base de datos como un dispositivo nuevo.
Uso de LANDesk Server Manager y Administrador de sistema de LANDesk con LANDesk Management Suite
Server Manager y Administrador de sistema estn disponibles por separado en LANDesk Software y se integran con Management Suite. Management Suite incluye una licencia de servidor y tantas licencias de dispositivo como haya adquirido. Si instala los agentes de Management Suite en el sistema operativo de un servidor, Management Suite requiere una licencia de servidor adicional para cada servidor. Server Manager aade licencias de servidor de Management Suite, adems de funciones especficas de Server Manager para los servidores administrados.
322
Administrador de sistema le ayuda a administrar los dispositivos en la red y a solucionar problemas habituales de los equipos antes de que se conviertan en problemas ms importantes. Si tiene dispositivos en la red que ya est administrando con el Administrador de sistema, puede utilizar la integracin de Administrador de sistema de Management Suite para administrar estos equipos desde la consola de Management Suite.
323
MANUAL DE USUARIO
Consultas de base de datos

Las consultas son bsquedas personalizadas realizadas en los dispositivos administrados. LANDesk Management Suite provee un mtodo de consulta de los dispositivos que se han rastreado en la base de datos central mediante consultas de base de datos, al igual que ofrece un modo de consulta de los dispositivos ubicados en otros directorios, a travs de consultas LDAP. Las consultas de bases de datos se ven, crean y organizan con los grupos de consultas de la vista de red de la consola. Las consultas LDAP se crean con la herramienta Administrador de directorios. Si desea ms informacin sobre al creacin y uso de las consultas de directorios LDAP con el Administrador de directorios, consulte "Consultas LDAP" en la pgina 328. Lea este captulo para obtener informacin sobre: "Introduccin a las consultas" en la pgina 324 "Grupos de consultas" en la pgina 324 "Creacin de consultas de base de datos" en la pgina 325 "Ejecucin de consultas de base de datos" en la pgina 327 "Importacin y exportacin de consultas" en la pgina 327
Introduccin a las consultas

Las consultas facilitan la administracin de la red, ya que permiten buscar y organizar dispositivos de red, en la base de datos central, en funcin del sistema operativo y los criterios de bsqueda especificados por el usuario. Por ejemplo, puede crear y ejecutar una consulta que capture slo los dispositivos con una velocidad de reloj de procesador inferior a 166 MHz, con menos de 64 MB de RAM o un disco duro inferior a 2 GB. Cree una o varias instrucciones de consulta que representen dichas condiciones y relacione las instrucciones entre s utilizando operadores lgicos estndar. Al ejecutar las consultas, puede imprimir los resultados de la consulta y acceder y administrar los dispositivos que coincidan.
Grupos de consultas
Las consultas se pueden organizar en grupos en la vista de red. Para crear consultas nuevas (y grupos de consultas nuevos), haga clic con el botn secundario del mouse en el grupo Mis consultas y seleccione Nueva consulta o Nuevo grupo, respectivamente. El administrador de Management Suite (usuario con derechos de administrador de LANDesk) puede ver el contenido de todos los grupos de consultas, entre los que se incluyen: Mis consultas, Consultas pblicas, Todas las consultas y Consultas de usuarios. Si otros usuarios de Management Suite inician una sesin en la consola, podrn ver las consultas en los grupos Mis consultas, Consultas pblicas y Todas la consultas segn el mbito del dispositivo. El usuario no puede ver el grupo Consultas de usuario.
324
Al mover una consulta a un grupo (haciendo clic con el botn secundario y seleccionando Agregar a nuevo grupo o Agregar a grupo existente o al arrastrar y colocar la consulta), se est creando una copia del consulta. Puede quitar la copia de cualquier grupo de consultas; la copia maestra de la consulta (en el grupo Todas las consultas) no se ver afectada. Si desea eliminar la copia maestra, puede hacerlo desde el grupo Todas las consultas. Para obtener ms informacin sobre cmo se muestran las consultas y grupos de consultas en la vista de red y sobre qu puede hacer con ellos, consulte "Vista de red" en la pgina 262.
Creacin de consultas de base de datos

Utilice el cuadro de dilogo Nueva consulta para crear una consulta seleccionando atributos, operadores relacionales y valores de atributo. Cree una instruccin de consulta seleccionando un atributo de inventario y relacionndolo a un valor aceptable. Relacione de forma lgica las instrucciones de consulta entre s para garantizar que se evalan como grupo antes de relacionarlas a otras instrucciones o grupos. Para crear una consulta de base de datos 1. En la vista de red de la consola, haga clic con el botn derecho en el grupo Mis consultas (o en Consultas pblicas si tiene derechos de administracin de consultas pblicas) y, a continuacin, haga clic en Nueva consulta. Introduzca un nombre exclusivo para la consulta. Seleccione un componente de la lista de atributos del inventario. Seleccione un operador relacional. Seleccione un valor de la lista de valores. Puede editar un valor. Haga clic en Insertar para agregar la instruccin a la lista de consultas. Para realizar una consulta de ms de un componente, haga clic en un operador lgico (Y, O) y repita los pasos del 2 al 5. (Opcional) Para agrupar instrucciones de consulta para que se evalen como grupo, seleccione dos o ms instrucciones de consulta y haga clic en Agrupar( ). Una vez que haya finalizado de agregar instrucciones, haga clic en Guardar.
2. 3. 4. 5. 6. 7. 8. 9.
Acerca del cuadro de dilogo Nueva consulta

Este cuadro de dilogo permite crear una consulta nueva con las funciones siguientes: Nombre: Identifica la consulta en grupos de consulta. Componentes de mquina: Enumera los componentes y atributos de inventario que la consulta puede explorar. Operadores relacionales: Enumera los operadores relacionales. Estos operadores determinan los valores de descripcin para un componente determinado que satisfaga los criterios de la consulta.
325
MANUAL DE USUARIO
El operador Como es un operador relacional. Si el usuario no especifica ningn comodn (*) en la consulta, el operador Como agrega comodines a ambos extremos de la cadena. A continuacin se muestran tres ejemplos de uso del operador Como: Computer.Display Name COMO "Bob's Machine" consulta: Computer.Display Name COMO "%Bob's Machine%" Computer.Display Name COMO "Bob's Machine*" consulta: Computer.Display Name COMO "Bob's Machine%" Computer.Display Name COMO "*Bob's Machine" consulta: Computer.Display Name COMO "%Bob's Machine" Mostrar los valores rastreados: Enumera los valores aceptables para el atributo de inventario seleccionado. Asimismo, puede introducir manualmente un valor adecuado o editar un valor seleccionado, con el campo Editar valores. Si el operador relacional seleccionado es Exists o Does Not Exist, no ser posible ningn valor de descripcin. Operador lgico: Determina la relacin lgica de las instrucciones de consulta entre s: Y: El valor de la instruccin de consulta anterior Y la instruccin que se debe insertar deben ser True para satisfacer la consulta. O: El valor de la instruccin de consulta anterior O la instruccin que se debe insertar debe ser True para satisfacer la consulta. Insertar: Inserta la instruccin nueva en la lista de consultas y la relaciona lgicamente con otras instrucciones en funcin del operador lgico de la lista. Este botn no se puede seleccionar hasta que haya creado una instruccin de consulta aceptable. Editar: Permite editar la instruccin de consulta seleccionada. Cuando haya finalizado de realizar los cambios, haga clic en el botn Actualizar. Eliminar: Elimina la instruccin seleccionada de la lista de consultas. Borrar todo: Elimina todas las instrucciones de la lista de consultas. Lista de consultas: Enumera las instrucciones insertadas en la consulta y su relacin lgica con el resto de instrucciones incluidas en la lista. Las instrucciones agrupadas estn rodeados de parntesis. Grupo (): Agrupa las instrucciones seleccionadas para que se evalen entre s antes de que lo hagan con otras instrucciones. Desagrupar: Desagrupa las instrucciones agrupadas seleccionadas. Filtros: Abre el cuadro de dilogo Filtro de consulta que muestra los grupos de dispositivos. Al seleccionar grupos de dispositivos, limita la consulta a los dispositivos contenidos en los grupos seleccionados. Si no selecciona ningn grupo, la consulta ignorar la pertenencia al grupo. Seleccione las columnas: Permite agregar y quitar columnas que aparecen en la lista de resultados de la consulta. Seleccione un componente y, a continuacin, haga clic con el botn de flecha derecha para agregarlo a la lista de columnas. Puede editar manualmente el texto de alias y orden; los cambios realizados aparecern en la lista de resultados de consultas. Calificador: El botn Calificador se utiliza para limitar los resultados de las relaciones de uno a varios en la base de datos; sin l, el mismo equipo figura varias veces en la lista en el conjunto de resultados. Por ejemplo, si desea consulta la versin de Microsoft Word que se encuentra instalada en cada equipo de la organizacin, inserte Computer.Software.Package.Name = 'Microsoft Word' en el cuadro de consulta y seleccionar Computer.Software.Package.Version en la lista Seleccionar columnas. No obstante, si solamente se lista la versin de software, se mostrar cada versin de cada programa de software instalado en cada equipo; lo cual quiz no desea. La solucin consiste en limitar (o calificar) la versin a Microsoft Word solamente. Haga clic en el botn Calificar, para insertar Computer.Software.Package.Name = 'Microsoft Word'. Se devolvern solamente las versiones de Microsoft Word.
326
Guardar: Guarda la consulta actual. Al guardar una consulta antes de ejecutarla, la consulta se almacena en la base de datos central y permanece en ella hasta que se elimine de forma explcita.
Las instrucciones se ejecutan en el orden mostrado Si no se realizan agrupaciones, las instrucciones de consulta enumeradas en el cuadro de dilogo se ejecutan en su totalidad. Asegrese de agrupar los elementos de consulta relacionados para que se evalen como grupo; de lo contrario, los resultados de la consulta pueden ser diferentes a los esperados.
Ejecucin de consultas de base de datos

Para ejecutar una consulta 1. 2. 3. En la vista de red, expanda los grupos de consultas para localizar la consulta que desea ejecutar. Haga doble clic en la consulta. O bien, haga clic con el botn secundario del mouse y seleccione Ejecutar. Los resultados (dispositivos coincidentes) se muestran en el panel derecho de la vista de red.
Importacin y exportacin de consultas

Puede utilizar la importacin y exportacin para transferir consultas de una base de datos central a otra. Se puede importar: Consultas exportadas de Management Suite 8 Consultas .XML exportadas por la consola Web Consultas .QRY exportadas de Management Suite 6.52, 6.62 y 7.0.
Para importar una consulta 1. 2. 3. 4. Haga clic con el botn secundario del ratn en el grupo de consultas en el que desea situar la consulta importada. Seleccione Importar en el men contextual. Vaya a la consulta que desea importar y seleccinela. Haga clic en Abrir para agregar la consulta al grupo seleccionado en la vista de red.
Para exportar una consulta 1. 2. 3. 4. 5. Haga clic con el botn secundario del ratn en la consulta que desea exportar. Seleccione Exportar en el men contextual. Vaya a la ubicacin en la que desea guardar la consulta (como archivo .XML). Escriba un nombre para la consulta. Haga clic en Guardar para exportar la consulta.
327
MANUAL DE USUARIO
Consultas LDAP
Adems de permitir la consulta de la base de datos central mediante consultas de bases de datos, Management Suite tambin proporciona la herramienta Administrador de directorios, la cual permite ubicar, tener acceso y administrar dispositivos en otros directorios a travs de LDAP (Protocolo ligero de acceso a directorios). Se pueden realizar consultas en dispositivos en funcin de atributos especficos, como el tipo de procesador o el SO. Asimismo, puede realizar consultas en funcin de atributos de usuario especficos, como el Id. o el departamento de empleado. Si desea informacin sobre la creacin y ejecucin de consultas de bases de datos a partir de los grupos de consultas de la vista de red, consulte"Consultas de base de datos" en la pgina 324. Lea este captulo para obtener informacin sobre: "Configuracin de directorios LDAP" en la pgina 328 "Acerca de la ventana Administrador de directorios" en la pgina 329 "Creacin de consultas de directorio LDAP" en la pgina 330 "Informacin adicional sobre el protocolo ligero de acceso a directorios (LDAP) " en la pgina 332
Configuracin de directorios LDAP

Utilice la herramienta de configuracin Administrador de directorios para administrar los directorios LDAP que usa con LANDesk Management Suite. El servidor, nombre de usuario y contrasea de LDAP que ingrese se guardarn y usarn cuando explore o ejecute consultas en el directorio. Si cambia la contrasea del usuario configurado en el directorio LDAP, tambin debe cambiar la contrasea aqu. NOTA: La cuenta que configure aqu debe ser capaz de leer los usuarios, equipos y grupos que use para la administracin con LDMS.
Acceso a la herramienta de configuracin Administrador de directorios

Para acceder a la herramienta de configuracin Administrador de directorios, seleccione Configurar | Administrar Directorios.
Para configurar un directorio nuevo

1. 2. 3. Haga clic con el botn secundario en cualquier lugar de la vista de listas Administrar directorios y seleccione Administrar directorio nuevo Ingrese el nombre DNS del servidor de directorio en el campo LDAP:// Escriba el nombre de usuario y la contrasea
328
NOTA: Si est usando Active Directory, ingrese el nombre como <nombre-dedominio>\<nombre-de-usuario-nt> NOTA: Si est usando otro servicio de directorio, ingrese el nombre exclusivo de usuario 4. Haga clic en Aplicar o en Aceptar para guardar la informacin. La informacin que ingrese se verifica en el directorio antes de que se cierre el cuadro de dilogo
Modificacin de una configuracin de directorio existente

1. 2. 3. Haga doble clic en la entrada de directorio que desea modificar, o clic con el botn secundario y seleccione Propiedades Modifique el servidor, nombre de usuario o contrasea como lo desee Haga clic en Aplicar o en Aceptar para guardar la informacin. La informacin se verifica en el directorio antes de que se cierre el cuadro de dilogo
Eliminacin de una configuracin de directorio existente

1. 2. Haga clic con el botn secundario en la entrada de directorio que desea eliminar Seleccione Quitar directorio administrado
NOTA: Cuando se quite el directorio, se eliminarn todas las consultas LDAP que lo estn usando.
Acerca de la ventana Administrador de directorios

Utilice el administrador de directorios para realizar las tareas siguientes: Administrar directorio: Abre el cuadro de dilogo Propiedades del directorio en el que se identifica y se inicia una sesin en un directorio LDAP. Quitar directorio: Quita el directorio seleccionado del panel de vista previa y deja de administrarlo. Actualizar vista: Vuelve a cargar la lista de directorios administrador y usuarios de destino. Nueva consulta: Abre el cuadro de dilogo Consulta LDAP en el que podr crear y guardar un consulta LDAP. Eliminar consulta: Elimina la consulta seleccionada. Ejecutar consulta: Genera los resultados de la consulta seleccionada. Propiedades del objeto: Consulte las propiedades del objeto seleccionado.
Con el Administrador de directorios, puede arrastrar los grupos LDAP y las consultas LDAP guardadas y soltarlas en las tareas programadas, convirtindolas en destinos de tareas. La ventana Administrador de directorios consta de dos paneles: un panel de directorios a la izquierda y un panel de vista previa a la derecha.
329
MANUAL DE USUARIO
Panel de directorios
Este panel muestra todos los directorios y usuarios registrados. Como administrador, puede especificar el nombre de un directorio registrado y ver una lista de consultas asociadas a dicho directorio. Puede crear y guardar consultas nuevas para un directorio registrado con un clic del botn secundario del mouse o utilizando los mens desplegables. Tras crear una consulta, puede arrastrar y colocarla en la ventana Tareas programadas de APM para aplicar la tarea a los usuarios que cumplan con los criterios de la consulta.
Panel de vista previa

Al seleccionar una consulta guardada en el panel de directorios del administrador de directorios en el lado izquierdo del cuadro de dilogo, las directivas dirigidas a dicha consulta aparecen en el panel de vista previa en el lado derecho. Asimismo, al seleccionar un usuario LDAP individual en el panel de directorios, las directivas dirigidas a dicho usuario aparecen en el panel de vista previa. Directorio registrado: Elemento de grupos de consultas y exploracin. Grupos de consultas: Consultas asociadas al directorio. Consulta: Proporciona informacin detallada de la consulta. Elementos de exploracin y directorio: Subelementos del directorio.
Creacin de consultas de directorio LDAP

Para crear y guardar una consulta de directorio La tarea de creacin de una consulta de un directorio y su almacenamiento se divide en dos procedimientos: Para seleccionar un objeto en el directorio LDAP e iniciar una consulta nueva 1. 2. Haga clic en Herramientas | Distribucin | Administrador de directorios. Vaya al panel de directorios del Administrador de directorios y seleccione un objeto en el directorio LDAP. Crear una consulta LDAP que devuelva resultados desde este punto en el rbol de directorio. En el administrador de directorios, haga clic en el botn de la barra de herramientas Nueva consulta. Observe que este icono slo aparece al seleccionar la organizacin raz (o) del rbol de directorio (o=mi empresa) o una unidad organizacional (o=ingeniera) en la organizacin raz. De lo contrario, aparecer atenuado. Aparecer el cuadro de dilogo Consulta LDAP bsica.
3.
4.
Para crear, probar y guardar la consulta 1. 2. 3. 4. En el cuadro de dilogo Consulta LDAP bsica, haga clic en el atributo que servir de criterio para la consulta en la lista de atributos de directorio (ejemplo = departamento). Haga clic en un operador de comparacin para la consulta (=, <=, >=). Escriba un valor para el atributo (ejemplo departamento = ingeniera). Para crear una consulta compleja que combine varios atributos, seleccione un operador de combinacin (Y u O) y repita los pasos del 1 al 3 tantas veces como desee.
330
5. 6. 7.
Tras crear la consulta, haga clic en Insertar. Para probar la consulta completada, haga clic en Probar consulta. Para guardar la consulta, haga clic en Guardar. La consulta guardada aparecer por nombre en Consultas guardadas en el panel de directorios del administrador de directorios.
Acerca del cuadro de dilogo Consulta LDAP bsica

Raz de consulta LDAP: Seleccione un objeto raz en el directorio para esta consulta (LDAP://ldap.xyzcompany.com/ou = America.o = xyzcompany). La consulta que cree devolver los resultados desde este punto en el rbol. Atributos de LDAP: Seleccione los atributos para los objetos de tipo de usuario. Operador: Seleccione el tipo de operacin que desea realizar en relacin un objeto LDAP, sus atributos y los valores de atributo, incluidos igual a (=), menor o igual a (<=) mayor o igual a (>=). Valor: Especifica el valor asignado al atributo de un objeto LDAP. AND/OR/NOT: Operadores booleanos que puede seleccionar para las condiciones de la consulta. Probar consulta: Ejecuta una prueba de la consulta creada. Guardar: Guarda la consulta creada por nombre. Avanzada: Crea una consulta utilizando elementos de una consulta LDAP bsica pero de forma libre. Insertar: Inserta una lnea de criterios de consulta. Eliminar: Elimina la lnea de criterios seleccionada. Borrar todo: Borra todas las lneas de criterios de bsqueda.
Acerca del cuadro de dilogo Guardar consulta LDAP

En el cuadro de dilogo Consulta LDAP bsica, haga clic en Guardar para abrir el cuadro de dilogo Guardar consulta LDAP, que muestra lo siguiente: Escriba un nombre para la consulta: Permite elegir un nombre para la consulta creada. Raz de consulta LDAP de detalles: Permite crear una consulta utilizando elementos de una consulta LDAP bsica pero de forma libre. Consulta LDAP de detalles: Muestra los ejemplos de consulta que se pueden utilizar como gua para crear una consulta propia de forma libre. Guardar: Permite guardar la consulta creada por nombre. La consulta se guarda en Consultas guardadas en la entrada del directorio LDAP en el panel de directorios del administrador de directorios.
Acerca del cuadro de dilogo Propiedades del directorio

En la barra de herramientas del administrador de directorios, haga clic en el botn de la barra de herramientas Administrar directorio para abrir el cuadro de dilogo Propiedades del directorio. Este cuadro de dilogo permite iniciar la administracin de un directorio nuevo o verlas propiedades del directorio administrado actual. Este cuadro de dilogo tambin muestra la URL al servidor LDAP y la informacin de autenticacin requerida para la conexin al directorio LDAP:
331
MANUAL DE USUARIO
URL del directorio: Permite especificar el directorio LDAP que se desea administrar. Ejemplo de un directorio LDAP con la sintaxis correcta: ldap.<empresa>.com. Por ejemplo, puede escribir ldap.xyzcompany.com. Autenticacin: Iniciar sesin como el usuario siguiente (es decir, se especifica una ruta y nombre de usuario y la contrasea de usuario).
Acerca del cuadro de dilogo Consulta LDAP avanzada

En el cuadro de dilogo Consulta LDAP bsica, haga clic en Avanzada para abrir el cuadro de dilogo Consulta LDAP avanzada, que muestra lo siguiente: Raz de consulta LDAP: Permite seleccionar un objeto raz en el directorio para esta consulta. La consulta que cree devolver los resultados desde este punto en el rbol. Consulta LDAP: Permite crear una consulta utilizando elementos de una consulta LDAP bsica pero de forma libre. Ejemplos: Muestra los ejemplos de consulta que se pueden utilizar como gua para crear una consulta propia de forma libre. Probar consulta: Permite ejecutar una prueba de la consulta creada.
El cuadro de dilogo Consulta LDAP avanzada aparece al seleccionar una consulta creada para su edicin. Asimismo, si selecciona un grupo LDAP en el administrador de directorios y elige una consulta desde ese punto, el cuadro de dilogo Consulta LDAP avanzada aparece con una consulta predeterminada que devuelve los usuarios que son miembros del grupo. No puede modificar la sintaxis de esta consulta predeterminada, slo guardarla.
Informacin adicional sobre el protocolo ligero de acceso a directorios (LDAP)

LDAP es un protocolo estndar de acceso y visualizacin de informacin sobre usuarios y dispositivos. Este protocolo permite organizar y almacenar esta informacin en un directorio. Los directorios LDAP son dinmicos en tanto que se pueden actualizar si es necesario, y son distribuidos, lo que los protege de un nico punto de error. Entre los directorios LDAP ms habituales se incluyen Novell Directory Services* (NDS) y Microsoft Active Directory Services* (ADS). Los ejemplos siguientes muestran consultas LDAP que se pueden utilizar para buscar en el directorio: Obtener todas las entradas: (objectClass=*) Obtener entradas que contengan 'pedro' en el nombre comn: (cn=*pedro*) Obtener entradas con un nombre comn mayor o igual a 'pedro': (cn>='pedro') Obtener todos los usuarios con un atributo de correo electrnico: (&(objectClass=user)(email=*)) Obtener todas las entradas de usuario con un atributo de correo electrnico y un apellido igual a 'hernndez': (&(sn=hernndez)(objectClass=user)(email=*)) Obtener todas las entradas de usuario con un nombre comn que empiece por 'jos', 'carlos' o 'gloria': (&(objectClass=User) (| (cn=jos*)(cn=carlos*)(cn=gloria*))) Obtener todos las entradas sin un atributo de correo electrnico: (!(correo electrnico=*))
332
sta es la definicin formal del filtro de bsqueda (RFC 1960): <filter> ::= '(' <filtercomp> ')' <filtercomp> ::= <and> | <or> | <not> | <item> <and> ::= '&' <filterlist> <or> ::= '|' <filterlist> <not> ::= '!' <filter> <filterlist> ::= <filter> | <filter> <filterlist> <item> ::= <simple> | <present> | <substring> <simple> ::= <attr> <filtertype> <value> <filtertype> ::= <equal> | <approx> | <ge> | <le> <equal> ::= '=' <approx> ::= '~=' <ge> ::= '>=' <le> ::= '<=' <present> ::= <attr> '=*' <substring> ::= <attr> '=' <initial> <any> <final> <initial> ::= NULL | <value> <any> ::= '*' <starval> <starval> ::= NULL | <value> '*' <starval> <final> ::= NULL | <value>
El token <attr> es una cadena que representa un elemento AttributeType. El token <value> es una cadena que representa un elemento AttributeValue cuyo formato se define por el servicio de directorio subyacente. Si un valor debe contener uno de los caracteres * o ( o ), preceda el carcter del carcter de escape de barra oblicua (\).
333
MANUAL DE USUARIO
Administracin del inventario

LANDesk emplea una utilidad de rastreo de inventario para agregar dispositivos a la base de datos central y recopilar datos del hardware y software de dispositivos. Puede visualizar, imprimir y exportar datos de inventario. Se puede adems utilizar para definir consultas, agrupar dispositivos y generar informes especializados. Lea este captulo para obtener informacin sobre:
Inventario
"Introduccin al rastreo de inventario" en la pgina 334 "Visualizacin de datos del inventario" en la pgina 336 "Seguimiento de cambios del inventario" en la pgina 338 "Creacin de formularios de datos personalizados" en la pgina 340 "Uso de un servidor de inventario diferente al servidor central" en la pgina 343
Nota: Para obtener ms informacin sobre la ejecucin del rastreador de inventario, as como consejos para la solucin de problemas del rastreador, consulte Appendix A: Additional inventory operations and troubleshooting
Introduccin al rastreo de inventario

Recopila datos del hardware y software y lo introduce en la base de datos central. Al configurar un dispositivo con la herramienta de configuracin de agentes, el rastreador de inventario es uno de los componentes del agente LANDesk estndar que se instala en el dispositivo. El rastreador de inventario se ejecuta automticamente cuando el dispositivo se configura por primera vez. Un dispositivo se considera administrado una vez que enva un rastreo de inventario a la base de datos central. El ejecutable del rastreador se llama LDISCN32.EXE y es compatible con los dispositivos de Macintosh, Linux y Windows 95/98/NT/2000/2003/XP. Existen dos tipos de rastreos de inventario: Rastreo de hardware: los rastreos de hardware realizan un inventario del hardware en los dispositivos administrados. Los rastreos de hardware se ejecutan rpidamente. Puede configurar el intervalo de rastreo de hardware en una configuracin de agente (Herramientas | Configuracin | Configuracin de agentes) para implementarla en los dispositivos administrados. De forma predeterminada, los rastreos de hardware se ejecutan cada vez que se inicia el dispositivo. Rastreo de software: Los rastreos de software realizan un inventario del software en los dispositivos administrados. Estos rastreos toman ms tiempo que los rastreos de hardware. Los rastreos de software podran tomar algunos minutos, segn la cantidad de archivos del dispositivo administrado. De forma predeterminada, el rastreo de software se ejecuta una vez al da, independientemente de la frecuencia con que se ejecuta el rastreador de inventario en el dispositivo. Puede configurar el intervalo de rastreo de software en la ficha Herramientas | Servicios | Inventario.
334
Para rastrear un dispositivo a peticin, localcelo en la vista de red y en el men de acceso directo del dispositivo haga clic en Rastreo de Inventario. Nota: Un dispositivo agregado a la base de datos central mediante la funcin de deteccin an no ha rastreado los datos de su inventario en dicha base de datos. Deber ejecutar un rastreo de inventario en cada dispositivo para que aparezcan todos los datos de dicho dispositivo. Puede ver los datos de inventario y utilizarlos para: personalizar las columnas de vista de red para mostrar atributos especficos del inventario consultar la base de datos central acerca de los dispositivos con atributos especficos del inventario Agrupar dispositivos para acelerar tareas de administracin, como la distribucin de software Generar informes especializados segn los atributos del inventario
Puede utilizar rastreos de inventario para realizar un seguimiento de los cambios de hardware y software en los dispositivos, as como para generar alertas o entradas en el archivo de registro cuando dichos cambios se produzcan. Para obtener ms informacin, consulte "Seguimiento de cambios del inventario" en la pgina 338. Lea las secciones siguientes para obtener ms datos sobre el funcionamiento del rastreador de inventario.
Rastreo delta
Tras el rastreo completo inicial en un dispositivo, el rastreador de inventario slo captura los cambios delta y los enva a la base de datos central. Al enviar solamente los datos cambiados, se minimiza el tiempo de trfico de red y de procesamiento de datos.
Rastreo completo obligatorio

Si desea forzar un rastreo completo de los datos de hardware o software de un dispositivo, elimine el archivo de rastreo delta existente y cambie una opcin en el subprograma Configuracin de servicios de LANDesk Software. 1. Elimine el archivo invdelta.dat del servidor. El sistema almacenar de forma local una copia del ltimo rastreo de inventario en el archivo oculto invdelta.dat. La variable del entorno LDMS_LOCAL_DIR determina la ubicacin de este archivo. De forma predeterminada se ubica en C:\Archivos de programa\LANDesk\LDClient\Informacin. Agregue la opcin /sync a la lnea de comandos de la utilidad de rastreo de inventario. Para editar la lnea de comandos, haga clic en Inicio | Todos los programas | LANDesk Management, haga clic con el botn secundario del ratn en el icono de acceso directo Rastreo de inventario y seleccione Propiedades | Acceso directo y, a continuacin, edite la ruta Destino. En el servidor central, haga clic en Inicio | Todos los programas | LANDesk |Configuracin de servicios de LANDesk . Haga clic en la ficha Inventario y luego en Configuracin avanzada. Haga clic en la opcin Crear delta. En el cuadro Valor escriba 0. Haga clic en Aceptar dos veces y haga clic en S cuando se presente el indicador a fin de reiniciar el servicio.
335
2.
3. 4. 5. 6.
MANUAL DE USUARIO
Compresin del rastreo

De forma predeterminada, los rastreos de inventario realizados por el rastreador de inventario de Windows (LDISCAN32.EXE) se comprimen. El rastreador comprime los rastreos completos y delta, utilizando una tasa de compresin de 8:1. En primer lugar, los rastreos se generan completamente en memoria; a continuacin, se comprimen y se envan al servidor central utilizando un tamao de paquete mayor, por lo que requiere un menor nmero de paquetes y se reduce el uso del ancho de banda.
Cifrado del rastreo

Los rastreos de inventario se cifran (slo los rastreos de TCP/IP). Para desactivar el cifrado del rastreo de inventario, cambie una opcin en el subprograma Configuracin de servicios de LANDesk. 1. 2. 3. 4. 5. En el servidor central, haga clic en Inicio | Todos los programas | LANDesk |Configuracin de servicios de LANDesk . Haga clic en la ficha Inventario y luego en Configuracin avanzada. Haga clic en la opcin Deshabilitar cifrado. En el cuadro Valor escriba 1. Haga clic en Establecer y luego en Aceptar. Haga clic en Aceptar y haga clic en S cuando se presente el indicador a fin de reiniciar el servicio.
Transporte de datos cifrados

En la ficha Configurar | Servicios | Inventario, existe la opcin Transporte de datos cifrados. Esta opcin ocasiona que los rastreos de dispositivos se enven al servidor central mediante SSL. Debido a que los archivos se envan a travs del servicio Web y no de la interfaz del servicio de inventario, no se anexa una direccin NAT al archivo de rastreo, aunque dicha opcin est activada en el registro.
Visualizacin de datos del inventario

Una vez que se haya rastreado un dispositivo mediante el rastreador de inventario, puede visualizar la informacin del sistema en la consola. Los inventarios del dispositivo se almacenan en la base de datos central; incluyen hardware, controladores de dispositivos, software, memoria e informacin del entorno. Puede utilizar el inventario para ayudar en la administracin y configuracin de dispositivos, as como para identificar rpidamente problemas del sistema. Puede visualizar datos de inventario de las formas siguientes: "Visualizacin de un inventario resumen" en la pgina 337 "Visualizacin de un inventario completo" en la pgina 337
Puede adems visualizar datos de inventario en los informes que genere. Para obtener ms informacin, consulte "Informes" en la pgina 345.
336
Visualizacin de un inventario resumen

El inventario resumen se encuentra en la pgina de propiedades del dispositivo y proporciona una vista rpida de la informacin del sistema y la configuracin bsica del sistema operativo en el dispositivo. El resumen tambin muestra la fecha y hora del ltimo rastreo de inventario, de modo que podr saber si los datos son actuales. Nota: Si ha agregado un dispositivo a la base de datos central utilizando la herramienta de deteccin, los datos de su inventario an no se han rastreado en la base de datos central. Debe ejecutar un rastreo de inventario en el dispositivo para que la funcin de inventario resumen finalice correctamente. Para ver el inventario resumen: 1. 2. En la vista de red de la consola, haga clic con el botn derecho del ratn en un dispositivo. Haga clic en la ficha Propiedades | Inventario.
Los datos del inventario resumen difieren para los dispositivos con Windows NT/2000/2003/XP y con Windows 95/98.
Visualizacin de un inventario completo

Un inventario completo proporciona una lista entera de los componentes detallados de hardware y software de un dispositivo. Dicha lista contiene objetos y atributos de objeto. Para ver un inventario completo: 1. 2. En la vista de red de la consola, haga clic con el botn derecho del ratn en un dispositivo. Haga clic en Inventario.
Para obtener informacin detallada, consulte Inventory help.
Visualizacin de las propiedades de atributos

En la lista de inventario, puede ver las propiedades de los atributos de los objetos de inventario de un dispositivo. Estas propiedades le informarn de las caractersticas y valores de un objeto de inventario. Puede adems crear atributos personalizados y editar otros definidos por el usuario. Para ver las propiedades de un atributo, haga doble clic en l. Para obtener ms informacin, consulte Inventory help.
337
MANUAL DE USUARIO
Seguimiento de cambios del inventario

LANDesk puede detectar y registrar cambios en el hardware y software del dispositivo. Con el seguimiento de los cambios en el inventario, podr controlar los activos de red. La configuracin de dichos cambios le permiten seleccionar los tipos de cambios que desea guardar y con qu nivel de gravedad. Los cambios seleccionados se pueden guardar en un registro del historial de inventario, el registro de eventos de Windows del servidor central o se pueden enviar como una alerta AMS. Puede ver e imprimir el historial de un dispositivo con los cambios del inventario. Asimismo, puede exportar los cambios del inventario a un archivo con formato .CSV, a fin de analizarlo, mediante sus propias herramientas de informe. Para realizar un seguimiento y utilizar los cambios del inventario, primero debe configurarlos. Podr realizar las dems tareas del historial de cambios de inventario: "Configuracin de los cambios de un inventario" en la pgina 338 "Visualizacin, impresin y exportacin de los cambios de un inventario" en la pgina 338
Configuracin de los cambios de un inventario

Nota: en primer lugar, debe realizar esta configuracin si desea ver, imprimir o exportar los cambios en un inventario de cualquier dispositivo de la red. Para configurar los cambios de un inventario: 1. 2. Haga clic en Configurar | Historial de inventario. En el cuadro de dilogo Configuracin de cambios del inventario, expanda el objeto Equipo de la lista Inventario actual y seleccione el componente del sistema del que desea realizar un seguimiento. En la lista Registrar los eventos en, seleccione el atributo del componente del que desea realizar un seguimiento. Active la casilla adecuada para especificar en dnde registrar un cambio en dicho atributo. Los cambios de inventario se pueden registrar en el registro de historial correspondiente, el registro del visor de eventos de Windows NT o como una alerta AMS. Elija un nivel de gravedad en la lista desplegable Registro/gravedad de alertas. Entre los niveles de gravedad, se encuentran: Ninguno, Informacin, Advertencia y Crtico. Haga clic en Aceptar.
3. 4.
5. 6.
Para obtener ms informacin, consulte Inventory help.
Visualizacin, impresin y exportacin de los cambios de un inventario

Para ver, imprimir y exportar los cambios de un inventario: 1. 2. En la vista de red de la consola, haga clic con el botn derecho del ratn en uno o varios dispositivos. Haga clic en Historial de inventario.
338
3. 4.
Haga clic en Imprimir, para imprimir el historial de cambios de inventario. Haga clic en Exportar para guardar el historial de cambios de inventario como un archivo .CSV.
Para obtener ms informacin, consulte Inventory help.
Uso de formularios de datos personalizados

LANDesk incluye una herramienta para formularios de datos personalizados (Herramientas | Formularios de datos personalizados) que puede utilizar para crear y administrar formularios. Estos formularios proporcionan una forma para recopilar informacin de los usuarios y agregarla a la base de datos central. Los formularios de datos personalizados no se admiten en LANDesk Security Suite Los formularios de datos personalizados no estn disponibles con la licencia que solamente incluye LANDesk Security Suite. Debe poseer un licencia completa de LANDesk Management Suite a fin de utilizar la funcin de formularios de datos personalizados. El rastreador de inventario no puede reunir determinado tipo de informacin personalizada especfica del usuario, como por ejemplo: Dnde se encuentra el escritorio de un usuario? Cul es el nmero de activo de un usuario? Cul es el nmero de telfono de un usuario?
La mejor forma de obtener esta informacin es directamente de los usuarios con formularios de datos personalizados. Estos formularios incluyen dos componentes principales: el diseador de formularios que sirve para crear formularios que los usuarios pueden rellenar y el visor de formularios con el que los usuarios rellenan los formularios. Los formularios se pueden almacenar de forma central o local. En el primer caso, todos los usuarios reciben acceso automtico a los formularios ms recientes, puesto que todos ven el mismo desde la misma ubicacin. Si los formularios se almacenan localmente, debe asegurarse de que los usuarios reciben los ms recientes. Una vez que un usuario ha finalizado un formulario, el visor de formularios almacena los resultados localmente en C:\Archivos de programa\LANDesk\LDClient\LDCSTM.DAT. Este archivo contiene los resultados de todos los formularios a los que el usuario ha respondido. Si el usuario necesita alguna vez rellenar el mismo formulario de nuevo (por ejemplo, si se revisa el original), el visor de formularios lo rellena con los datos introducidos anteriormente. El rastreador de inventario toma la informacin del archivo LDCSTM.DAT de cada dispositivo y lo agrega a la base de datos central.
339
MANUAL DE USUARIO
Las bases de datos Oracle distinguen entre maysculas y minsculas Siempre que cree campos personalizados con formularios de datos personalizados (o cualquier otra funcin) en una base de datos Oracle, asegrese de que siempre utiliza maysculas con los nombres de campos. Por ejemplo, los datos asociados con "Ubicacin del cubo" se guardan en una ubicacin distinta de la base de datos que los datos asociados con "Ubicacin del Cubo". . Tambin asegrese de que los nombres de los campos personalizados sean nicos, sin tener en cuenta el uso de maysculas. Es probable que no se recuperen los datos de inventario correctos si existen dos campos personalizados con el mismo nombre, aunque con distinto uso de maysculas. Para obtener ms informacin sobre los formularios de datos personalizados, consulte los siguientes procedimientos: "Creacin de formularios de datos personalizados" en la pgina 340 "Creacin de un grupo de formularios" en la pgina 341 "Configuracin de dispositivos para recibir formularios de datos personalizados" en la pgina 341 "Rellenado de formularios en el dispositivo" en la pgina 342
Creacin de formularios de datos personalizados

Realice los siguientes pasos, a fin de crear un formulario de datos personalizados. Para crear un formulario de datos personalizados: 1. 2. 3. 4. 5. 6. Haga clic en Herramientas | Configuracin | Formularios de datos personalizados. En la ventana del mismo nombre, haga doble clic en Agregar nuevo formulario. Escriba un nombre para el formulario. Escriba una descripcin para el formulario. Haga clic en Agregar para abrir el cuadro de dilogo Agregar pregunta. En este cuadro de dilogo, introduzca en Texto de la pregunta, Nombre del inventario y Descripcin. 7. Seleccione el tipo de control. 8. Elija si desea que se trate de un campo obligatorio. 9. Si ha elegido el tipo de control Edicin, haga clic en Finalizar para cerrar el cuadro de dilogo Agregar pregunta. Este tipo de control permite que los usuarios escriban sus propias respuestas en un cuadro de texto editable. Puede agregar ms preguntas o continuar con el paso 12. 10. Si ha seleccionado alguno de los tipos de control de cuadro combinado, haga clic en Siguiente para abrir el cuadro de dilogo Agregar elementos. Este tipo de control permite que los usuarios seleccionen sus respuestas en una lista desplegable de elementos predefinidos. 11. En el cuadro de dilogo Agregar elementos, introduzca el nombre de un elemento y haga clic en Insertar para colocarlo en la lista Elementos. Dichos elementos aparecen en una lista desplegable para la pregunta correspondiente del formulario. Puede agregar tantos elementos como desee y, a continuacin, hacer clic en Finalizar. 12. Una vez que haya agregado las preguntas, haga clic en Cerrar para guardar el formulario. Puede hacer clic con el botn derecho del ratn en un formulario, a fin de programarlo para su distribucin a dispositivos.
340
Creacin de un grupo de formularios

Si cuenta con varios formularios que desea enviar a dispositivos, puede organizarlos en un grupo. A continuacin, tan slo tiene que programar el grupo de formularios para su distribucin. Se trata de un procedimiento que obviamente no es obligatorio. Si programa un grupo de formularios para su distribucin, el programador local leer el contenido del mismo cuando llegue el momento de distribuirlo. Esto quiere decir que podr cambiar el contenido del grupo incluso despus de programado, siempre que el trabajo no se haya producido. Nota: si un formulario que forma parte de un grupo se modifica o elimina posteriormente, el grupo reflejar dichos cambios automticamente. Para crear un grupo de formularios: 1. 2. 3. 4. En la ventana Formularios de datos personalizados, haga clic en el botn Varios formularios de la barra de herramientas. Escriba un nombre para el grupo . Elija los formularios que desea agregar al grupo en la lista de formularios disponibles. Haga clic en Aceptar.
Puede hacer clic con el botn derecho del ratn en un grupo de formularios, a fin de programarlo para su distribucin a dispositivos.
Configuracin de dispositivos para recibir formularios de datos personalizados

Cuando configure dispositivos, puede hacer que reciban formularios de datos personalizados. Debe elegir instalar el componente de formularios de datos personalizados, as como especificar opciones de los mismos en el cuadro de dilogo de la configuracin del agente. Para obtener ms informacin, consulte Managed device help. En el cuadro de dilogo Configuracin de agentes, deber especificar la forma en que desea actualizar los formularios en el dispositivo: Actualizacin automtica: si todos los formularios se almacenan de forma centralizada (actualizaciones automticas), los usuarios buscarn los nuevos formularios en una nica ubicacin. De este modo, siempre que un nuevo formulario se encuentre disponible, todos los dispositivos que realicen una bsqueda obtendrn acceso inmediato al mismo. La desventaja consiste en que los usuarios encontrarn formularios que no les corresponden. Actualizacin manual: si los formularios se almacenan de forma local (actualizaciones manuales), deber distribuirlos a los usuarios que tengan que rellenarlos. Se producir menor carga de la red, puesto que cada dispositivo contar con una copia propia del formulario. La ventaja de los formularios locales consiste en que se puede limitar los formularios que los usuarios ven a slo aqullos que les corresponden. Los formularios se copian a los dispositivos durante la configuracin de stos o con la herramienta Tareas programadas.
341
MANUAL DE USUARIO
Asimismo, necesitar especificar el momento en que los formularios se mostrarn en el dispositivo: Al iniciar: el visor de formularios del dispositivo busca formularios nuevos o modificados cada vez que se inicia el dispositivo. El visor de formularios se abre una vez que se carga el sistema operativo. La prxima vez que se ejecute el rastreador de inventario, enviar formularios rellenados a la base de datos central. Cuando se ejecute el Rastreador de inventario: el rastreador de inventario inicia el visor de formularios, que busca formularios nuevos o modificados. Una vez que los usuarios han finalizado el formulario y cierran el visor de formularios, el rastreador se cierra y los datos se introducen en la base de datos central. Slo en la carpeta de programa de LANDesk: el visor de formularios se puede abrir de forma manual desde el grupo de programas LANDesk Management Suite. La prxima vez que se ejecute el rastreador de inventario, enviar formularios rellenados a la base de datos central.
Tambin puede utilizar la ventana Tareas programadas para ejecutar el visor de formularios en dispositivos en un momento predefinido. Para ello, utilice la ventana Tareas programadas para que primero distribuya los formularios a los dispositivos. Asegrese de que le proporciona tiempo suficiente a esta distribucin antes de utilizar la funcin de trabajos realizables en secuencia de tareas programadas para ejecutar el visor de formularios.
Rellenado de formularios en el dispositivo

Cuando se ejecuta el visor de formularios en el dispositivo, se muestra una lista de formularios con el estado de cada uno. Nuevo: indica que el usuario nunca ha rellenado el formulario. Completado: indica que el usuario ha abierto el formulario y ha rellenado los campos obligatorios como mnimo. Hacer de nuevo: indica que el usuario ha rellenado este formulario anteriormente, pero que ste ha cambiado desde entonces. El usuario necesita consultarlo de nuevo y realizar los cambios necesarios. Un vez realizada esta tarea, el estado del formulario pasa a ser Completado.
Despus de seleccionar un formulario para completarlo y hacer clic en Abrir, se muestra el asistente de formularios. ste incluye una lista de preguntas y campos para las respuestas. Si hay ms preguntas que no caben en una pgina, utilice los botones Atrs/Siguiente. Mientras el cursor se encuentra en un campo, el usuario puede hacer clic en Ayuda (o presionar F1); se abrir un mensaje de ayuda generado por el campo Descripcin del diseador de formularios. Es necesario responder a todas las preguntas obligatorias antes de pasar a la pgina siguiente o de salir del formulario. Las preguntas obligatorias tienen un punto rojo junto a ellas. La ltima pgina del asistente de formularios incluye el botn Finalizar, haga clic en l cuando haya terminado de rellenar el formulario. Al hacer clic en este botn, se regresar al cuadro de dilogo Seleccin de formularios y se actualizar el mensaje de estado que aparece junto al nombre de los formularios.
342
Uso de un servidor de inventario diferente al servidor central

Generalmente, el servidor central procesa los rastreos de inventario desde los dispositivos administrados. SI le preocupa la demanda que existe este procesamiento de rastreo que est realizando en su servidor central, puede instalar un servidor de inventario diferente al servidor central. Este servidor de inventario en un equipo diferente al servidor central contiene una versin especial del servicio LANDesk Inventory Server que aceptar los rastreos de inventario e insertar los datos del rastreo en la base de datos. Una vez configurado un servidor de inventario diferente al servidor central, cuando el rastreador de inventario de un dispositivo basado en Windows enva un ping al servidor central, el servidor central le solicita al rastreador que enve su archivo de rastreo al servidor diferente al central. EL inventario del servidor diferente al central procesa los rastreos desde los dispositivos basados en Windows. El servidor central procesa los rastreos desde los siguientes dispositivos: Macintosh Linux Unix Dispositivos detrs de la puerta de enlace de administracin Dispositivos que ejecutan las versiones anteriores a la 8.7 del rastreo de inventario
El servidor de inventario de un equipo diferente al servidor central tiene estos requisitos de sistema: Microsoft Windows 2000 Server SP4, Microsoft Windows 2000 Advanced Server SP4, Microsoft Windows 2003 Standard Server, Microsoft Windows 2003 Enterprise Server, Windows XP Professional SP1 .NET Framework 1.1 ASP.NET 1.1 MDAC 2.8 o superior Privilegios de administrador No se puede instalar en un servidor central o en un servidor central de resumen Si el dispositivo se encuentra detrs de un servidor de seguridad, necesitar abrir el puerto 5007
ADVERTENCIA: No utilice la opcin Transporte de datos cifrados con los servidores de inventario de un equipo diferente al servidor central La ficha Inventorydel cuadro de dilogo Configurar servicios de LANDesk Softwaretiene la opcin un Transporte de datos cifrados. El transporte cifrado no es compatible con los servidores de inventario de un equipo diferente al servidor central. Si utiliza un servidor de inventario de un equipo diferente al servidor central, asegrese de que esta opcin se encuentre deshabilitada.
343
MANUAL DE USUARIO
Para instalar un servidor de inventario diferente al servidor central 1. Desde el dispositivo que desea que sea el servidor de inventario diferente al central, asigne una unidad al recurso compartido LDMAIN del servidor central y ejecute \Install\Off-Core Inventory Server\Setup. Esto instala un servidor de inventario diferente al servidor central Cuando finaliza la instalacin, se le solicitar que reinicie. Reinicie para finalizar la instalacin. En el servidor central, haga clic en Inicio | Programas | LANDesk |Configuracin de servicios de LANDesk . En la ficha Inventario, haga clic en Configuracin avanzada. Haga clic en la opcin Servidor de inventario diferente al servidor central. En el cuadro Valor ingrese el nombre del equipo del servidor de inventario diferente del central y haga clic en Establecer. Haga clic en Aceptar y en la ficha Inventario haga clic en Reiniciar para reiniciar el servicio de inventario. Vaya al servidor diferente del central y en el subprograma Servicios del Panel de control reinicie el servicio Servidor de inventario de LANDesk. En este momento, el dispositivo basado en Windows rastrea el servidor de inventario diferente del servidor central.
2. 3. 4. 5. 6. 7. 8.
Nota: En cualquier momento que desee realizar cambios en la ficha Inventario del cuadro de dilogo Configurar servicios para LANDesk Software, necesitar reiniciar el servicio Servidor de inventario LANDesk tanto en el servidor central como en el que es diferente. Al reiniciar el servicio del servidor de un equipo diferente al servidor central se cargarn los cambios de configuracin realizados.
344
Informes
La herramienta de elaboracin de informes se utiliza para generar una gran variedad de informes especializados que brindan informacin crtica sobre los dispositivos de la red. Lea este captulo para obtener informacin sobre: "Introduccin a los informes" en la pgina 345 "Informes y grupos de informes" en la pgina 345 "Ejecucin y visualizacin de informes" en la pgina 347 "Publicacin de informes" en la pgina 348 "Creacin de informes personalizados" en la pgina 352 "Uso del diseador de informes" en la pgina 353 "Importacin y exportacin de informes" en la pgina 358 "Creacin de archivos .CSV" en la pgina 358
Introduccin a los informes

La herramienta de elaboracin de informes hace uso eficaz de la utilidad de rastreo de inventario, la cual recopila y organiza los datos de hardware y software, a fin de producir informes tiles, informativos y actualizados. Puede utilizar los informes de servicio e inventario estndar (predefinidos) o bien, crear sus propios informes personalizados (consulte"Creacin de informes personalizados" en la pgina 352). Los informes predefinidos se proporcionan de forma predeterminada con la aplicacin. Los informes personalizados permiten definir un conjunto nico de informacin con la cual se genera el informe. Se ejecutan los parmetros predefinidos o personalizados y se genera un informe que contiene los datos relevantes, los cuales pueden visualizarse en la consola. Adems, puede programar informes para que se publiquen y guarden en disco o en una ubicacin de almacenamiento de archivo segura de la red para que cualquier usuario con las credenciales de inicio de sesin debidas tenga acceso a los informes y pueda verlos. Puede programar el envo de los informes publicados por correo electrnico a los recipientes designados en funcin de sus derechos y mbitos.
Informes y grupos de informes

Los informes se organizan en grupos en la ventana Informes (Herramientas | Informacin / Monitoreo | Informes). Los administradores pueden ver el contenido de todos los grupos de informes. Los usuarios con derecho de Informes tambin pueden ver, ejecutar y publicar informes, pero slo en los dispositivos incluidos en su mbito. El panel situado a la derecha de la ventana Informes muestra una vista jerrquica de los siguientes grupos de informes:
345
MANUAL DE USUARIO
Mis informes
Muestra una lista de los informes (y grupos de informes) que ha agregado a su grupo Mis informes. Por lo general son informes que ejecuta de forma regular y que ha organizado para su propio uso. Pueden ser informes predefinidos o personalizados. Los informes se ejecutan en el mbito de usuario que ha iniciado una sesin. El administrador tiene acceso a los grupos de informes de cada uno de los usuarios y puede agregar y eliminar informes (consulte"Informes de usuarios" en la pgina 347 ).
Todos los informes personalizados

Muestra una lista de todos los informes personalizados del servidor central, incluso los creados o importados por usted u otro usuario. Para obtener ms informacin, consulte "Creacin de informes personalizados" en la pgina 352.
Informes estndar
Brinda una lista de informes predefinidos que se incluyen con la aplicacin. Los informes se encuentran previamente formateados, contienen propiedades de consulta y tipos de grficos asignados, y estn listos para utilizarse. Archivos histricos de Management Suite Ofrece una lista de los archivos histricos que se ejecutan en el sistema. Los archivos de registro proporcionan informacin de estado sobre diversos servicios, tareas, acciones o eventos que se han ejecutado en la red. Los archivos histricos incluyen el estado de los mtodos de entrega, de los clientes de multidifusin y de los representantes de subred, la tasa de aciertos de la implementacin de SO, el estado de las tareas programadas, etc. Nota: Por lo general, los archivos histricos se almacenan en el directorio \LANDesk\ManagementSuite\log. Puede especificar otra ubicacin de directorio durante la instalacin o cambiar la ruta. Informes de inventario Muestra una lista de todos los informes de inventario predefinidos. Los informes de inventario brindan informacin sobre los dispositivos de la red, lo cual incluye qu dispositivos se han asignado a los usuarios, el software que se ejecuta en los dispositivos, la forma en que se utilizan los dispositivos, el tipo de hardware, el uso de la memoria, la capacidad de carga, las especificaciones, etc. Informes de monitoreo de licencias de software Muestra todos los informes predefinidos de monitoreo de licencia de software. Los informes brindan informacin sobre el tipo de software que se utiliza, la frecuencia de uso, las tasas de volumen y las instancias de denegacin a fin de monitorear el uso y garantizar el cumplimiento de los contratos de licencia de software.
346
Nota: Los informes de monitoreo de licencia de software no estn limitados por el mbito de usuario. Informes de control remoto Muestra una lista de todos los informes de control remoto predefinidos. Los informes mantienen un historial del uso del control remoto segn el cliente, la consola, el equipo, la duracin, etc. Informes de dispositivos no administrados Muestra todos los informes predefinidos de deteccin de dispositivos no administrados. Los informes brindan informacin sobre los dispositivos no administrados, lo cual incluye el tipo de dispositivo, la ubicacin en la red, los agentes aplicados, etc. Informes del Administrador de Seguridad y Revisiones Muestra una lista de todos los informes del Administrador de Seguridad y Revisiones. Los informes proveen informacin sobre vulnerabilidades, spyware, amenazas de seguridad, aplicaciones bloqueadas, actualizaciones de LANDesk, definiciones personalizadas, etc. Los informes se pueden producir en funcin del tipo de dispositivo, fechas, ubicaciones y otros criterios.
Informes de usuarios
Muestra todos los informes de los usuarios individuales, organizados en subgrupos por usuario. A los subgrupos de usuarios se les asigna un nombre compuesto por los ID de inicio de sesin del usuario, por ejemplo, nombre de equipo\cuenta de usuario o dominio\cuenta de usuario. Cada grupo de usuarios incluye los informes que aparecen en el grupo Mis informes de dicho usuario. Al igual que sucede con los grupos Dispositivos de usuario y Consultas de usuarios, SLO los usuarios con derechos de administrador de LANDesk podrn ver el grupo Informes de usuarios. Los administradores pueden acceder al grupo de informes del usuario para ejecutar los informes del mbito del usuario como si fuesen dicho usuario. De este modo, el administrador puede obtener la vista previa exacta de los resultados que el usuario puede ver al ejecutar un informe.
Ejecucin y visualizacin de informes

Los informes se ejecutan en la ventana de la herramienta Informes. Para ello, haga doble clic en el informe o bien, haga clic con el botn secundario en el informe y seleccione Ejecutar. Si se le solicita, seleccione el criterio de informacin relevante, y luego en Aceptar. Los datos del informe aparecen en el Visor de informes (Consulte"Visor de informes" en la pgina 348). Puede adems ejecutar informes de inventario en un dispositivo de la vista de red. En la vista de red, haga clic con el botn derecho del ratn en el dispositivo para el que desee ejecutar un informe, haga clic en Ejecutar informe de inventario y haga doble clic en el informe que desea ejecutar. Si se le solicita, seleccione el criterio de informacin relevante, y luego en Aceptar. Los datos del informe aparecen en el visor Informes.
347
MANUAL DE USUARIO
Nota: Algunos informes se limitan a una sola seleccin de dispositivos y no se ejecutan si se selecciona ms de uno en la vista de red. Recibe un cuadro de mensaje si el informe no se puede ejecutar en varios dispositivos.
Visor de informes
Una vez que se ejecuta el informe se abre el visor de informes, el cual muestra el informe generado con la informacin especificada. El visor de informes contiene controles que permiten visualizar el informe segn sus preferencias de visualizacin. Tambin puede exportar un informe a partir del visor de informes. La herramienta del visor de informes consiste de lo siguiente: Tabla de contenido: muestra una tabla de contenido del informe, si est disponible. Haga clic en un nodo del rbol para ir a esa ubicacin del informe. Imprimir: abre el cuadro de dilogo de impresin estndar. Copiar: copia el contenido del informe de la pgina seleccionada. Buscar: busca una cadena de texto determinada en todos los datos del informe. Ver una pgina: muestra el informe en una sola pgina. Ver pginas mltiples: muestra el informe en varias pginas, lo cual puede determinarse. Acercar: aumenta el tamao del informe. Alejar: disminuye el tamao del informe. Porcentaje de acercamiento: selecciona el tamao especfico del informe. Pgina anterior: le lleva a la pgina anterior en orden de secuencia (comprese con Retroceder). Pgina siguiente: le lleva a la pgina siguiente en orden de secuencia (comprese con Avanzar). Cuadro Pgina: inserta un nmero de pgina determinado, lo cual le lleva directamente a esa pgina. Retroceder: le lleva a la pgina anterior independientemente del orden numrico. Avanzar: le lleva a la pgina siguiente independientemente del orden numrico. Grfico: determina si se utiliza un grfico (ninguno, de barras o circular), si est disponible. Ordenar: cambia el orden de los detalles del informe en funcin de la columna seleccionada. Exportar: permite la exportacin del informe en formatos HTML, PDF, XLS, DOC y RTF.
Publicacin de informes
La publicacin de un informe permite proporcionar informacin crtica y oportuna sobre los dispositivos de red a una audiencia controlada. Al publicar un informe, ste se guarda en una ubicacin compartida de la red. Los informes pueden hacerse accesibles para la visualizacin (consulte"Uso compartido de informes publicados" en la pgina 350), o pueden enviarse a destinatarios designados (consulte"Envo de informes por correo electrnico" en la pgina 351), aunque no tengan acceso a la aplicacin. Esto permite que el lector consulte el informe a su conveniencia y lo comparta con usuarios que no son de LANDesk. Puede programar los informes para que se publiquen de forma automtica a horas determinadas, al igual que configurarlos para que se vuelvan a ejecutar de forma regular (consulte"Programacin de la publicacin de un informe" en la pgina 350).
348
Nota: los informes no tienen que ejecutarse antes de publicarse. La generacin del informe se realiza durante la publicacin. Esto puede reducir el uso del ancho de banda al publicar un informe de gran tamao que recopila y formatea una cantidad considerable de datos a travs de la red.
Definicin de un usuario predeterminado en el grupo de usuarios Informes LANDesk

Durante la instalacin de LANDesk, se le pide que cree y defina una cuenta de usuario en un grupo de usuarios llamado Informes LANDesk. Este grupo controla los accesos al recurso compartido donde se almacenan los informes publicados. El nombre del grupo de usuarios predeterminado es Informes de LANDesk. Puede cambiar el nombre durante la instalacin. El grupo de usuarios Informes de LANDesk no se puede cambiar despus que se ha instalado la aplicacin. El usuario predeterminado para este grupo se define aqu al especificar un nombre de usuario y contrasea durante la instalacin. Puede borrar esta opcin durante la instalacin, pero si desea poder otorgar acceso a los informes publicados en un recurso compartido de la red, deber definir la cuenta de usuario predeterminada. Enve la informacin de inicio de sesin del usuario predeterminado a los usuarios que no son de LANDesk para darles acceso a los informes publicados. Los usuarios de LANDesk existentes pueden agregarse al grupo de usuarios Informes de LANDesk y utilizar su propia autenticacin o bien, se les puede proporcionar la informacin de usuario predeterminada. Los usuarios de LANDesk se pueden agregar al grupo Informes de LANDesk a travs del entorno de usuarios de Windows NT en el servidor central o mediante cuentas locales (consulteManaging local accounts).
Publicacin de informes
Cuando se publica un informe, se guarda el archivo de informe en alguno de los siguientes formatos: .HTML, .PDF, .XLS, .DOC y .RTF. Para publicar un informe 1. 2. Haga clic en Herramientas | Informacin / Monitoreo | Informes. Ubique el informe que desee publicar, haga clic en el botn derecho en el informe, y luego clic en Publicar.
Nota: NO tiene que ejecutar el informe antes de publicarlo. 3. 4. Si se le solicita, seleccione el criterio de informacin requerido, y luego en Aceptar. En el cuadro de dilogo Publicar Informe, verifique el nombre del informe (puede cambiar este nombre si lo desea), la ubicacin donde se guard el archivo de informe, especifique el formato del archivo, y haga clic en Guardar.
Nota: la ubicacin de almacenamiento predeterminada de los informes publicados es la carpeta ldmain\reports del servidor central. Esta carpeta es el recurso compartido de archivos seguro al que solo el grupo de usuarios de Informes LANDesk tiene acceso.
349
MANUAL DE USUARIO
5.
6.
(Opcional) En el dilogo Informe Publicado, puede hacer clic en Vista previa para verificar que el contenido y el formato del informe antes de enviar la ruta de red del recurso compartido de archivo a los destinatarios. Tambin puede hacer clic en Copiar ruta al portapapeles si desea pegar la ruta completa y el nombre del archivo en otra aplicacin para referencia futura, o directamente en el cuerpo del mensaje de correo electrnico para enviar a cualquiera que desee ver el informe. Haga clic en Cerrar.
Uso compartido de informes publicados

Una vez que se ha publicado un informe en la carpeta de recursos compartidos del servidor central, la audiencia externa podr acceder a ellos si se les ha proporcionado un nombre de usuario y una contrasea vlidos para la autenticacin en recurso compartido de archivo. Distribuya el informe publicado mediante el envo de una ruta de red que seale al informe publicado a los destinatarios deseados. La ruta de red debe contener la ruta completa y el nombre de archivo. Cuando el destinatario intenta el acceso al recurso compartido de archivo, se le solicita un nombre de usuario y una contrasea vlidos para un usuario miembro del grupo de informes LANDesk antes de que pueda abrir y ver los informes. El usuario predeterminado del grupo de usuarios de los Informes LANDesk se define al instalar la aplicacin (consulte"Definicin de un usuario predeterminado en el grupo de usuarios Informes LANDesk" en la pgina 349). Si ha agregado otros usuarios al grupo de Informes LANDesk, ellos pueden utilizar su propio nombre de usuario y contrasea para el acceso al informe publicado.
Programacin de la publicacin de un informe

La automatizacin del proceso de publicacin garantiza que el informe programado est disponible de forma oportuna a la hora especificada. Con la funcin de programacin de informes, no tiene que estar presente para iniciar la publicacin. La configuracin de la publicacin del informe de modo que se repita de forma regular libera recursos valiosos que pueden utilizarse para realizar otras tareas importantes. Esto ofrece informes continuos y fiables. La capacidad para programar en qu momento se publica un informe es de extrema importancia al poner a la disposicin informacin crtica en el momento necesario. Nota: La programacin de la publicacin de informes est limitada a ciertos tipos de informes. Para programar la publicacin de un informe 1. 2. 3. 4. 5. 6. 7. Haga clic en Herramientas | Informacin / Monitoreo | Informes. Haga clic con el botn secundario en el informe que desee programar para su publicacin. Seleccione Programar Publicacin. Se crea una tarea con el nombre del informe bajo Tareas programadas y se resalta la misma. En la ventana Tareas programadas, haga clic con el botn secundario en la tarea y seleccione Propiedades. Bajo Tarea programada, escriba la informacin de programacin deseada. En Destinatarios, seleccione dnde se enviar el informe. Haga clic en Guardar.
350
Envo de informes por correo electrnico

Para enviar un informe por correo electrnico, cree una tarea programada del informe que se va a publicar y especifique los destinatarios deseados. Los informes que configure para el envo por correo electrnico se envan automticamente a los destinatarios cada vez que se ejecute un informe programado. El contenido de los informes se basa en el mbito de los usuarios. Los informes que se envan por correo electrnico tienen el formato .PDF. Debe proporcionar las direcciones de correo electrnico de los destinatarios deseados bajo las propiedades de los usuarios individuales (consulteAbout the user properties dialog). Al proporcionar la direccin de correo electrnico de los usuarios solamente hace que stos puedan recibir el informe. An necesita seleccionarlos como destinatarios en la tarea programada que cree al programar la publicacin de un informe (consulte"Programacin de la publicacin de un informe" en la pgina 350). Las tareas siguientes deben completarse antes de que el informe pueda enviarse por correo electrnico a los destinatarios deseados: "Programacin de la publicacin de un informe" en la pgina 350 "Asignacin de direcciones de correo electrnico a los usuarios" en la pgina 351 "Seleccin de los destinatarios de un informe" en la pgina 351 "Configuracin de SMTP para el envo de un informe por correo electrnico" en la pgina 352
Asignacin de direcciones de correo electrnico a los usuarios

Debe asignar direcciones de correo electrnico a los usuarios para que puedan recibir informes. Una vez asignadas, los nombres de los usuarios estar disponible para seleccionarlos como destinatarios al crear la tarea de programacin de publicacin. Para obtener ms informacin, consulte About the Scheduled task - properties dialog. Para asignar direcciones de correo electrnico a los usuarios 1. 2. 3. 4. Haga clic en Herramientas | Administracin | Usuarios. Haga clic con el botn secundario en el usuario y haga clic en Propiedades. En la ficha Usuario, escriba la direccin de correo electrnico del destinatario del informe. Haga clic en Aceptar.
Seleccin de los destinatarios de un informe

Puede seleccionar los destinatarios del informe. La ubicacin predeterminada es la ubicacin del recurso compartido del servidor central. Seleccione los usuarios a quienes desee enviar el informe por correo electrnico. Para agregar recipientes a la lista, consulte"Asignacin de direcciones de correo electrnico a los usuarios" en la pgina 351. Para obtener ms informacin, consulte About the Scheduled task - properties dialog. Para seleccionar los destinatarios de un informe 1. Haga clic en Herramientas | Distribucin | Tareas programadas.
351
MANUAL DE USUARIO
2.
3. 4. 5.
Ubique la tarea programada del informe que desee enviar por correo electrnico. Recuerde, el informe debe haberse programado previamente para su publicacin (consulte"Programacin de la publicacin de un informe" en la pgina 350). Haga clic con el botn secundario en la tarea del informe y seleccione Propiedades. Bajo Destinatarios, seleccione los usuarios que desee que reciban el informe. Haga clic en Guardar.
Configuracin de SMTP para el envo de un informe por correo electrnico

Se requieren el servidor de correo saliente y el nmero de puerto para que los informes se enven por correo electrnico al realizarse una tarea de programacin de publicacin. Puede probar la configuracin SMTP para validar que se ha configurado correctamente mediante el envo de un mensaje de correo electrnico de prueba a la direccin designada. Para obtener ms informacin, consulte About the Scheduled task - properties dialog. Para configurar SMTP para el envo de un informe por correo electrnico 1. 2. Haga clic en Herramientas | Distribucin | Tareas programadas. Ubique la tarea programada del informe que desee enviar por correo electrnico. Recuerde, el informe debe haberse programado previamente para su publicacin (consulte"Programacin de la publicacin de un informe" en la pgina 350). Haga clic con el botn derecho en el informe y seleccione Propiedades. Bajo Configuracin de SMTP, asegrese de que se hayan especificado el servidor de correo saliente (SMTP), el nmero de puerto, la informacin de inicio de sesin y la direccin de correo electrnico de prueba. Haga clic en Guardar.
3. 4.
5.
Creacin de informes personalizados

Al crear informes personalizados, especifique la informacin que se visualizar y la forma en que se presentar la misma una vez que se ejecute el informe. Cada informe consiste de una consulta (personalizada o predefinida), un diseo (personalizado o predefinido) y una seleccin de grficos (si corresponde). La consulta especificada ocasionar que se extraigan los datos correspondientes de la base de datos y que el informe se rellene al tiempo de ejecucin. El informe se formatea segn el diseo especificado. Se utiliza el diseo predeterminado del informe a menos que elija uno distinto. Puede disear un formato personalizado mediante el diseador de informes (consulte"Uso del diseador de informes" en la pgina 353). En los informes con datos grficos, puede seleccionar una columna de agrupacin y un tipo de grfico predeterminados (circular, de barras o ninguno). Nota: Si desea un informe personalizado con los mismos datos de consulta de un informe predefinido pero con su propio formato, tendr que crear un informe personalizado que utilice los mismos parmetros de consulta y a continuacin, aplicar el formato que desee mediante el diseador de informes.
352
Para crear informes personalizados, haga clic con el botn secundario en Mis informes en la herramienta Informes y seleccione Nuevo informe personalizado. Los administradores tambin pueden crear informes personalizados. Para ello, haga clic con el botn secundario en un usuario del grupo Informes de usuario y seleccione Nuevo informe personalizado. Otro mtodo para crear informes personalizados es directamente a partir de consultas existentes. Para ello, haga clic con el botn secundario en una consulta y seleccione Nuevo informe personalizado. Tambin se puede utilizar el icono Nuevo informe personalizado para crear un informe personalizado. Al crear un informe personalizado, se agrega automticamente al grupo Todos los informes personalizados. Para crear un informe personalizado 1. 2. 3. 4. 5. 6. 7. 8. Haga clic en Herramientas | Informacin / Monitoreo | Informes. Haga clic con el botn secundario en Mis informes y seleccione Nuevo informe personalizado. En el cuadro de dilogo Propiedades del Informe escriba el ttulo del informe, el cual tambin es el ttulo que aparece en el informe al generarlo. Escriba una descripcin del informe, la cual ser la descripcin formal bajo el ttulo del informe final. Haga clic en Seleccionar o en Crear para especificar una consulta. Si desea alterar el diseo y formato del informe, haga clic en Diseo para ejecutar el diseador de informes. Si corresponde, elija el tipo de grfico que desee en el informe. Haga clic en Aceptar.
Uso del diseador de informes

El diseador de informes permite personalizar el diseo y formato de los informes que usted cree a fin de que tengan la apariencia deseada, ya sea para cumplir con las guas de estilo empresariales o para producir informes exclusivos. Las capacidades de diseo y formato del diseador de informes son similares a las de las aplicaciones de autoedicin. Tambin se proporciona la funcionalidad adicional de campos de datos de relacin en el informe, los cuales rellenan el informe con los datos extrados de la base de datos (consulte "Campos de datos" en la pgina 355). Se accede al diseador de informes a partir del cuadro de dilogo Propiedades de informe al crear o modificar un informe personalizado (consulte"Creacin de informes personalizados" en la pgina 352). Nota: Si se cambia el ttulo o la descripcin del informe en el diseador de informes no se cambia el ttulo y la descripcin en el cuadro de dilogo Propiedades de informe. Debe cambiar cada uno de ellos de forma individual. Una vez que ha realizado los cambios en el diseo del informe, guarde el mismo y realice los cambios correspondientes en el cuadro de dilogo. Para obtener ms informacin sobre el diseador de informes, consulte las secciones siguientes: "Diseador de informes" en la pgina 354 "Uso de las plantillas de informe" en la pgina 357
353
MANUAL DE USUARIO
Diseador de informes
Superficie de diseo La superficie de diseo acta como lienzo del informe. El informe se divide en reas de contenido especficas, en orden jerrquico. El encabezado del informe (ReportHeader) es siempre el nodo de nivel ms alto y los detalles (Details) siempre deben ser el nodo de nivel ms bajo. Si inserta un encabezado de grupo (GroupHeader) adicional, al hacer clic con el botn secundario en la superficie de diseo, es probable que tenga que volver a ordenar los grupos, para lo cual tambin debe hacer clic con el botn secundario en la superficie de diseo). Los segmentos del informe se pueden contraer, lo cual facilita el proceso de diseo al mantener una rea de superficie manejable. La cuadrcula le asiste en la colocacin del contenido en la superficie de diseo y se puede activar y desactivar. Herramientas Las herramientas consisten de componentes (objetos) que constituyen los elementos bsicos de los informes. Se colocan en la superficie de diseo a fin de formar la estructura y el diseo del informe. Al insertar los componentes de las herramientas, empezar a crear las bases del informe personalizado. Las herramientas constan de los componentes siguientes: Puntero: selecciona los componentes del informe. Para ello, haga clic en un componente de la superficie de diseo. Una vez que se selecciona el componente, podr aplicar formato adicional, como la redimensin del componente o la aplicacin de varios estilos. Etiqueta: inserta una etiqueta. Haga clic en el cuadro y arrstrelo para definir los lmites de la etiqueta. El texto de la etiqueta se agrega a la seccin propiedades mientras la etiqueta est seleccionada. Caja de texto: inserta un cuadro de texto. Haga clic en el cuadro y arrstrelo para definir los lmites del cuadro de texto. El texto del cuadro de texto se agrega a la seccin propiedades mientras el cuadro de texto est seleccionado. Los cuadros de texto se pueden asociar a los campos de base de datos. Casilla de verificacin: inserta una casilla de verificacin. Haga clic en el cuadro y arrstrelo para definir el ancho y la altura de la casilla de verificacin. Las casillas de verificacin se pueden asociar a los campos de base de datos. Imagen: inserta una imagen cargada de un archivo. Haga clic en el cuadro y arrstrelo para definir el ancho y la altura de la imagen. Se abre un cuadro de dilogo en cual debe seleccionar una imagen para el componente de imagen. Forma: inserta una forma de rectngulo, crculo o cuadrado. Haga clic en la forma y defina el ancho y la altura. Lnea: inserta una lnea. Haga clic en la lnea y arrstrela a la ubicacin deseada. Cuadro de texto enriquecido: inserta un cuadro de texto enriquecido. Haga clic en el cuadro y arrstrelo para definir los lmites del cuadro de texto enriquecido. Al liberar el botn, se abre un cuadro de dilogo que permite seleccionar un archivo RTF. El contenido del archivo RTF se coloca en el cuadro de texto enriquecido. Al hacer clic dentro del cuadro de texto enriquecido se coloca un cursor en el cuadro, lo cual permite aplicar formato a palabras especficas. Los cuadros de texto enriquecido se pueden asociar a los campos de base de datos. Salto de pgina: inserta un salto de pgina.
354
Cdigo de barras: inserta un cdigo de barras. Haga clic en el cdigo de barras y arrstrelo para definir los lmites del componente. Los cdigos de barra se pueden asociar a los campos de base de datos.
Barras de herramientas Las barras de herramientas contienen opciones de formato estndar, e incluyen estilos de texto, fuentes, tamaos de letra, negrita, cursiva, alineacin, vietas, sangras, niveles, etc. Una vez que los componentes se han colocado en la superficie de diseo, el formato se puede aplicar a los componentes, a fin de obtener el aspecto deseado. En la seccin Propiedades se encuentran opciones de formato adicionales. La barra de herramientas contiene algunas herramientas exclusivas en la barra: Aceptar: guarda todos los cambios y cierra el cuadro de dilogo del diseador de informes. Cancelar: cierra el cuadro de dilogo del diseador de informes sin guardar los cambios. Nuevo Informe: borra el informe y proporciona una superficie de diseo en blanco para crear un informe nuevo. No obstante, existen las restricciones de los mismos campos de consulta definidos antes de ejecutar el diseador de informes. Informe generado automticamente basado en consulta: devuelve el diseo del informe al formato original antes de realizar cambios. Permite restaurar el informe al formato original segn la configuracin predeterminada. Configuracin del Informe: permite configurar el informe. La configuracin de informes consta de lo siguiente: Configuracin de Pgina: define los mrgenes del informe. Configuracin de la Impresora: define el tamao del papel, la orientacin de la impresin y otras propiedades de impresin. Estilos: permite crear y editar los estilos de fuente en el informe. Valores Globales: proporciona los controles de la cuadrcula y define la unidad de medida.
Campos de datos Los valores de los campos de datos son alias de los parmetros de consulta que defini antes de abrir el diseador de informes. El campo de datos es un proxy o marcador de posicin que se vincula a un origen de datos. Al ejecutar el informe, el campo de datos se reemplaza con la informacin extrada del origen de datos. Al principio, los campos de datos se colocan automticamente en el informe. Si los ha eliminado o est creando un informe nuevo, puede arrastrar y soltar los campos de datos de nuevo en la superficie de diseo. No se pueden crear campos de datos dentro del diseador de informes. Debe especificar los campos de datos en la consulta antes de ejecutar el diseador (en el cuadro de dilogo Consulta del Informe, haga clic en Seleccione las columnas>>).
355
MANUAL DE USUARIO
Los campos de datos se deben utilizar principalmente en la seccin de detalles (Details) de la superficie de diseo. No obstante, tambin se pueden colocar en las secciones de encabezado de grupo (GroupHeader). Si utiliza campos de datos en la seccin GroupHeader, tambin debe aplicar un campo de datos al GroupHeader mismo a fin de propagarlo y crear instancias de todos los datos consultados. Esto es necesario para agrupar los datos de forma debida. Por ejemplo, se puede utilizar el campo de datos "nombre de dispositivo" que funcione como encabezado, de modo que cuando se ejecute el informe, se inserte como encabezado el nombre de dispositivo de cada dispositivo de la base de datos. Cada encabezado con el nombre de dispositivo estar seguido del contenido designado en la seccin de detalles (el nivel siguiente), lo cual constituye el resto de los campos de datos del informe. En la seccin GroupHeader de la superficie de diseo, se inserta primero el campo de datos deseado. A continuacin, seleccione la etiqueta GroupHeader y cambie el campo de datos de la seccin de contenido (Contents) al mismo campo de datos que insert en el campo de datos. Nota: si especifica un valor de campo de datos que no existen en funcin de la consulta, aparece un cuadro de campo de datos ausente por encima del cuadro de campo de datos. Si hace clic en el valor proporcionado en el cuadro de campo de datos ausente, se selecciona el campo de datos errneo en la superficie de diseo, de modo que sabr cul corregir. Contenido La seccin de contenido consta de una estructura de rbol de la superficie de diseo. El informe principal se divide en las secciones individuales del informe. Cualquier componente colocado en la superficie de diseo de cualquier seccin tambin se representa en el rbol bajo la seccin de informe correspondiente. Si hace clic en un nodo del rbol, se selecciona dicho elemento en la superficie de diseo, al igual que sus propiedades directamente debajo. Propiedades Cada uno de los elementos, incluso las secciones y componentes del informe colocados en la superficie de diseo, tienen un conjunto nico de propiedades. Dichas propiedades se utilizan para configurar el informe an ms y son ms avanzadas que las herramientas estndar de formato y diseo. No todas las propiedades se encuentran disponibles en cada uno de los nodos. Solamente se presentan las propiedades correspondientes al elemento seleccionado. Las propiedades constan de lo siguiente: Apariencia: afecta el aspecto del elemento seleccionado. Se incluyen todas las herramientas estndar de formato. Comportamiento: afecta la forma en que acta el elemento seleccionado. Datos: aloja el contenido actual del elemento seleccionado, tales como la informacin textual o un campo de datos. Diseo: proporciona una descripcin del elemento seleccionado, la cual no aparece en la superficie de diseo. Disposicin: especifica el tamao y la orientacin del elemento seleccionado, tales como la ubicacin en trminos de coordenadas X y Y, o el tamao en trminos de ancho y altura. Miscelneos: contiene cualquier funcionalidad adicional del elemento seleccionado, no incluida en los otros tipos de propiedades. Resumen: permite crear resmenes en el informe. Estos campos con totales realizan automticamente las ecuaciones matemticas al tiempo de ejecucin y muestran el valor calculado en la ubicacin designada.
356
Uso de las plantillas de informe

Puede crear plantillas de informe para reemplazar el diseo predeterminado del informe. Esto facilita la creacin de informes personalizados debido a que ya se habr realizado una gran parte de la personalizacin. Solamente tendr que aplicar la plantilla de informe para implementar un aspecto personalizado. Una vez que se cargue la plantilla, podr personalizar el informe an ms como sea necesario. Nota: las plantillas de informe slo se pueden aplicar a los informes personalizados.
Creacin de una plantilla de informe

Las plantillas de informe se crean en el diseador de informes. Puede alterar la plantilla predeterminada o cualquier otra plantilla y guardarla como plantilla. Para crear una plantilla de informe 1. 2. 3. 4. 5. 6. Haga clic en Herramientas | Informacin / Monitoreo | Informes. Haga clic con el botn secundario en Mis informes y luego haga clic en Nuevo informe personalizado. Especifique un ttulo, una descripcin, una consulta y un tipo de grfico, y haga clic en Diseo. En el diseador de informes, cree la plantilla nueva mediante la modificacin del diseo, la disposicin y el formato. Haga clic en Archivo | Guardar como plantilla. Especifique un ttulo y una descripcin, y haga clic en Aceptar.
Aplicacin de una plantilla de informe

Una vez que se ha creado la plantilla, se puede aplicar a cualquier informe personalizado. Nota: aplique la plantilla antes de realizar cambios en el informe. Se perder cualquier cambio hecho en el informe antes de aplicar la plantilla. Esta accin no puede revertirse. Para aplicar una plantilla de informe 1. 2. 3. 4. 5. Haga clic en Herramientas | Informacin / Monitoreo | Informes. Haga clic con el botn secundario en Mis informes y luego haga clic en Nuevo informe personalizado. Especifique un ttulo, una descripcin, una consulta y un tipo de grfico, y haga clic en Diseo. En el diseador de informes, haga clic en Herramientas | Informes. Seleccione la plantilla que desee aplicar y haga clic en Cargar.
357
MANUAL DE USUARIO
Importacin y exportacin de informes

La herramienta Informes admite la importacin y exportacin de informes. Puede transferir informes de una base de datos central a otra. La consulta se importa y exporta automticamente con el informe debido a que es necesaria para la visualizacin debida del informe. Los informes importados se colocan en los grupos Mis informes, Todos los informes personalizados e Informes de usuario. Nota: si se cambia la consulta integrada (XML) del informe no se produce otro informe. Si lo hace, se causa un error. Si desea realizar un cambio en el informe, debe realizarlo en la herramienta de informe de LDMS. Para importar un informe 1. 2. 3. 4. Haga clic con el botn derecho en el grupo de informes en el que desea ubicar el informe importado. Seleccione Importar en el men contextual (o la barra de herramientas). Desplcese hasta el archivo de informe (.XML) que desea importar y seleccinelo. Haga clic en Abrir para agregar el informe al grupo seleccionado en la vista de red.
Puede exportar informes individuales y grupos completos de informes con su contenido. Para exportar un informe 1. 2. 3. 4. 5. Haga clic con el botn derecho en el informe (o grupo de informes) que desea exportar. Seleccione Exportar en el men contextual (o la barra de herramientas). Desplcese hasta la ubicacin en la que desea guardar el informe. Escriba un nombre para el informe. Haga clic en Guardar para exportar el informe.
Creacin de archivos .CSV

Puede crear archivos delimitados por comas en texto simple, los cuales se pueden integrar con facilidad en bases de datos, hojas de clculo, tratamiento de texto, etc. El archivo se crea en funcin de los datos de inventario que se muestran en la vista de red. Estos archivos se guardan como archivos .CSV genricos. Para crear un archivo .CSV 1. 2. 3. 4. 5. 6. Haga clic en Herramientas | Informacin / Monitoreo | Informes. Haga clic con el botn secundario en Informes y seleccione Nuevo informe CSV. En el cuadro de dilogo Nuevo informe .CSV, introduzca un nombre para el informe. Seleccione si desea el informe en todos los dispositivos o nicamente los seleccionados. Elija si utilizar la configuracin de la columna actual en la vista de red o si seleccionar otra. Haga clic en Aceptar para guardar el archivo .CSV con un nombre y en la ubicacin de directorio que especifique.
358
Nota: Puede adems exportar un informe de activos en formato .CSV para utilizarlo con otras herramientas de generacin de informes. Los informes .CSV se pueden exportar a uno de los formatos siguientes: HTML, RTF o TXT.
Informe de antivirus
Se pueden agregar nuevos datos de aplicaciones antivirus (nombre, versin y tamao) al archivo Anti-VirusSummary.ini, para que el rastreador de inventario pueda recopilar los datos y ponerlos a la disposicin con fines de informes. Una vez que ha agregado de forma manual la informacin sobre una aplicacin al archivo, utilice la herramienta Monitor de licencias de software para agregar el archivo a la lista de rastreo. Siga las instrucciones determinadas enAdding files to LDAPPL3 para agregar el archivo actualizado Anti-VirusSummary.ini.
Implementacin de mensajes traducidos

Para implementar mensajes traducidos, debe instalar el paquete de idioma .Net Framework para el idioma en que espera que est el mensaje. Estos pueden descargarse de Microsoft.http://www.microsoft.com/downloads/details.aspx?familyid=04DBAF2E-61ED-43F48D2A-CCB2BAB7B8EB&displaylang=en
359
MANUAL DE USUARIO
Tareas y secuencias de comando

LANDesk Management Suite incluye un potente sistema de tareas programadas. Tanto el servidor central como los dispositivos administrados tienen servicios o agentes que admiten tareas programadas. Las consolas Web y de Management Suite pueden agregar tareas al programador. Una tarea consiste de un paquete de distribucin, un mtodo de entrega, dispositivos de destino y una hora programada. Las tareas de no distribucin consisten de una secuencia de comandos, dispositivos destino y tiempo programado. A continuacin se presentan algunas tareas que se pueden programar: Configuraciones de dispositivos Diversas secuencias de comandos personalizadas Implementaciones de formularios de datos personalizados Detecciones de dispositivos no administrados Rastreos de vulnerabilidad Ejecucin de software en dispositivos administrados
Al completar los dilogos de creacin de secuencias de comandos para estas tareas se genera un archivo de texto ASCII en el formato de Windows INI, con extensin .INI. Las secuencias de comandos se almacenan en el servidor central en la carpeta \Archivos de programa\LANDesk\ManagementSuite\Secuencias de comandos. El nombre del archivo de la secuencia de comandos se convierte en el nombre de la secuencia de comandos en la consola. Las secuencias de comandos de distribucin de software son la excepcin. No crean un archivo INI, y en cambio se almacenan en la base de datos. Las secuencias de comandos contienen informacin sobre la tarea que se est completando, no de los dispositivos en los que se ejecuta. Las secuencias de comandos utilizan un lenguaje de secuencias de comandos nico para Management Suite. Para obtener ms informacin sobre secuencias de comandos, consulteProcessing custom scripts. Lea este captulo para obtener informacin sobre: "Administracin de secuencias de comandos" en la pgina 361 "Programacin de tareas" en la pgina 362 "Uso de la ventana Tareas programadas" en la pgina 362 "Asignacin de destinos a una tarea" en la pgina 365 "Lo que se ve cuando se ejecutan las tareas" en la pgina 367 "Monitoreo del estado de las tareas" en la pgina 367 "Visualizacin de registros de tareas" en la pgina 367 "Uso de las secuencias de comandos predeterminadas" en la pgina 368 "Uso de la base de datos central de resumen para programar tareas globalmente" en la pgina 369
360
Administracin de secuencias de comandos

LANDesk Management Suite utiliza secuencias de comandos para ejecutar tareas personalizadas en los dispositivos. Puede crear secuencias de comandos desde la ventana Administrar secuencias de comandos (Herramientas | Distribucin | Administrar secuencias de comandos) para estas tareas: Creating file deployment scripts Secuencias personalizadas de comandos que cree. "Uso del programador local" en la pgina 370
La ventana Administrar secuencias de comandos divide las secuencias en tres categoras: Mis secuencias de comandos: secuencias de comandos creadas. Todas las secuencias de comandos: todas las secuencias de comandos que se encuentran en el servidor central. Secuencias de comandos de usuarios (solo visibles para los administradores de Management Suite): Secuencias de comandos creadas por todos los usuarios de Management Suite. Se ordenan por nombre de usuario de quien las cre.
Puede crear grupos en el elemento Mis secuencias de comandos para clasificar an ms las secuencias de comandos. Para crear una nueva secuencia de comandos, haga clic en el elemento Mis secuencias de comandos o un grupo que haya creado, y luego haga clic en el tipo de secuencia de comandos que desee crear. Una vez creada la secuencia de comandos, puede hacer clic en Programar en el men contextual de la misma. Esta operacin inicia la ventana Tareas programadas (Herramientas | Distribucin | Tareas programadas), donde se pueden especificar los dispositivos sobre los que se ejecutara la tarea, y cundo se deber ejecutar. Para obtener ms informacin sobre la programacin de tareas, consulte la siguiente seccin. Debido a las capacidades especficas admitidas en la consola de Windows, las secuencias de comandos creadas en la consola de Windows no deben modificarse en la consola Web.
Cambios a la propiedad de las tareas y secuencias de comandos para los usuarios de versiones anteriores de Management Suite.
Con las versiones de Management Suite anteriores a 8.5, todas las secuencias de comandos eran globales y todos los usuarios podan verlas. En Management Suite 8.5, las secuencias de comando slo son visibles al creador de las mismas y a los administradores de Management Suite.
361
MANUAL DE USUARIO
La ventana Administrar secuencias de comandos (Herramientas | Distribucin | Administrar secuencias de comandos) ahora tiene una columna de Estado. La columna Estado dice Pblico si todos los usuarios pueden ver la secuencia de comandos, o Privado si slo el usuario que la cre o los administradores pueden verla. Los usuarios pueden hacer clic en el botn derecho en las secuencias de comando que hayan creado y habilitar o deshabilitar la opcin Secuencia pblica. Los administradores pueden cambiar el estado de cualquier secuencia de comandos.
Programacin de tareas
La ventana Tareas programadas muestra el estado de las mismas y si stas se realizaron con xito o no. El Servicio programador puede comunicarse con los dispositivos de dos maneras distintas: A travs del agente LANDesk estndar (debe estar ya instalado en los dispositivos). A travs de una cuenta del sistema a nivel de dominio. La cuenta que elija debe tener el inicio de sesin como un privilegio del servicio. Para obtener ms informacin sobre la configuracin de la cuenta del programador, consulte"Configuracin del servicio programador" en la pgina 307.
La consola incluye secuencias de comandos que se pueden programar para que realicen tareas de mantenimiento de rutina; por ejemplo, ejecucin de rastreos de inventario en dispositivos seleccionados. Puede programar estas secuencias de comandos desde Herramientas | Distribucin | Administrar secuencias de comandos | Todas las dems secuencias.
Uso de la ventana Tareas programadas

Utilice la ventana Tareas programadas para configurar y programar las secuencias de comandos que ha creado. Programe elementos para una nica entrega, o bien, programe una tarea recurrente como, por ejemplo, una tarea de secuencia de comandos para buscar regularmente dispositivos no administrados. La ventana Tareas programadas se divide en dos partes. La parte izquierda muestra el rbol de tareas y las tareas, y la parte derecha muestra informacin especfica sobre lo que se ha seleccionado en el rbol. Panel izquierdo El panel izquierdo muestra los siguientes grupos de tareas: Mis tareas: tareas que se han programado. Solamente la persona que las program y los usuarios administrativos de Management Suite pueden ver estas tareas. Tareas comunes: tareas que los usuarios han marcado como comunes. Cualquier usuario que programe una tarea de esta categora se convertir en el propietario de esa tarea. La tarea permanece en la carpeta Tareas comunes y tambin figura en el grupo Tareas de usuario de ese usuario. Todas las tareas: Sus tareas y las marcadas como comunes. Todas las polticas: Tareas que se han activado como polticas. Estas tareas tambin figuran en los otros grupos de tareas. Este grupo proporciona un modo cmodo para ver las polticas activas.
362
Tareas de usuario (slo usuarios administrativos de Management Suite): Todas las tareas que han creado los usuarios.
Puede arrastrar secuencias de comandos al panel izquierdo de la ventana Tareas programadas. Cuando haya una secuencia de comandos en dicho panel, podr configurar sus destinos arrastrando dispositivos, consultas o grupos al panel derecho. Si hace clic en Mis tareas, en Tareas comunes o en Todas las tareas, el panel derecho muestra esta informacin: Tarea: nombres de las tareas. Iniciar el: momento en que est programada la ejecucin de la tarea. Haga doble clic en el nombre de una tarea para editar la hora de inicio o volver a programarla. Estado: estado general de la tarea. Para ms detalles, consulte las columnas Estado y Resultado en el panel derecho. Propietario: nombre del usuario que cre la secuencia de comandos que utiliza esta tarea.
Si hace clic en una tarea programada, el panel derecho muestra la siguiente informacin a manera de resumen: Nombre: nombre del estado de la tarea. Cantidad: cantidad de dispositivos en cada estado de la tarea. Porcentaje: porcentaje de dispositivos en cada estado de la tarea.
Si se hace clic en una categora de estado de tarea bajo una tarea, el panel derecho muestra la siguiente informacin: Nombre: nombre del dispositivo. Estado: estado de la tarea en ese dispositivo (por ejemplo, "Esperando"). Resultado: indica si la tarea se ejecut satisfactoriamente en el dispositivo. Nombre de objeto LDAP: si el dispositivo de destino se especific mediante LDAP, indica el nombre del objeto LDAP. Nombre de la consulta: si el dispositivo de destino se especific mediante una consulta, indica el nombre de la consulta. Mensaje: mensajes personalizados provenientes del dispositivo. Se utilizan con las tareas que se ejecutan en un archivo DOS de proceso por lotes. Incluya un comando que ejecute sdclient.exe con el parmetro de lnea de comandos /msg="<Mensaje que desee enviar>". Archivo de registro: si un dispositivo no logra completar la tarea, indica la ruta al archivo de registro de tareas del dispositivo.
Antes de programar tareas para un dispositivo, ste debe contener el agente LANDesk estndar y encontrarse en la base de datos de inventario. Para programar una tarea 1. En la ventana Administrar secuencias de comandos, haga clic en Secuencias de comandos | Mis secuencias de comandos o en Todas las dems secuencias y, a continuacin, en la secuencia de comandos que desee distribuir. Haga clic en el botn Programar. Se abre la ventana Tareas programadas y se agrega la secuencia a ella, donde se convierte en una tarea.
363
2.
MANUAL DE USUARIO
3. 4. 5.
En la Vista de red, seleccione los dispositivos que desee que sean los destinos de las tareas, y arrstrelos a la tarea en la ventana Tareas programadas. En la ventana Tareas programadas, haga clic en Propiedades en el men de acceso directo de la tarea. En la pgina Tarea programada, defina la hora de inicio de la tarea y haga clic en Guardar.
Puede agregar ms dispositivos a la tarea al arrastrarlos desde la vista de red y soltarlos en la tarea que desee en la ventana Tareas programadas.
Cancelacin de una tarea

Se pueden cancelar las tareas en espera o activas. La forma en que se cancela la tarea depende del tipo de tarea, tal como se describe a continuacin. Tareas de distribucin de software: Utilice el botn Cancelar de la barra de herramientas. El botn de la barra de herramientas solamente est disponible para las tareas de distribucin de software. Secuencias personalizadas de comandos: En el men de acceso directo de la secuencia que desee cancelar, haga clic en Estado actual. El cuadro de dilogo Estado de la tarea tiene los botones Parar tarea y Cancelar tarea. Haga clic en el botn que desee. Tareas en espera: En el men de acceso directo de la tarea que desee cancelar, haga clic en Propiedades. En la pgina Tarea programada, haga clic en Dejar sin programar.
Carpeta de tareas comunes

El grupo Tareas comunes proporciona un medio para que varios usuarios tengan acceso a la misma tarea. Las tareas marcadas como comunes figuran en el grupo Tareas comunes al igual que en el grupo Tareas de usuario para el usuario que modific la tarea por ltima vez. Al tener la tarea en ambos sitios permite que varios usuarios con responsabilidades similares tengan acceso a la tarea y la modifiquen. Los usuarios pueden marcar cualquier tarea que sea visible como comn. Una vez que un usuario desmarca la opcin comn, la tarea solamente es visible en el grupo Tareas de usuario de ese usuario. Para marcar una tarea en comn 1. 2. Desde le men contextual de la tarea que desde hacer comn, haga clic en Propiedades. En la ficha Introduccin, marque Mostrar en tareas comunes.
Otra posibilidad es utilizar las tareas de arrastre del ratn desde el grupo Mis tareas hacia el grupo Tareas comunes.
364
Asignacin de destinos a una tarea

Una vez que se agreg la secuencia de comandos a la ventana Tareas programadas, se le puede asignar destinos. En la vista de red, arrastre los destinos a la tarea en la ventana Tareas programadas. Los destinos pueden incluir los dispositivos individuales, grupos de dispositivos, objetos LDAP, consultas LDAP y consultas de inventario. Las consultas y los grupos son unas opciones eficaces que permiten tener una lista dinmica de dispositivos que se puede cambiar para las tareas recurrentes. Por ejemplo, como la lista de dispositivos de destino de una consulta puede cambiar, cualquier tarea que utilice esa consulta establecer automticamente el destino de los nuevos dispositivos. Si un dispositivo se define como destino ms de una vez, tal como cuando dos consultas de destino tienen resultados que se traslapan, el servidor central detecta la duplicacin y no ejecuta la tarea varias veces en el mismo dispositivo. Al utilizar consultas de destinos de tareas, la consulta se ejecuta hasta que se inicia la tarea. El cuadro de dilogo Propiedades de tarea programada muestra los dispositivos de destino hasta que se ejecuta la tarea.
Aplicacin de mbitos a las tareas

En las tareas programadas, hay varios usuarios de Management Suite que pueden agregar destinos a una tarea. Sin embargo, en la ventana Tareas programadas, cada usuario de Management Suite slo ver los destinos de su mbito. Si dos usuarios de Management Suite con mbitos que no se superponen entre s agregan 20 destinos a una tarea, cada uno de ellos ver slo estos 20 destinos que han agregado, pero la tarea se ejecutar en los 40.
Seleccin de destinos para su tarea

Cada tarea que se cree necesita un conjunto de destinos que la tarea ejecutar. Las tareas pueden tener dos tipos de destinos, estticos y dinmicos. Destinos estticos: Una lista de usuarios o dispositivos especficos que slo se pueden modificar de forma manual. Los destinos estticos pueden ser usuarios o dispositivos LDAP del Administrador de directorios o dispositivos de la vista de red de la consola. Destinos dinmicos: Lista dinmica de dispositivos que permite que el administrador de tareas de distribucin basada en polticas compruebe de forma peridica los cambios que se producen en la lista de destinos. Entre los destinos dinmicos se incluyen resultados de consultas y grupos/contenedores LDAP o grupos de vista de red.
Los destinos dinmicos de directiva son nicos en el sentido de que Management Suite actualiza peridicamente el resultado de estas consultas. A medida que haya dispositivos nuevos que cumplan los criterios de consulta, las tareas recurrentes que utilicen dichas consultas se aplicarn a estos dispositivos. Se pueden especificar los destinos estticos de directivas siguientes: Dispositivos de vista de red : Conjunto esttico de dispositivos de la base de datos central. Usuarios o dispositivos LDAP: Conjunto esttico de objetos de usuario y/o dispositivo.
365
MANUAL DE USUARIO
Se pueden especificar los destinos dinmicos de directivas siguientes: Vista de red del grupo: Conjunto dinmico de dispositivos de la base de datos central. Grupo/contenedor LDAP: Un conjunto dinmico de objetos de usuario, equipo o grupo. Consulta de base de datos: Conjunto de dispositivos generado por una consulta realizada en la base de datos central. Grupo de usuarios: Un grupo de usuarios seleccionado de un directorio compatible con LDAP. Consulta LDAP: Un conjunto de usuarios, dispositivos o ambos, generado mediante una consulta en un directorio compatible con LDAP.
Seleccionando destinos mediante un directorio

Para que los dispositivos reciban directivas dirigidas a travs de los servicios de directorio de NetWare o Active Directory, estos deben estar configurados para iniciar sesin en el directorio. Esto significa que deben tener instalado el software de dispositivo correspondiente y que deben iniciar sesin en el directorio correcto para que su nombre exclusivo coincida con el nombre de destino especificado mediante el Administrador de directorios. Es necesario haber configurado los dispositivos Windows 95/98 para que inicien la sesin en el dominio en el que reside Active Directory. Windows NT y Windows 95/98 no incluyen compatibilidad con Active Directory. Es necesario que los dispositivos que inician sesin en un directorio y requieren la administracin basada en polticas sean compatibles con Active Directory. En la direccin de Internet siguiente, disponible en el momento de la elaboracin de este documento, encontrar informacin ms detallada sobre la instalacin de compatibilidad para el dispositivo de Active Directory: http://www.microsoft.com/technet/archive/ntwrkstn/downloads/utils/dsclient.mspx Para cada dispositivo Windows NT/2000/2003/XP, debe existir una cuenta de equipo en el controlador de dominio de Active Directory. Esto significa que el equipo que se utiliza como dispositivo debe conectarse al dominio en el que se encuentre Active Directory. No basta con asignar una unidad de red utilizando un nombre de dominio Windows NT completo. Esta poltica no se aplicar de este modo. Para utilizar el Administrador de directorios para crear una consulta 1. 2. 3. 4. 5. Haga clic en Herramientas | Distribucin | Administrador de directorios. Haga clic en el botn Administrar directorio de la barra de herramientas. Introduzca la URL y la informacin de autenticacin del directorio y haga clic en Aceptar. Haga clic en el icono Nueva consulta de la barra de herramientas. Cree la consulta. Para obtener ms informacin, consulte "Consultas LDAP" en la pgina 328.
366
Lo que se ve cuando se ejecutan las tareas

La ventana Tareas programadas siempre muestra el estado del trabajo. Si est programando configuraciones de dispositivos o despliegues de SO, tambin ver el cuadro de dilogo Utilidad de instalacin de cliente. A medida que el Servicio programador avance por la lista de destinos, ver las listas de los dispositivos que se van a configurar, de los que estn siendo configurados y de los que ya estn terminados. Para obtener ms informacin, consulte About the Client Setup Utility dialog. Si est programando distribuciones de multidifusin dirigida, ver la ventana de Estado de la distribucin de software por multidifusin. Dicha ventana muestra el estado de la multidifusin. Para obtener ms informacin, consulte About the Multicast software distribution status window. Si se encuentra programando secuencias personalizadas de comandos, ver la ventana Procesamiento de trabajos personalizados en la que se muestran los dispositivos programados, en funcionamiento y terminados, adems del estado de la secuencia de comandos lnea por lnea a medida que se ejecuta.
Monitoreo del estado de las tareas

Cuando una tarea inicia el procesamiento, los dispositivos destino se mueven entre diversos estados de tareas. Puede monitorear el estado de la tarea para los dispositivos destino haciendo clic en una tarea activa en la ventana Tareas programadas. Los dispositivos estarn dentro de una de las siguientes categoras: Todos los dispositivos: Todos los dispositivos para la tarea. Activos: Destinos en proceso. Pendientes: Destinos que todava no se procesan. Satisfactorio: Los destinos que completaron correctamente la tarea. Error: Destinos que dieron error en la tarea.
stos son los estados en los que puede estar la tarea, y la categora en la que son visibles: Esperando: Listo para procesar una tarea. (categora Pendiente) Activos: Procesando la tarea actual. (categora Activo) Finalizado: Tarea procesada correctamente. (categora Satisfactorio) Ocupado: El dispositivo se encuentra procesando una tarea diferente y no pudo procesar la tarea actual. (categora Error) Error: No finaliz de procesar la tarea por alguna razn. (categora Error) Desactivado: El dispositivo se encontraba desactivado o no estaba al alcance. (categora Error) Cancelado: El usuario ha cancelado la tarea. (categora Error)
Visualizacin de registros de tareas

Si un dispositivo no puede procesar una tarea, la ventana Tareas programadas guarda el registro de la tarea. Los registros disponibles aparecen en la columna Archivo de registro prximo a un dispositivo. En el archivo de registro se puede ver un comando de tarea con error.
367
MANUAL DE USUARIO
Uso de las secuencias de comandos predeterminadas

Management Suite incluye un conjunto predeterminado de secuencias, las cuales se enumeran a continuacin. Puede utilizarlas para ayudar a finalizar algunas tareas de Management Suite. Estas secuencias de comandos se encuentran disponibles en el rbol Todas las dems secuencias en la ventana Administrar secuencias de comandos (Herramientas | Distribucin | Administrar secuencias de comandos). am_verifyall: comprueba todos los paquetes instalados a travs de directivas en los clientes. Comando dir genrico de ejemplo: utiliza una secuencia de comandos de despliegue de SO para demostrar el reinicio de un dispositivo con un disco virtual y la ejecucin del comando dir. inventoryscanner: ejecuta el rastreador de inventario en los dispositivos seleccionados. multicast_domain_discovery: realiza una deteccin de representante de dominio de multidifusin dirigida. Para obtener ms informacin, consulte "Uso de la multidifusin dirigida con distribucin de software" en la pgina 395. multicast_info: ejecuta una secuencia de comandos de solucin de problemas que muestra qu informacin pasar la ventana Tareas programadas a multidifusin dirigida, incluyendo las direcciones IP del dispositivo de destino y la informacin de subred. Crea un archivo denominado C:\MCINFO.TXT. Implementacin del servicio MSI: implementa el servicio MSI necesario para un representante de PXE. Implementacin de representantes PXE: implementa o actualiza un representante de PXE. Eliminacin de representantes PXE: quita el software de servicio de PXE de un representante. Restaurar registros de cliente: ejecuta un rastreo de inventario en los dispositivos seleccionados y el rastreador informa al servidor central en el que se configur el dispositivo. Si es necesario restablecer la base de datos, esta tarea permite agregar dispositivos de nuevo a la base de datos central correspondiente en un entorno con varios servidores centrales. Desinstalar cliente de medicin: elimina el agente de medicin de software de los dispositivos de destino. Este agente se utiliz en las versiones de Management anteriores a la versin 8.
Opciones de ancho de banda

Al configurar los comandos del programador local, puede especificar el criterio de ancho de banda mnimo necesario para que se ejecute la tarea. La prueba del ancho de banda consiste en crear trfico de red en el dispositivo especificado. Cuando llega el momento de ejecutar la tarea, cada dispositivo que ejecuta la tarea del programador local enva una pequea cantidad de trfico de red ICMP al dispositivo especificado y evala el rendimiento de la transferencia. Si el dispositivo de destino de prueba no est disponible, la tarea no se ejecuta. Las opciones de ancho de banda son:
368
RAS: la tarea se ejecuta si la conexin de red del dispositivo al dispositivo de destino tiene al menos una velocidad RAS o de acceso telefnico, tal como se detecta a travs del API de red. Normalmente, si se selecciona esta opcin, la tarea siempre se va a ejecutar si el dispositivo tiene una conexin de red de algn tipo. WAN: la tarea se ejecuta si la conexin del dispositivo al dispositivo de destino es al menos una velocidad WAN. La velocidad WAN se define como una conexin no RAS que es ms lenta que el umbral LAN. LAN: La tarea se ejecuta cuando la conexin del dispositivo al dispositivo de destino excede la configuracin de velocidad LAN. La velocidad LAN se define como cualquier velocidad mayor a 262,144 bps, de forma predeterminada. Puede definir el umbral LAN en la configuracin del agente (Herramientas | Configuracin | Agente | Configuracin, Deteccin de ancho de banda). Los cambios que realice entran en efecto cuando se implementa la configuracin actualizada en los dispositivos.
Uso de la base de datos central de resumen para programar tareas globalmente

Si tiene una base de datos central de resumen en su entorno de LANDesk, las tareas que cree en l se programan globalmente y pueden tener destinos para diversos servidores centrales secundarios. Cuando se crea una tarea en la base de datos central de resumen y se la programa, sta verifica la lista de destino para ver qu destinos pertenecen a qu servidor central secundario. Luego, la base de datos central de resumen le enva a cada servidor central secundario la tarea y su parte nica de la lista de destino total. Cada servidor central secundario ejecuta la tarea en segundo plano e informa el estado de la misma a la base de datos central de resumen. Si un servidor central secundario tiene destinos pero no el certificado de base de datos central de resumen necesario para procesar tareas programadas globalmente, la base de datos central de resumen ejecuta la tarea en dichos destinos. Las tareas programadas globalmente y el estado de las mismas no aparece en la ventana Tareas programadas del servidor central secundario. La forma ms fcil de ver esta informacin es desde los detalles de la tarea de la base de datos central de resumen. Si desea ver el estado de tarea delegada en un servidor central secundario que la est procesando, utilice el informe Tareas delegadas. Para ver el estado de tareas delegadas en el servidor central secundario 1. 2. 3. 4. En el servidor central secundario, haga clic en Herramientas | Informacin / Monitoreo | Informes. En la ventana de informes, haga clic en Informes estndar | Estado de tareas delegadas de Management Suite. Haga doble clic en el informe Tareas delegadas e ingrese el rango de fechas que desee. Haga clic en Aceptar para ver el informe.
Para reducir el trfico de red, el estado de de las tareas delegadas no se informa en tiempo real a la base de datos central de resumen. Sino que el estado de la tarea se actualiza cada dos minutos de forma predeterminada. Haga lo siguiente para cambiar este intervalo.
369
MANUAL DE USUARIO
Para cambiar el intervalo de verificacin del estado de la tarea 1. 2. 3. 4. 5. En el servidor central, haga clic en Inicio | Programas | LANDesk | Configuracin de servicios de LANDesk. En la ficha Programador, haga clic en Avanzadas. Haga clic en Verificacin del estado de tareas delegadas y luego en Editar. Ingrese la cantidad de segundos que desea que el programador espere entre las verificaciones del estado de la tarea y luego haga clic en Aceptar. En la ficha Programador, Reinicie el servicio del programador en la base de datos central de resumen.
Uso del programador local

El programador local es un servicio que se ejecuta en los dispositivos. Es una parte del Agente de base comn y se lo puede instalar mediante la instalacin del dispositivo. Normalmente, el programador local realiza las tareas de Management Suite, tal como la ejecucin del rastreador de inventario de forma peridica. Las otras tareas programadas, tales como los despliegues de software o de SO, son realizadas por el servidor central en lugar de por el programador local. Puede utilizar el programador local para programar la ejecucin peridica de sus propias tareas en los dispositivos. Una vez que crea un archivo de comandos del programador local, lo puede desplegar en los dispositivos mediante la ventana Tareas programadas. El programador local asigna un nmero de identificacin a cada tarea. Los archivos de comandos del programador local tienen un intervalo de identificadores que difiere de los archivos de comandos del programador local que utiliza Management Suite. De forma predeterminada, solamente puede haber un archivo activo de comandos del programador personalizado en cada dispositivo. Si crea una secuencia de comandos nueva y la implementa en los dispositivos, se reemplaza la secuencia de comandos anterior (cualquier secuencia de comandos en el intervalo de identificadores del programador local personalizado) sin afectar las secuencias de comandos del programador local, tal como la programacin de rastreo de inventario local. Cuando seleccione las opciones de programacin no ponga demasiadas restricciones de modo que el criterio se satisfaga con poca frecuencia, a menos que esa sea su intencin. Por ejemplo, si al configurar una tarea selecciona el lunes como el da de la semana y 17 como el da del mes, la tarea solamente se ejecutar en un lunes que tambin sea el da 17, lo cual sucede con poca frecuencia. Para configurar un comando del programador local 1. En la ventana Secuencias de comando administradas (Herramientas | Distribucin | Secuencias de comando administradas), en el men contextual Mis Secuencias, haga clic en Nueva secuencia de comandos del Programador Local. Introduzca un Nombre de secuencia. Haga clic en Agregar para definir las opciones de la secuencia de comandos. Configure las opciones del programador local tal como se lo describi anteriormente. Haga clic en Guardar para guardar la secuencia de comandos. Utilice la ventana Tareas programadas para desplegar el archivo de comandos creado en los dispositivos.
2. 3. 4. 5. 6.
370
Instalacin del servicio del programador local en un dispositivo no administrado

El servicio del Programador local de LANDesk puede instalarse en un dispositivo no administrado. Slo se necesitan dos archivos para la funcionalidad del programador local: LocalSch.exe LTapi.dll
Para instalar el servicio del Programador local de LANDesk en un servidor o estacin de trabajo nuevos, siga los pasos a continuacin. 1. Cree la siguiente carpeta. %ProgramFiles%\LANDesk\LDClient Copie LocalSch.exe y LTapi.dll en esta carpeta. Haga clic en Inicio | Ejecutar y escriba el siguiente comando. %ProgramFiles%\LANDesk\LDClient\localsch.exe /i
2. 3.
Desinstalacin del servicio del programador local

Para desinstalar el servicio del Programador local de LANDesk, siga los pasos a continuacin. 1. Haga clic en Inicio | Ejecutar y escriba el siguiente comando. %ProgramFiles%\LANDesk\LDClient\localsch.exe /r 2. Elimine los archivos y carpetas.
Parmetros de la lnea de comandos de LocalSch.exe

Adems de supervisar y ejecutar tareas locales, LocalSch.exe puede usarse para instalar o quitar el servicio, agregar tareas nuevas y enumerar todas las tareas configuradas actualmente. A continuacin se encuentran las opciones de lnea de comando compatibles con la aplicacin del programador local.
LocalSch.exe [/i] [/r] [/d] [/tasks] [/isinstalled] [/del] [/removetasks] [/exe=<executable>] [/cmd=<command line>] [/start=<date/time>] [/freq=xxx] [/user] [/bw=xxx|<server>] [/tod=<begin>|<end>] [/dow=<begin>|<end>] [/dom=<begin>|<end>] [/ipaddr] [/taskid=<id>] [/range=<min>|<max>]
/i Instalar el servicio Instala el servicio del programador local en el dispositivo. Despus de instalado, deber iniciarse el programador local.
371
MANUAL DE USUARIO
/r Quitar el servicio Quita del equipo el servicio del programador local. Antes de quitar el servicio debe detenerse el servicio del programador local. /d Ejecutar en modo depuracin Ejecuta el programador local en modo depuracin. Al ejecutarse en modo depuracin, el programador local funciona como un proceso de Windows normal, en lugar de hacerlo como un servicio o pseudo servicio. Este modo no produce ninguna salida de depuracin adicional. /isinstalled Verificacin de instalacin Verifica si el servicio del programador local est instalado en el equipo local. Si el programador local est instalado, este mtodo informar S_OK o cero. Si el programador local no est instalado, se informar un valor distinto a cero. /tasks Enumerar tareas Este comando muestra las tareas configuradas actualmente en stdout, pero slo pueden verse en una interfaz de comandos si estn encaminadas hacia ms.
LocalSch.exe /tasks | ms
La salida puede redireccionarse hacia un archivo de texto, por ejemplo tasks.txt, mediante el uso de la siguiente lnea de comando:
LocalSch.exe /tasks > tasks.txt
Agregado de una tarea con LocalSch.exe

El resto de los parmetros de la lnea de comando se usa para agregar tareas locales. Al agregar una tarea local, se debe especificar el ejecutable mediante el parmetro /exe. Si el usuario o proceso que ejecuta la lnea de comando no tiene derechos de administrador, la tarea no se programar. Si el usuario actual no tiene privilegios de administrador, la tarea no se crear. Adems de las opciones de lnea de comando detalladas a continuacin, puede usarse la opcin /taskid para especificar una tarea. /exe=<executable> - Aplicacin programada Especifica la aplicacin que debe ejecutarse cuando se llega al tiempo programado. Si no se proporciona este parmetro, la tarea local no se crear.
372
/cmd=<command line> - Lnea de comando de aplicacin Especifica la lnea de comando a utilizar cuando se ejecuta la aplicacin programada. Si no se especifica este parmetro, la aplicacin programada se ejecutar sin parmetros de lnea de comando. /start="<date/time>" Hora de inicio Especifica la hora de inicio de la aplicacin. Si no se especifica este parmetro, la aplicacin se ejecutar tan pronto como sea posible. Si hay filtros especificados, los mismos debern cumplirse antes de la ejecucin de la aplicacin. La hora de inicio se define segn la hora del sistema local del equipo, y tiene el siguiente formato:
/start="06 Nov 2001 17:39:47" /bw=WAN|myserver.domain.com
Este formato es una versin resumida del formato utilizado por HTTP. El mes siempre se define mediante una abreviatura ASCII de tres letras: Ene, Feb, Mar, Abr, May, Jun, Jul, Ago, Sep, Oct, Nov o Dic. Si el formato de la fecha se especifica de manera incorrecta, la tarea no se agregar. /freq=xxx Frecuencia Especifica una frecuencia peridica. La frecuencia es la cantidad de segundos antes de que la tarea se vuelva a ejecutar. Si este parmetro no se especifica o es cero, la tarea se ejecutar slo una vez. /user Filtro de usuarios Especifica que debe crearse un filtro de usuarios para la tarea. Un filtro de usuarios evitar que la tarea se ejecute hasta que un usuario se conecte al sistema. /bw=xxx|<network host> - Filtro por ancho de banda Especifica el ancho de banda necesario para un host de red especfico. El ancho de banda puede especificarse como LAN, WAN o RAS. Si se usa otro valor de ancho de banda, el programador local quedar en el valor predeterminado de ancho de banda RAS. No se ejecutar la tarea hasta que el programador local detecte que el tipo de ancho de banda especificado est disponible entre el dispositivo y el host de red especificado. Por ejemplo, el filtro siguiente especificara que no se ejecute la tarea hasta que haya disponible al menos una conectividad WAN para el equipo myserver.domain.com.
/bw=WAN|myserver.domain.com
/tod=<begin>|<end> - Filtro por hora Especifica un filtro por hora. La tarea no se ejecutar a menos que la hora se encuentre entre las horas especificadas de inicio y fin. Los valores de hora se definen como la hora de 0 a 23. Por ejemplo, el filtro a continuacin especificara la ejecucin de una tarea entre las 7 p.m. y las 10 p.m.
373
MANUAL DE USUARIO /tod=19|22
/dow=<begin>|<end> - Filtro por da de la semana Especifica un filtro por da de la semana. La tarea no se ejecutar a menos que el da de semana se encuentre entre las horas especificadas de inicio y fin. Los das de la semana se especifican con enteros, con 0 como el domingo. Por ejemplo, el filtro a continuacin especificara la ejecucin de una tarea entre domingo y jueves.
/dow=0|4
/dom=<begin>|<end> - Filtro por da del mes Especifica un filtro por da del mes. La tarea no se ejecutar a menos que el da del mes se encuentre entre los das especificados de inicio y fin. El filtro por da del mes se define mediante un valor numrico entre 1 y 31. Por ejemplo, el filtro a continuacin especificara la ejecucin de la tarea entre el 16 y el 28 del mes.
/dom=16|28
/ipaddr - Filtro de cambio de direccin IP Especifica que la tarea se debe ejecutar siempre que cambie la direccin IP del equipo. Esta funcionalidad requiere de las bibliotecas del Asistente de IP, y no est disponible en sistemas Windows 95 ni Windows 98/NT sin Internet Explorer 4 o posterior.
Eliminacin de una tarea con LocalSch.exe

El programador local ofrece la posibilidad de eliminar una o ms tareas. Para esto se usan los siguientes parmetros. /del Eliminar tarea o tareas Elimina la tarea especificada por medio del parmetro /taskid, o elimina todas las tareas dentro de los valores mximos y mnimos inclusive de /range. Los ID de tareas pueden determinarse ya sea buscando las tareas que usan la opcin de lnea de comando /tasks o por medio de una /taskid constante al agregar una tarea. /removetasks Quitar todas las tareas Quita todas las tareas locales programadas actualmente. /taskid Especificacin del ID de tarea Especifica el ID de la tarea que se eliminar. Los ID de tareas pueden determinarse por medio de la consulta de las tareas programadas actualmente (ver /tasks citado ms arriba). El ID se define con un valor entero.
374
/range=<min>|<max> Rango de IDs de tareas Especifica un valor mnimo y mximo de un rango de IDs de tareas. Puede usarse con el comando /del para quitar todas las tareas con ID dentro del rango determinado. Por lo general, cuando se genera una tarea se le asigna un ID de forma aleatoria, con el valor de la hora actual (time_t) como el ID de tarea. El ID asignado de forma aleatoria nunca ser menor a 100000. Este parmetro de lnea de comando puede usarse para especificar el ID para la tarea. Los valores 0 -1000 de ID de tarea se reservan para el uso interno de LANDesk Software. Los valores 1001-2000 de ID de tarea se reservan para el uso por parte de la interfaz del programador local de la consola de administracin.
Anlisis de carcteres y la lnea de comando

El programador local usa un anlisis estndar separado por espacios blancos para la lnea de comando. Esto significa que si alguno de los parmetros contiene un espacio blanco, deber estar entre comillas. Ciertos parmetros, como /start, siempre contienen un espacio blanco y por lo tanto siempre deben estar entre comillas. Otros, como /exe y /cmd, pueden o no contener espacios blancos y pueden o no necesitar comillas. El ejemplo a continuacin muestra una lnea de comando que no necesita comillas.
LocalSch.exe /exe=c:\windows\system32\cmd.exe
El ejemplo a continuacin muestra una lnea de comando que s necesita comillas.

LocalSch.exe /exe="%ProgramFiles%\LANDesk\amclient.exe" /cmd="/apm /s /ro"
Entrecomillado de parmetros que ya estn entre comillas

Si los parmetros que deben pasar a /cmd= ya estn entrecomillados, se necesitarn tres comillas. Un conjunto para entrecomillar a toda la cadena. Otro para entrecomillar los valores que ya estn entre comillas, y finalmente los valores mismos entre comillas. Por ejemplo, la lnea de comando a continuacin muestra un ejemplo de los parmetros que deben encerrarse con tres comillas.
LocalSch.exe /exe="%ProgramFiles%\LANDesk\File Replicator\LANDeskFileReplicatorNoUI.exe" /cmd="""%ProgramFiles%\LANDesk\File Replicator\LDHTTPCopyTaskConfig.xml"" ""%ProgramFiles%\LANDesk\File Replicator\replicator.log"""
En el comando anterior, los dos parmetros son rutas a archivos. Como ambas rutas estn en el directorio Archivos de programa, tienen espacios y deben colocarse entre comillas a fin de ser parmetros adecuados para LANDeskFileReplicatorNoUI.exe. De manera que cada parmetro entre comillas est rodeado por un segundo conjunto de comillas, y la cadena completa est a su vez rodeada por comillas.
375
MANUAL DE USUARIO
Entrecomillado de operadores de redireccionamiento

Las comillas deben rodear tambin a cualquier conmutador que contenga un operador de redireccionamiento. Los operadores de redireccionamiento incluyen los siguientes smbolos: <, >, |. El conmutador /bw usa un carcter | llamado barra vertical o barra. Es importante recordar que el carcter | se usa en la interfaz de comandos para encaminar la salida hacia otra aplicacin. Para evitar que este carcter sea analizado por la lnea de comando, debe estar rodeado por comillas. Por ejemplo, el comando a continuacin usa un parmetro /bw con un carcter | y debe colocarse entre comillas.
LocalSch.exe /exe=C:\ldclient\amclient.exe /cmd="/apm /s /ro" /bw="LAN|server"
376
Distribucin de software
En este captulo se explica cmo utilizar LANDesk Management Suite para distribuir software y archivos en los dispositivos a travs de la red. Lea este captulo para obtener informacin sobre: Informacin general sobre la Distribucin de software Tipos de paquetes Mtodos de entrega disponibles Configuracin del servidor de entregas Configuracin de servidores Web de Windows 2003 para la distribucin de software Distribucin de paquetes Propietarios y derechos de distribucin Descarga de archivos Actualizacin de paquetes hash Ejecucin de paquetes desde el servidor de origen Uso de la distribucin de software con paquetes en un sistema de archivos distribuidos (DFS) Configuracin de servidores de paquete preferidos Uso de la multidifusin dirigida con distribucin de software Acerca del reinicio del punto de comprobacin del nivel de bytes y el lmite de ancho de banda dinmica Ejecucin de una aplicacin en el contexto del usuario actualmente conectado "Uso de paquetes de distribucin MSI" en la pgina 399 Distribucin de software en dispositivos Linux Resolucin de problemas de distribucin
Introduccin a la Distribucin de software

La distribucin de software permite la implementacin de paquetes de archivos y software en dispositivos con los sistemas operativos siguientes: Windows 95B/98SE Windows NT (4.0 SP6a y posterior) Windows 2000/2003/XP/Vista Mac OS X 10.2.x.,10.3.x y 10.5x RedHat Linux 7.3,8.0, 9, y Enterprise Linux v3/v4/v5 (AS, ES y WS) Suse Linux Server 9 y 10 y Linux Professional 9.3
Los dispositivos que reciben paquetes de distribucin de software deben tener instalados los agentes de LANDesk siguientes: Agente LANDesk estndar (anteriormente conocido como CBA) Agente de distribucin de software
Entre las funciones de distribucin de software se incluyen:
377
MANUAL DE USUARIO
Funciones de LANDesk Targeted Multicasting que reducen el uso del ancho de banda al distribuir grandes paquetes en muchos usuarios, sin hardware dedicado o reconfiguraciones de enrutador Los mtodos de entrega permiten un control detallado sobre cmo se completan las tareas Sencillo programador de tareas que se integra con la base de datos del inventario para facilitar la seleccin final Elaboracin de informes de estado en tiempo real para cada tarea de implementacin Distribuciones basadas en polticas, que incluyen la compatibilidad para crear tareas por envo admitidas por polticas Distribucin a dispositivos Mac OS 9.22 y Mac OS X Compatibilidad con dispositivos porttiles, la cual incluye la deteccin del ancho de banda, el reinicio de puntos de comprobacin y la capacidad para completar tareas mediante una poltica Completo generador de paquetes Capacidad para distribuir cualquier tipo de paquetes, incluidos MSI, setup.exe y otros instaladores
Si no cuenta con un paquete existente que implementar, utilice la tecnologa de generacin de paquetes de Management Suite a fin de crear un programa ejecutable independiente para la instalacin del software requerido. Una vez que tenga un paquete, almacnelo en Internet o en un servidor de red denominado "servidor de entregas". A travs de la consola se puede programar la distribucin mediante la ventana Tareas programadas. El servidor central establece la comunicacin entre la ubicacin del paquete (ruta URL o UNC) y el dispositivo y, a continuacin, el dispositivo copia slo los archivos o las porciones de archivo que necesita desde el servidor de entregas. Por ejemplo, si est instalando de nuevo un programa de software porque algunos de sus archivos faltaban o estaban daados, el sistema copia slo dichos archivos, no el programa entero. Esta tecnologa tambin funciona correctamente con enlaces de redes WAN. Se puede almacenar el paquete en varios servidores y, a continuacin, programar los dispositivos para que utilicen el servidor de acuerdo con sus necesidades (es decir, segn la proximidad de la ubicacin, la disponibilidad del ancho de banda, etc.). La distribucin de software tambin reanudar las descargas de paquetes interrumpidas. Por ejemplo, si un dispositivo estuviera descargndose un paquete de gran tamao y se desconecta de la red, cuando se vuelva a conectar, la descarga se reanudar desde dnde se interrumpi. En Management Suite, la distribucin de software consiste de tres pasos principales: 1. Cree u obtenga un paquete de software. El paquete de software puede consistir de uno o ms archivos MSI, un ejecutable, un archivo de proceso por lotes, un paquete Macintosh, un paquete Linux RPM o un paquete creado con el generador de paquetes de Management Suite. Coloque el paquete en el servidor de entregas. Cree un paquete de distribucin (Herramientas | Distribucin | Paquetes de distribucin). El paquete de distribucin contiene los archivos y configuracin necesarios para instalar un paquete de software especfico, tal como el nombre del paquete, cualquier dependencia o requisito previo, parmetros de lnea de comandos, archivos adicionales necesarios para instalar el paquete, etc. Esta configuracin se guarda en la base de datos y se crea un paquete de distribucin. Una vez creado el paquete de distribucin, la informacin se guarda en la base de datos y puede utilizarse con facilidad en varias tareas.
2.
378
3.
4.
5.
6.
7.
Cree un mtodo de entrega (Herramientas | Distribucin | Mtodos de entrega). El mtodo de entrega define la forma en que el paquete se enviar a los dispositivos. Estas opciones no se asocian a un paquete de distribucin especfico. Las opciones incluyen la multidifusin dirigida y las distribuciones por envo o basadas en polticas. No cree un mtodo de entrega cada vez que desee distribuir un paquete. Los mtodos de entrega permiten definir las mejores prcticas para la implementacin del software. De forma idnea, cree una plantilla de mtodo de entrega que puede volver a utilizarse en distribuciones con el mismo mtodo de entrega. Programe las tareas de distribucin en la ventana Tareas programadas (Herramientas | Distribucin | Tareas programadas). En dicha ventana, especifique la secuencia de comandos del paquete de distribucin, el mtodo de entrega, los dispositivos que reciben el paquete de distribucin y la hora de distribucin de la tarea. Cuando llega la hora programada, el servicio programador inicia el gestor de tareas programadas, el cual implementa el paquete mediante las opciones seleccionadas en el mtodo de entrega. Dichas opciones podran incluir: Si se selecciona un mtodo de entrega que utilice la multidifusin, se utilizar la misma. Si se selecciona un mtodo de instalacin automtica, el servicio se pone en contacto con el agente de distribucin de software en cada uno de los dispositivos y le informa de que el paquete est listo para su instalacin. Si se selecciona un mtodo de entrega basado en polticas, el paquete se pone a la disposicin para su descarga. El agente de distribucin de software obtiene el paquete de la memoria cach local, de un igual de la red o del servidor de entrega, y lo procesa en el dispositivo mediante la instalacin o eliminacin de los archivos del paquete. Una vez procesado el paquete, el agente de distribucin de software enva el resultado al servidor central, donde se registra en la base de datos central.
La separacin de las tareas de distribucin en dos partes, paquetes de distribucin y los mtodos de entrega, simplifica el proceso de distribucin. Ahora puede crear plantillas de mtodo de entrega que sean independientes de un paquete particular. Por ejemplo, puede crear una plantilla predeterminada de mtodo de entrega para la multidifusin dirigida, y siempre que desee multidifundir un paquete, podr entregarlo haciendo uso de la plantilla sin tener que volver a configurar el paquete de distribucin o el mtodo de entrega. Si existen distintas personas en la organizacin que crean y distribuyen paquetes, estos cambios simplifican las funciones laborales y la divisin del trabajo. Los usuarios que crean paquetes pueden trabajar de forma independiente de los que entregan paquetes.
Tipos de paquetes
La distribucin de software admite estos tipos de paquetes: Paquete SWD Estos paquetes se crean con el Generador de paquetes de Management Suite (instalado de forma separada). Si desea ms informacin, consulte "Generacin de paquetes".
379
MANUAL DE USUARIO
MSI Estos paquetes tienen el formato del instalador de Windows. Debe utilizarse una herramienta de otro fabricante para crear paquetes MSI. Estos paquetes consisten principalmente de un archivo .MSI primario y pueden incluir archivos y transformaciones compatibles. Las transformaciones personalizan la forma en que se instalan los paquetes MSI. Si el paquete MSI contiene varios archivos, asegrese de agregarlos todos en el cuadro de dilogo Paquete de distribucin. Ejecutable A fin de que se utilice un paquete ejecutable para la distribucin de software, debe satisfacer el criterio siguiente: El archivo ejecutable no debe cerrarse antes de que se complete la instalacin. El archivo ejecutable debe devolver el valor cero (0) si la instalacin es satisfactoria.
Siempre que el archivo ejecutable satisfaga estos dos criterios, se puede utilizar cualquier ejecutable para la instalacin del paquete. Puede incluir archivos adicionales para los paquetes ejecutables. Archivo por lotes Los paquetes de archivos de proceso por lotes se basan en un archivo de proceso por lotes de Windows/DOS. Puede incluir archivos adicionales para estos paquetes de distribucin. El estado satisfactorio del paquete de archivos de procesamiento por lotes se basa en el valor de la variable de entorno del sistema de nivel de error cuando ha finalizado la ejecucin del archivo de procesamiento por lotes. Uso de archivos de proceso por lotes en tareas en dispositivos Windows 95/98 En Windows 95/98, cuando command.com ejecuta un archivo de proceso por lotes que contiene un ejecutable de Windows, el archivo de proceso por lotes ejecutar el ejecutable y continuar con la ejecucin de comandos en el dicho archivo sin esperar. Cuando el archivo de proceso por lotes finaliza, el servidor central recibir un resultado pero no necesariamente cuando finalice el ejecutable de Windows. En este caso, el servidor central no sabr si el ejecutable de Windows se ejecut correctamente e informar una implementacin satisfactoria si los dems comandos DOS se ejecutaron de forma exitosa. Si el archivo de proceso por lotes ejecuta un ejecutable DOS, antes de continuar, el archivo de proceso por lotes tendr que esperar que el ejecutable finalice. Para los ejecutables DOS, cuando todos los procesos hayan finalizado el servidor central recibir un resultado. Macintosh Se puede descargar cualquier archivo de Macintosh, aunque Management Suite no permite la descarga directorios. Los paquetes de instalacin (.PKG) pueden contener directorios. Se deben comprimir. Si el archivo descargado tiene la extensin .SIT, .ZIP, .TAR, .GZ, .SEA o .HQX, Management Suite descomprimir el archivo antes de regresar. (Es necesario que los usuarios se aseguren de que Stuffit Expander* tiene la opcin de "comprobacin de nuevas versiones" deshabilitada; de lo contrario, un cuadro de dilogo interrumpir la ejecucin de las secuencias de comandos.)
380
Linux RPM Estos paquetes tienen el formato Linux RPM. Estos paquetes deben almacenarse en un recurso compartido Web para que funcione la distribucin en Linux RPM.
Mtodos de entrega disponibles

La distribucin de software ofrece los siguientes mtodos de entrega: Por envo: Los paquetes pueden multidifundirse a los dispositivos administrados. A continuacin, el servidor central inicia la instalacin de los paquetes en los dispositivos administrados. Poltica: El servidor central pone los paquetes a la disposicin para su descarga. Cuando un dispositivo administrado busca las polticas disponibles, se devuelve el paquete. Segn el tipo de poltica, los dispositivos podran instalar el paquete de forma automtica o ponerlo a la disposicin de los usuarios para que lo instalen cuando lo deseen. Envo apoyado en poltica: Se trata del modelo de distribucin y poltica por envo. Primero, la distribucin de software intenta instalar el paquete en todos los dispositivos de la lista de destino. De este modo, se puede realizar una implementacin inicial mediante la multidifusin dirigida. Segundo, los dispositivos que no recibieron el paquete o que se agregan posteriormente a la lista de destino (en el caso de las listas de destino dinmicas), reciben el paquete cuando lo solicite el agente de administracin basada en polticas del dispositivo. Multidifusin (slo cach): Multidifunde el paquete a los dispositivos de destino, no se toma ninguna otra accin en el dispositivo administrado. El resultado es que el paquete se almacena en la memoria cach local de los dispositivos administrados. Utilice esta opcin para enviar el paquete mediante la multidifusin a unos pocos dispositivos en cada dominio de multidifusin. Puede crear una tarea que utilice la opcin Descarga entre iguales (desde igual o cach). Esto permite regular el ancho de banda de red utilizado por la distribucin y no cubre dominios de multidifusin.
Componentes de distribucin de software en el servidor central

Los componentes siguientes de la distribucin de software se ejecutan o residen en el servidor central: Controlador de tareas programadas LANDesk: Cuando este programa (ScheduledTaskHandler.exe) se ejecuta desde el servicio programador, comienza un trabajo de distribucin. Servicio programador de LANDesk: La consola almacena informacin sobre las tareas programadas en la base de datos. El servicio programador (SCHEDSVC.EXE) supervisa la informacin de la base de datos para determinar en qu momento se deben ejecutar las tareas. Paquetes de distribucin: Cuando selecciona un paquete de distribucin de software en la ventana Paquete de distribucin, guarda esta definicin en la base de datos. Management Suite utiliza esta definicin cuando se crean los comandos que se enviarn a los dispositivos para instalar los paquetes.
381
MANUAL DE USUARIO
Paquetes de distribucin de software: El paquete puede consistir de uno o ms archivos MSI, un ejecutable, un archivo de proceso por lotes, un paquete Macintosh, un paquete Linux RPM o un paquete creado con el generador de paquetes de Management Suite. En la mayora de los casos, el paquete de software debe contener todo lo necesario para instalar la aplicacin que se est distribuyendo.
Para los usuarios de las versiones de Management Suite anteriores a 8.5

Management Suite 8.5 reorganiza la forma en que funciona la distribucin de software en la consola de Management Suite. La distribucin de software ahora se divide en dos partes: Paquetes de distribucin: Utilice esta ventana para crear paquetes de distribucin. Una vez que ha creado un paquete o que posee un paquete existente que desee distribuir, esta ventana permite configurar el paquete para Management Suite. Mtodos de entrega: Utilice esta ventana para definir la forma en que se entregarn los paquetes configurados en la ventana Paquetes de distribucin. Por ejemplo, puede elegir una distribucin de multidifusin dirigida o una a peticin.
Si ha utilizado versiones de Management Suite anteriores a la versin 8.5, notar que la administracin de polticas de aplicacin ya no se encuentra en el men Herramientas. La administracin de polticas es ahora parte de los cuadros de dilogo Paquetes de distribucin y Mtodos de envo. Los paquetes APM tradicionales se actualizan a los paquetes de distribucin, los mtodos de entrega y las tareas programadas. Las secuencias de comandos permanecen sin alteracin.
Configuracin del servidor de entregas

El servidor de entregas es el servidor en el que se almacenan los paquetes de distribucin de software. Puede ser un servidor Web o un servidor Windows NT/2000/2003. A fin de obtener mejores resultados, es recomendable que los paquetes se basen en URL. En general, la configuracin debida de una URL es ms sencilla que la de una ruta UNC. Los recursos compartidos del paquete HTTP necesitan tener agregada la Cuenta de invitado a Internet con al menos privilegios de lectura, ya que se obtendr acceso a los paquetes a travs de un HTTP annimo. Los recursos compartidos del paquete UNC necesitan tener agregado el grupo Equipos de dominio con al menos privilegios de lectura. Servidor de entregas servidor Web Requisitos
Microsoft Internet Information Server 5.0 o superior con SO Windows NT o Windows 2000/2003, o cualquier servidor Web compatible con HTTP 1.1 y con intervalo de bytes.
382
Servidor de entregas
Requisitos
Servidor de red Windows NT 4.0 o Windows 2000/2003
Para configurar un servidor Web para la distribucin de software Las instrucciones siguientes explican cmo crear un directorio virtual en un servidor Web y habilitarlo para su exploracin. En general, los directorios virtuales deben permitir la lectura y exploracin de directorio, y debe estar habilitado el acceso annimo al directorio virtual. Si se establece la ejecucin, no se compartir correctamente. Puede que desee deshabilitar los permisos de escritura para que los dispositivos no puedan modificar el contenido del directorio. 1. Cree un directorio en el servidor Web en el que desee almacenar los paquetes de distribucin de software. La ubicacin habitual de estos directorios en un servidor Web IIS suele ser un subdirectorio de c:\inetpub\wwwroot. Copie los paquetes en este directorio. En el Panel de control, haga doble clic en Herramientas administrativas y, a continuacin, en Administrador de servicios Internet. En el panel derecho, haga doble clic en el icono con el nombre del dispositivo y, a continuacin, haga clic en Sitio Web predeterminado. En una zona vaca del panel derecho, haga clic con el botn derecho en Nuevo y, a continuacin, haga clic en Directorio virtual. En el asistente, haga clic en Siguiente y, a continuacin, introduzca un alias para el directorio. Haga clic en Siguiente. Introduzca la ruta de acceso o desplcese hasta ella y, a continuacin, haga clic en Siguiente. En el cuadro de dilogo Permisos de acceso, habilite Ejecutar archivo de comandos y Examinar. De esta forma se pueden examinar los paquetes al crear el paquete de distribucin. Haga clic en Siguiente y en Finalizar. En el men contextual del directorio virtual que ha creado, haga clic en Propiedades. En la ficha Documentos , borre la opcin Habilitar pgina de contenido predeterminado y haga clic en Aceptar. Las pginas predeterminadas pueden interferir con la capacidad de la carpeta compartida de proporcionar un directorio que se pueda navegar. En la ficha Seguridad del directorio, haga clic en el botn Editar en el cuadro Acceso annimo y control de autenticacin. Asegrese de que est seleccionada la opcin Autenticacin integrada de Windows. Tambin asegrese de que est deshabilitada la opcin Digest authentication para servidores de dominio de Windows. Para habilitar el puerto 80 del servidor Web, en el panel izquierdo, haga clic con el botn derecho en Sitio Web predeterminado. Haga clic en Propiedades. En el cuadro de dilogo Identificacin del sitio Web, el valor mostrado en el cuadro Puerto TCP debe ser 80. Si no es as, haga clic en Avanzadas para aadir el puerto.
2. 3. 4. 5. 6. 7. 8.
9. 10.
11.
12. 13.
383
MANUAL DE USUARIO
14. Asegrese de que el sitio Web se encuentre disponible al abrir un explorador e introducir la URL del servidor Web y el directorio virtual. Por ejemplo, si el nombre del servidor Web es Test y el nombre del directorio virtual es Paquetes, introduzca la URL siguiente: http://Test/Packages Debera aparecer una lista de los paquetes que se han copiado en este directorio. El tamao y el nmero de paquetes que se almacenen en este directorio slo est limitado por el espacio libre en disco. Se pueden crear subdirectorios para agrupar los paquetes de forma lgica. Cada subdirectorio que se crea debe contar con el conjunto de permisos de acceso, tal como se describe en la tarea Para configurar un servidor Web para la distribucin de software. Despus de copiar los paquetes en un recurso compartido de paquetes de un servidor Web, estos se tratan y preparan para copiarlos en los dispositivos de destino. Cuando llega el momento programado, la ruta UNC o URL del paquete se transmite al programa SDCLIENT.EXE (el agente del dispositivo) como un parmetro de la lnea de comandos. SDCLIENT.EXE administra la transferencia de archivos, inicia la instalacin y proporciona informes sobre el estado. Aunque el protocolo HTTP se utiliza para la transferencia de archivos, el informe de estado se proporciona a travs del agente LANDesk estndar. El servidor Web se comunica con el dispositivo para garantizar que el paquete se copie correctamente. Si se interrumpe la transmisin del paquete durante la descarga, el servidor Web puede hacer uso del protocolo HTTP para reanudar la descarga en el punto en que se detuvo. No obstante, el servidor Web no verifica que el paquete se haya instalado correctamente. Dicho trfico se basa en el protocolo TCP y proporciona el estado al servidor central mediante el agente LANDesk estndar.
Configurar un servidor de archivo para la distribucin de software

Los dispositivos que no cuenten con un explorador deben recibir los paquetes de distribucin desde una ruta UNC de un servidor de red Windows NT/2000/2003. ste puede ser la misma carpeta que la configurada en el servidor Web. Si est utilizando servidores preferidos, puede configurar credenciales de autenticacin para el recurso compartido de paquete UNC sin tener que configurar un recurso compartido de sesin nula. Si no est utilizando servidores preferidos o credenciales de servidores preferidos, deber realizar la sesin nula del recurso compartido del paquete, que le permite a los usuarios acceder a l sin tener que proporcionar credenciales alternativas. La utilidad SYSSHRS.EXE permite crear carpetas compartidas de sesin annima. Para configurar un servidor de red para la distribucin de software 1. 2. 3. Para configurar una carpeta compartida en el servidor de red, haga clic con el botn derecho en la carpeta que desee compartir y haga clic en Compartir. Active Compartir esta carpeta y, a continuacin, haga clic en Permisos. Aada los grupos Todos e Invitado, pero concdale slo permisos de lectura. En un entorno de dominio, tambin aada el grupo Equipos de dominio y otorgue permisos de slo lectura. Aplique los cambios.
384
4. 5. 6. 7.
En el servidor de red, haga clic en Inicio | Ejecutar y desplcese hasta la carpeta LDMAIN\Utilities del servidor central. Ejecute la utilidad SYSSHRS.EXE. aunque esta utilidad advierte de que est diseada para dispositivos Windows NT, tambin funciona con dispositivos Windows 2000/2003. Verifique la carpeta compartida establecida anteriormente, haga clic en Aplicar y, a continuacin, en Cerrar. Copie los paquetes de distribucin de software en esta carpeta del servidor de red.
El tamao y el nmero de paquetes que se almacenan en el servidor de red slo est limitado por el espacio libre en disco. Para obtener ms informacin sobre la utilidad SYSSHRS.EXE, descargue el paquete SHARES.EXE de la direccin http://www.landesk.com/support/downloads/Resource.aspx?pvid=12&rtid=10 y extraiga la documentacin.
Uso de recursos compartido de sesin nula con Windows Server 2003

Adems de los pasos incluidos en la ayuda en lnea, la configuracin de un recurso compartido de sesin nula en un servidor de Windows Server 2003 requiere los cambios de poltica siguientes (para abrir el editor de objetos de poltica de grupos, escriba gpedit.msc en el indicador de ejecucin de Windows): La opcin Aplicar permisos a usuarios annimos debe estar activada en los grupos Todos e Invitados. La opcin Restringir acceso annimo a canalizaciones con nombre y a recursos compartidos debe estar desactivada. La opcin Recursos compartidos en los que se permite el acceso annimo debe incluir el nombre del recurso compartido de sesin nula.
No se puede utilizar Windows Server 2003 con un recurso compartido de sesin nula si asp.net se encuentra instalado. Si configura un recurso de sesin nula en un servidor de Windows 2003 en el cual se encuentra instalado asp.net e intenta crear un paquete de distribucin, el servidor central intentar la autenticacin con las credenciales de usuario de asp.net y fallar.
Configuracin de servidores Web de IIS 6 para la distribucin de software

Windows 2003 utiliza IIS 6 como servidor Web. Cuando almacena paquetes en un servidor Web de IIS 6, existe configuracin adicional que se tiene que realizar: Configurar el directorio virtual que almacena los paquetes. Registrar un tipo MIME con IIS.
385
MANUAL DE USUARIO
IIS 6 maneja los directorios virtuales de forma distinta que IIS 5 (IIS 5 era el servidor Web de Windows 2000). En el servidor IIS 6, si selecciona un directorio y desde su men contextual lo convierte en una carpeta compartida Web, el directorio se registra en IIS 6 como una aplicacin Web en lugar de un directorio virtual. El problema es que como aplicacin Web, al intentar seleccionar un archivo ejecutable, el servidor Web intenta ejecutar el archivo como una aplicacin Web en vez de descargar el archivo al usuario. La solucin es acceder a IIS, cambiar el directorio compartido de una aplicacin Web a un directorio virtual y desactivar los permisos de ejecucin. Al alojar los archivos en un servidor IIS 6, los archivos sin un tipo de archivo MIME registrado resultan en un error HTTP 404 de archivo no encontrado. Esto resulta en que falla la multidifusin y/o instalacin del archivo a menos que registre los tipos de archivo MIME. Para registrar los tipos de archivo MIME Inicie Internet Information Services (IIS) Manager. Expanda el equipo local en el rbol. Haga clic en Sitios Web | Sitio Web predeterminado. En el men contextual de la carpeta compartida Web del paquete, haga clic en Propiedades. 5. Haga clic en la ficha Encabezados HTTP. 6. Haga clic en Tipos MIME. 7. Haga clic en Nuevo. 8. En el cuadro Extensin, escriba un asterisco (*). 9. En el cuadro Tipo MIME, escriba un nombre. 10. Haga clic en Aceptar dos veces para aplicar los cambios. 1. 2. 3. 4.
Distribucin de paquetes
Un paquete de distribucin consiste en los archivos del paquete que desee distribuir, cualquier archivo adicional que el paquete necesite, y las configuraciones que describan los componentes del paquete y su comportamiento. Deber crear el paquete antes de que le cree una definicin del paquete para su distribucin. Las instrucciones siguientes detallan cmo crear paquetes de distribucin de software. Para que el paquete se ejecute correctamente, es necesario que exista el paquete de distribucin de software en un servidor Web o de red y que el agente de distribucin de software se encuentre instalado en los dispositivos. Se requieren tres pasos principales para distribuir paquetes a los dispositivos. 1. 2. 3. Cree un paquete distribucin para el paquete que desee distribuir. Cree un mtodo de entrega. Programe el paquete y el mtodo de entrega para la distribucin.
Para crear un paquete de distribucin 1. 2. Cree el paquete que desee distribuir. Haga clic en Herramientas | Distribucin | Paquetes de distribucin.
386
3. 4.
5.
En el men de acceso directo del grupo de paquete que desee, haga clic en Nuevo paquete de distribucin | el tipo de paquete que desee crear. En el cuadro de dilogo Paquete de distribucin, escriba la informacin del paquete y cambie las opciones que desee. Recuerde que debe escribir el nombre del paquete, la descripcin y el archivo principal. Haga clic en Ayuda para obtener informacin sobre cada una de las pginas. Cuando haya finalizado, haga clic en Aceptar. La secuencia de comandos aparece debajo del elemento de rbol del tipo de paquete y del propietario que ha seleccionado.
Para crear un mtodo de entrega 1. Si ya ha configurado el mtodo de entrega que desea utilizar o si utiliza uno de los mtodos de entrega predeterminados, vaya al procedimiento siguiente, "Para programar una distribucin de tareas". Haga clic en Herramientas | Distribucin | Mtodos de entrega. En el men de acceso directo del mtodo de entrega que desee utilizar, haga clic en Nuevo mtodo de entrega. En el cuadro de dilogo Mtodo de entrega, escriba la informacin de entrega y cambie las opciones que desee. Haga clic en Ayuda para obtener informacin sobre cada una de las pginas. Cuando haya finalizado, haga clic en Aceptar. La secuencia de comandos aparece debajo del elemento de rbol del tipo de mtodo de entrega y del propietario que ha seleccionado.
2. 3. 4.
5.
Para programar una tarea de distribucin Haga clic en Herramientas | Distribucin | Tareas programadas. Haga clic en el botn de la barra de herramientas Crear tarea de distribucin de software. 3. En la pgina Paquete de distribucin, seleccione el paquete de distribucin que ha creado. 4. En la pgina Mtodos de entrega, seleccione el mtodo de entrega que desee utilizar. 5. Haga clic en Guardar para guardar los cambios. 6. En la vista de red, arrastre los destinos a la tarea en la ventana Tareas programadas. Los destinos pueden incluir los dispositivos individuales, grupos de equipos, objetos LDAP (usuario, equipo y grupo), consultas LDAP y consultas de inventario. 7. En el men contextual de esa tarea, seleccione Propiedades. 8. La pgina Dispositivos destino muestra los dispositivos que recibirn la tarea. 9. En la pgina Tarea programada, escriba el nombre de la tarea y la programacin de la misma. 10. Vuelva a la pgina Introduccin y confirme que la tarea se haya configurado debidamente. 11. Al finalizar, haga clic en Guardar. Observe el progreso de la tarea en la ventana Tareas programadas. 1. 2.
387
MANUAL DE USUARIO
Propietarios y derechos de distribucin

En entornos en los que existen muchos usuarios de Management Suite, podra ser difcil saber por qu paquetes de distribucin, mtodos de entrega y tareas programadas es responsable cada usuario. Para ayudar con este problema, Management Suite hace del usuario que cre el paquete de distribucin, el mtodo de entrega o la tarea programada, el propietario predeterminado del elemento. Solamente el propietario y los administradores de RBA o los usuarios de la configuracin de distribucin de software pueden ver los elementos privados. Los elementos privados aparecen bajo los rboles Mis mtodos de entrega, Mis paquetes o Mis tareas. Los usuarios administrativos pueden ver los elementos de todos los usuarios bajo los rboles Paquetes de distribucin del usuario, Mtodos de entrega del usuario y Tareas del usuario. Cuando los usuarios crean un elemento de distribucin, la pgina Descripcin tiene la opcin Propietario. Los usuarios pueden seleccionar Pblico si desean que todos los usuarios de la consola vean el elemento. Los administradores pueden seleccionar un usuario especfico, adems de seleccionar Pblico. Una vez que el usuario haya creado un elemento, pueden cambiar el propietario al hacer clic en Propiedades en el men de acceso directo del elemento. Una vez que un usuario no administrativo define un elemento en pblico, no lo pueden hacer privado de nuevo. Solamente el administrador puede hacer eso. Los derechos de RBA siguientes afectan la visibilidad de los elementos de distribucin: Administrador: Crea y visualiza elementos de distribucin pblicos y privados. Puede ver los elementos de distribucin privados de todos los usuarios. Configuracin de la Distribucin de software: Crea y visualiza elementos de distribucin pblicos y privados. Solamente puede ver sus propios elementos de distribucin privados. Distribucin de software: Ve y utiliza los elementos de distribucin pblicos existentes y los elementos que pertenecen a ellos mismos. No pueden crear nuevos elementos de distribucin.
Uso de varios paquetes de distribucin en una tarea

Las tareas de distribucin de software de instalacin automtica pueden incluir un paquete preliminar y uno final. Si se utilizan varios paquetes, los mismos se instalan uno a la vez y en orden. El paquete anterior debe devolver un estado de tarea satisfactoria en todos los dispositivos antes de empezar la instalacin del paquete siguiente. Los paquetes preliminares y finales resultan tiles cuando desea ejecutar comandos antes o despus del paquete principal. Por ejemplo, podra crear un paquete de archivo de proceso por lotes el cual ejecute comandos que configuren el dispositivo de destino para el paquete principal. Tras la instalacin del paquete principal, podra especificar un paquete final de archivo de proceso por lotes que realice cualquier configuracin posterior necesaria. Los paquetes preliminares y finales pueden ser de cualquier tipo, pero el mtodo de entrega debe ser de instalacin automtica. El mtodo de entrega de instalacin automtica basado en polticas no admite los paquetes preliminares y finales.
388
Puede especificar los paquetes preliminares y finales al programar una tarea de distribucin. La pgina Paquete de distribucin del cuadro de dilogo Tareas programadas - Propiedades contiene las opciones Paquete preliminar y Paquete final. Antes de seleccionar estas opciones, debe ir a la pgina Mtodo de entrega y seleccionar un mtodo de entrega de instalacin automtica. Para ello, haga clic en Instalacin automtica en el Tipo de entrega y haga clic en el Mtodo de entrega que desee utilizar. Para utilizar varios paquetes de distribucin en una tarea 1. 2. 3. 4. 5. 6. Cree los paquetes que desee utilizar en la tarea. Haga clic en Herramientas | Distribucin | Tareas programadas. Haga clic en el botn de la barra de herramientas Crear tarea de distribucin de software. En la ficha Mtodo de entrega, haga clic en Instalacin automtica en el Tipo de entregay haga clic en el Mtodo de entrega que desee utilizar. En la ficha Paquete de distribucin, haga clic en el Tipo de paquete y en el Paquete de distribucin que desee utilizar. Haga clic en Paquete preliminar, en Paquete principal o en Paquete final, en funcin de cundo desee que se instale el paquete, y haga clic en Establecer. Repita los pasos 4 y 5 para los dems paquetes que desee instalar con esta tarea. Solamente puede haber un paquete en cada etapa y siempre debe haber un Paquete principal. Finalice la configuracin de la tarea y progrmela.
7.
Descarga de archivos
La distribucin de software ofrece varios mtodos para la entrega de archivos a los dispositivos para su instalacin. Entre ellos se incluyen: La obtencin del archivo de la memoria cach de multidifusin La obtencin del archivo de un par La descarga directa del origen remoto
Si se necesita descargar un archivo, el agente de distribucin de software, SDClient, primero busca en la memoria cach a fin de determinar si el archivo se encuentra all. La memoria cach se define ya sea en C:\Archivos de programa\LANDesk\LDClient\sdmcache o en la ruta almacenada en el Directorio de cach bajo la clave de registro Multicast: HKEY_LOCAL_MACHINE\SOFTWARE\Intel\LANDesk\LDWM\Distribution\Multicast
La estructura de los archivos en la memoria cach es idntica a la estructura de los mismo en el servidor Web o de red. Esto permite que varios paquetes tengan archivos con el mismo nombre sin que se produzcan problemas. Si el archivo no se encuentra en la memoria cach, por lo general, SDClient intenta descargas el archivo de un par de la red. Puede configurar el mtodo de entrega para que requiera la descarga de un par.
389
MANUAL DE USUARIO
Si no se puede obtener el archivo de un par, SDClient descarga los archivos directamente del origen UNC o URL. Puede configurar el mtodo de entrega de modo que si el archivo se obtiene del origen, solamente un dispositivo del dominio de multidifusin se descargue del archivo a partir de la ubicacin de origen. Bajo la mayora de las circunstancias, al descargar de un recurso compartido UNC, se requiere que ste sea un recurso compartido de sesin NULA. Si el archivo que se va a descargar est basado en URL, SDClient lo descarga del sitio Web. En cualquier caso, SDClient coloca el archivo en la memoria cach de multidifusin. Despus de colocarlo all, SDClient procesa el archivo descargado. Cuando se descarga un archivo en la memoria cach, permanece ah durante varios das, pero con el tiempo se elimina de dicha memoria. La cantidad de tiempo que el archivo permanece en la memoria cach se controla a travs del mtodo de entrega utilizado cuando se implementa el paquete.
Actualizacin de hash del paquete

Debido a que muchos archivos de paquetes se obtienen de pares de la red, los archivos se verifican antes de la instalacin. La integridad de los archivos se verifica mediante la comparacin del valor hash MD5 del archivo con el valor hash MD5 generado en el servidor central. Al programar un paquete de distribucin, Management Suite descarga los archivos y calcula los valores hash asociados con el archivo principal y los archivos adicionales utilizados por el paquete de distribucin. Si el hash que se guard con el paquete no coincide con el valor hash SDClient contabilizado en el dispositivo de destino, la descarga es invlida. Si realiza cualquier cambio en el paquete fuera de Management Suite, tal como la actualizacin del contenido del paquete, debe restablecer el valor hash, caso contrario fallarn las tareas programadas que utilice el paquete actualizado. Para restablecer el valor hash de un paquete 1. 2. Haga clic en Herramientas | Distribucin | Paquetes de distribucin. Desde el men contextual del paquete con el hash que desea actualizar, haga clic en Restablecer archivos hash. Con los paquetes grandes, la operacin puede durar varios minutos.
Ejecucin de paquetes desde el servidor de origen

La distribucin de software generalmente descarga archivos de paquete en la cach local del dispositivo y luego lo instala desde all. Es posible que esto no funcione bien si un paquete o aplicacin espera que los archivos de instalacin estn en una estructura de carpeta especfica, como por ejemplo el instalador de Microsoft Office, o si la instalacin de la aplicacin no utiliza todos los archivos de origen para las instalaciones. En estos casos, puede hacer que el agente de distribucin de software local ejecute el archivo directamente desde el origen, ya sea un servidor preferido o el origen especificado en el paquete. Cuando habilita la ejecucin desde el origen, la distribucin de software no descargar los archivos de paquete en la cach local ni ejecutar el paquete desde un par.
390
Cuando utiliza la ejecucin desde el origen con paquetes almacenados en los recursos compartidos Web, el archivo primario debe ser un archivo MSI o un paquete SWD. Con los recursos compartidos UNC, el archivo primario puede ser de cualquier tipo. Para crear un mtodo de entrega que utilice la ejecucin desde el origen 1. 2. 3. Haga clic en Herramientas | Mtodos de entrega | Uso de red. Haga clic en Usar ejecucin desde el origen para desplegar archivos. Termina de configurar el mtodo de entrega.
Uso de la distribucin de software con paquetes en un sistema de archivos distribuidos (DFS)

Los sistemas de archivos distribuidos (DFS) utilizan diversos servidores para proporcionar archivos disponibles desde un solo recurso compartido de archivos. El mtodo predeterminado de distribucin de software de deteccin de ancho de banda en un escenario DFS termina utilizando el servidor raz para calcular el ancho de banda, que es posible que no sea el servidor real que proporciona el archivo. La distribucin de software ahora proporciona un mtodo opcional para calcular el ancho de banda. Con este nuevo mtodo, la deteccin de ancho de banda recupera una porcin pequea del archivo real que se distribuye. De esta manera, la distribucin de software calcula el ancho de banda desde el servidor que proporciona el archivo. Este mtodo alternativo para detectar el ancho de banda no se encuentra habilitado de forma predeterminada. Puede habilitar esta opcin desde el archivo ntstacfg.in# de la carpeta ldlogon del servidor central. Una vez que haya actualizado este archivo, los cambios forman parte de las configuraciones de agente nuevas o actualizadas. Debe volver a implementar la configuracin de agente en los dispositivos para que los cambios surtan efecto. Busque esta seccin en ntstacfg.in# y realice los cambios necesarios.
; Los siguientes valores de registro controlan la deteccin del ancho de banda segn la descarga de archivos ; cambie el valor de UseDownloadForBandwidth a 1 para habilitar el uso de la descarga de archivos para detectar el ancho de banda ; se debera ingresar el valor de DownloadSize como un valor Hex entre 400 y FFFF(1024 bytes a 65535 bytes). REG1=HKEY_LOCAL_MACHINE, SOFTWARE\LANDesk\ManagementSuite\WinClient\SoftwareDistribution\UseDownloa dForBandwidth, 0, , REG_DWORD REG2=HKEY_LOCAL_MACHINE, SOFTWARE\LANDesk\ManagementSuite\WinClient\SoftwareDistribution\DownloadSi ze, 2000, , REG_DWORD
Configuracin de servidores de paquete preferidos

Puede especificar el servidor predeterminado en el cual los dispositivos buscarn los paquetes de distribucin de software. Esto puede ser crucial en los entornos WAN de baja velocidad donde no desee que los dispositivos descarguen paquetes de servidores externos. Cuando se especifican servidores preferidos, tambin se pueden especificar las credenciales que deberan utilizar los dispositivos administrados para autenticarse con cada uno de estos servidores. Tambin se pueden especificar los rangos de direccin IP en los que estar disponible el servidor preferido.
391
MANUAL DE USUARIO
Cuando se utilizan servidores preferidos con una tarea de distribucin, slo se reemplaza la parte del servidor de la ruta UNC o URL del archivo/paquete; el resto de la ruta debe ser igual a la que se especific en la tarea de distribucin. Si el archivo no se encuentra en el servidor preferido, se descarga de la ubicacin especificada en el paquete de distribucin. La Multidifusin (cach nicamente) es el nico mtodo de distribucin que no es compatible con los servidores preferidos. El servidor central tambin utiliza servidores preferidos. El servidor central utiliza los hash del paquete de distribucin para verificar los paquetes de distribucin en las tareas programadas. El servidor central primero intentar generar estos hash desde un servidor preferido. Si se utiliza un servidor preferido local se acelera el proceso de creacin de hash. Si el paquete no est disponible en uno de los servidores preferidos, el servidor central regresa a la generacin del hash de paquete a partir de la ruta especificada en el paquete de distribucin. Por lo general, no es recomendable que el servidor central obtenga un paquete grande a travs del enlace WAN para el proceso de hash, de modo que los archivos hash de un servidor local al central son ms rpidos y utilizan menos ancho de banda de baja velocidad. Los dispositivos administrados almacenar la lista del servidor preferido de forma local en el archivo preferredserver.dat. Para crear este archivo, el dispositivo se comunica con el servidor central y realiza una lista filtrada de servidores preferidos (basada en los lmites de rango de la direccin IP si es que existen). Luego, el dispositivo realiza una comprobacin de ancho de banda en todos los servidores preferidos y guarda los tres primeros en el archivo preferredserver.dat. Tenga en cuenta que la comprobacin de ancho de banda no genera resultados confiables garantizados. Por ejemplo, es probable que un servidor que est cerca tenga una carga alta cuando el agente lo compruebe y entonces se lo quite del medio aunque normalmente sea el mejor candidato. El agente de distribucin actualiza el archivo preferredserver.dat cada 24 horas o cuando cambia la direccin IP: No todos los dispositivos deben realizar este proceso. Los dispositivos comparten las listas de servidores preferidos con sus pares. ste es el proceso que realizan los dispositivos administrados para mantener actualizada la lista de servidores preferidos: 1. 2. 3. Si el archivo preferredserver.dat se ubica en la cach del archivo local, el agente de distribucin la utiliza. Si preferredserver.dat est en un par, el agente recupera el archivo desde all. Si preferredserver.dat no se encuentra disponible de forma local o en par, el dispositivo se pone en contacto con el servidor central, crea una lista filtrada de servidores preferidos y la guarda de forma local como preferredserver.dat. Si preferredserver.dat est vaco o si ninguno de los servidores preferidos responde, el agente busca la lista de servidores preferidos en el registro local.
4.
Si como resultado de estos pasos no se obtiene ningn servidor preferido, el agente local utiliza la ruta de distribucin especificada en la tarea de distribucin. Para configurar servidores de paquete preferidos 1. 2. 3. Haga clic en Configurar | Servidor preferido. Haga clic en Agregar para agregar un servidor nuevo o haga clic en una entrada existente y luego en Editar. Ingrese la informacin del servidor. Si desea utilizar rangos de direccin IP en los que este servidor debe estar disponible, ingrselos y haga clic en Agregar.
392
4. 5.
Haga clic en Probar credenciales para asegurarse de que las credenciales proporcionadas funcionan. Haga clic en Aceptar.
Almacenamiento de servidores de paquetes preferidos en el registro

La forma ms fcil de administrar servidores preferidos es con el cuadro de dilogo Credenciales del servidor (Configurar | Servidor preferido). Si desea configurar una lista en retroceso de servidores preferidos que se utilizar si no hay servidores en el archivo preferredserver.dat, puede crear la siguiente clave de registro en los dispositivos administrados y establecer el valor en el nombre del servidor del paquete preferido. Para especificar varios servidores de paquetes, seprelos con un punto y coma. HKEY_LOCAL_MACHINE\Software\LANDesk\ManagementSuite\WinClient\SoftwareDistri bution\PreferredPackageServer
A continuacin se muestra una entrada de registro de ejemplo: [HKEY_LOCAL_MACHINE\SOFTWARE\LANDesk\ManagementSuite\WinClient\Software Distribution]"PreferredPackageServer "="Server1;Server2;Server3"
Personalizacin de la cantidad de servidores almacenados en preferredserver.dat

De forma predeterminada, el archivo preferredserver.dat contiene tres servidores cuyos resultados dieron el ancho de banda ms alto durante la comprobacin de ancho de banda, en orden. Puede cambiar la cantidad de servidores almacenados en preferredserver.dat. Para ello actualice esta lnea en el archivo ntstacfg.in# de la carpeta ldlogon del servidor central. Los nmeros vlidos van de 0 a 7. Una vez que haya actualizado este archivo, los cambios forman parte de las configuraciones de agente nuevas o actualizadas. Debe volver a implementar la configuracin de agente en los dispositivos para que los cambios surtan efecto.
; Configuracin para los archivos lddwnld/ldredirect, el DynamicPreferredServers es el ; nmero mximo de servidores preferidos que se almacenarn. Establezca esto en 0 para deshabilitar ; la funcionalidad del servidor dinmico preferido . REG51=HKEY_LOCAL_MACHINE, SOFTWARE\LANDesk\ManagementSuite\WinClient\SoftwareDistribution\DynamicPre ferredServers, 3, , REG_DWORD
Personalizacin del orden de servidores preferidos

Para evitar retrasos cuando los servidores ms preferidos no tienen un paquete, la lgica de redireccin comenzar a preferir servidores que realmente le hayan estado proporcionando archivos al dispositivo. Puede cambiar el orden de servidores almacenados en preferredserver.dat. Para ello actualice estas lneas en el archivo ntstacfg.in# de la carpeta ldlogon del servidor central.
393
MANUAL DE USUARIO ; Para evitar retrasos cuando los servidores ms preferidos no tienen un paquete , la lgica de redireccin comenzar a preferir servidores que realmente le hayan estado proporcionando archivos al cliente. Las siguientes opciones de registro controlan cuando un ; servidor asciende en la lista. El valor ServerHistoryUseCount indica la cantidad ; de veces que se debe utilizar un servidor antes de moverlo al principio de la lista, ; el valor ServerHistoryCacheTime indica por cunto tiempo debe recordarse (en segundos). REG52=HKEY_LOCAL_MACHINE, SOFTWARE\LANDesk\ManagementSuite\WinClient\SoftwareDistribution\ServerHist oryUseCount, 3, , REG_DWORD REG53=HKEY_LOCAL_MACHINE, SOFTWARE\LANDesk\ManagementSuite\WinClient\SoftwareDistribution\ServerHist oryCacheTime, 3600, , REG_DWORD
Autenticacin de UNC
Cuando se agregan servidores preferidos (Configurar | Servidor preferido), tambin se deben proporcionar las credenciales que los dispositivos deberan utilizar cuando accedan al servidor preferido. Por razones de seguridad, asegrese de que estas credenciales proporcionen acceso de slo lectura. Los dispositivos obtienen estas credenciales del servidor central y las utilizan para autenticarse con el servidor preferido. Cuando se utilizan servidores preferidos agregados al cuadro de dilogo Credenciales del servidor, ya no hace falta configurar los recursos compartidos de los paquetes para que sean de sesin nula, como haba que realizarlo con las versiones anteriores. Mientras las credenciales que proporcione para el servidor preferido funcionen con el recurso compartido del paquete (Haga clic en Probar credenciales en el cuadro de dilogo Nombre de usuario y contrasea), los dispositivos administrados deberan poder acceder al recurso compartido.
Acerca del reinicio del punto de comprobacin del nivel de bytes y el lmite de ancho de banda dinmica
Management Suite 8 y versiones posteriores son compatibles con el reinicio del punto de comprobacin nivel de bytes de distribucin y el lmite del ancho de banda dinmico. El reinicio del punto de comprobacin funciona con tareas de distribucin que SWD copia en primer lugar en la carpeta de la memoria cach del dispositivo (de forma predeterminada, C:\Archivos de programa\LANDesk\LDClient\SDMCACHE). Cuando se selecciona la opcin de control del ancho de banda, los archivos se copian primero en la memoria cach del dispositivo y el reinicio del punto de comprobacin permite distribuciones interrumpidas para reanudar las tareas en el punto en que se quedaron.
394
El lmite de ancho de banda dinmico especifica que el trfico de red que crea un dispositivo tiene prioridad sobre el trfico de distribucin. Esta opcin tambin hace que se realice una descarga completa del archivo en la cach del dispositivo, que asimismo permite el reinicio del punto de comprobacin del nivel de bytes, donde las descargas se reanudan desde el punto en que quedaron si se interrumpieron. Si selecciona esta opcin y deja el porcentaje del ancho de banda mnimo disponible en 0, una vez que el dispositivo inicie el trfico de la red, la distribucin disminuye a un paquete por segundo hasta que se detiene el trfico. Al aumentar el ancho de banda mnimo disponible se garantiza aproximadamente la cantidad del ancho de banda del dispositivo que ha especificado para la distribucin si sta necesita tal ancho de banda y existe una pugna por el ancho de banda en el dispositivo. Si reinstala o repara un paquete SWD o MSI, no es conveniente utilizar la opcin de lmite del ancho de banda dinmico ya que estos tipos de paquete slo descargan los archivos que necesitan. Si se limita el ancho de banda dinmico en este caso, se realizar una descarga completa del paquete cuando normalmente habra bastado con una pequea parte del paquete. El lmite dinmico de ancho de banda no est disponible en los dispositivos Windows 95, Macintosh o DOS Los dispositivos Windows 98 y Windows NT pueden utilizar el lmite de ancho de banda dinmico si tienen instalada la versin 4 de Internet Explorer. Puede configurar el lmite de ancho de banda colectivo de modo que solamente un dispositivo del dominio de multidifusin descargue del origen remoto. Tambin puede configurar la cantidad de ancho de banda utilizada al descargar del origen. Esta caracterstica est disponible en todas las versiones de los sistemas Windows. El lmite de ancho de banda colectivo no est disponible en los sistemas Macintosh o DOS
Uso de la multidifusin dirigida con distribucin de software

La tecnologa de multidifusin dirigida de LANDesk permite distribuir paquetes de gran tamao a un gran nmero de usuarios a travs de la red con un trfico mnimo en red. Las funciones de multidifusin dirigida no requieren infraestructura de software o hardware adicional y no necesitan configuraciones de enrutador para permitir paquetes de multidifusin. Disfrutar de las extraordinarias ventajas de la tecnologa de multidifusin sin sufrir los tradicionales quebraderos de cabeza. La multidifusin dirigida se ha diseado para funcionar con los paquetes de distribucin de software ya existentes. Al utilizar el agente Multidifusin dirigida, la distribucin de software resulta muy sencilla, incluso en entornos WAN con mltiples saltos y velocidades de conexin reducidas (56k). Este agente utiliza el protocolo HTTP para realizar entregas desde un sitio Web a un representante de subred. El escner Inventario de Management Suite proporciona toda la informacin necesaria al servicio de multidifusin dirigida. El agente Multidifusin dirigida proporciona una serie de ventajas exclusivas que no ofrecen otros mtodos estndar de multidifusin. La direccin de dispositivos basada en inventario permite enviar un paquete a un grupo concreto de equipos que se adapten a criterios especficos a travs de una multidifusin. Asimismo, se ha simplificado porque no es necesario configurar los enrutadores para que realicen entregas.
395
MANUAL DE USUARIO
Cuando se compara con los mtodos de distribucin de software convencionales, la multidifusin dirigida reduce de forma significativa el tiempo y el ancho de banda necesarios para entregar los paquetes de software. En lugar de enviar un paquete por el cable para cada dispositivo, se realiza slo una transferencia por cada subred. Al utilizar un ancho de banda menor, se puede incrementar el nmero de dispositivos en cada subred. Se puede activar la Multidifusin dirigida desde las propiedades del mtodo de envo al activar la opcin Usar multidifusin para implementar archivos en la pgina Multidifusin de las propiedades de Mtodos de envo. La multidifusin est disponible en los mtodos de envo multidifusin (slo cach), automtico y automtico apoyado en polticas. En la pgina Multidifusin encontrar varias pginas que permiten la configuracin de la Multidifusin. Al iniciar una distribucin mediante la multidifusin dirigida, se muestra la ventana Distribucin de software de multidifusin. Esta ventana incluye informacin detallada sobre el estado del proceso de distribucin. Para obtener ms informacin sobre el significado de cada campo, haga clic en el botn Ayuda de la ventana Distribucin de software de multidifusin. Los dispositivos Windows y Macintosh OS 10.2 son compatibles con la multidifusin dirigida. Adems, puede multidifundir las imgenes de despliegue de SO.
Uso de descarga entre iguales

La descarga entre iguales es una opcin de multidifusin dirigida que obliga a los dispositivos de destino a instalar un paquete de la cach local del dispositivo o de un igual en la misma subred. Esta opcin mantiene el ancho de banda de la red, pero para que la instalacin del paquete se realice correctamente, ste debe encontrarse en la cach local o en una cach del igual. Si no selecciona la opcin Descarga entre iguales, el agente del dispositivo de Multidifusin dirigida intentar mantener el ancho de banda activando las siguientes ubicaciones para los archivos de paquete en el siguiente orden: 1. 2. 3. Cach local Igual en la misma subred Servidor de paquetes
Copia de archivos en la carpeta de cach de multidifusin local

Tiene la opcin de copiar uno o ms archivos en la carpeta de cach de multidifusin local mediante el procedimiento de multidifusin. Esta opcin copia un archivo en la cach local del dispositivo de destino. No instala el archivo ni hace nada ms con l. Esta opcin es til para obtener archivos para realizar la multidifusin de los representantes de dominios o de un dispositivo en cada dominio de multidifusin. Puede realizar una implementacin inicial en los representantes de dominio y, a continuacin, rehacer la implementacin con la opcin de descarga entre iguales para asegurarse de que slo los dispositivos descargan el paquete de un igual en su subred.
396
Configuracin de la multidifusin dirigida

Antes de utilizar la multidifusin dirigida, es necesario asegurarse de que los componentes de sta se encuentren correctamente ubicados en la subred en la que se est realizando la distribucin. La multidifusin dirigida requiere el uso de los agentes de Management Suite 8 y un representante de dominio de multidifusin. Para especificar manualmente los equipos que sern representantes de dominio de multidifusin 1. 2. En la vista de red, haga clic en Configuracin | Representantes de dominio de multidifusin. Para aadir los representantes de dominio, arrastre los equipos que desee que sean los representantes desde la vista de red a esta categora.
La multidifusin dirigida utilizar el primer equipo por subred del grupo Representantes de dominio de multidifusin que responda. Slo pueden ser representantes de dominio de multidifusin los equipos de Windows. Si va a aplicar la multidifusin para distribuir paquetes a equipos Macintosh, asegrese de que existe como mnimo un equipo de Windows en el dominio de multidifusin que puede actuar como representante de dominio para los equipos Macintosh. Si slo dispone de unos cuantos equipos de Windows en un entorno en que predomina Macintosh, lo ms conveniente es especificar los representantes de dominio de Windows en el grupo Representantes de dominio de multidifusin. Puede forzar la multidifusin cambiando la opcin Nmero mnimo de milisegundos entre transmisiones de paquetes en la pgina Tiempo del paquete dentro de la pgina Multidifusin en las ventanas de mtodos de envo Envos por entrega apoyada en poltica, Automtico y Multidifusin. Tambin puede personalizar las opciones de multidifusin dirigida del cuadro de dilogo Configurar servicios de Management Suite. Para configurar el servicio de multidifusin dirigida, haga clic en la ficha Configurar | servicios | Multidifusin. Haga clic en Ayuda en esa ficha para obtener ms informacin.
Ejecucin de una aplicacin en el contexto del usuario actualmente conectado

LANDesk Management Suite realiza la mayora de las instalaciones de aplicaciones y otras tareas a travs de privilegios totales del sistema. Algunas instalaciones de aplicaciones y otras tareas se necesitan realizar como usuario actual del sistema. Como parte de la versin de LANDesk Management Suite 8.7 SP2, se encuentra disponible una nueva utilidad, la aplicacin STARTASUSER.EXE, que permite ejecutar una aplicacin en el contexto del usuario actualmente conectado. STARTASUSER.EXE ejecutar la lnea de comandos proporcionada en el contexto del usuario actualmente conectado en el sistema. STARTASUSER.EXE es compatible con el siguiente formado de lnea de comandos:
startasuser.exe [///silent] [///timeout=x] [///?] command line...
397
MANUAL DE USUARIO
Si no hay ningn usuario conectado en el sistema cuando se ejecuta STARTASUSER.EXE, la aplicacin devolver el error estndar de Windows ERROR_NOT_LOGGED_ON (1245). Todas las opciones de lnea de comandos para la aplicacin STARTASUSER.EXE estn precedidas con tres barras inclinadas (///). Esto se realiza para impedir confusiones con las opciones de lnea de comandos de la aplicacin ejecutada. A continuacin, se incluyen con ms detalles las opciones de lnea de comandos. ///silent Esta opcin produce que el proceso creado se inicie como oculto, esto debera impedir que se visualice alguna ventana de la aplicacin. ///timeout=x Esta opcin controla el tiempo de espera (en segundos) para la aplicacin ejecutada. Si no se ha completado la aplicacin ejecutada antes de se produzca el tiempo de espera especificado, la aplicacin startasuser.exe saldr con el error estndar de Windows WAIT_TIMEOUT (258). ///? Esta opcin causa que se visualice el uso de la lnea de comando en stdout. Debido a que STARTASUSER.EXE es una aplicacin de Windows, la ayuda no se mostrar de forma predeterminada en el indicador del comando. Utilice la siguiente lnea de comandos para que se visualice la ayuda dentro de un indicador de comando.
startasuser.exe ///? | more
command line Despus de cualquier opcin de STARTASUSER.EXE, especifique la lnea de comandos completa para ejecutar la aplicacin. Los siguientes dos ejemplos muestran la forma para usar la aplicacin STARTASUSER.EXE a fin de ejecutar un ejecutable o instalar un MSI. Para ejecutar un ejecutable (en este caso, regedit) como el usuario actualmente conectado 1. 2. 3. 4. 5. 6. Cree un archivo de proceso por lotes para la siguiente lnea de comandos: startasuser.exe ///timeout=300 regedit.exe Guarde el archivo de proceso por lotes en un servidor de archivos configurado para usarse con la distribucin de software. En la consola LANDesk Management Suite, haga clic en Herramientas | Distribucin | Paquetes de distribucin. Desde el men contextual del grupo Mis paquetes de distribucin, haga clic en Nuevo paquete de distribucin | Nuevo paquete de archivo de proceso por lotes. Agregue el archivo de proceso por lotes guardado en el paso dos como paquete de distribucin principal. Guarde el paquete de distribucin.
398
Este paquete ahora se puede usar en una tarea de distribucin de software y har que la aplicacin regedit se ejecute en el contexto del usuario actualmente conectado. Para instalar un paquete MSI como el usuario actualmente conectado: 1. 2. Cree un archivo de proceso por lotes para la siguiente lnea de comandos: startasuser.exe msiexec.exe /I <name>.msi Cuando cree el archivo de proceso por lotes sustituya <nombre> con el nombre del paquete MSI a ejecutar. En caso de ser necesario, agregue opciones adicionales de la lnea de comandos MSI. Guarde el archivo de proceso por lotes en un servidor de archivos configurado para usarse con la distribucin de software. En el mismo servidor de archivos, preferentemente en la misma ubicacin, agregue el paquete MSI y cualquier archivo adicional. En la consola LANDesk Management Suite, haga clic en Herramientas | Distribucin | Paquetes de distribucin. Desde el men contextual del grupo Mis paquetes de distribucin, haga clic en Nuevo paquete de distribucin | Nuevo paquete de archivo de proceso por lotes. Agregue el archivo de proceso por lotes guardado en el paso dos como paquete de distribucin principal. Guarde el paquete de distribucin.
3. 4. 5. 6. 7. 8.
Ahora este paquete se puede utilizar en una tarea de distribucin de software y se instalar el paquete MSI mediante el usuario actualmente conectado.
Uso de paquetes de distribucin MSI

Management Suite admite la instalacin de MSI con informes completos del estado y un reconocimiento del paquete MSI. El tipo de paquete de distribucin MSI es el mtodo preferido de distribucin de software de Management Suite. La descripcin de los parmetros de MSI le ayudar a configurar los paquetes MSI y los mtodos de entrega.
Uso de parmetros de la lnea de comandos MSI con distribucin de software

Cuando instale un paquete de distribucin MSI, Management Suite aprovecha los llamados al MSI API. Las instalaciones de MSI utilizan dos tipos diferentes de parmetros de lnea de comandos: Parmetros de opcin Parmetros de referencia de propiedad
Cuando se utiliza un paquete de distribucin MSI, no pueden utilizarse los conmutadores especficos de Msiexec como parte de la distribucin de software.
399
MANUAL DE USUARIO
Parmetros de opcin
Los parmetros de opcin son los conmutadores que utiliza la herramienta de instalacin de Microsoft, Msiexec.exe. Por ejemplo, el conmutador /q, es un conmutador comn para Msiexec que silencia una instalacin desatendida. En el cuadro de dilogo Paquete de distribucin - Propiedades, no se deberan ingresar los parmetros de opcin MSI en el cuadro Lnea de comandos de la pgina Instalar/Desinstalar opciones. En su lugar, Management Suite maneja estos parmetros con configuraciones en el paquete de distribucin MSI o en el mtodo de entrega. Se puede encontrar ms informacin sobre las opciones Msiexec en: http://support.microsoft.com/?kbid=227091.
Parmetros de referencia de propiedad

Las referencias de propiedad, tambin conocidas como propiedades pblicas, son especficas del archivo MSI. Los parmetros se pasan directamente a las API de instalacin de MSI. Se pueden utilizar en el campo Lnea de comandos de las opciones Instalar/Desinstalar de un paquete de distribucin MSI. La sintaxis de las referencias de propiedad es PROPERTY=VALUE. Una referencia de propiedad comn es la propiedad Transformaciones. sta es la propiedad que llama a un archivo .mst (transformacin). Se puede encontrar ms informacin sobre los parmetros de referencia de propiedad en: http://support.microsoft.com/?kbid=230781. La informacin sobre las propiedades pblicas de una aplicacin se puede obtener en la documentacin de instalacin de software, el sitio web oficial de la aplicacin o al ponerse en contacto con el proveedor del software directamente.
Ejecucin de un MSI de forma silenciosa

En Management Suite, la ejecucin de un MSI de forma silenciosa se maneja automticamente en la seccin Respuestas y tiempo de un mtodo de entrega. Para ejecutar un MSI de forma silenciosa, vaya a la pgina Respuestas y tiempo para obtener el mtodo de entrega deseado y haga clic en Ocultar todas las respuestas del usuario.
Automatice una instalacin de MSI

Para muchos MSI, silenciar el MSI tambin automatiza la instalacin. En tales casos, todo lo que necesita hacer para automatizar una instalacin de MSI es seleccionar Ocultar todas las respuestas del usuario en el mtodo de entrega. En ocasiones se requiere una referencia de propiedad para que instalacin se complete. En tales casos, el instalador de MSI pedir un valor. Durante una instalacin automatizada, no aparecer dicho pedido. La instalacin de MSI fallar debido al error 1603 de MSI estndar, Error fatal durante la instalacin. Las propiedades pblicas requeridas debern recibir un valor asignado en el campo Lnea de comandos del paquete de distribucin.
400
Uso de un archivo de transformacin con una instalacin de MSI

Los archivos de respuesta para los MSI se denominan archivos de transformacin y finalizan con la extensin .mst. No todas las instalaciones de MSI necesitan un archivo de transformacin; sin embargo, este tipo de archivo se puede usar si existen muchas referencias de propiedades a las que se necesita cambiar o asignar valores. Si es compatible con la aplicacin, se puede crear un archivo de respuesta para pasar todos los parmetros de referencia. Si se requiere un archivo de transformacin, pero no es proporcionado en la instalacin, como resultado se producir el error 1603, Error fatal durante la instalacin. A menudo, el proveedor de software tendr la informacin necesaria o una herramienta para crear un archivo de transformacin para su MSI especfico. Por ejemplo, se debera utilizar un archivo de transformacin para implementar la versin de licencia del volumen de Microsoft Office 2003. Microsoft cuenta con una herramienta denominada Asistente de instalacin personalizada que se instala como parte del paquete de recursos de Office 2003. Se puede descargar el paquete de recursos de Office 2003 del sitio web siguiente: http://download.microsoft.com/download/0/e/d/0eda9ae6-f5c9-44be98c7ccc3016a296a/ork.exe
Si el proveedor no tiene la informacin necesaria o dicha herramienta, Microsoft proporcionar una herramienta denominada Orca que puede crear un archivo de transformacin. Para obtener asistencia adicional, consulte el archivo de ayuda de Orca.
Manejo de reinicios con una instalacin de MSI

Management Suite maneja los reinicios de MSI mediante la pgina Reiniciar en las propiedades del mtodo de entrega. LANDesk pasar automticamente tanto el parmetro REBOOT=REALLYSUPPRESS como el /NORESTART cuando se seleccione No reiniciar nunca en el mtodo de entrega. La opcin Reiniciar siempre pasa el parmetro /FORCESTART. Reiniciar slo si es necesario permite que MSI maneje el reinicio. Si est habilitada la opcin respuestas, es posible que se le consulte al usuario si desea reiniciar. Es importante saber si los MSI admiten acciones personalizadas. Si una accin personalizada realiza un reinicio, Management Suite no podr impedirlo.
Lista de verificacin de MSI

Si una implementacin involucra un MSI, siga esta lista de verificacin. Tengo la versin correcta de los archivos de instalacin, incluso los archivos MSI y todos los adicionales, para una implementacin de licencia del volumen. Tengo la informacin del proveedor de software sobre cmo automatizar y silenciar la instalacin y configuracin del software, y sobre cmo manejar reinicios. Conozco los parmetros de propiedad pblica que necesito pasar al MSI. Conozco si este MSI necesita un archivo de transformacin para su instalacin y de ser as, he creado uno.
401
MANUAL DE USUARIO
Distribucin de software en dispositivos Linux

Una vez implementados los agentes de Linux, el software se puede distribuir en los dispositivos Linux. La implementacin inicial de agentes Linux utiliza una conexin SSH. Una vez instalados los agentes, el servidor central utiliza el agente LANDesk estndar para la comunicacin con el servidor Linux y para transferencia de archivos. Para distribuir software en un dispositivo Linux, debe contar con derechos administrativos. Solamente se pueden distribuir RPM en dispositivos Linux. Los agentes Linux instalan de forma automtica el RPM que se distribuye. Una vez instalado, el RPM no quedar almacenado en el servidor. Se puede instalar y desinstalar el RPM especificado mediante la distribucin de software. Slo puede utilizar los mtodos de instalacin automtica con la distribucin de software Linux. Para la distribucin de software Linux, se ignora la configuracin en el mtodo de envo, para que no importe qu mtodo de instalacin automtica selecciona o cul es la configuracin. La distribucin sigue el siguiente proceso: 1. 2. 3. 4. El servidor central se conecta al dispositivo Linux a travs del agente LANDesk estndar El dispositivo descarga el paquete El dispositivo ejecuta una secuencia shell que utiliza los comandos RPM para instalar el paquete de RPM El dispositivo enva estados al servidor central.
Se pueden almacenar RPM de Linux en recursos compartidos HTTP. La distribucin de software de Linux no admite los recursos compartidos de archivos UNC. Para los recursos compartidos HTTP, compruebe que est habilitada la exploracin de directorio. Si se usa el recurso compartido HTTP en un dispositivo Windows que no sea el servidor central, se necesitar configurar el IIS con el tipo MIME adecuado para los archivos RPM. De lo contrario, el tipo MIME predeterminado que utiliza el IIS causar el fallo de RPM al descargar el archivo. Para configurar el tipo MIME RPM en los dispositivos Windows 1. 2. 3. 4. 5. 6. 7. Desde el Panel de control de Windows, abra Internet Services Manager. Vaya a la carpeta que almacena los archivos de distribucin. En el men contextual de esa carpeta, seleccione Propiedades. En la ficha Encabezados HTTP, haga clic en el botn Tipos de archivos. Haga clic en Tipo Nuevo. Para el tipo Extensin asociada, escriba rpm. Tenga en cuenta que rpm se encuentra en letras minsculas. Para el Tipo de contenido, escriba texto/sin formato. Haga clic en Aceptar para salir de los cuadros de dilogo.
Una vez que se han almacenado los archivos en el recurso compartido de paquetes, cree un paquete de distribucin Linux nuevo en la ventana Paquetes de distribucin, ascielo con el mtodo de entrega deseado y programe el envo.
402
Dependencias Linux de software

Cuando hace clic en Guardar en el cuadro de dilogo Propiedades del paquete de distribucin del paquete Linux, la distribucin de software analiza el RPM primario y los RPM dependientes que se seleccionaron para las dependencias que estos RPM requieren. Estas dependencias luego aparecen en el cuadro de dilogo Bibliotecas faltantes. Si se activa una dependencia en este dilogo, sta le dice al software de distribucin que no le enve ms mensajes. Puede activar las dependencias que sabe que estn instaladas en los dispositivos administrados. Este cuadro de dilogo es slo para su informacin. Si falta una dependencia en el dispositivo de destino y no la incluy especficamente como un paquete dependiente, es probable que el RPM no se instale correctamente.
Resolucin de problemas de distribucin

La distribucin de software proporciona la capacidad para distribuir paquetes a una gran cantidad de dispositivos al mismo tiempo. Si existe un problema con el paquete o el software que se est implementando causa conflicto con software existente, se podran crear problemas en millares de dispositivos a la vez. Al planear implementaciones mediante la distribucin de software, tenga cuidado de no sobrecargar el departamento de asistencia tcnica. Antes de implementar un paquete nuevo, prubelo en sistemas de prueba. De forma idnea, los sistemas de prueba deben incluir todos los sistemas operativos y las aplicaciones que se utilizan en el entorno. Una vez que se implemente el paquete, confirme que todos los sistemas y las aplicaciones funcionen de forma prevista. Una vez que se haya validado el paquete en los sistemas de prueba, realice una implementacin limitada. Hgalo en una cantidad reducida de dispositivos del entorno. Al decidir la cantidad de dispositivos de destino, la regla general es que se haga en la cantidad de dispositivos a los que el departamento de asistencia tcnica pueda dar servicio. Una vez que el paquete se haya implementado en los dispositivos, espere un par de das para ver si los usuarios encuentran problemas. Tras la implementacin inicial, contine distribuyendo el software a los otros dispositivos de la empresa. La velocidad a la cual estas implementaciones se llevan a cabo debe basarse en cuntos dispositivos distintos tiene la empresa y a qu porcin de una carga puede dar servicio el departamento de asistencia tcnica. Otros problemas que podran presentarse: Las tareas programadas no encuentran el paquete Si la tarea programada indica que no puede encontrar el paquete, asegrese que ste sea visible al dispositivo. Si el paquete est basado en URL, compruebe que est disponible mediante un navegador de Internet. Recuerde, si el DNS se ha configurado para determinar el paquete, tendr que verificar que ste se ha distribuido a todos los servidores Web.
403
MANUAL DE USUARIO
Si se puede el paquete ver desde el dispositivo pero no se descarga debidamente, el problema podra ser que el recurso compartido de paquete basado en URL o UNC no permite el acceso annimo. Verifique el permiso del recurso compartido UNC o URL y asegrese de que permite el acceso annimo. En las ubicaciones UNC, asegrese de que se haya configurado debidamente como recurso compartido de sesin nula. No funciona la deteccin del ancho de banda Uno de los problemas ms comunes se presenta cuando se ha configurado PDS para la deteccin del ancho de banda. En la configuracin de dispositivos, una de las opciones de agente de base comn permite elegir entre PDS e ICMP para la deteccin del ancho de banda de dispositivos. Si se ha configurado un dispositivo a fin de que utilice PDS para la deteccin del ancho de banda, solamente realizar la deteccin en conexiones entre RAS y no RAS. De modo que si se configura una distribucin para que funcione solamente con conexiones de alta velocidad y el paquete se instala en un equipo con una conexin WAN, verifique que se haya configurado para que utilice ICMP en lugar de PDS.
Administracin basada en polticas

LANDesk Management Suite permite administrar conjuntos de aplicaciones en un grupo de dispositivos mediante la funcin de administracin basada en polticas. Lea este captulo para obtener informacin sobre: "Acerca de la administracin basada en polticas" en la pgina 410 "Configuracin de polticas" en la pgina 411 "Aplicacin de mbitos a las polticas de aplicacin" en la pgina 414 "Lo que los usuarios ven en los dispositivos" en la pgina 414 "Uso del portal de implementacin del software local" en la pgina 415
Acerca de la administracin basada en polticas

La administracin basada en polticas (en las versiones previas de Management Suite se lo conoce como la administracin de polticas de aplicacin) permite administrar fcilmente conjuntos de aplicaciones en un grupo de dispositivos. Al igual que cualquier otra tarea programada, las polticas requieren: Un paquete SWD, MSI, archivo ejecutable, archivo de proceso por lotes o paquete Macintosh creado por usted. Un mtodo de entrega que admita polticas, ya sea la instalacin automtica por polticas o basada en polticas. Los destinos de las polticas para los paquetes de distribucin como, por ejemplo, el resultado de una consulta de base de datos central o directorio LDAP. La hora programada en la cual debe estar disponible la poltica.
404
La administracin basada en polticas ejecuta de forma peridica las consultas que ha configurado como parte de la poltica y aplica las polticas a los dispositivos administrados nuevos. Por ejemplo, es posible que disponga de un contenedor denominado Departamento en el directorio LDAP que contenga objetos de usuario. Los usuarios cuyo objeto de Departamento sea "Marketing" utilizan un conjunto estndar de aplicaciones. Despus de configurar una poltica para los usuarios de Marketing, se instalar el conjunto de aplicaciones correspondiente en los equipos de los usuarios nuevos que se agreguen a este grupo. La consola LANDesk Management Suite permite configurar las polticas de las aplicaciones, las cuales se almacenan en la base de datos central. La administracin basada en polticas permite implementar los tipos de archivo siguientes: Paquetes SWD Paquetes de Microsoft Installer (MSI) Ejecutables independientes en un archivo Archivos BAT Paquetes Macintosh
A continuacin, se muestran los pasos que hay que seguir y el funcionamiento de la administracin basada en polticas: Asegrese de que los agentes de distribucin de software se encuentren en los dispositivos. 2. Si no dispone de un paquete para la aplicacin a la que desee aplicar la directiva, cree uno. Para obtener ms informacin, consulte "Distribucin de software" en la pgina 377. 3. La ventana de distribucin de paquetes crea una definicin para el paquete. 4. Cree o seleccione un mtodo de entrega basado en polticas. 5. Cree una tarea de distribucin de software en la ventana Tareas programadas y seleccione el paquete y el mtodo de entrega a partir de los anteriores. 6. Seleccione los destinos de la poltica, lo cual puede incluir cualquier combinacin de dispositivos individuales, consultas de bases de datos, grupos de dispositivos, elementos LDAP o consultas LDAP. 7. Programe la tarea que se va a ejecutar. Al ejecutarse, el paquete de distribucin estar disponible para la instalacin automtica. 8. El servicio de administracin basada en polticas del servidor central actualiza peridicamente la lista de destinos de las polticas al volver a evaluar los resultados de las consultas de base de datos/LDAP. De esta forma se contribuye a garantizar que la base de datos central cuente con un conjunto actualizado de usuarios/equipos de destino. 9. Un usuario se conecta a un dispositivo, se conecta a la red o, en caso contrario, inicia la administracin basada en polticas. 10. El servicio de administracin basada en polticas del servidor central determina las polticas aplicables en funcin del Id. del dispositivo, el usuario que ha iniciado la sesin o la ubicacin del dispositivo LDAP. 11. El servicio enva la informacin de las polticas al agente de administracin basado en polticas. 1.
405
MANUAL DE USUARIO
12. En funcin de la configuracin establecida en el dispositivo para la administracin de polticas, stas se ejecutan de forma automtica, o bien el usuario selecciona las que desee ejecutar. En la lista del dispositivo slo se encuentran disponibles las polticas opcionales o recomendadas. En el caso de que la lista incluya una poltica recomendada sin procesar, sta se selecciona de forma predeterminada. Las polticas peridicas se muestran en la lista una vez que han transcurrido los intervalos de ejecucin correspondientes. Las polticas seleccionadas se ejecutan en orden. 13. La administracin basada en polticas enva los resultados de la poltica al servidor central, que los almacena en la base de datos central. Los informes de estado de la administracin basada en polticas se envan al servidor central mediante HTTP para una mayor fiabilidad. El estado se informa en la ventana Tareas programadas.
Configuracin de polticas
La administracin basada en polticas requiere un paquete SWD, MSI, un archivo ejecutable, un archivo de proceso por lotes o un paquete Macintosh, para las polticas creadas por usted. Los paquetes se pueden crear con anterioridad o al crear la poltica. Se recomienda crear los paquetes con anterioridad para probarlos y garantizar su funcionamiento antes de utilizarlos en una poltica. Las distribuciones y polticas normales pueden utilizar el mismo paquete de distribucin. La diferencia radica en la implementacin y no en la creacin de los paquetes. Existen dos mtodos de entrega que admiten la distribucin basada en polticas: Mtodos de entrega basados en polticas: Se trata del modelo de distribucin solamente con polticas. Slo los dispositivos que satisfacen los criterios de la poltica reciben el paquete. Mtodos de entrega por envo basados en polticas: Se trata del modelo de distribucin y poltica por envo. Primero, la distribucin de software intenta instalar el paquete en todos los dispositivos de la lista de destino. De este modo, se puede realizar una implementacin inicial mediante la multidifusin dirigida. Segundo, los dispositivos que no recibieron el paquete o que se agregan posteriormente a la lista de destino (en el caso de las listas de destino dinmicas), reciben el paquete cuando lo solicite el agente de administracin basada en polticas del dispositivo.
La principal diferencia entre los mtodos de entrega estndares y el mtodo de entrega basado en polticas es que el dilogo basado en polticas Mtodos de entrega tiene la pgina Tipo y frecuencia del trabajo. Las opciones de tipo y frecuencia del trabajo afectan la forma en que actan los dispositivos cuando reciben las polticas: Requerido: El agente de administracin basada en polticas aplica automticamente las polticas necesarias sin que tenga que intervenir el usuario. Estas directivas se pueden configurar para que se ejecuten en segundo plano. Cualquier interfaz de usuario que aparezca en el dispositivo mientras se instala una tarea requerida no deber bloquear el funcionamiento del sistema; en otras palabras, la instalacin de la aplicacin no debe precisar la intervencin del usuario. Recomendado: los usuarios pueden seleccionar cundo instalar las directivas recomendadas. stas se seleccionan de forma predeterminada en la interfaz de usuario del dispositivo.
406
Opcional: los usuarios pueden seleccionar cundo instalar las directivas opcionales. stas no se seleccionan de forma predeterminada en la interfaz de usuario del dispositivo.
Tambin se puede configurar la frecuencia con la que se ejecutar una poltica: Ejecutar una vez: una vez se ejecuta correctamente una directiva en un dispositivo, ste no la volver a ejecutar de nuevo. Peridicamente: cuando se define una directiva opcional o recomendada como peridica, se eliminar de la interfaz de usuario cuando se procese correctamente y se mostrar de nuevo en la interfaz de usuario cuando haya transcurrido el intervalo especificado. A peticin: se pueden instalar en cualquier momento.
Para crear una distribucin basada en polticas 1. 2. En la consola, haga clic en Herramientas | Distribucin | Mtodos de entrega. En el men contextual ya sea para la Distribucin basada en polticas o para el Mtodo de entrega por envo, apoyado en una nueva poltica, haga clic en Mtodo de entrega nuevo. Configure las opciones del mtodo de entrega que desee. Haga clic en Ayuda para obtener ms informacin sobre cada una de las pginas. Defina las opciones de Tipo y frecuencia del trabajo que desee. Cuando haya finalizado, haga clic en Aceptar. Haga clic en Herramientas | Distribucin | Tareas programadas. Haga clic en el botn de la barra de herramientas Crear tarea de distribucin de software. Configure las opciones de trabajo que desee y haga clic en Aceptar. Seleccione el trabajo de distribucin basada en polticas y arrastre los destinos de la poltica al panel derecho.
3. 4. 5. 6. 7. 8. 9.
Las distribuciones basadas en polticas tienen vigencia en cuanto se inicia la tarea de poltica y se han resuelto los destinos. Las distribuciones por envo basadas en polticas tienen vigencia despus de que se completa la distribucin automtica inicial. Adicin
de destinos
estticos
La administracin basada en polticas utiliza destinos estticos como destinos de las polticas. Los destinos estticos son una lista de usuarios o dispositivos especficos que slo se pueden modificar de forma manual. Agregue destinos estticos mediante la seleccin de dispositivos individuales como destinos en la vista de red. Los dispositivos individuales LDAP no pueden agregarse como destinos estticos.
Adicin de destinos dinmicos

La administracin basada en polticas utiliza las consultas para determinar los destinos de las polticas. En cuanto a Management Suite 8, las consultas se almacenan slo en la base de datos central. Para obtener ms informacin sobre consultas, consulte"Consultas de base de datos" en la pgina 324. Los destinos dinmicos pueden incluir la vista de red de grupos de dispositivos, objetos LDAP, consultas LDAP y consultas de inventario.
407
MANUAL DE USUARIO
Para que los dispositivos reciban directivas dirigidas a travs de los servicios de directorio de NetWare o Active Directory, estos deben estar configurados para iniciar sesin en el directorio. Esto supone que deben contar con el correspondiente software de agente instalado y que sea necesario iniciar sesin en el directorio correspondiente de modo que su nombre exclusivo coincida con el nombre de destino especificado mediante el Administrador de directorios y el Administrador de polticas de aplicacin de tareas programadas. Es necesario haber configurado los dispositivos Windows 95/98 y NT para que inicien la sesin en el dominio en el que reside Active Directory. Windows NT y Windows 95/98 no incluyen compatibilidad con Active Directory. Es necesario que los dispositivos que inician sesin en un directorio y requieren la administracin de polticas de aplicacin basada en polticas. En la direccin de Internet siguiente, disponible en el momento de la elaboracin de este documento, encontrar informacin ms detallada sobre la instalacin de compatibilidad para el cliente de Active Directory: http://www.microsoft.com/technet/archive/ntwrkstn/downloads/utils/dsclient.mspx A fin de definir un dispositivo como destino en LDAP, cada dispositivo Windows NT/2000/2003/XP debe contener una cuenta de equipo en el controlador de dominio de Active Directory. Esto significa que el equipo que se utiliza como dispositivo debe conectarse al dominio en el que se encuentre Active Directory. No basta con asignar una unidad de red utilizando un nombre de dominio Windows NT completo. Esta poltica no se aplicar de este modo. Para utilizar el Administrador de directorios para crear una consulta 1. 2. 3. 4. 5. Haga clic en Herramientas | Distribucin | Administrador de directorios. Haga clic en el botn Administrar directorio de la barra de herramientas. Introduzca la URL y la informacin de autenticacin del directorio y haga clic en Aceptar. Haga clic en el icono Nueva consulta de la barra de herramientas. Cree la consulta. Para obtener ms informacin, consulte "Consultas LDAP" en la pgina 328.
Adicin de destinos adicionales

Al crear una tarea basada en polticas, por lo general es recomendable que primero se implemente la poltica en un conjunto de destino pequeo. De este modo, los problemas encontrados en la implementacin de la poltica solamente impactan a un pequeo grupo de usuarios. Una vez que se hayan validado los resultados de la implementacin en un pequeo grupo de usuarios, agregue ms destinos a la poltica. Al agregar destinos nuevos a una tarea de poltica activa, la poltica se torna disponible de inmediato para los dispositivos o elementos de LDAP que se han definido como destinos de forma reciente.
408
Aplicacin de mbitos a las polticas de aplicacin

El panel de detalles de destino de la administracin basada en polticas se puede filtrar con diversos mbitos para una lista de destinos. Sin embargo, el mbito final que utiliza una poltica siempre es el del propietario de la tarea. Si la tarea de poltica se incluye en Tareas comunes y el usuario de Management Suite con otro mbito observa el panel de detalles de destino de la tarea (llamemos a esta segunda persona el "editor" de la lista de destino), este panel de detalles de destino se filtra segn el mbito del editor. En este caso, puede que el editor no vea todos los destinos en los que se aplicar la poltica en el panel de detalles de destino, ya que su mbito puede no permitirle ver todos los destinos en el mbito del creador.
Lo que los usuarios ven en los dispositivos

Las polticas de aplicacin se procesan siempre mediante un modelo de solicitud de instalacin. Los dispositivos comprueban si existen en el servidor central polticas nuevas que se puedan aplicar a ellos. Cuando se realiza esta comprobacin, se muestra un cuadro de dilogo en el dispositivo que muestra slo las polticas opcionales y recomendadas que se encuentran sin procesar, no las polticas requeridas. Cuando una poltica recomendada sin procesar aparece en la interfaz de usuario, se comprueba de forma predeterminada para que el usuario final la procese. Despus de procesar una poltica, puede que se siga mostrando en la interfaz de usuario si se ha configurado para que se ejecute peridicamente. En ese caso, continuar seleccionada, aunque se trate de una poltica recomendada. Tambin puede seguir mostrndose una poltica en la interfaz de usuario si no se ha aplicado correctamente. Los usuarios pueden ejecutar de forma manual los agentes basados en polticas haciendo clic en Inicio | LANDesk Management | Envo basado en polticas.
Uso del portal de implementacin del software local

El agente de distribucin de software en los dispositivos administrados tambin ofrecen un portal de implementacin de software. El portal revisa que el cach de la distribucin de software para las polticas que aplican al dispositivo/usuario local. Entonces el portal muestra una pgina web con una lista de las polticas disponibles. Los usuarios pueden seleccionar una poltica desde la lista y luego hacer clic en Descargar seleccionadas para instalar los paquetes asociados con la poltica. Uso del portal de implementacin del software local 1. 2. 3. En el dispositivo administrado, haga clic en Inicio | Programas | LANDesk Management | Portal de implementacin del software LANDesk. Haga clic en la poltica que desea aplicar. Haga clic en Descargar seleccionadas.
Administracin basada en polticas

LANDesk Management Suite permite administrar conjuntos de aplicaciones en un grupo de dispositivos mediante la funcin de administracin basada en polticas.
409
MANUAL DE USUARIO
Lea este captulo para obtener informacin sobre: "Acerca de la administracin basada en polticas" en la pgina 410 "Configuracin de polticas" en la pgina 411 "Aplicacin de mbitos a las polticas de aplicacin" en la pgina 414 "Lo que los usuarios ven en los dispositivos" en la pgina 414 "Uso del portal de implementacin del software local" en la pgina 415
Acerca de la administracin basada en polticas

La administracin basada en polticas (en las versiones previas de Management Suite se lo conoce como la administracin de polticas de aplicacin) permite administrar fcilmente conjuntos de aplicaciones en un grupo de dispositivos. Al igual que cualquier otra tarea programada, las polticas requieren: Un paquete SWD, MSI, archivo ejecutable, archivo de proceso por lotes o paquete Macintosh creado por usted. Un mtodo de entrega que admita polticas, ya sea la instalacin automtica por polticas o basada en polticas. Los destinos de las polticas para los paquetes de distribucin como, por ejemplo, el resultado de una consulta de base de datos central o directorio LDAP. La hora programada en la cual debe estar disponible la poltica.
La administracin basada en polticas ejecuta de forma peridica las consultas que ha configurado como parte de la poltica y aplica las polticas a los dispositivos administrados nuevos. Por ejemplo, es posible que disponga de un contenedor denominado Departamento en el directorio LDAP que contenga objetos de usuario. Los usuarios cuyo objeto de Departamento sea "Marketing" utilizan un conjunto estndar de aplicaciones. Despus de configurar una poltica para los usuarios de Marketing, se instalar el conjunto de aplicaciones correspondiente en los equipos de los usuarios nuevos que se agreguen a este grupo. La consola LANDesk Management Suite permite configurar las polticas de las aplicaciones, las cuales se almacenan en la base de datos central. La administracin basada en polticas permite implementar los tipos de archivo siguientes: Paquetes SWD Paquetes de Microsoft Installer (MSI) Ejecutables independientes en un archivo Archivos BAT Paquetes Macintosh
A continuacin, se muestran los pasos que hay que seguir y el funcionamiento de la administracin basada en polticas: 1. 2. Asegrese de que los agentes de distribucin de software se encuentren en los dispositivos. Si no dispone de un paquete para la aplicacin a la que desee aplicar la directiva, cree uno. Para obtener ms informacin, consulte "Distribucin de software" en la pgina 377.
410
3. 4. 5. 6.
7. 8.
9. 10.
11. 12.
13.
La ventana de distribucin de paquetes crea una definicin para el paquete. Cree o seleccione un mtodo de entrega basado en polticas. Cree una tarea de distribucin de software en la ventana Tareas programadas y seleccione el paquete y el mtodo de entrega a partir de los anteriores. Seleccione los destinos de la poltica, lo cual puede incluir cualquier combinacin de dispositivos individuales, consultas de bases de datos, grupos de dispositivos, elementos LDAP o consultas LDAP. Programe la tarea que se va a ejecutar. Al ejecutarse, el paquete de distribucin estar disponible para la instalacin automtica. El servicio de administracin basada en polticas del servidor central actualiza peridicamente la lista de destinos de las polticas al volver a evaluar los resultados de las consultas de base de datos/LDAP. De esta forma se contribuye a garantizar que la base de datos central cuente con un conjunto actualizado de usuarios/equipos de destino. Un usuario se conecta a un dispositivo, se conecta a la red o, en caso contrario, inicia la administracin basada en polticas. El servicio de administracin basada en polticas del servidor central determina las polticas aplicables en funcin del Id. del dispositivo, el usuario que ha iniciado la sesin o la ubicacin del dispositivo LDAP. El servicio enva la informacin de las polticas al agente de administracin basado en polticas. En funcin de la configuracin establecida en el dispositivo para la administracin de polticas, stas se ejecutan de forma automtica, o bien el usuario selecciona las que desee ejecutar. En la lista del dispositivo slo se encuentran disponibles las polticas opcionales o recomendadas. En el caso de que la lista incluya una poltica recomendada sin procesar, sta se selecciona de forma predeterminada. Las polticas peridicas se muestran en la lista una vez que han transcurrido los intervalos de ejecucin correspondientes. Las polticas seleccionadas se ejecutan en orden. La administracin basada en polticas enva los resultados de la poltica al servidor central, que los almacena en la base de datos central. Los informes de estado de la administracin basada en polticas se envan al servidor central mediante HTTP para una mayor fiabilidad. El estado se informa en la ventana Tareas programadas.
Configuracin de polticas
La administracin basada en polticas requiere un paquete SWD, MSI, un archivo ejecutable, un archivo de proceso por lotes o un paquete Macintosh, para las polticas creadas por usted. Los paquetes se pueden crear con anterioridad o al crear la poltica. Se recomienda crear los paquetes con anterioridad para probarlos y garantizar su funcionamiento antes de utilizarlos en una poltica. Las distribuciones y polticas normales pueden utilizar el mismo paquete de distribucin. La diferencia radica en la implementacin y no en la creacin de los paquetes. Existen dos mtodos de entrega que admiten la distribucin basada en polticas: Mtodos de entrega basados en polticas: Se trata del modelo de distribucin solamente con polticas. Slo los dispositivos que satisfacen los criterios de la poltica reciben el paquete.
411
MANUAL DE USUARIO
Mtodos de entrega por envo basados en polticas: Se trata del modelo de distribucin y poltica por envo. Primero, la distribucin de software intenta instalar el paquete en todos los dispositivos de la lista de destino. De este modo, se puede realizar una implementacin inicial mediante la multidifusin dirigida. Segundo, los dispositivos que no recibieron el paquete o que se agregan posteriormente a la lista de destino (en el caso de las listas de destino dinmicas), reciben el paquete cuando lo solicite el agente de administracin basada en polticas del dispositivo.
La principal diferencia entre los mtodos de entrega estndares y el mtodo de entrega basado en polticas es que el dilogo basado en polticas Mtodos de entrega tiene la pgina Tipo y frecuencia del trabajo. Las opciones de tipo y frecuencia del trabajo afectan la forma en que actan los dispositivos cuando reciben las polticas: Requerido: El agente de administracin basada en polticas aplica automticamente las polticas necesarias sin que tenga que intervenir el usuario. Estas directivas se pueden configurar para que se ejecuten en segundo plano. Cualquier interfaz de usuario que aparezca en el dispositivo mientras se instala una tarea requerida no deber bloquear el funcionamiento del sistema; en otras palabras, la instalacin de la aplicacin no debe precisar la intervencin del usuario. Recomendado: los usuarios pueden seleccionar cundo instalar las directivas recomendadas. stas se seleccionan de forma predeterminada en la interfaz de usuario del dispositivo. Opcional: los usuarios pueden seleccionar cundo instalar las directivas opcionales. stas no se seleccionan de forma predeterminada en la interfaz de usuario del dispositivo.
Tambin se puede configurar la frecuencia con la que se ejecutar una poltica: Ejecutar una vez: una vez se ejecuta correctamente una directiva en un dispositivo, ste no la volver a ejecutar de nuevo. Peridicamente: cuando se define una directiva opcional o recomendada como peridica, se eliminar de la interfaz de usuario cuando se procese correctamente y se mostrar de nuevo en la interfaz de usuario cuando haya transcurrido el intervalo especificado. A peticin: se pueden instalar en cualquier momento.
Para crear una distribucin basada en polticas 1. 2. En la consola, haga clic en Herramientas | Distribucin | Mtodos de entrega. En el men contextual ya sea para la Distribucin basada en polticas o para el Mtodo de entrega por envo, apoyado en una nueva poltica, haga clic en Mtodo de entrega nuevo. Configure las opciones del mtodo de entrega que desee. Haga clic en Ayuda para obtener ms informacin sobre cada una de las pginas. Defina las opciones de Tipo y frecuencia del trabajo que desee. Cuando haya finalizado, haga clic en Aceptar. Haga clic en Herramientas | Distribucin | Tareas programadas. Haga clic en el botn de la barra de herramientas Crear tarea de distribucin de software. Configure las opciones de trabajo que desee y haga clic en Aceptar.
3. 4. 5. 6. 7. 8.
412
9.
Seleccione el trabajo de distribucin basada en polticas y arrastre los destinos de la poltica al panel derecho.
Las distribuciones basadas en polticas tienen vigencia en cuanto se inicia la tarea de poltica y se han resuelto los destinos. Las distribuciones por envo basadas en polticas tienen vigencia despus de que se completa la distribucin automtica inicial. Adicin
estticos
de destinos
La administracin basada en polticas utiliza destinos estticos como destinos de las polticas. Los destinos estticos son una lista de usuarios o dispositivos especficos que slo se pueden modificar de forma manual. Agregue destinos estticos mediante la seleccin de dispositivos individuales como destinos en la vista de red. Los dispositivos individuales LDAP no pueden agregarse como destinos estticos.
Adicin de destinos dinmicos

La administracin basada en polticas utiliza las consultas para determinar los destinos de las polticas. En cuanto a Management Suite 8, las consultas se almacenan slo en la base de datos central. Para obtener ms informacin sobre consultas, consulte"Consultas de base de datos" en la pgina 324. Los destinos dinmicos pueden incluir la vista de red de grupos de dispositivos, objetos LDAP, consultas LDAP y consultas de inventario. Para que los dispositivos reciban directivas dirigidas a travs de los servicios de directorio de NetWare o Active Directory, estos deben estar configurados para iniciar sesin en el directorio. Esto supone que deben contar con el correspondiente software de agente instalado y que sea necesario iniciar sesin en el directorio correspondiente de modo que su nombre exclusivo coincida con el nombre de destino especificado mediante el Administrador de directorios y el Administrador de polticas de aplicacin de tareas programadas. Es necesario haber configurado los dispositivos Windows 95/98 y NT para que inicien la sesin en el dominio en el que reside Active Directory. Windows NT y Windows 95/98 no incluyen compatibilidad con Active Directory. Es necesario que los dispositivos que inician sesin en un directorio y requieren la administracin de polticas de aplicacin basada en polticas. En la direccin de Internet siguiente, disponible en el momento de la elaboracin de este documento, encontrar informacin ms detallada sobre la instalacin de compatibilidad para el cliente de Active Directory: http://www.microsoft.com/technet/archive/ntwrkstn/downloads/utils/dsclient.mspx A fin de definir un dispositivo como destino en LDAP, cada dispositivo Windows NT/2000/2003/XP debe contener una cuenta de equipo en el controlador de dominio de Active Directory. Esto significa que el equipo que se utiliza como dispositivo debe conectarse al dominio en el que se encuentre Active Directory. No basta con asignar una unidad de red utilizando un nombre de dominio Windows NT completo. Esta poltica no se aplicar de este modo. Para utilizar el Administrador de directorios para crear una consulta 1. 2. Haga clic en Herramientas | Distribucin | Administrador de directorios. Haga clic en el botn Administrar directorio de la barra de herramientas.
413
MANUAL DE USUARIO
3. 4. 5.
Introduzca la URL y la informacin de autenticacin del directorio y haga clic en Aceptar. Haga clic en el icono Nueva consulta de la barra de herramientas. Cree la consulta. Para obtener ms informacin, consulte "Consultas LDAP" en la pgina 328.
Adicin de destinos adicionales

Al crear una tarea basada en polticas, por lo general es recomendable que primero se implemente la poltica en un conjunto de destino pequeo. De este modo, los problemas encontrados en la implementacin de la poltica solamente impactan a un pequeo grupo de usuarios. Una vez que se hayan validado los resultados de la implementacin en un pequeo grupo de usuarios, agregue ms destinos a la poltica. Al agregar destinos nuevos a una tarea de poltica activa, la poltica se torna disponible de inmediato para los dispositivos o elementos de LDAP que se han definido como destinos de forma reciente.
Aplicacin de mbitos a las polticas de aplicacin

El panel de detalles de destino de la administracin basada en polticas se puede filtrar con diversos mbitos para una lista de destinos. Sin embargo, el mbito final que utiliza una poltica siempre es el del propietario de la tarea. Si la tarea de poltica se incluye en Tareas comunes y el usuario de Management Suite con otro mbito observa el panel de detalles de destino de la tarea (llamemos a esta segunda persona el "editor" de la lista de destino), este panel de detalles de destino se filtra segn el mbito del editor. En este caso, puede que el editor no vea todos los destinos en los que se aplicar la poltica en el panel de detalles de destino, ya que su mbito puede no permitirle ver todos los destinos en el mbito del creador.
Lo que los usuarios ven en los dispositivos

Las polticas de aplicacin se procesan siempre mediante un modelo de solicitud de instalacin. Los dispositivos comprueban si existen en el servidor central polticas nuevas que se puedan aplicar a ellos. Cuando se realiza esta comprobacin, se muestra un cuadro de dilogo en el dispositivo que muestra slo las polticas opcionales y recomendadas que se encuentran sin procesar, no las polticas requeridas. Cuando una poltica recomendada sin procesar aparece en la interfaz de usuario, se comprueba de forma predeterminada para que el usuario final la procese. Despus de procesar una poltica, puede que se siga mostrando en la interfaz de usuario si se ha configurado para que se ejecute peridicamente. En ese caso, continuar seleccionada, aunque se trate de una poltica recomendada. Tambin puede seguir mostrndose una poltica en la interfaz de usuario si no se ha aplicado correctamente. Los usuarios pueden ejecutar de forma manual los agentes basados en polticas haciendo clic en Inicio | LANDesk Management | Envo basado en polticas.
414
Uso del portal de implementacin del software local

El agente de distribucin de software en los dispositivos administrados tambin ofrecen un portal de implementacin de software. El portal revisa que el cach de la distribucin de software para las polticas que aplican al dispositivo/usuario local. Entonces el portal muestra una pgina web con una lista de las polticas disponibles. Los usuarios pueden seleccionar una poltica desde la lista y luego hacer clic en Descargar seleccionadas para instalar los paquetes asociados con la poltica. Uso del portal de implementacin del software local 1. 2. 3. En el dispositivo administrado, haga clic en Inicio | Programas | LANDesk Management | Portal de implementacin del software LANDesk. Haga clic en la poltica que desea aplicar. Haga clic en Descargar seleccionadas.
415
MANUAL DE USUARIO

La herramienta de Deteccin de dispositivos no administrados (UDD) ofrece un mtodo para encontrar dispositivos en la red que no hayan enviado un rastreo de inventario a la base de datos central de LANDesk. UDD tambin admite la deteccin extendida de dispositivos (XDD), la cual depende de un agente de dispositivo que escucha las difusiones ARP y WAP de red. Lea este captulo para obtener informacin sobre: "Informacin general sobre la deteccin de dispositivos no administrados" en la pgina 416 "Deteccin con UDD de dispositivos no administrados" en la pgina 417 "Uso de la deteccin extendida de dispositivos (ARP y WAP)" en la pgina 419 "Configuracin de dispositivos para el uso de la deteccin extendida de dispositivos (ARP y WAP)" en la pgina 420 "Comprensin del filtrado de direcciones IP con XDD" en la pgina 421 "Operaciones con dispositivos detectados mediante XDD" en la pgina 422 "Qu sucede cuando se detecta un dispositivo" en la pgina 424 "Implementacin de agentes de LANDesk en dispositivos no administrados" en la pgina 425 "Restauracin de registros de cliente" en la pgina 426
Informacin general sobre la deteccin de dispositivos no administrados

La deteccin de dispositivos no administrados (UDD) proporciona muchas formas de rastreo y deteccin de dispositivos no administrados en la red. Estos son los mtodos de rastreo UDD bsicos: Agente de LANDesk estndar: busca el agente de LANDesk estndar (CBA) en los equipos. Esta opcin descubre equipos que tienen productos LANDesk instalados. Rastreo de red: busca equipos realizando un barrido de ping ICMP. Se trata de la bsqueda ms minuciosa, aunque tambin es la ms lenta. La bsqueda se puede limitar a ciertos intervalos IP y de subred. De forma predeterminada, esta opcin utiliza NetBIOS para intentarlo y recopilar informacin sobre el dispositivo. SNMP: UDD utiliza SNMP para detectar los dispositivos. Haga clic en Configurar para especificar la informacin sobre SNMP en la red. Dominio NT: busca dispositivos en un dominio especificado. Detecta miembros cuando el equipo est conectado o desconectado. LDAP: busca dispositivos en un directorio especificado. Detecta miembros cuando el equipo est conectado o desconectado.
UDD tambin admite algunos mtodos de rastreo y deteccin adicionales.
416
Tenga en cuenta que debe marcar ya sea Agente de LANDesk estndar o Rastreo de red antes de seleccionar uno de los mtodos a continuacin. IPMI: Busca servidores habilitados para la Interfaz de administracin de plataforma inteligente (IPMI), lo que permite el acceso a muchas funciones sin importar que el servidor est encendido o no, o en qu estado se encuentre el SO. Chasis del servidor: busca mdulos de administracin de chasis de hoja (CMM). Las hojas en el chasis del servidor se detectan como servidores individuales. Intel* AMT: busca los dispositivos habilitados para tecnologa Active Management. Los dispositivos habilitados para Intel AMT figuran en la carpeta Intel AMT.
Para automatizar la deteccin de dispositivos no administrados, puede programar rastreos de deteccin UDD para que se produzcan peridicamente. Por ejemplo, la red se puede dividir en tercios y se puede programar un barrido de ping para un tercio cada noche. Si se programa una deteccin, el servidor central la lleva a cabo. Las detecciones no programadas se producen en la consola que las inicia.
Deteccin extendida de dispositivos

La herramienta UDD admite tambin rastreos de deteccin extendida de dispositivos (XDD). XDD depende de un agente de dispositivo (implementado por medio de una configuracin de agente) que escucha las difusiones ARP y WAP en la red LANDesk. Despus, el agente XDD en un dispositivo configurado verifica si el dispositivo de difusin tiene el agente de LANDesk estndar instalado. Si el agente de LANDesk estndar no responde, se muestra un dispositivo detectado ARP en el grupo Equipos, con la informacin transmitida en la vista de lista del elemento, y se muestra un dispositivo WAP en el grupo Puntos de acceso wireless con la informacin transmitida en la vista de lista. La deteccin extendida de dispositivos es ideal en situaciones donde los servidores de seguridad evitan que los dispositivos respondan a los mtodos de deteccin UDD normales basados en ping. Utilice la deteccin extendida de dispositivos para detectar dispositivos protegidos con servidor de seguridad Tenga en cuenta que la deteccin normal de dispositivos no administrados por lo general no funciona con dispositivos que utilizan un servidor de seguridad, tal como el servidor de seguridad de Windows que se incluye en Windows XP. Por lo regular, el servidor de seguridad evita que el dispositivo responda a los mtodos de deteccin que utiliza la deteccin de dispositivos no administrados. La deteccin extendida de dispositivos ayuda a resolver este problema mediante el uso del trfico ARP de red para detectar dispositivos.
Deteccin con UDD de dispositivos no administrados

Con los mtodos de rastreo UDD bsicos es sencillo detectar dispositivos no administrados.
417
MANUAL DE USUARIO
Para detectar con UDD de dispositivos no administrados 1. 2. 3. En la ventana Deteccin de dispositivos no administrados (Herramientas | Configuracin | Deteccin de dispositivos no administrados ), haga clic en el botn Rastrear red. Seleccione la opcin de deteccin que desea. Introduzca un intervalo de IP de inicio y finalizacin. Debe introducir un intervalo para que Deteccin de agente LANDesk estndar o Deteccin de red funcione. Pero para Dominio NT y LDAP es opcional. Indique una mscara de subred. Haga clic en el botn Agregar para agregar el rastreo que acaba de configurar a la lista de tareas. En la lista de tareas de la parte inferior del cuadro de dilogo, seleccione los rastreos que desea ejecutar y haga clic en el botn Rastrear ahora para realizarlos de inmediato, o en el botn Programar tarea para ejecutar los rastreos ms tarde o en una programacin recurrente. Los botones Rastrear ahora y Tarea programada slo ejecutan los rastreos que se han agregado a la lista de tareas y que estn seleccionados. Consulte el cuadro de dilogo Estado del rastreo para ver las actualizaciones del estado del rastreo. Cuando finalice el rastreo, haga clic en Cerrar en los cuadros de dilogo Estado del rastreo y Configuracin del rastreador. Seleccione Equipos en el rbol de UDD para ver los resultados de rastreo.
4. 5. 6.
7.
8.
Configuracin de la deteccin de dominio de Windows NT

La opcin de deteccin de dominio de Windows NT de UDD no funcionar a menos que se configure el servicio de programacin para que inicie la sesin en el dominio con una cuenta de administrador de dominios. Para configurar la cuenta de inicio de sesin del Programador 1. 2. 3. 4. 5. Haga clic en Configurar | Servicios y, despus, en la ficha Programador. Haga clic en Cambiar inicio de sesin. Introduzca un nombre de usuario de administrador de dominios y una contrasea. Haga clic en Aceptar. Reinicie el servicio de programacin para que el cambio surta efecto. En la ficha Programador, haga clic en Detener y, una vez que se haya detenido el servicio, haga clic en Iniciar.
418
Uso de la deteccin extendida de dispositivos (ARP y WAP)

La deteccin extendida de dispositivos (XDD) funciona fuera de los mtodos de deteccin UDD normales basados en el rastreo. El agente XDD puede configurarse e implementarse en dispositivos administrados para usar los mtodos de deteccin ARP y/o WAP. Esta seccin describe ambos mtodos.
Mtodo de deteccin ARP

Los dispositivos administrados configurados con el agente de deteccin XDD para la deteccin ARP escuchan difusiones ARP (Protocolo de resolucin de direcciones) y mantienen una memoria cach (en la memoria y en un archivo de la unidad local) de los dispositivos que las emiten. Los dispositivos en red utilizan el ARP apara asociar una direccin TCP/IP con una direccin MAC de hardware de red de un dispositivo especfico. Esta comunicacin se realiza a un nivel muy bajo y no depende de que los dispositivos respondan a los ping o a la comunicacin del agente en puertos de red especficos. Incluso los dispositivos protegidos con servidores de seguridad dependen del ARP. Debido a ello, la deteccin extendida de dispositivos puede ayudar a encontrar los dispositivos que los rastreos de deteccin normales no encuentran. Cuando un dispositivo configurado con el agente de deteccin extendida de dispositivos reconoce una difusin ARP, los agentes que escucharon la difusin ARP esperan dos minutos para que el dispositivo detectado se inicie y luego cada uno de ellos espera una cantidad aleatoria de tiempo. El agente que tiene el tiempo de espera aleatoria ms breve primero hace un ping en el dispositivo nuevo y busca los agentes LANDesk. Luego el agente enva una difusin UDP a la subred para que los otros agentes sepan que se ocup del ping de dicho dispositivo detectado recientemente. Si hay varios agentes de deteccin extendida de dispositivos instalados, los dispositivos no pueden generar trfico en exceso y hacen ping al mismo tiempo. Las tablas ARP que almacena el agente de deteccin extendida de dispositivos expiran luego de 48 horas de forma predeterminada. Esto significa que se har ping en todos los dispositivos de red una vez por perodo de tiempo de espera. Incluso los dispositivos que generan mucho trfico ARP reciben un solo ping por cada perodo de tiempo de espera. Se supone que los dispositivos que tienen agentes LANDesk se encuentran administrados y por lo tanto no se envan informes al servidor central. Los dispositivos que no tienen agentes LANDesk se informan al servidor central como dispositivos no administrados. Estos dispositivos aparecen en la lista Equipos de la ventana Deteccin de equipos no administrados. Los dispositivos detectados por ARP indican Verdadero en la columna Detectado por ARP. Para dispositivos no administrados detectados por ARP, XDD informa la siguiente informacin en las columnas de vista de lista: Direccin IP Direccin MAC Primera exploracin ltima exploracin Nmero de exploraciones
419
MANUAL DE USUARIO
Mtodo de deteccin WAP

Pueden configurarse los dispositivos administrados para que escuchen a dispositivos de punto de acceso wireless (WAP) de la red, y agregar los dispositivos WAP detectados al grupo Puntos de acceso wireless en la herramienta de deteccin de dispositivos no administrados. Para dispositivos WAP detectados, XDD informa la siguiente informacin en las columnas de vista de lista: Nombre de dispositivo Direccin MAC Primera exploracin ltima exploracin Nmero de exploraciones Estado de WAP (permitido, no autorizado, excepcin activa) Fuerza de la seal (usar para determinar la ubicacin aproximada del dispositivo WAP) Nivel de cifrado (esquema de cifrado utilizado por el dispositivo WAP) Fabricante
Informacin de la direccin MAC XDD usa la deteccin wireless API en dispositivos que ejecutan Windows Vista para obtener la direccin MAC del dispositivo y mostrarla en la vista de lista. Sin embargo, esta capacidad no es compatible con dispositivos que ejecutan Windows XP/SP2.
Configuracin de dispositivos para el uso de la deteccin extendida de dispositivos (ARP y WAP)

Puede usar la herramienta Configuracin de agentes para configurar algunos de los dispositivos administrados con el agente de deteccin extendida de dispositivos (XDD) de manera que puedan funcionar como dispositivos de deteccin que escuchen seales ARP y WAP en la red. No es necesario implementar la deteccin extendida de dispositivos en todos los dispositivos administrados. Sin embargo, puede hacerlo si lo desea. La implementacin del agente XDD en varios dispositivos de cada subred debera brindar una cobertura suficiente. Para implementar el agente de deteccin extendida de dispositivos para la deteccin ARP y/o WAP 1. 2. 3. 4. 5. Haga clic en Herramientas | Configuracin | Configuracin de agente. Haga clic en el botn Nuevo de la barra de herramientas. Introduzca un Nombre de configuracin. En la pgina Deteccin extendida de dispositivos del cuadro de dilogo Configuracin del agente, seleccione uno o ambos mtodos de deteccin que desee implementar. Especifique una configuracin para el o los mtodos seleccionados. Puede seleccionar una configuracin existente de la lista desplegable, o bien hacer clic sobre Configurar para editar una configuracin o crear una nueva para esta configuracin de agente. Termine de especificar las opciones en la configuracin del agente. Para obtener ms informacin sobre cualquier pgina, haga clic en Ayuda. Haga clic en Guardar.
6. 7.
420
8.
Implemente la configuracin del agente en los dispositivos de destino deseados de cada subred.
Puede configurar varios ajustes de deteccin extendida de dispositivos en los dispositivos que tengan el agente de deteccin extendida de dispositivos. Este agente sincroniza peridicamente su configuracin con el servidor central. Para configurar el agente de deteccin extendida de dispositivos para la deteccin ARP y/o WAP 1. 2. Haga clic en Herramientas | Configuracin | Deteccin de dispositivos no administrados. Haga clic en el botn Configurar la deteccin extendida de dispositivos de la barra de herramientas, y seleccione el tipo deseado de configuracin para los mtodos de deteccin (ARP o WAP). Especifique las opciones de rastreo deseadas para el mtodo de deteccin. Para obtener ms informacin, haga clic en Ayuda. Haga clic en Aceptar cuando termine. Sus cambios se aplicarn la prxima vez que los agentes de deteccin extendida de dispositivos se sincronicen con el servidor central.
3. 4.
Comprensin del filtrado de direcciones IP con XDD

No recomendamos instalar la deteccin extendida de dispositivos en equipos porttiles ya que es posible que estos se conecten a redes que no se desee supervisar, tales como redes de hoteles o aeropuertos. Para evitar la deteccin de dispositivos que no estn en la red, el servidor central omite las direcciones IP donde el primer y el segundo octeto de la direccin IP tienen una diferencia de ms de 10 que la del servidor central. Por ejemplo, si la direccin IP del servidor central es 192.168.20.17, la deteccin extendida de dispositivos del servidor central omitir las direcciones que se encuentren por encima de 203.179.0.0 y por debajo de 181.157.0.0. Para deshabilitar esta funcin debe agregar la siguiente clave de registro DWORD al servidor central y establecer su valor a 0: HKEY_LOCAL_MACHINE\SOFTWARE\LANDesk\ManagementSuite\XDD\Filter
Puede establecer el valor del Filtro en 1 para habilitar el filtrado nuevamente. Puede ajustar los rangos de monitoreo del primer y el segundo octeto. Para ello debe agregar las claves de registro DWORD al servidor central y establecer sus valores en el rango numrico que desee monitorear (el valor predeterminado es de 10 para el primero y el segundo octeto): HKEY_LOCAL_MACHINE\SOFTWARE\LANDesk\ManagementSuite\XDD\FilterThreshold 1 HKEY_LOCAL_MACHINE\SOFTWARE\LANDesk\ManagementSuite\XDD\FilterThreshold 2
FilterThreshold1 contiene el rango para el primer octeto y FilterThreshold2 para el segundo.
421
MANUAL DE USUARIO
Operaciones con dispositivos detectados mediante XDD

Los dispositivos no administrados detectados a travs del mtodo de deteccin ARP de la deteccin extendida de dispositivos aparecen en la lista Equipos de la ventana Deteccin de dispositivos no administrados. Los dispositivos WAP detectados a travs del mtodo de deteccin WAP de la deteccin extendida de dispositivos aparecen en la lista Puntos de acceso wireless de la ventana Deteccin de dispositivos no administrados. Desde estas listas puede realizar las opciones UDD normales, como por ejemplo moverlos a otros grupos. Haga clic con el botn secundario en un dispositivo para acceder a su men contextual y use las opciones disponibles. Tambin puede importar y exportar excepciones de la deteccin extendida de dispositivos. Una excepcin es un dispositivo de la red que no se puede administrar o que el administrador conoce pero que no desea que la deteccin extendida de dispositivos informe en cuanto a l. Estas excepciones se encuentran en un formato de archivo .CSV formado por direcciones IP y MAC separadas con comas, en ese orden, un par por lnea. La exportacin de excepciones incluye todas las excepciones almacenadas en la base de datos. La importacin de excepciones reemplaza todas las excepciones almacenadas en la base de datos con las que se incluyeron en el archivo de importacin. Para exportar todas las excepciones de la deteccin extendida de dispositivos 1. 2. 3. 4. Haga clic en Herramientas | Configuracin | Deteccin de dispositivos no administrados. Haga clic en el botn de la barra de herramientas Exportar excepciones de la deteccin extendida de dispositivos desde un archivo CSV. Seleccione una carpeta y pngale un nombre al archivo. Haga clic en Guardar.
Para importar todas las excepciones de la deteccin extendida de dispositivos 1. 2. 3. 4. Cree o actualice el archivo CSV separado con comas que contenga todas las excepciones que desee. Haga clic en Herramientas | Configuracin | Deteccin de dispositivos no administrados. Haga clic en el botn de la barra de herramientas Importar excepciones de la deteccin extendida de dispositivos desde un archivo CSV. Haga clic en Abrir.
422
Mantenimiento de registros de dispositivos detectados ARP

UDD almacena los dispositivos encontrados a travs de la deteccin extendida de dispositivos en la base de datos del servidor central. Si la red tiene muchos dispositivos no administrados, estos datos pueden crecer rpidamente. De forma predeterminada, los datos se conservan durante 24 horas. Puede personalizar el tiempo de permanencia en la base de datos de los dispositivos encontrados a travs de la deteccin extendida. Despus de los das especificados, se eliminarn los dispositivos que no se hayan detectado dentro de ese perodo. Para configurar el historial de detecciones de ARP 1. 2. 3. 4. Haga clic en Herramientas | Configuracin | Deteccin de dispositivos no administrados. Haga clic en el botn de la barra de herramientas Configurar historial de detecciones de ARP. Cambie las opciones que desee. Haga clic en Ayuda para obtener ms informacin. Haga clic en Aceptar cuando termine.
Informes de deteccin extendida de dispositivos

Hay varios informes XDD en la ventana Informes (Herramientas | Informe / Monitoreo, seleccione Informes estndar | Dispositivos no administrados) que puede visualizar. Los informes de deteccin extendida de dispositivos incluyen: Equipos detectados por ARP: Informe de dispositivos actuales no autorizados. Historial de equipos detectados por ARP: Historial de equipos no autorizados. Equipos actuales detectados por ARP sin el agente: Equipos actuales donde el agente LANDesk no est habilitado o no funciona. Historial de equipos detectados por ARP sin el agente: Historial de dispositivos donde el agente LANDesk no est habilitado o no funciona. WAP Todos los dispositivos wireless: Enumera cada dispositivo detectado con punto de acceso wireless (WAP) independientemente de su estado (permitido, no autorizado, excepcin activa). WAP Dispositivos wireless permitidos: Enumera slo los dispositivos WAP detectados permitidos. WAP Deteccin de dispositivos que detectaron un punto de acceso wireless: Enumera dispositivos administrados configurados con el agente XDD para que usen deteccin WAP y que han detectado e informado un dispositivo con punto de acceso wireless (WAP) en la red. WAP Dispositivos wireless no autorizados: Enumera slo los dispositivos WAP detectados que no estn permitidos.
423
MANUAL DE USUARIO
Qu sucede cuando se detecta un dispositivo

Cuando UDD o XDD encuentran un dispositivo no administrado por primera vez, intentan especificar el tipo de dispositivo de modo que puedan agregarlo a uno de los siguientes grupos: Chasis: Contiene mdulos de administracin de chasis de hoja. Equipos: Contiene dispositivos detectados mediante mtodos de rastreo UDD (y por el mtodo de deteccin ARP del agente XDD) Infraestructura: incluye enrutadores a otro hardware de red. Intel AMT: Contiene dispositivos habilitados para la tecnologa Intel Active Management. IPMI: Contiene servidores que tienen la Interfaz de administracin de plataforma inteligente. Otros: contiene dispositivos no identificados. Impresoras: incluye impresoras. Puntos de acceso wireless: Enumera dispositivos WAP detectados (encontrados por el agente XDD).
Estos grupos ayudan a mantener una organizacin en la lista de UDD, por lo que resulta ms sencillo localizar los dispositivos de inters. Las listas de dispositivos se pueden organizar por cualquier encabezado de columna al hacer clic en uno de ellos. Traslado de dispositivos a grupos distintos UDD puede no categorizar a los dispositivos de manera correcta ni ubicarlos en los grupos de dispositivos adecuados en cada instancia. Si sucede esto, los dispositivos no identificados correctamente se pueden arrastrar fcilmente al grupo adecuado. UDD intenta detectar y reportar la informacin bsica sobre cada dispositivo, incluso los datos siguientes que aparecen en la vista de lista de elementos en el panel derecho de la ventana de herramientas: Nombre de dispositivo: nombre del dispositivo detectado, si est disponible. Direccin IP: direccin IP detectada. UDD siempre muestra este dato. XDD no lo hace. Mscara de subred: mscara detectada. UDD siempre muestra este dato. Descripcin de SO: descripcin del SO detectado, si est disponible. Direccin MAC: direccin MAC detectada que se suele devolver si el dispositivo dispone del agente LANDesk estndar o NetBIOS, o bien, si se encuentra en la misma subred que el servidor central o la consola que realiza la deteccin. Grupo: grupo UDD al que pertenece el dispositivo. Agente de LANDesk estndar: muestra si el dispositivo dispone de CBA. Puede implementar otros agentes de LANDesk en forma directa en dispositivos administrados con el CBA cargado. Todos los usuarios: usuarios registrados en el dispositivo que se est explorando, si est disponible. Grupo/Dominio: grupo o dominio del que es miembro el dispositivo, si est disponible. Primera exploracin: fecha en la que UDD explor este dispositivo por primera vez. ltima exploracin: fecha en la que UDD explor este dispositivo por ltima vez. Esta columna ayuda a localizar dispositivos no administrados que puede que no se encuentren en la red, o bien, que fueron localizados recientemente.
424
Nmero de exploraciones: nmero de veces que UDD ha explorado el dispositivo. AMT: Indica si el dispositivo es compatible con la tecnologa Intel Active Management.
Dependiendo del dispositivo, puede que UDD no disponga de la informacin para todas las columnas. Cuando UDD encuentra un dispositivo por primera vez, consulta la base de datos central para ver si la direccin de IP del dispositivo y el nombre ya estn en la base de datos. Si hay una coincidencia, UDD ignora el dispositivo. Si no hay ninguna coincidencia, UDD incorpora el dispositivo a la tabla de dispositivos no administrados. Los dispositivos de esta tabla no utilizan ninguna licencia LANDesk. Un dispositivo se considera administrado una vez que enva un rastreo de inventario a la base de datos central. Los dispositivos no se pueden arrastrar desde UDD a la vista de red de la consola principal. Una vez que los dispositivos no administrados envan un rastreo de inventario, se eliminarn de UDD y se agregarn a la vista de red de forma automtica. Se pueden crear grupos personalizados para clasificar de forma ms amplia a los dispositivos no administrados. Si un dispositivo se desplaza a otro grupo, UDD lo dejar en el mismo si ms adelante vuelve a detectarlo. Teniendo organizado el grupo principal Equipos y desplazando los dispositivos que no se administrarn con LANDesk a subgrupos u otras categoras, los nuevos dispositivos se pueden ver fcilmente en el grupo Equipos. Si se elimina un grupo que incluye dispositivos, UDD los desplaza al grupo Otros. Se pueden localizar rpidamente dispositivos que coincidan con los criterios de bsqueda especificados utilizando el campo de la barra de herramientas Buscar. Se puede buscar informacin en una columna determinada o en todas las columnas. Los resultados de la bsqueda aparecen en la categora Buscar resultados. Por ejemplo, utilice la opcin Buscar para agrupar los equipos no administrados que disponen de CBA buscando por "Y" en el campo Agente LANDesk estndar. Asimismo, se puede crear una alerta de AMS cuando UDD encuentre dispositivos no administrados. En AMS, el nombre de la alerta que se va a configurar es Localizado dispositivo no administrado.
Implementacin de agentes de LANDesk en dispositivos no administrados

Despus de detectar dispositivos no administrados mediante los mtodos de rastreo y deteccin descritos, pueden implementarse agentes de LANDesk en esos dispositivos mediante uno de los siguientes mtodos a continuacin: Implementaciones basadas en instalacin forzada utilizando la opcin Tareas programadas y una cuenta administrativa de dominio configurada para el programador. Funciona en dispositivos con Windows NT/2000/2003/XP. Implementaciones automticas usando el agente LANDesk estndar. Si los dispositivos tienen el agente LANDesk estndar, se puede realizar una implementacin automtica. Implementacin basada en instalacin solicitada utilizando un archivo de comandos de inicio de sesin.
Para obtener ms informacin sobre la implementacin en dispositivos, consulte la fase 4 del Manual de instalacin e implementacin.
425
MANUAL DE USUARIO
Al organizar los dispositivos para la implementacin de agentes, puede que encuentre ms sencillo organizar la lista de dispositivos no administrados por los agentes LANDesk estndar para realizar la agrupacin para implementaciones de dispositivo de agentes LANDesk estndar y realizar la organizacin por dominio para las implementaciones de tarea programada. Cuando se realizan implementaciones en dispositivos Windows XP la configuracin predeterminada de Windows XP fuerza que los inicios de sesin de red que utilizan una cuenta local usen la cuenta de invitado. Si no est utilizando una cuenta administrativa a nivel de dominio, sino una local, para el servicio de programacin, las tareas programadas fallarn porque dicho servicio no podr realizar las autenticaciones necesarias. Para obtener ms informacin, consulte la "Fase 4: Implementacin de los agentes principales en los dispositivos" en el Manual de instalacin e implementacin. Para implementar agentes de LANDesk en dispositivos no administrados 1. Haga clic en Herramientas | Configuracin | Configuracin de agentes y cree una nueva configuracin o utilice una existente. En el men contextual de la configuracin, seleccione Programar. Haga clic en Herramientas | Configuracin | Deteccin de dispositivos no administrados y seleccione los dispositivos que desee implementar. Arrastre los dispositivos a la ventana Tareas programadas. Si la ventana Tareas programadas es una ficha minimizada, puede arrastrar los dispositivos a la ficha Tareas programadas para abrir la ventana Tareas programadas. Si los dispositivos no disponen de los agentes LANDesk estndar, haga clic en Configurar | Servicios y en la ficha Programador. Asegrese de que la cuenta del programador disponga de privilegios administrativos en los dispositivos que se estn implementando. Haga doble clic en la secuencia de comandos de implementacin y establezca una hora de inicio. Cuando haya finalizado, haga clic en Aceptar. Consulte la ventana Tareas programadas para ver las actualizaciones.
2.
3.
4. 5.
Restauracin de registros de cliente

Si en el futuro restablece la base de datos central y necesita restaurar los datos de los dispositivos, utilice UDD para detectar todos los dispositivos de la red. A continuacin, utilice el resultado de la deteccin como el destino de la tarea programada "Restaurar registros de cliente". Si los dispositivos tienen el agente LANDesk estndar, la tarea hace que los dispositivos enven un rastreo de inventario completo a la base de datos central en la que se ha configurado cada dispositivo de forma local. El resultado de esta tarea es que los dispositivos que ya se han configurado se volvern a rastrear en la base de datos y los dispositivos an sealarn hacia el servidor central de administracin correcto. La tarea falla en los dispositivos que no han sido administrados por un servidor central. Para restaurar los registros de clientes 1. 2. Utilice UDD para detectar los dispositivos no administrados, como se explica anteriormente. Haga clic en Herramientas | Distribucin | Tareas programadas.
426
3. 4. 5. 6. 7.
En la ventana Tareas programadas, haga clic en el botn Programar secuencia personalizada de comandos. Haga clic en Restaurar registros de cliente y, desde su men contextual, haga clic en Programar. Desde el rbol de UDD Buscar resultados, arrastre los equipos que desee restaurar en la tarea Restaurar registros de cliente en la ventana Tareas programadas. En Restaurar registros de cliente en el men contextual de la tarea, haga clic en Propiedades para configurarla. Consulte la ventana Tareas programadas para ver las actualizaciones.
427
MANUAL DE USUARIO
Apndice D: Informacin adicional sobre el rastreo de seguridad

LANDesk Security Suite incluye la herramienta Administrador de Seguridad y Revisiones como componente principal de la solucin completa de administracin de la seguridad. Utilice la herramienta Administrador de Seguridad y Revisiones para: descargar actualizaciones para las definiciones y revisiones de los diversos tipos de contenido de seguridad; cree, configure y ejecute rastreos de evaluacin de seguridad y de reparacin; habilite alertas de seguridad; genere informes de seguridad y mucho ms. Los conceptos bsicos del administrador de seguridad y revisiones se describen en "Administrador de Seguridad y Revisiones" en la pgina 17 y Security and Patch Manager help. En este captulo, se presenta informacin adicional acerca del uso del rastreador de seguridad (vulnerabilidades). Lea este captulo para obtener informacin sobre: "Parmetros de la lnea de comando del rastreador de vulnerabilidades" en la pgina 428
Parmetros de la lnea de comando del rastreador de vulnerabilidades

El rastreador de seguridad (vulnerabilidades) se denomina VULSCAN.EXE y admite los siguientes parmetros de la lnea de comandos: Nombre del parmetro Parmetros generales Descripcin
/AgentBehavior=ScanRepairSettings Sobrescribe el comportamiento predeterminado del ID rastreador de seguridad (configuracin de rastreo y reparacin) solamente en la tarea actual de evaluacin de seguridad o de rastreo de reparacin. El Id. de ScanRepairSettings tiene un valor numrico.
/ChangeBehaviors Cambia la configuracin predeterminada de rastreo y /AgentBehavior=ScanRepairSettings reparacin en todas las tareas subsiguientes de evaluacin ID de seguridad o de rastreo de reparacin mediante la escritura de la configuracin de rastreo y reparacin en el registro local del dispositivo. Utilice la sintaxis exacta a la izquierda, con ambos conmutadores en la lnea de comandos. El Id. de ScanRepairSettings tiene un valor
428
Nombre del parmetro
Descripcin numrico. Nota: Utilice esta opcin para cambiar la configuracin predeterminada de rastreo y reparacin de un dispositivo, sin necesidad de volver a implementar una configuracin de agente completa en el mismo.
/ShowUI
Muestra la interfaz del usuario del rastreador en un dispositivo de usuario final.
/AllowUserCancelScan
Muestra el botn Cancelar en la interfaz del usuario del rastreador, que permite que el usuario final cancele el rastreo.
/AutoCloseTimeout=Nmero
Valor del tiempo de espera en segundos. Nota: Si el valor se establece en -1, la interfaz del usuario del rastreador espera a que el usuario final lo cierre de forma manual.
/Scan=Cdigo de nmero (0-8)
Identifica qu tipo de contenido de seguridad se rastrea. Los cdigos numricos para los distintos tipos de contenido de seguridad son: 0 - vulnerabilidad 1 - spyware 2 - amenaza de seguridad 3 - actualizaciones de LANDesk 4 - definicin personalizada 5 - aplicacin bloqueada 6 - actualizaciones de software 7 - actualizaciones de controladores 8 - antivirus 100 - todos los tipos
429
MANUAL DE USUARIO
Nombre del parmetro /Group=GroupID
Descripcin Identifica el tipo de contenido de seguridad que se rastrea. Esta opcin sobrescribe los parmetros especficos de tipo de contenido, si los hay.
/AutoFix=True o False
Activa o desactiva la funcin de reparacin automtica.
Parmetros de reparacin
/Repair (Group=GroupID o Vulnerability=VulnerabilityID o Vulnerability=All)
Indica al rastreador qu grupo o vulnerabilidad reparar. Puede especificar All (Todas) en el parmetro de vulnerabilidades a fin de reparar todas las vulnerabilidades detectadas en lugar de una sola vulnerabilidad con su ID.
/RemovePatch=Nombre de revisin
Elimina la revisin especificada del depsito de revisiones.
/RepairPrompt=MessageText
Permite visualizar un mensaje de texto que pregunta al usuario final qu desea hacer.
/AllowUserCancelRepair
Cadena que permite al usuario final cancelar la reparacin en caso de que utilice un indicador de reparacin.
/AutoRepairTimeout=Number
Valor del tiempo de espera del indicador de reparacin (en segundos). Si se establece en -1, la interfaz del usuario espera a que el usuario lo cierre de forma manual.
/DefaultRepairTimeoutAction
Cadena que establece la accin predeterminada de vulscan si vence el tiempo de espera del indicador de reparacin, valores aceptables. Los valores incluyen: iniciar y cerrar.
/StageOnly
Cadena que permite recuperar las revisiones necesarias para la reparacin, pero no las instala.
430
Nombre del parmetro /Local (obtiene archivos de iguales)
Descripcin Permite slo la descarga entre iguales.
/PeerDownload
Igual que /local.
/SadBandwidth=Number
Porcentaje mximo del ancho de banda que se utilizar para las descargas.
Parmetros de reinicio
/RebootIfNeeded
Utilice este parmetro para reiniciar un equipo, en caso de ser necesario.
/RebootAction
Cadena que determina el comportamiento de reinicio de vulscan durante la reparacin. Valores aceptables: siempre, nunca o vaco (todo lo dems). Si se elige todo lo dems, vulscan reiniciar en caso de que sea necesario.
/RebootMessage
Cadena que muestra al usuario un mensaje de texto en un indicador de reparacin.
/AllowUserCancelReboot
Cadena que permite que el usuario cancele el reinicio si utiliza un indicador de reinicio.
/AutoRebootTimeout=Number
Valor del tiempo de espera del indicador de reinicio (en segundos). Si se establece en -1, la interfaz del usuario espera a que el usuario lo cierre de forma manual.
/DefaultRebootTimeoutAction
Cadena que determina la accin que vulscan debe seguir si supera el valor del tiempo de espera del indicador de reinicio. Valores aceptables: reiniciar, cerrar, aplazar.
/SnoozeCount=Number
Cantidad de aplazamientos que vulscan reduce cada vez que el usuario hace clic en "posponer" en el indicador de
431
MANUAL DE USUARIO
Nombre del parmetro
Descripcin reinicio.
/SnoozeInterval=Number
Cantidad de segundos que vulscan debe esperar entre los aplazamientos.
Parmetros MSI
/OriginalMSILocation=ruta
Ruta hasta la ubicacin original de MSI
/Username=nombre de usuario
Nombre de usuario para el directorio MSI.
/Password=contrasea
Contrasea para el directorio MSI.
Parmetros de desactivacin
/NoElevate
No inicia vulscan mediante la tecnologa principal.
/NoSleep
Impide la suspensin durante el rastreo de definicin (1/18)
/NoSync
No admite la exclusin mltiple y rastrea varias instancias.
/NoUpdate
No recibe una nueva versin de vulscan.
/NoXML
No busca msxml.
/NoRepair
Igual que autofix=false. Anula la configuracin de reparacin automtica, en caso de estar presente.
Parmetros de los archivos de
432
Nombre del parmetro datos
Descripcin
/Dump
Descarta los datos vulnerables directamente desde el servicio Web.
/Data
Capta los datos vulnerables (desde /dump).
/O=Ruta\Nombre de archivo
Muestra los resultados del rastreo.
/I=Ruta\Nombre de archivo
Ingresa los resultados del rastreo.
/Log=Ruta\Nombre de archivo
Anula el nombre del archivo de registro.
/CoreServer=Nombre de servidor
Identifica el nombre del servidor central.
/Reset
Elimina la informacin del archivo delta (borra el directorio de datos de la aplicacin).
/Clear o /ClearScanStatus
Borra toda la informacin del rastreo de vulnerabilidades.
433
MANUAL DE USUARIO
434
Apndice E: Ayuda de contexto

Ayuda de LANDesk Antivirus
Se puede acceder a las funciones de LANDesk Antivirus desde la ventana de herramientas del Administrador de Seguridad y Revisiones (Herramientas | Seguridad | Administrador de Seguridad y Revisiones). LANDesk Antivirus permite descargar y administrar el contenido de antivirus (archivos de definiciones de virus), configurar los rastreos de antivirus y personalizar la pantalla o la configuracin de interaccin del rastreador de antivirus, que determina la forma en que el rastreador aparece y opera en los dispositivos de destino, y las opciones interactivas disponibles para los usuarios finales. Tambin se puede ver informacin relativa al antivirus de los dispositivos rastreados, habilitar las alertas de antivirus y generar informes de antivirus. El captulo LANDesk Antivirus ofrece una introduccin a esta herramienta complementaria de administracin de la seguridad, que es un componente de LANDesk Management Suite y de LANDesk Security Suite. En dicho captulo encontrar la introduccin e informacin de la suscripcin de contenido de antivirus, as como tambin instrucciones detalladas sobre cmo utilizar todas las funciones de LANDesk Antivirus. Este captulo contiene las siguientes secciones de ayuda en lnea que describen los cuadros de dilogo de las herramientas de LANDesk Antivirus. Desde la interfaz de la consola, se puede acceder a estas secciones de ayuda si hace clic en el botn Ayuda de su respectivo cuadro de dilogo: "Acerca de la ficha de LANDesk Antivirus en el cuadro de dilogo Descargar actualizaciones" en la pgina 436 "Acerca del cuadro de dilogo Configurar LANDesk Antivirus" en la pgina 439 "Acerca del cuadro de dilogo de Configuracin de Antivirus" en la pgina 440 "Acerca del cuadro de dilogo Agregar ruta de acceso excluida" en la pgina 449 "Acerca del cuadro de dilogo Programar rastreos peridicos de antivirus" en la pgina 449 "Acerca del cuadro de dilogo Programar actualizaciones peridicas de antivirus" en la pgina 450 "Acerca del cuadro de dilogo Crear tarea de rastreo de LANDesk Antivirus" en la pgina 451 "Acerca del cuadro de dilogo Informacin de actividad y estado de antivirus" en la pgina 452 "Acerca del cuadro de dilogo Configuracin de umbrales (de LANDesk Antivirus)" en la pgina 453 "Acerca del cuadro de dilogo Instalar o actualizar tarea de LANDesk Antivirus" en la pgina 453 "Acerca del cuadro de dilogo Eliminar LANDesk Antivirus" en la pgina 454
435
MANUAL DE USUARIO
Acerca de la ficha de LANDesk Antivirus en el cuadro de dilogo Descargar actualizaciones

Utilice la ficha LANDesk Antivirus del cuadro de dilogo Descargar actualizaciones para configurar la descarga de las actualizaciones de los archivos de definiciones de virus desde los servicios de LANDesk Security. Puede seleccionar descargar el contenido de LANDesk Antivirus (archivos de definiciones/patrones de virus), especificar cundo los archivos de definiciones de virus van a estar disponibles para distribuirlos en los dispositivos administrados (inmediatamente o despus del perodo de prueba piloto) y si se realiza copia de seguridad de los archivos de definiciones. Tenga en cuenta que la ficha Actualizaciones del cuadro de dilogo Descargar actualizaciones incluye varias actualizaciones de antivirus en la lista de tipos de definiciones, entre ellas una denominada Actualizaciones de LANDesk Antivirus. Cuando selecciona Actualizaciones de LANDesk Antivirus, se descargan el contenido de deteccin del rastreador Y las actualizaciones de los archivos de definiciones de virus de LANDesk Antivirus. Las actualizaciones de antivirus son definiciones del rastreador que detectan: La instalacin de motores rastreadores de antivirus comunes (entre ellos la herramienta de LANDesk Antivirus) El estado del rastreo en tiempo real (habilitado o deshabilitado) Versiones de los archivos de patrones especficos del rastreador (actualizadas o anteriores) Fecha del ltimo rastreo (si el ltimo rastreo se encuentra dentro del mximo perodo de tiempo permitido especificado por el administrador)
Contenido de deteccin del rastreador de antivirus versus contenido de definiciones de virus Las actualizaciones de antivirus no implican archivos de definiciones (o patrones) de virus reales. Cuando se descargan actualizaciones de antivirus de terceros, slo el contenido de deteccin del rastreador puede descargarse en el depsito predeterminado ya que los archivos de definiciones de virus especficos del rastreador no se descargan. Sin embargo, cuando se descargan las actualizaciones de LANDesk Antivirus, se descargan el contenido de deteccin del rastreador Y los archivos de definiciones de virus especficos de LANDesk Antivirus. Los archivos de definiciones de virus de LANDesk Antivirus se descargan en una ubicacin aparte en el servidor central. El depsito predeterminado de los archivos de definiciones de virus es la carpeta \LDLogon\Antivirus\Bases. Debe tener la suscripcin adecuada al contenido de LANDesk Security Suite a fin de descargar los distintos tipos de contenido de seguridad. La instalacin bsica de LANDesk Management Suite permite la descarga y el rastreo de las actualizaciones de software LANDesk y la creacin de sus propias definiciones personalizadas. Para el resto de los tipos de contenido de seguridad y revisiones, como vulnerabilidades especficas de la plataforma, spyware, y archivos de definiciones (patrones) de virus, DEBE tener una suscripcin al contenido de LANDesk Security Suite para poder descargar las definiciones correspondientes. Para obtener ms informacin sobre las suscripciones a los contenidos de Security Suite, pngase en contacto con su distribuidor de LANDesk, o visite la pgina Web de LANDesk.
436
Luego de especificar el tipo de contenido que se desea descargar y otras opciones en el cuadro de dilogo Descargar actualizaciones: Para realizar una descarga inmediata, haga clic en Actualizar ahora. Si hace clic en Aplicar, la configuracin que especifica se guardar y aparecer la prxima vez que abra este cuadro de dilogo. Si hace clic en Cerrar, el sistema preguntar si desea guardar la configuracin. Para programar una tarea de descarga de contenido de seguridad, haga clic en Programar actualizacin para abrir el cuadro de dilogo Informacin de actualizacin programada. Escriba un nombre para la tarea, verifique la informacin para la tarea y luego haga clic en Aceptar para agregarla a Tareas programadas.
Configuracin especfica de la tarea y configuracin globalObserve que slo la configuracin de la descarga de los tipos de definiciones, idiomas y definiciones y parches se guardan y asocian con una tarea especfica cuando la crea. Esas tres configuraciones se consideran especficas de la tarea. Sin embargo, la configuracin de las otras fichas del cuadro de dilogo Descargar actualizaciones es global. Ello significa que se aplican a todas las tareas de descarga de contenido de seguridad posteriores. La configuracin global incluye: ubicacin de la descarga de revisiones, servidor proxy, reparacin automtica de spyware, alertas de seguridad y antivirus. Siempre que se cambia una configuracin global, dicho cambio se aplica a todas las tareas de descarga del contenido de seguridad desde ese punto en adelante. Para guardar los cambios en cualquier ficha de este cuadro de dilogo en cualquier momento, haga clic en Aplicar. La ficha LANDesk Antivirus contiene las siguientes opciones: Definiciones de virus aprobadas para la distribucin: Muestra la fecha y el nmero de versin de los archivos de definiciones de virus aprobados ms recientemente que se encuentran disponibles para distribuirlos a los dispositivos administrados. Los archivos de definiciones de virus aprobados se ubican en la carpeta predeterminada (\LDLogon\Antivirus\Bases), desde donde se implementan en los dispositivos de destino como parte de los rastreos de antivirus a peticin y programados. El tiempo exacto de la actualizacin de los archivos de definiciones de virus (descargados desde el sitio de contenidos de LANDesk Security, que tiene los ltimos archivos de patrn conocidos) se observa entre parntesis debajo de este campo. Definiciones de virus actualmente en prueba piloto: Muestra la fecha y el nmero de versin de los archivos de definiciones de virus que actualmente residen en la carpeta piloto, siempre y cuando se hayan descargado en esa ubicacin. La prueba piloto ayuda a verificar la validez y la utilidad de un archivo de definiciones de virus antes de usarlo para rastrear virus en los dispositivos administrados. Las definiciones de virus que se han descargado en la carpeta de prueba piloto pueden implementarse en los dispositivos de destino "de prueba". Actualizaciones de definiciones de virus Aprobar inmediatamente (hacerlas disponibles a todos los equipos): Descarga definiciones de virus directamente a la carpeta predeterminada (\LDLogon\Antivirus\Bases). Las definiciones de virus descargadas a la carpeta predeterminada estn aprobadas y pueden implementarse en los dispositivos de destino para el rastreo de antivirus.
437
MANUAL DE USUARIO
Restringirlas primero a una prueba piloto: Descarga archivos de definiciones de virus a la carpeta piloto para fines de prueba. Las definiciones de virus de la carpeta piloto pueden implementarse en los equipos de prueba designados antes de hacerlo en los dispositivos administrados. Aprobar automticamente las definiciones piloto al expirar el perodo de prueba (en la prxima actualizacin): Mueve automticamente los archivos de definiciones de virus descargados desde la carpeta piloto a la carpeta predeterminada de definiciones de virus cuando se realiza la prxima actualizacin de definiciones de virus despus del perodo especificado a continuacin. Esta opcin se encuentra disponible slo si se restringen las actualizaciones de los archivos de definiciones de virus a una prueba piloto. Adems, permite automatizar la aprobacin de los archivos de definiciones. Si no se habilita esta opcin, los archivos de definiciones de virus de la carpeta piloto deben aprobarse de forma manual con el botn Aprobar ahora. Perodo de prueba mnimo: Si se ha habilitado la aprobacin automtica de las definiciones de virus en la carpeta piloto, este valor especifica la duracin del perodo de prueba. Tenga en cuenta que durante este perodo no se procesan las tareas de actualizacin de archivos de definiciones de virus programadas. Obtener las definiciones ms recientes: Inicia un proceso inmediato de descarga de archivos de definiciones de virus. El cuadro de dilogo Actualizacin de definiciones muestra el progreso de la descarga. Aprobar ahora: Le permite mover los archivos de definiciones de virus desde la carpeta piloto a la carpeta predeterminada de definiciones de virus para poder implementarlas en el rastreo de antivirus de los dispositivos de destino. Copias de seguridad de definiciones Crear copias de seguridad de las definiciones anteriores: Guarda las descargas de los archivos de definiciones de virus anteriores. Esto puede resultar til si necesita volver a un archivo de definiciones ms antiguo para rastrear o limpiar archivos infectados o para restaurar un archivo de definiciones de virus que resolvi un problema en particular. (Las copias de seguridad de los archivos de definiciones de virus se guardan en carpetas separadas cuyo nombre corresponde a la fecha y hora de creacin bajo: \LDLogon\Antivirus\Backups\) Nmero de copias de seguridad a mantener: Especifica el nmero de descargas de archivos de definiciones de virus a guardar. Historial: Ofrece una lista de las copias de seguridad de los archivos de definiciones de virus disponibles. Restaurar: Mueve la copia de seguridad del archivo de definiciones de virus seleccionada a la carpeta predeterminada del antivirus para poder distribuirla en los dispositivos de destino. Eliminar: Quita del servidor central la copia de seguridad del archivo de definiciones de virus en forma permanente. Actualizar ahora: Descarga inmediatamente los tipos de contenido de seguridad seleccionados. El cuadro de dilogo Actualizacin de definiciones muestra el progreso y el estado de la descarga.
438
Programar actualizacin: Abre el cuadro de dilogo Informacin de actualizaciones programadas, donde puede escribir un nombre nico para esta tarea de descarga, verificar la configuracin de la misma y hacer clic en Aceptar para guardar la tarea en la herramienta de la tarea Programada. (Observe que slo los tipos de definiciones, los idiomas y la configuracin de descarga de definicin y de revisiones se guardan y asocian cuando crea una tarea en particular. La configuracin de descarga de las otras fichas de este cuadro de dilogo, como la ubicacin de descarga de revisiones, configuracin de proxy y configuracin de alerta, son generales, es decir, se aplican a todas las tareas de descarga de contenido de seguridad. No obstante, es posible modificar esa configuracin en cualquier momento y esta se aplicar a todas las tareas de descarga de contenido de seguridad a partir de este punto). Aplicar: Guarda la configuracin de la descarga seleccionada para aplicarla al cuadro de dilogo Descargar actualizaciones y aparece la prxima vez que abre dicho cuadro. Cerrar: Cierra el cuadro de dilogo sin guardar los ltimos cambios hechos en la configuracin.
Para obtener una descripcin de las opciones en en las otras fichas del cuadro de dilogo Descargar actualizaciones, consulte "Acerca del cuadro de dilogo Descargar actualizaciones" en la pgina 499 en la seccin Administrador de seguridad y revisiones.
Acerca del cuadro de dilogo Configurar LANDesk Antivirus

Utilice este cuadro de dilogo para administrar la configuracin de LANDesk Antivirus. Una vez configurado, puede aplicar la configuracin del antivirus a las tareas de rastreo de antivirus. Tambin puede asignarle la configuracin del antivirus a una tarea de cambio de configuracin a fin de modificar la configuracin predeterminada del antivirus en los dispositivos administrados con el agente LANDesk Antivirus. La configuracin de antivirus determina si el icono de LANDesk Antivirus aparece en la bandeja del sistema del dispositivo, la disponibilidad de las opciones interactivas para los usuarios finales, la habilitacin del rastreo de correo electrnico y de la proteccin en tiempo real, los archivos y las carpetas para excluir, la cuarentena y la copia de seguridad de los archivos infectados, los rastreos de antivirus programados y las actualizaciones programadas de los archivos de definiciones de virus. Este cuadro de dilogo contiene las opciones siguientes: Nuevo: Abre el cuadro de dilogo Configuracin de LANDesk Antivirus, donde puede configurar las opciones de rastreo de antivirus. Editar: Abre el cuadro de dilogo de configuracin de LANDesk Antivirus, donde puede modificar la configuracin seleccionada de rastreo y reparacin. Copiar: abre una copia de la configuracin seleccionada como una plantilla que luego puede modificar y a la que se le puede cambiar el nombre. Esto resulta til si desea realizar ajustes menores en la configuracin de antivirus y guardarlos para un propsito especfico.
439
MANUAL DE USUARIO
Eliminar: quita la configuracin seleccionada de la base de datos. Tenga en cuenta que es posible que la configuracin seleccionada se encuentre actualmente asociada a una o ms tareas o dispositivos administrados. Si elige eliminar la configuracin: los dispositivos con esa configuracin la seguirn utilizando hasta que se implemente una tarea de cambio de configuracin nueva; las tareas programadas con esa configuracin se seguirn ejecutando en los dispositivos de destino tal como lo hacen las tareas del programador local con esa configuracin hasta que se implemente una nueva
Cerrar: cierra el cuadro de dilogo sin aplicar una configuracin a la tarea.
Acerca del cuadro de dilogo de Configuracin de Antivirus

Utilice este cuadro de dilogo para crear y editar una configuracin de antivirus. La configuracin de antivirus determina si el icono de LANDesk Antivirus aparece en la bandeja del sistema del dispositivo, la disponibilidad de las opciones interactivas para los usuarios finales, la habilitacin del rastreo de correo electrnico y de la proteccin en tiempo real, los archivos y las carpetas para excluir, la cuarentena y la copia de seguridad de los archivos infectados, los rastreos de antivirus programados y las actualizaciones programadas de los archivos de definiciones de virus. Se pueden crear tantas configuraciones de antivirus como se desee y editarlas en cualquier momento. Si desea modificar la configuracin predeterminada del antivirus de un dispositivo sin volver a implementar una tarea de rastreo antivirus, realice los cambios deseados en cualquier configuracin en las diversas fichas del cuadro de dilogo de configuracin de Antivirus, asigne la nueva configuracin a una tarea de cambio de configuracin y luego implemntela en los dispositivos de destino. Una vez configurado, puede aplicar la configuracin del antivirus a las tareas de rastreo de antivirus y a las tareas de cambio de configuracin.
Configuracin de Antivirus
Nombre: Identifica la configuracin de antivirus con un nombre nico. Este nombre aparece en la lista desplegable Configuracin de LANDesk Antivirus en un cuadro de dilogo de tarea de rastreo de antivirus.
El cuadro de dilogo Configuracin de Antivirus contiene las siguientes fichas: "Acerca de la ficha General" en la pgina 441 "Acerca de la ficha Rastreo programado" en la pgina 442 "Acerca de la ficha Rastreo de virus" en la pgina 442 "Acerca de la ficha Cuarentena/Copia de seguridad" en la pgina 444 "Acerca de la ficha Proteccin en tiempo real" en la pgina 446 "Acerca de la ficha Actualizaciones de archivos de definiciones de virus" en la pgina 447
440
Acerca de la ficha General

Utilice esta ficha para configurar la configuracin bsica del rastreador de antivirus en los dispositivos de destino. Esta ficha contiene las opciones siguientes: Mostrar el icono de LANDesk Antivirus en la bandeja del sistema: Hace que el icono de LANDesk Antivirus aparezca en la bandeja del sistema del dispositivo. La apariencia del icono depende del estado de la proteccin de antivirus e indica si la proteccin en tiempo real est habilitada. Si el icono de flecha es amarillo, la proteccin en tiempo real se encuentra habilitada y por lo tanto se supervisa el dispositivo continuamente en busca de virus. Si el icono es gris, la proteccin en tiempo real no se encuentra habilitada. Los usuarios finales pueden hacer doble clic en el icono para abrir el cliente de LANDesk Antivirus y realizar tareas. Tambin pueden hacer clic con el botn secundario sobre el icono para acceder al men de acceso directo y seleccionar ejecutar un rastreo y actualizar los archivos de antivirus. Habilitar rastreo de mensajes de correo electrnico: Habilita el rastreo de mensajes de correo electrnico en tiempo real en los dispositivos de destino. El rastreo de mensajes de correo electrnico en tiempo real supervisa continuamente los mensajes entrantes y salientes (las aplicaciones admitidas son: Microsoft Outlook), y busca virus en el cuerpo del mensaje y en cualquier archivo y mensaje adjunto. Se eliminan los virus detectados. Habilitar rastreo con clic secundario del ratn: Proporciona una opcin en el cliente de LANDesk Antivirus que le permite a los usuarios finales seleccionar un archivo, un grupo de archivos, una carpeta o un grupo de carpetas y hacer clic con el botn secundario en la seleccin para realizar un rastreo de antivirus. Rastrear software riesgoso adems de otros virus (base de datos ampliada): Proporciona una opcin en el cliente de LANDesk Antivirus que permite que los usuarios finales rastreen software riesgoso (por ejemplo, FTP, IRC utilidades de control remoto, etc.) con una base de datos ampliada que se carga en el dispositivo administrado. Permitir que el usuario agregue archivos y carpetas a la lista de elementos de confianza: Proporciona una opcin en el cliente de LANDesk Antivirus que le permite a los usuarios identificar archivos y carpetas en los que no deseen realizar el rastreo de virus. El rastreo de antivirus omite los archivos y las carpetas que se encuentran en esta lista. Se debe alertar a los usuarios de que slo coloquen archivos seguros en su lista de elementos de confianza. Uso de la CPU durante el rastreo: Permite controlar el uso de la CPU en los equipos de destino cuando LANDesk Antivirus ejecuta un rastreo de antivirus. Propietario: Permite especificar un propietario para la configuracin de antivirus a fin de evitar la modificacin no autorizada. Solamente el propietario y los usuarios con derecho de administrador de LANDesk tienen acceso a la configuracin y pueden modificarla. Los dems usuarios solamente pueden verla. La opcin de usuario pblico permite el acceso universal a la configuracin. Establecer como predeterminado: Establece esta configuracin de antivirus (con la configuracin de opciones en todas las fichas del cuadro de dilogo de la configuracin de Antivirus) como predeterminada en los dispositivos de destino. A menos que la tarea de rastreo de antivirus tenga una configuracin de antivirus especfica asociada, la configuracin predeterminada se utiliza durante las tareas de rastreo y actualizacin de los archivos de definiciones.
441
MANUAL DE USUARIO
Restaurar predeterminados: Restaura la configuracin predeterminada definida anteriormente para todas las opciones de antivirus de las fichas del cuadro de dilogo.
Acerca de la ficha Rastreo programado

Utilice esta ficha para habilitar y configurar un rastreo de antivirus peridico y programado en los dispositivos de destino. Tipos de rastreo de LANDesk Antivirus Puede rastrear los virus en sus dispositivos administrados con rastreos programados, rastreos a peticin y proteccin de archivos y mensajes de correo electrnico en tiempo real. Los usuarios finales tambin pueden realizar rastreos a peticin en sus propios equipos. Esta ficha contiene las opciones siguientes: Hacer que LANDesk Antivirus busque virus en dispositivos a una hora especfica: Habilita un rastreo de antivirus peridico y programado que se ejecuta en los dispositivos de destino de acuerdo con la hora de inicio, la frecuencia, la restriccin de tiempo y los requisitos de ancho de banda que se especifiquen. Cambiar configuracin: Abre el cuadro de dilogo Programar, donde puede establecer las opciones de programacin. Consulte "Acerca del cuadro de dilogo Programar rastreos peridicos de antivirus" en la pgina 449. Permitir al usuario programar rastreos: Le permite al usuario final crear un rastreo de antivirus programado local en su propio equipo.
Acerca de la ficha Rastreo de virus

Utilice esta ficha para especificar en qu archivos se deben rastrear virus, cules hay que excluir del rastreo y si se van a usar heursticos para rastrear archivos sospechosos. Esta ficha contiene las opciones siguientes: Rastrear todos los tipos de archivos: Especifica que todos los tipos de archivos del dispositivo de destino se rastreen por medio de un rastreo de antivirus. Esto puede tardar bastante por lo tanto se recomienda rastrear todos los tipos de archivos con un rastreo a peticin en lugar de una proteccin en tiempo real. Rastrear slo archivos infectables: Especifica que slo se rastreen los archivos infectables. Los archivos infectables son aquellos tipos de archivos conocidos por ser vulnerables a las infecciones de virus. Resulta ms eficiente rastrear slo los archivos infectables que rastrear todos, ya que algunos virus afectan slo a determinados tipos de archivos. No obstante, debe acostumbrarse a rastrear peridicamente todos los archivos con un rastreo a peticin a fin de asegurarse de que los dispositivos estn limpios. Consulte la lista siguiente de tipos de archivos infectables. Utilizar heursticos para rastrear archivos sospechosos: Utiliza la capacidad de anlisis de heursticos del rastreador cuando rastrea los dispositivos de destino. El rastreo de heursticos intenta detectar archivos sospechosos de estar infectados con un virus a travs del anlisis de comportamientos sospechosos, tales como: un programa que se modifica automticamente, que intenta buscar inmediatamente otros ejecutables o que se modifica despus de terminar. El uso del rastreo de heursticos puede afectar negativamente el rendimiento de los dispositivos administrados.
442
Excluir los siguientes archivos y carpetas Agregar: Abre el cuadro de dilogo Agregar ruta de acceso excluida donde puede crear exclusiones nuevas para especificar los archivos, las carpetas o los tipos de archivos (por extensin) que desea excluir del rastreo de antivirus asociado con esa configuracin. Editar: Abre la exclusin seleccionada para modificar la ruta de acceso, el nombre y la extensin de un archivo y las variables. Eliminar: Quita la exclusin seleccionada de la configuracin de antivirus.
Rastreo de puntos de reparacin del sistema LANDesk Antivirus rastrear los archivos en cualquiera de los archivos de puntos de reparacin del sistema que puedan existir en el dispositivo administrado.
Tipos de archivos infectables

Los tipos de archivos infectables se identifican por su identificador de formato en el encabezado del archivo en lugar de por la extensin del archivo, a fin de garantizar que se rastreen los archivos cuyos nombres hayan cambiado. Los archivos infectables son: archivos de documentos tales como archivos de Word y Excel, archivos de plantillas asociados con archivos de documentos y archivos de programa tales como Dynamic Link Libraries (.DLL), archivos de comunicacin (.COM), archivos ejecutables (.EXE) y otros. La lista siguiente contiene los tipos de archivos infectables segn el estndar del formato de archivo o la extensin del archivo original. ACM ACV ADT AX BAT BIN BTM CLA COM CPL CSC CSH DLL DOC DOT DRV EXE HLP HTA HTM HTML HTT INF INI JS
443
MANUAL DE USUARIO
JSE JTD MDB MSO OBD OBT OCX PIF PL PM POT PPS PPT RTF SCR SH SHB SHS SMM SYS VBE VBS VSD VSS VST VXD WSF WSH
Acerca de la ficha Cuarentena/Copia de seguridad

Utilice esta ficha para configurar el tamao de la carpeta cuarentena/copia de seguridad y las opciones de restauracin de objetos que desee que estn disponibles para los usuarios finales. Esta ficha contiene las opciones siguientes:
444
Limitar tamao de la carpeta cuarentena/copia de seguridad: Permite especificar el tamao mximo de la carpeta compartida cuarentena/copia de seguridad en los dispositivos de destino. Esta carpeta es un rea de almacenamiento segura y aislada en los dispositivos que tienen LANDesk Antivirus. En forma predeterminada, el tamao de almacenamiento de cuarentena es de 50 MB y los objetos que se encuentran en cuarentena se almacenan durante 90 das. Los objetos que se encuentran en la carpeta cuarentena/copia de seguridad pueden volver a rastrearse, eliminarse o restaurarse. Los archivos en cuarentena se vuelven a rastrear automticamente con las ltimas definiciones de virus, siempre que se ejecute un rastreo a peticin o que se actualicen archivos de patrones de antivirus en los dispositivos para ver si se pueden limpiar los objetos infectados. Si un archivo en cuarentena puede limpiarse, se restaura automticamente y se notifica al usuario. Si se detecta una infeccin de virus, primero se hace una copia de seguridad del archivo infectado (con una extensin *.bak en la carpeta \LDClient\Antivirus\) y luego se limpia. Si no puede desinfectarse, el archivo original se mueve a la carpeta cuarentena (con una extensin *.qar en la carpeta \LDClient\Antivirus). Luego se quita la cadena del virus y se codifica el archivo para que no se pueda acceder a l ni ejecutarlo.
Tamao mximo: Especifica el tamao mximo de la carpeta compartida cuarentena/copia de seguridad en los dispositivos con el agente de LANDesk Antivirus. Permitir que el usuario restaure objetos sospechosos: Le provee a los usuarios finales la opcin de restaurar objetos sospechosos detectados por el rastreo de antivirus o por la proteccin en tiempo real. Los objetos sospechosos son aquellos que contienen un cdigo que se encuentra modificado o que recuerda al de un virus conocido. Los objetos sospechosos se colocan en cuarentena automticamente. Si se activa esta opcin, los usuarios finales pueden mover el archivo original de la carpeta cuarentena a una carpeta de destino especfica o a su ubicacin original, donde se almacen antes de la cuarentena, la desinfeccin o la eliminacin. Observe que si se est ejecutando la proteccin en tiempo real, el archivo restaurado se rastrea y si an sigue infectado se lo vuelve a poner en cuarentena. Permite que el usuario restaure objetos infectados y software riesgoso: Provee a los usuarios finales la opcin de restaurar objetos infectados detectados por el rastreo de antivirus o por la proteccin en tiempo real. Los objetos infectados son aquellos que contienen un cdigo peligroso detectado por un archivo de definiciones (patrones o firmas) de virus conocido. Los objetos infectados pueden daar an ms los dispositivos administrados. El software riesgoso es simplemente el software cliente que tiene la posibilidad de ser riesgoso para el usuario final. Por ejemplo: Software FTP, IRC, MIrc, RAdmin, o utilidades de control remoto. (En el caso de un resultado de rastreo falso-positivo, el usuario final puede sentirse seguro y cmodo para restaurar el archivo. Esta opcin le permite a los usuarios restaurar archivos a los recursos compartidos de la red. Si restauran un archivo infectado a su ubicacin original, el prximo rastreo de antivirus detectar el mismo virus, aunque sea falso-positivo, y lo volver a poner en cuarentena.) El usuario debe ingresar una contrasea para restaurar objetos: Los usuarios deben ingresar la contrasea especificada antes de poder restaurar los objetos sospechosos o infectados o el software riesgoso. Se le pide al usuario que ingrese la contrasea antes de intentar restaurar el objeto desde la carpeta cuarentena/copia de seguridad. Si habilita esta opcin para proteger con contrasea los objetos en cuarentena, debe compartir la misma con los usuarios que usted desea que puedan restaurar dichos objetos.
445
MANUAL DE USUARIO
Contrasea: Ingrese la contrasea que necesitan los usuarios para restaurar los objetos en cuarentena.
Acerca de la ficha Proteccin en tiempo real

Utilice esta ficha para habilitar y configurar la proteccin de archivos en tiempo real, seleccionar qu archivos se deben proteger y excluir y notificar al usuario final. La proteccin en tiempo real supone un rastreo continuo (en segundo plano) de los archivos, las carpetas y los tipos de archivos por extensin especificados. Cuando se ejecuta la proteccin en tiempo real, se rastrean los archivos en busca de virus siempre que estos se abren, cierran, acceden, copian o guardan. Cuando se habilita la proteccin en tiempo real, el icono de la bandeja del sistema de LANDesk Antivirus es amarillo. Si la proteccin en tiempo real se encuentra apagada, el icono es gris. Esta ficha contiene las opciones siguientes: Habilitar proteccin de archivos en tiempo real: Activa la proteccin de archivos en tiempo real en los dispositivos de destino. La proteccin de archivos en tiempo real se ejecuta en segundo plano y rastrea virus conocidos de acuerdo con los archivos de definiciones de virus descargados. Tambin mostrar mensajes en tiempo real en el cliente: Muestra mensajes en los dispositivos de destino para notificar a los usuarios sobre ciertas actividades de LANDesk Antivirus. Se notifica a los usuarios finales siempre que se detecta, se pone en cuarentena, se elimina, se omite o se limpia un archivo infectado. Los cuadros de dilogo de mensajes muestran la ruta de acceso, el nombre del archivo, el nombre del virus y una nota que le informa al usuario final que debe ponerse en contacto con su administrador de red. Permite que el usuario deshabilite el rastreo en tiempo real hasta: Proporciona una opcin en el cliente de LANDesk Antivirus que le permite al usuario final desactivar la proteccin de archivos en tiempo real durante un perodo de tiempo especificado. Debe mantener este perodo de tiempo al mnimo para que los usuarios no puedan deshabilitar la proteccin en tiempo real a largo plazo. Rastrear todos los tipos de archivos: Especifica que todos los tipos de archivos del dispositivo de destino se rastreen por medio de un rastreo de antivirus. Esto puede tardar bastante por lo tanto se recomienda rastrear todos los tipos de archivos con un rastreo a peticin en lugar de una proteccin en tiempo real.
446
Rastrear slo archivos infectables: Especifica que slo se rastreen los archivos infectables. Los archivos infectables son aquellos tipos de archivos conocidos por ser vulnerables a las infecciones de virus. Resulta ms eficiente rastrear slo los archivos infectables que rastrear todos, ya que algunos virus afectan slo a determinados tipos de archivos. Sin embargo, debera rastrear peridicamente todos los archivos con un rastreo a peticin para garantizar que los dispositivos estn limpios. Los tipos de archivos infectables se identifican por medio de su identificador de formato en el encabezado del archivo y no por medio de su extensin para garantizar que se rastreen los archivos a los que se les cambi el nombre. Los archivos infectables son: archivos de documentos tales como archivos de Word y Excel, archivos de plantillas asociados con archivos de documentos y archivos de programa tales como Dynamic Link Libraries (.DLL), archivos de comunicacin (.COM), archivos ejecutables (.EXE) y otros archivos de programa.
Utilizar heursticos para rastrear archivos sospechosos: Utiliza la capacidad de anlisis de heursticos del rastreador al rastrear los dispositivos de destino. El rastreo de heursticos intenta detectar archivos sospechosos que estn infectados con un virus al observar su comportamiento sospechoso, tales como un programa que: se modifica a s mismo, que trata inmediatamente de encontrar otros ejecutables o que se modifica despus de la finalizacin. El uso del rastreo de heursticos puede afectar negativamente el rendimiento y la velocidad de los dispositivos administrados.
Excluir los siguientes archivos y carpetas Agregar: Abre el cuadro de dilogo Agregar ruta de acceso excluida donde puede crear exclusiones nuevas para especificar los archivos, las carpetas o los tipos de archivos (por extensin) que desea excluir del rastreo de antivirus asociado con esa configuracin. Editar: Abre la exclusin seleccionada para modificar la ruta de acceso, el nombre y la extensin de un archivo y las variables. Eliminar: Quita la exclusin seleccionada de la configuracin de antivirus.
Acerca de la ficha Actualizaciones de archivos de definiciones de virus

Utilice esta ficha para configurar la programacin de las actualizaciones de archivos de definiciones (patrones) de virus, las opciones de descarga del usuario y las opciones de acceso para los dispositivos de destino con configuracin de antivirus. Esta ficha contiene las opciones siguientes:
447
MANUAL DE USUARIO
Descargar la versin piloto de archivos de definiciones de virus: Descargar archivos de definiciones de virus de la carpeta de prueba piloto en lugar de hacerlo desde el depsito predeterminado (\LDLogon\Antivirus\Bases) del servidor central. Un conjunto restringido de usuarios puede descargar las definiciones de virus de la carpeta piloto para probar las definiciones de virus antes de implementarlas en toda la red. Cuando crea una tarea de rastreo de antivirus, tambin puede seleccionar descargar las ltimas actualizaciones de las definiciones de virus, entre ellas las que residen en la carpeta de prueba piloto, luego asociar una configuracin de antivirus con esta opcin habilitada para garantizar que los equipos de prueba reciban los ltimos archivos conocidos de definiciones de virus. Si se selecciona esta opcin, no se descargan los archivos de definiciones de virus de la carpeta predeterminada (\LDLogon\Antivirus\Bases). Los usuarios pueden descargar actualizaciones de definiciones de virus: Provee a los usuarios finales de los dispositivos de destino la opcin de descargar archivos de definiciones de virus por s solos. Esta opcin se visualiza en el cliente de LANDesk Antivirus y est disponible en dicho cuadro de dilogo, al igual que al hacer clic con el botn secundario en el icono de LANDesk Antivirus en la bandeja del sistema. Cuando un usuario final descarga actualizaciones de archivos de definiciones de virus, el dispositivo intenta conectarse a los servidores en el orden siguiente: servidor preferido (si se ha configurado); servidor central; sitio Web de servidor de contenido de LANDesk Security.
Programar actualizaciones de definiciones de virus: Habilita una actualizacin peridica y programada de los archivos de definiciones de virus que se ejecutan en los dispositivos de destino de acuerdo con la hora de inicio, la frecuencia, la restriccin de tiempo y los requisitos de ancho de banda que especifique. Cambiar configuracin: Abre el cuadro de dilogo Programar, donde puede establecer las opciones de programacin. Consulte "Acerca del cuadro de dilogo Programar actualizaciones peridicas de antivirus" en la pgina 450. Actualizaciones de Internet: Descargar directamente desde LANDesk si el servidor central no se encuentra disponible: Le permite a los dispositivos de destino descargar las actualizaciones de los archivos de definiciones de virus directamente desde el sitio de LANDesk Security si no pueden acceder a su servidor central. Las descargas se realizan a travs de una conexin a Internet iniciada como una tarea programada o por el usuario final. Esto resulta til si hay usuarios mviles que desean mantener sus archivos de definiciones de virus actualizados. Seleccionar el sitio de origen de la actualizacin: Especifica el servidor de contenido de LANDesk Security al que se accede para descargar las ltimas definiciones a la base de datos. Seleccione el servidor ms cercano a su ubicacin. Volver al sitio de origen alternativo en caso de error: Intenta descargar automticamente las actualizaciones desde otro servidor de contenido de LANDesk Security, con las firmas de antivirus, si el sitio de origen especificado no puede transmitir los archivos.
448
Acerca del cuadro de dilogo Agregar ruta de acceso excluida

Utilice este cuadro de dilogo para agregar exclusiones que especifican que no se estn rastreando los virus de los objetos ni a travs del rastreo de antivirus ni a travs de la proteccin en tiempo real. Las tareas de rastreo de antivirus (y las tareas de cambio de configuracin) asociadas con esta configuracin de antivirus utilizarn estas exclusiones. Puede excluir archivos especficos, carpetas enteras y tipos de archivos por sus extensiones. Este cuadro de dilogo contiene las opciones siguientes: Tipo: Indica el tipo de objeto que se desea excluir del rastreo de antivirus. Seleccione un tipo y luego ingrese sus atributos especficos en el campo Objeto. Objeto: Escriba la ruta de acceso completa y el nombre (o examine y seleccione) del archivo o la carpeta que desea excluir. Si selecciona el tipo de extensin del archivo, escriba los caracteres de la extensin en el campo Objeto. Insertar variable: Permite utilizar las variables del entorno del sistema para identificar la ruta de acceso a una carpeta o un objeto que deseara excluir del mbito del rastreo de antivirus o de la proteccin.
Acerca del cuadro de dilogo Programar rastreos peridicos de antivirus

Si desea que esta configuracin de antivirus incluya un rastreo de antivirus peridico, utilice este cuadro de dilogo para especificar la hora de inicio, la frecuencia, la restriccin de tiempo y la configuracin de los requisitos de banda ancha. Las tareas de rastreo de antivirus (y las tareas de cambio de configuracin) asociadas con esta configuracin de antivirus utilizarn las reglas definidas aqu. Este cuadro de dilogo contiene las opciones siguientes: Hora de inicio: Especifica el horario en que se ejecuta el rastreo en los dispositivos de destino. De forma predeterminada, este campo muestra la hora actual. Repetir cada: Programa el rastreo para que se repita peridicamente. Seleccione el nmero de minutos, horas y das para controlar la frecuencia de repeticin de la tarea. Si el perodo de tiempo es mayor que un da, el rastreo se ejecuta a la hora de inicio mencionada anteriormente. Restricciones: Permite deshabilitar el rastreo de antivirus en determinados horarios, das y fechas. Cuando especfica ms de una opcin de restriccin, la combinacin se transforma en la restriccin eficaz. El dispositivo debe tener suficiente ancho de banda: Impone un requisito de ancho de banda mnimo para los dispositivos de destino a fin de que el rastreo de antivirus se ejecute correctamente. Si se habilita esta opcin y el ancho de banda disponible actualmente en el dispositivo de destino no cumple con el requisito, el rastreo no se ejecuta. Ancho de banda mnimo: Especifica el ancho de banda mnimo de red requerido para que se ejecute la tarea. Seleccione RAS, WAN o LAN. Para obtener detalles, consulte "Descripcin de las opciones de ancho de banda" en la pgina 450.
449
MANUAL DE USUARIO
Nombre del equipo: Identifica el equipo que se utiliza para probar el ancho de banda del dispositivo. La transmisin de prueba es entre un dispositivo de destino y este equipo.
Descripcin de las opciones de ancho de banda

Al configurar los comandos del programador local, puede especificar el criterio de ancho de banda mnimo necesario para que se ejecute la tarea. La prueba del ancho de banda consiste en crear trfico de red en el dispositivo especificado. Cuando llega el momento de ejecutar la tarea, cada dispositivo que ejecuta la tarea del programador local enva una pequea cantidad de trfico de red ICMP al dispositivo especificado y evala el rendimiento de la transferencia. Si el dispositivo de destino de prueba no est disponible, la tarea no se ejecuta. Las opciones de ancho de banda son: RAS: la tarea se ejecuta si la conexin de red del dispositivo al dispositivo de destino tiene al menos una velocidad RAS o de acceso telefnico, tal como se detecta a travs del API de red. Normalmente, si se selecciona esta opcin, la tarea siempre se va a ejecutar si el dispositivo tiene una conexin de red de algn tipo. WAN: la tarea se ejecuta si la conexin del dispositivo al dispositivo de destino es al menos una velocidad WAN. La velocidad WAN se define como una conexin no RAS que es ms lenta que el umbral LAN. LAN: La tarea se ejecuta cuando la conexin del dispositivo al dispositivo de destino excede la configuracin de velocidad LAN. La velocidad LAN se define como cualquier velocidad mayor a 262,144 bps, de forma predeterminada. Puede definir el umbral LAN en la configuracin del agente (Herramientas | Configuracin | Agente | Configuracin, Deteccin de ancho de banda). Los cambios que realice entran en efecto cuando se implementa la configuracin actualizada en los dispositivos.
Acerca del cuadro de dilogo Programar actualizaciones peridicas de antivirus

Si desea que esta configuracin del antivirus incluya una actualizacin peridica de las definiciones de virus, utilice este cuadro de dilogo para especificar la hora de inicio, la frecuencia, la restriccin de tiempo y la configuracin de los requisitos de banda ancha. Las tareas de rastreo de antivirus (y las tareas de cambio de configuracin) asociadas con esta configuracin de antivirus utilizarn las reglas definidas aqu. Este cuadro de dilogo contiene las opciones siguientes: Hora de inicio: Especifica el horario en que se ejecuta la actualizacin de las definiciones de virus en los dispositivos de destino. De forma predeterminada, este campo muestra la hora actual. Repetir cada: Programa la actualizacin de las definiciones de virus para que sucedan peridicamente. Seleccione el nmero de minutos, horas y das para controlar la frecuencia de repeticin de la tarea. Si el perodo de tiempo es mayor que un da, la actualizacin se ejecuta a la hora de inicio mencionada anteriormente. Restricciones: Permite deshabilitar la actualizacin de los archivos de definiciones de virus en determinados horarios, das y fechas.
450
El dispositivo debe tener suficiente ancho de banda: Impone un requisito de ancho de banda mnimo a los dispositivos de destino para que la actualizacin de las definiciones de virus se ejecute correctamente. Si se habilita esta opcin y el ancho de banda disponible actualmente en el dispositivo de destino no cumple con el requisito, la actualizacin no se ejecuta. Ancho de banda mnimo: Especifica el ancho de banda mnimo de red requerido para que se ejecute la tarea. Seleccione RAS, WAN o LAN. Para obtener detalles, consulte "Descripcin de las opciones de ancho de banda" en la pgina 450. Nombre del equipo: Identifica el equipo que se utiliza para probar el ancho de banda del dispositivo. La transmisin de prueba es entre un dispositivo de destino y este equipo.
Acerca del cuadro de dilogo Crear tarea de rastreo de LANDesk Antivirus

Utilice este cuadro de dilogo para crear y configurar una tarea que ejecuta el rastreo de antivirus en los dispositivos destino. El comportamiento del rastreador, los objetos rastreados y las opciones del usuario final se determinan a travs de su configuracin de antivirus asociada. Rastreo de Antivirus a peticin Tambin puede ejecutar un rastreo de antivirus inmediato en uno o ms dispositivos de destino. Haga clic con el botn secundario en el dispositivo seleccionado (o hasta en 20 dispositivos seleccionados), haga clic en Rastreo de LANDesk Antivirus ahora, seleccione una configuracin de antivirus, elija si va a actualizar los archivos de definiciones de virus antes de realizar el rastreo y luego haga clic en Aceptar. Este cuadro de dilogo contiene las opciones siguientes: Nombre de la tarea: Identifica la tarea de rastreo de antivirus con un nombre nico. Crear una tarea programada: Agrega la tarea de rastreo a la ventana de Tareas programadas, donde puede configurar sus opciones de programacin y recurrencia y asignarles dispositivos de destino. Seleccionar automticamente todos los equipos con LANDesk Antivirus: Agrega los dispositivos administrados que se han configurado con el agente de LANDesk Antivirus a la lista de dispositivos de destino de la tarea. Iniciar ahora: Ejecuta el rastreo de antivirus en los dispositivos con el agente de LANDesk Antivirus y lo agrega a la herramienta de Tareas programadas al hacer clic en Aceptar. Crear una directiva: Agrega la tarea de rastreo de antivirus como una directiva a la ventana de Tareas programadas, donde puede configurar las opciones de directiva.
451
MANUAL DE USUARIO
Configuracin de LANDesk Antivirus: Especifica la configuracin de antivirus utilizada para la tarea de rastreo. La configuracin de antivirus determina si el icono de LANDesk Antivirus aparece en la bandeja del sistema del dispositivo, la disponibilidad de las opciones interactivas para los usuarios finales, la habilitacin del rastreo de mensajes de correo electrnico y de la proteccin en tiempo real, los tipos de archivos para rastrear, los archivos y las carpetas para excluir, la cuarentena y la copia de seguridad de los archivos infectados, los rastreos de antivirus programados y las actualizaciones programadas de los archivos de definiciones de virus. Seleccionar una configuracin de la lista desplegable. Haga clic en Editar para modificar las opciones de la configuracin seleccionada. Haga clic en Configurar para crear una configuracin nueva. Para obtener ms informacin, consulte "Acerca del cuadro de dilogo de Configuracin de Antivirus" en la pgina 440.
Actualizar definiciones de virus (inclusive las piloto) antes del rastreo: Actualiza automticamente los archivos de patrones de virus en los dispositivos de destino antes de ejecutar el rastreo, incluso los archivos de definiciones de virus que residen actualmente en la carpeta piloto.
Acerca del cuadro de dilogo Informacin de actividad y estado de antivirus

Utilice este cuadro de dilogo para ver en detalle la informacin sobre la actividad y el estado del antivirus en todos los dispositivos administrados que tengan el agente de LANDesk Antivirus. Los datos de resultado de este rastreo se utilizan para generar informes de LANDesk Antivirus que se encuentran disponibles en la herramienta Informes. Para personalizar el mbito y el enfoque de los datos que se muestran, haga clic en Umbrales y cambie los umbrales del perodo de tiempo de la actividad de antivirus reciente de los dispositivos rastreados y de los que no se han rastreado recientemente. En esta vista, tambin puede hacer clic con el botn secundario sobre un dispositivo y acceder a su men de acceso directo y desde all realizar directamente las tareas disponibles. Este cuadro de dilogo contiene las opciones siguientes: Actualizar: Actualiza los campos del cuadro de dilogo con la ltima informacin sobre el rastreo de antivirus de la base de datos. Umbrales: Abre el cuadro de dilogo Configuracin de umbrales, donde puede definir la duracin (en das) de la actividad de antivirus reciente y del rastreo de antivirus "no reciente". Los umbrales determinan el perodo de tiempo en el que los resultados del rastreo de antivirus se recopilan y muestran para las dos categoras de muestra especficas del equipo. Infecciones por equipo: Detalla en el panel derecho los dispositivos en los que se detectaron infecciones de virus durante el ltimo rastreo del sistema. Seleccione un dispositivo para ver los virus especficos que lo infectaron. Infecciones por virus: Detalla en el panel derecho los virus que se detectaron en los dispositivos administrados durante el ltimo rastreo del sistema. Seleccione una definicin de virus para ver qu dispositivos ha infectado.
452
Equipos en los que no se han rastreado vulnerabilidades de antivirus recientemente: Detalla todos los dispositivos que tienen el agente de LANDesk Antivirus y en los que no se han buscado virus durante el perodo de tiempo especificado en el cuadro de dilogo Configuracin de umbrales. Si desea ejecutar un rastreo de antivirus inmediatamente, haga clic con el botn secundario sobre el dispositivo, haga clic en Rastreo de LANDesk Antivirus ahora, seleccione una configuracin de antivirus y luego haga clic en Aceptar. Equipos con reciente actividad de antivirus: Detalla todos los dispositivos que tienen el agente de LANDesk Antivirus y que se han rastreado y han devuelto actividad de antivirus durante el perodo de tiempo especificado en el cuadro de dilogo Configuracin de umbrales. Seleccione un dispositivo para ver sus actividades de antivirus especficas, entre ellas: deteccin y eliminacin de virus, objetos infectados en cuarentena, copia de seguridad y restauracin.
Acerca del cuadro de dilogo Configuracin de umbrales (de LANDesk Antivirus)

Utilice este cuadro de dilogo para definir los perodos de tiempo en los que deben aparecer los resultados del rastreo de antivirus en el cuadro de dilogo Informacin de actividad y estado de Antivirus. Umbral para actividad reciente del Antivirus: Indica la cantidad mxima de das en que se inform actividad de antivirus desde los dispositivos rastreados hacia el servidor central. Umbral para no escaneados recientemente: Indica la cantidad mxima de das para verificar los dispositivos en los que no se han rastreado virus.
Acerca del cuadro de dilogo Instalar o actualizar tarea de LANDesk Antivirus

Utilice este cuadro de dilogo para crear y configurar una tarea que instale el agente de LANDesk Antivirus en los dispositivos de destino que an no lo tienen o que actualice las versiones existentes del agente de LANDesk Antivirus en dispositivos de destino que ya lo tienen instalado. (El rastreador de seguridad de la herramienta del Administrador de Seguridad y Revisiones ejecuta la instalacin de LANDesk Antivirus). Tambin puede seleccionar que se elimine automticamente el software antivirus existente del dispositivo antes de instalar LANDesk Antivirus. Consulte a continuacin la lista de productos antivirus que se pueden eliminar. Esta tarea permite implementar y actualizar de forma conveniente el agente de LANDesk Antivirus (y la configuracin de antivirus asociada) de un dispositivo administrado sin tener que volver a implementar una configuracin completa del agente. Este cuadro de dilogo contiene las opciones siguientes: Nombre de la tarea: escriba un nombre nico para identificar la tarea. Crear una tarea programada: agrega la tarea a la ventana Tareas programadas, donde puede configurar sus opciones de programacin y recurrencia y asignarles dispositivos de destino.
453
MANUAL DE USUARIO
Crear una directiva: agrega la tarea como una directiva a la ventana de Tareas programadas, donde puede configurar las opciones de directiva. Mostrar IU: Indica si el cuadro de dilogo del rastreador de seguridad muestra el progreso de la instalacin/actualizacin del agente de LANDesk Antivirus en los dispositivos de destino. Remover agente de antivirus existente: quita automticamente otro software de antivirus que ya podra estar instalado en los dispositivos antes de instalar LANDesk Antivirus. (Nota: Tambin puede seleccionar quitar el software de antivirus existente de los dispositivos administrados durante la configuracin inicial del agente). Configuracin de LANDesk Antivirus: Especifica la configuracin de antivirus asociada con la instalacin de este agente de LANDesk Antivirus en particular. La configuracin de antivirus determina si el icono de LANDesk Antivirus aparece en la bandeja del sistema del dispositivo, la disponibilidad de las opciones interactivas para los usuarios finales, la habilitacin del rastreo de mensajes de correo electrnico y de la proteccin en tiempo real, los tipos de archivo para rastrear, los archivos y las carpetas para excluir, la cuarentena y la copia de seguridad de los archivos infectados, los rastreos programados de antivirus y las actualizaciones programadas de los archivos de definiciones de virus. Seleccionar una configuracin de la lista desplegable. Haga clic en Editar para modificar las opciones de la configuracin seleccionada. Haga clic en Configurar para crear una configuracin nueva. Para obtener ms informacin, consulte "Acerca del cuadro de dilogo de Configuracin de Antivirus" en la pgina 440.
Configuracin de rastreo y reparacin (slo en el reinicio): Especifica la configuracin de rastreo y reparacin asociada con esta instalacin particular del agente de LANDesk Antivirus. La tarea utilizar SOLAMENTE las opciones de reinicio de la configuracin de rastreo y reparacin seleccionadas, las cuales determinan los requisitos de reinicio y las acciones en los dispositivos de destino durante la instalacin del agente de LANDesk Antivirus.
Productos de antivirus que se pueden eliminar automticamente durante la configuracin

Los productos de antivirus que se pueden eliminar automticamente al implementar LANDesk Antivirus son: Symantec* Antivirus (versiones 7, 8, 9 y 10) McAfee* Enterprise (versiones 7.0, 8.0i y 8.5) Trend Micro* PC-cillin 2004, 2005 y 2006 Trend Micro OfficeScan Trend Micro ServerProtect eTrust* Antivirus (versiones 6, 7, 7.1 y 8)
Acerca del cuadro de dilogo Eliminar LANDesk Antivirus

Utilice este cuadro de dilogo para crear y configurar una tarea que elimine el agente de LANDesk Antivirus de los dispositivos de destino. Este cuadro de dilogo contiene las opciones siguientes:
454
Nombre de la tarea: escriba un nombre nico para identificar la tarea. Crear una tarea programada: agrega la tarea a la ventana Tareas programadas, donde puede configurar sus opciones de programacin y recurrencia y asignarles dispositivos de destino. Crear una directiva: agrega la tarea como una directiva a la ventana de Tareas programadas, donde puede configurar las opciones de directiva. Mostrar IU: Indica si el cuadro de dilogo del rastreador de seguridad muestra el progreso de la eliminacin del agente de LANDesk Antivirus de los dispositivos de destino. Configuracin de rastreo y reparacin: Especifica la configuracin de rastreo y reparacin asociada con esta tarea de eliminacin particular del agente de LANDesk Antivirus. La tarea utilizar SOLAMENTE las opciones de reinicio de la configuracin de rastreo y reparacin seleccionadas, las cuales determinan los requisitos de reinicio y las acciones en los dispositivos de destino durante la eliminacin del agente.
Ayuda de Inventario
Acerca de la ventana Inventario
Utilice la ventana Inventario para visualizar todo el inventario de un dispositivo, incluidos los siguientes componentes: BIOS: Tipo, fecha, bytes de Id., fabricante, versin de ROM, versin de SMBIOS y el modelo del sistema para el BIOS. El BIOS reside de forma permanente en la memoria de slo lectura (ROM) del equipo y permite que la memoria de ste, las unidades de disco y el monitor se comuniquen.
En la ventana Inventario aparece informacin adicional del BIOS como cadenas de texto BIOS. Para ver y buscar las cadenas de texto BIOS, expanda el objeto BIOS, seleccione Cadenas BIOS, haga clic con el botn derecho en el atributo de Datos y seleccione Propiedades y, a continuacin, haga clic en Valores ampliados. Durante un rastreo de inventario, se exportan las cadenas de texto disponibles en el BIOS a un archivo de texto, LDBIOS.TXT. Puede configurar una consulta en el archivo LDAPPL3.INI que extraiga una o varias cadenas de texto del BIOS a la consola. Para obtener ms informacin, consulteAppendix A: Additional inventory operations and troubleshooting . Bus: el tipo de bus. El bus conecta el microprocesador, las unidades de disco, la memoria y los puertos de entrada/salida. Los tipos de bus pueden ser ISA, EISA, bus local VESA, PCI y USB. Coprocesador: el tipo de coprocesador, si existe. Aunque es distinto que el microprocesador principal, puede encontrarse en la misma motherboard o incluso el mismo chip. El coprocesador matemtico evala las operaciones de punto flotante para el microprocesador principal. Entorno: las ubicaciones de archivo, ruta de comando, indicador del sistema y dems variables del entorno Windows. Teclado: el tipo de teclado conectado al dispositivo. Actualmente, el tipo ms utilizado es el teclado mejorado de IBM. El teclado utiliza el lenguaje de pgina de cdigos. LANDesk Management: informacin sobre los agentes, Client Manager y Alert Management System (AMS). Asimismo, contiene informacin sobre el rastreador de inventario y los archivos de inicializacin.
455
MANUAL DE USUARIO
Almacenamiento masivo: los dispositivos de almacenamiento del equipo, incluidos los discos duros, unidades de disquete, unidades lgicas y de cinta y CD-ROM. Entre los objetos de disco duro y unidad de disquete, se encuentran los atributos de almacenamiento total, sector, nmero y cabezal. Memoria: los atributos de memoria virtual, fsica y archivo de paginacin. Todos estos objetos de memoria incluyen atributos de bytes. El primer byte representa la cantidad de memoria disponible. El segundo es la memoria total. Ratn: el tipo de ratn conectado al dispositivo. En los valores de tipo de ratn, se encuentran PS/2, serie e infrarrojos. Red: el adaptador de red, direccin NIC y la informacin de direccin del nodo del adaptador. El objeto Red incluye informacin de cada protocolo cargado en el equipo. Entre los valores usuales, se incluyen objetos TCP/IP, IPX*, NetBEUI y NetBIOS. IPX constituye un protocolo que los servidores NetWare* pueden utilizar para establecer comunicacin con sus dispositivos y otros servidores. Este objeto contiene los atributos de direccin de nodo, nmero de red y direccin. NetBEUI permite que un equipo se comunique con servidores Windows NT/2000, Windows para Trabajo en Grupo o LAN Manager. Actualmente, Microsoft aconseja utilizar TCP/IP para estas conexiones. NetBIOS es una interfaz (API) para aplicaciones que permite enviar y recibir paquetes a travs de TCP/IP, NetBEUI o IPX. TCP/IP es un protocolo que permite la comunicacin de un equipo a travs de Internet y con redes WAN. Este objeto incluye la direccin (contiene la direccin TCP/IP del equipo), el nombre de host (contiene el contexto DNS del equipo), la ruta IP habilitada y la resolucin NetBIOS (utiliza atributos habilitados de proxy DNS y WINS). Adaptadores de red: los atributos de cada adaptador de red instalado en el dispositivo. SO: el sistema operativo, controladores, servicios y puertos. Estos objetos y sus atributos varan en funcin de las configuraciones de los servicios y controladores cargados. Puertos: los objetos de cada puerto de salida del equipo (serie y paralelo). Cada puerto de salida contiene atributos de direccin y nombre. El atributo de direccin incluye la direccin de hardware del puerto. Impresoras: los objetos de cada impresora conectada al equipo, ya sea directamente o en red. Entre estos objetos, se incluyen atributos de puerto, nmero, nombre y controlador. El atributo de puerto contiene la cola de red o el puerto al que la impresora se encuentra conectada. Procesador: los atributos de la CPU del dispositivo. Detecta procesadores Intel, Motorola 680x0 y PowerPC. Recursos: los objetos de cada recurso de hardware del equipo. Todos estos objetos contienen atributos que describen el tipo del que se trata y los puertos o interrupciones que utiliza. Software: los objetos de cada aplicacin de software instalada en la unidad de disco duro del dispositivo. Cada objeto enumera los atributos que suelen contener el nombre del software, la ubicacin y el nmero de versin. Vdeo: los objetos de cada adaptador de vdeo en el dispositivo. El objeto de adaptador de vdeo suele contener atributos que describen la resolucin y el nmero de colores admitidos.
456
Acerca del cuadro de dilogo Propiedades de atributos de inventario

Utilice este cuadro de dilogo para ver las propiedades de un atributo. La ficha Caractersticas muestra la informacin siguiente: Es probable que no aparezcan todos los campos, en funcin del atributo y de si est agregando, editando o visualizando un atributo. Nombre: el nombre del atributo de la base de datos central, cuyas propiedades est visualizando. Valor: el valor asignado a este atributo de inventario. Definido por el usuario: indica si el usuario ha definido el atributo seleccionado o no. Esta opcin no se puede modificar. Especificacin de formato (Slo nmeros): anotacin que se utiliza para mostrar el valor de la forma adecuada. Por ejemplo, %d MB muestra el valor del atributo sin valores decimales; mientras que %,1f MB muestra el valor con el primer punto decimal flotante en unidades de MB. Si no se introduce ningn valor de factor, esta especificacin de formato debe describir valores numricos (%d). Si se introduce un valor de factor, esta especificacin de formato debe describir valores de punto flotante (%f). Factor (Slo nmeros enteros): valor numrico que se utiliza para dividir el atributo en unidades. Si cambia el valor de este factor, debe introducir el cdigo adecuado en el campo especificador de formato. Por ejemplo, para ver la cantidad de megabytes si el atributo se ha registrado en kilobytes, introduzca el valor 1000. Valor formateado: Texto de ejemplo que muestra el formato y el factor especificado.
Acerca del cuadro de dilogo Configuracin de cambios del inventario

Utilice este cuadro de dilogo para seleccionar los atributos de inventario que se registrarn siempre que se produzcan cambios en dispositivos individuales, as como para determinar dnde se registran los mismos. Inventario actual: enumera todos los objetos almacenados en la base de datos central. Haga clic en un objeto para mostrar sus atributos en la lista Registrar los eventos en. Expanda un grupo de objetos para ver los objetos de datos incluidos. Registrar los eventos en: enumera los atributos del objeto de inventario seleccionado en la lista Inventario actual.
Para definir dnde se registran los cambios de inventario, seleccione un atributo y active una o varias opciones. Active la opcin Inventario para registrar los cambios de inventario en el cuadro de dilogo Historial de cambios del inventario del dispositivo. Active la opcin Registro de NT para registrar cambios de inventario en el registro de eventos de Windows NT. Active la opcin AMS a fin de enviar los cambios de inventario como una alerta a travs de AMS (configure estas alertas con la herramienta Configuracin de alertas. Gravedad de alertas/registro: enumera todas las opciones de prioridad de alertas. Esta funcin se encontrar atenuada hasta que se seleccione un atributo. Puede seleccionar un nivel de gravedad de Ninguno, Informacin, Advertencia o Crtico.
457
MANUAL DE USUARIO
Acerca del cuadro de dilogo Historial de cambios del inventario

Utilice este cuadro de dilogo para ver los cambios en el inventario de un dispositivo. Desde este cuadro de dilogo, puede tambin imprimir y exportar el historial de cambios. Nombre de dispositivo: muestra el nombre del dispositivo seleccionado en la vista de red de la consola del que se ha solicitado informacin sobre cambios de inventario. Componente: identifica el componente del sistema que ha cambiado. (Aqu slo pueden aparecer los componentes seleccionados en el cuadro de dilogo Configuracin de cambios del inventario). Atributo: identifica el atributo del componente especfico que se est registrando. Hora: indica el momento en que se ha producido el cambio. Valor nuevo: muestra el valor nuevo (modificado) para el atributo enumerado. Valor antiguo: muestra el valor antiguo (anterior) para el atributo enumerado. Imprimir: abre un cuadro de dilogo de impresin estndar desde donde puede imprimir el contenido del historial de cambios del inventario. Exportar: abre un cuadro de dilogo Guardar como en donde puede elegir un nombre y ubicacin para el archivo .CSV exportado, que contiene el historial de cambios del inventario.
Puede hacer clic en un encabezado de columna, a fin de ordenar la lista por dicho atributo. Haga clic de nuevo en el encabezado, para invertir el orden.
Acerca del cuadro de dilogo Crear/Editar formulario de datos personalizados

Los formularios de datos personalizados no se admiten en LANDesk Security Suite Los formularios de datos personalizados no estn disponibles con la licencia que solamente incluye LANDesk Security Suite. Debe poseer un licencia completa de LANDesk Management Suite a fin de utilizar la funcin de formularios de datos personalizados. Utilice este cuadro de dilogo para crear o editar un formulario de datos personalizados. Nombre de formulario: identifica el formulario y aparece en el visor de formularios cuando un usuario lo rellena. Descripcin: proporciona informacin adicional a los usuarios sobre el formulario. Agregar: abre el cuadro de dilogo Agregar pregunta en donde puede crear una pregunta para el formulario. Editar: abre el cuadro de dilogo Modificar pregunta, en donde puede editar cualquier opcin de la pregunta. Eliminar: quita la pregunta del formulario. Salto de pgina: controla el aspecto del formulario, ya que agrega saltos de pgina para agrupar preguntas por pginas. Cuando se produce un salto de pgina, los usuarios deben hacer clic en el botn Siguiente, para continuar con las preguntas de la pgina posterior.
Nota: cada pgina puede tener nueve preguntas como mximo.
458
Vista previa: abre el formulario, de modo que puede ver el aspecto que tendr para los usuarios. En este modo, no tiene que rellenar ningn dato y no se guardar nada de lo que introduzca.
Acerca del cuadro de dilogo Agregar/Modificar pregunta

Utilice este cuadro de dilogo para crear o editar preguntas que aparezcan en un formulario de datos personalizados. Estos formularios contienen preguntas y un espacio para que los usuarios introduzcan las respuestas. Primero, identifique la pregunta: Texto de la pregunta descripcin en una lnea de lo que se pregunta. Este texto aparece junto al campo de datos. Nombre del inventario: nombre del campo de la base de datos central. Si desea consultar la base de datos central en relacin con este elemento, debe hacerlo en Id. de etiqueta. Descripcin: informacin adicional que aparece cuando los usuarios hacen clic en Ayuda (o pulsan F1), mientras se encuentran en este campo de datos de la pregunta.
Asimismo, tiene que especificar qu tipo de campo de datos (control) desea ver junto a cada pregunta y si ste es obligatorio. Los campos de datos disponibles son: Cuadro de edicin: los usuarios escriben respuestas en un cuadro de texto editable. Cuadro combinado (lista de edicin): los usuarios seleccionan uno de los elementos de lista predefinidos o escriben en uno nuevo propio. Cuadro combinado (lista fija): los usuarios seleccionan uno de los elementos de lista predefinidos. Hacer que el campo sea obligatorio: obliga al usuario a responder la pregunta, quien no podr finalizar un formulario ni desplazarse a la pgina siguiente mientras no responda los campos obligatorios.
Acerca del cuadro de dilogo Agregar elementos

Utilice este cuadro de dilogo para agregar elementos a una lista desplegable que el usuario puede elegir al responder a dicha pregunta en un formulario. Nombre de elemento: identifica el elemento. Dicho nombre aparecer en la lista desplegable de la pregunta. Lista de elementos: enumera todos los elementos que aparecen en la lista desplegable de la pregunta. Insertar: incluye el elemento en la lista Elementos. Eliminar: quita el elemento de la lista Elementos.
Acerca del cuadro de dilogo Seleccionar varios formularios para su distribucin

Utilice este cuadro de dilogo para crear un grupo de formularios que muestre el nombre del mismo y enumere los formularios disponibles que pueden formar parte de l.
459
MANUAL DE USUARIO
Nombre de grupo: identifica el grupo en la ventana Formularios de datos personalizados. Formularios disponibles: enumera todos los formularios disponibles que puede agregar al grupo. Aceptar: guarda el grupo y cierra el cuadro de dilogo. Cancelar: cierra el cuadro de dilogo sin guardar el grupo.
Ayuda para el dispositivo administrado

La ventana Configuracin de agente (Herramientas | Configuracin | Configuracin de agente) permite personalizar la configuracin de agentes de dispositivos. Utilice el cuadro de dilogo Configuracin de agente para especificar los agentes que desee instalar y las opciones para dichos agentes. Puede crear tantas configuraciones de agente como desee. nicamente una de ellas puede ser la predeterminada. En esta ventana puede crear configuraciones de agente para Windows, Macintosh, Linux y servidores. Para crear una configuracin 1. 2. 3. Haga clic en Herramientas | Configuracin | Configuracin de agente. Haga clic en el botn Nuevo para crear una nueva configuracin de Windows. Haga clic en el botn Nuevo Mac para crear una nueva configuracin de Macintosh. Complete el cuadro de dilogo Configuracin de agente, tal como se describe en las secciones siguientes. Para obtener ms informacin, haga clic en Ayuda en cualquier pgina.
Nota: Si utiliza el cuadro de dilogo Configuracin de agente para crear una nueva configuracin predeterminada, tenga en cuenta que todos los dispositivos que se configuren mediante WSCFG32 con archivos de comandos de inicio de sesin, se volvern a configurar automticamente con los nuevos valores de configuracin predeterminados la prxima vez inicien la sesin, aunque su configuracin actual coincida con la nueva. Las secciones siguientes describen las pginas del cuadro de dilogo Configuracin de agente.
Acerca de la pgina de Inicio del cuadro de dilogo Configuracin de agente

La pgina Inicio del cuadro de dilogo Configuracin de agente contiene las siguientes opciones: Nombre de configuracin: Esta opcin aparece encima de todas las pginas del cuadro de dilogo. Escriba un nombre que describa la configuracin en la que est trabajando. Puede ser un nombre de configuracin existente o uno nuevo. Este nombre aparece en la ventana Configuracin de agente. Configuracin predeterminada: indica si la configuracin es la predeterminada que se instala. La nica forma de cambiar esta opcin es al hacer clic en Establecer como predeterminado en el men contextual de la configuracin.
Componentes de agentes que se instalarn (estndar):
460
Agente de LANDesk estndar: instala el agente de LANDesk estndar que forma la base de la comunicacin entre los dispositivos y el servidor central. Esta opcin es obligatoria. No podr deshabilitarla pero podr personalizar los componentes que estn asociados con ella. (Observe que el rastreador de seguridad y revisiones se instala automticamente con el agente LANDesk estndar, pero lo configura con las opciones en la pgina rastreo de seguridad y revisiones que se encuentra a continuacin). Formularios de datos personalizados: presenta un formulario a los usuarios para que lo completen. Puede solicitar a la base de datos central los datos que introduzcan los usuarios. Utilice esta opcin para recuperar informacin personalizada de los usuarios directamente. Control remoto: permite controlar un dispositivo o servidor a travs de la red. Reduce el tiempo que se tarda en resolver los problemas con el cliente desde un escritorio de ayuda centralizado. Esta opcin se puede utilizar para proporcionar administracin remota de dispositivos a travs de redes LAN/WAN.
Componentes de agentes que se instalarn (distribucin): Distribucin de software: automatiza el proceso de instalacin de aplicaciones de software o de distribucin de archivos en dispositivos. Se puede utilizar para instalar aplicaciones de forma simultnea en varios dispositivos o para actualizar archivos o controladores en distintos dispositivos. Migracin de perfiles: no instala otro agente en los dispositivos, pero asegura que los agentes de LANDesk necesarios estn presentes en los dispositivos administrados, a fin de que tengan la capacidad para capturar y migrar los perfiles del usuario.
Componentes de agentes que se instalarn (seguridad): Agente de confianza de LANDesk: instala el agente de confianza de LANDesk (LTA), que permite que un dispositivo administrado se comunique con el servidor DHCP de LANDesk y con el servidor de validacin de postura. Se necesita un agente a fin de utilizar las siguientes soluciones de control de acceso de red de LANDesk que permite el rastreo y la reparacin de la seguridad de cumplimiento (por ejemplo, seguridad de punto extremo). Control de acceso de red basado en DHCP de LANDesk, Cisco NAC integrada y autenticacin de seguridad de IP de LANDesk. (Nota: Si ha implementado la solucin DHCP de LANDesk o la solucin de seguridad de IP de LANDesk, puede utilizar una configuracin de agente para instalar LTA en los dispositivos administrados. Si ha implementado la solucin Cisco NAC, debe instalar el agente de confianza de Cisco (CTA) de forma manual en los dispositivos administrados. Recuerde que tambin puede instalar el LTA en los dispositivos administrados aunque est utilizando la solucin de Cisco NAC para agregar capacidades administrativas al dispositivo, tales como el rastreo de inventario y el programador local. En otras palabras, con Cisco NAC se pueden tener ambos agentes instalados en el dispositivo. No obstante, si utiliza la solucin DHCP o de seguridad de IP de LANDesk, slo deber instalar el LTA en los dispositivos administrados).
461
MANUAL DE USUARIO
LANDesk Antivirus: Instala el agente de LANDesk Antivirus en los dispositivos administrados. LANDesk Antivirus utiliza el rastreador de seguridad y revisiones (instalado con el agente de LANDesk estndar) para buscar e identificar virus en los dispositivos administrados y para brindar opciones de manejo de los archivos y las carpetas infectados. El administrador de LANDesk descarga actualizaciones de definiciones de virus y configura los rastreos de virus en la consola de Management Suite. Tambin muestra la forma en que el cliente de LANDesk Antivirus aparece en los dispositivos administrados y las opciones que se encuentran disponibles para el usuario final. Primero debe seleccionar la casilla de verificacin del agente de LANDesk Antivirus en la pgina Inicio de la Configuracin del agente para configurar la pgina de LANDesk Antivirus. LANDesk Host Intrusion Prevention: instala el agente de LANDesk HIPS en los dispositivos administrados. LANDesk HIPS defiende de forma activa los dispositivos administrados de los ataques de da de lanzamiento mediante la supervisin de aplicaciones y procesos y el bloqueo de acciones no autorizadas en funcin de reglas personalizadas y certificaciones de archivo.
Otras opciones: Seleccionar todo: selecciona todos los agentes disponibles en la lista Agentes para instalar. Borrar todo: borra todos los agentes disponibles de la lista Agentes para instalar, con excepcin del Agente de LANDesk estndar, el cual es obligatorio. Predeterminado: selecciona todos los agentes incluidos en la lista de Agentes para instalar, a excepcin de los agentes de seguridad: Agente de confianza de LANDesk, LANDesk Antivirus y Host intrusion prevention. Realizar rastreo de inventario completo durante la instalacin: cuando se instala esta configuracin en los clientes, indica si se realiza un rastreo de inventario completo durante la instalacin de agentes. Esta opcin se encuentra marcada de forma predeterminada. Mostrar el men de inicio en el dispositivo del usuario final: cuando se activa, crea entradas en el men Inicio de Windows para los agentes instalados que tienen una interfaz de usuario. Si se borra esta opcin, los agentes se instalan pero no se crean entradas en el men Inicio. Directorio temporal de instalacin: especifica la carpeta temporal que se utiliza en los dispositivos administrados durante la instalacin de agentes. Para que el agente se instale correctamente, la carpeta debe permitir la escritura.
Implementacin del agente de LANDesk estndar (incluye el rastreador de inventario, el programador local y el rastreador de seguridad)
Los componentes de Management Suite requieren el agente de LANDesk estndar (antes conocido como CBA), el cual se instala de forma predeterminada en todas las instalaciones de dispositivos. Entre otras cosas, el agente de LANDesk estndar detecta dispositivos y administra la comunicacin entre el servidor central y el dispositivo. Utilice las pginas del agente de LANDesk estndar para configurar dicho agente, el cual incluye los componentes y las siguientes configuraciones: Rastreador de inventario Programador local Deteccin del ancho de banda
462
Opciones de reinicio de dispositivo
Pgina Agente de LANDesk estndar del cuadro de dilogo Configuracin de agente

Utilice esta pgina para configurar la seguridad basada en certificados y el mbito que tendrn los dispositivos que utilicen esta configuracin. Certificados de confianza Seleccione los certificados del servidor central que desee que los dispositivos acepten. Los dispositivos slo se comunicarn con servidores centrales y consolas para los que tengan certificados. Para obtener ms informacin sobre los certificados y la forma de copiarlos desde otros servidores centrales de modo que se puedan seleccionar aqu, consulteAgent security and trusted certificates. Debajo de la casilla de certificados de confianza puede modificar el servidor central con el que se comunicarn los dispositivos que utilizan esta configuracin de agente. De forma predeterminada, esta casilla contiene el servidor central actual. El nombre del servidor central puede ser el nombre de un equipo Windows, una direccin IP o un nombre de dominio completamente calificado. El nombre de dominio completamente calificado de un servidor central puede ser necesario si se envan las configuraciones de agente a dispositivos de diversos dominios o siempre que el dispositivo no pueda resolver el nombre del servidor central, a menos que est completamente calificado. Los dispositivos administrados utilizarn la informacin que se ingrese aqu para comunicarse con el servidor central. Por lo tanto, asegrese de que el nombre que ingrese pueda resolverse desde todos los dispositivos que recibirn esta configuracin. El nombre del servidor central que especifique aqu como parte de la configuracin de un agente se agrega al registro del dispositivo bajo: HKLM\Software\Intel\LANDesk\LDWM\CoreServer
Una vez que haya seleccionado los certificados de confianza y haya cambiado el nombre del servidor central si fuese necesario, puede probarlos. Cuando hace clic en Probar, aparece una casilla de mensaje que indica si el nombre o la direccin IP del dispositivo que ingres pudieron resolverse. Tenga en cuenta que el botn Probar no hace ping en el dispositivo que ingres ni comprueba si el nombre o la direccin IP pertenecen a un servidor central. mbito Si desea que los dispositivos se incluyan en mbitos basados en directorios personalizados, escriba una ruta de directorio en el campo Ruta. La ruta especificada define el atributo de inventario de ubicacin del equipo del dispositivo. La administracin basada en funciones de Management Suite utiliza los mbitos para controlar el acceso de los usuarios a los dispositivos y se puede basar en esta ruta de directorio personalizada.
463
MANUAL DE USUARIO
Las rutas de directorio personalizadas utilizan un formato similar a una ruta de archivo, pero con barras inclinadas como separadores. Si desea utilizar mbitos basados en directorios personalizados, primero decida cmo desea clasificar los dispositivos para la administracin basada en funciones. Es probable que clasifique los dispositivos segn la ubicacin geogrfica, el departamento, el nombre del grupo o cualquier otro detalle de organizacin que prefiera. Las rutas de directorio que especifique como parte de la configuracin de un agente se agregan al registro del dispositivo bajo: HKLM\Software\Intel\LANDesk\Inventory\ComputerLocation
No es necesario completar este campo. Si lo deja en blanco, el atributo de ubicacin del equipo del dispositivo se define con la ruta de Active Directory o eDirectory. Cuando el rastreador de inventario se ejecuta en un dispositivo, registra el atributo de inventario de ubicacin del equipo del dispositivo. Si especifica una ruta de directorio personalizada en el campo Ruta, dicha ruta es el directorio que registra el rastreador. Si dej la ruta de directorio personalizada en blanco, el rastreador intentar llenar el atributo de inventario de ubicacin del equipo con la ruta de Active Directory o NetWare eDirectory del dispositivo. Si no se encuentra una ruta de directorio personalizada ni un directorio compatible con LDAP, el atributo de ubicacin del equipo no se definir. No obstante, el dispositivo an se puede incluir en los mbitos de consulta o en los mbitos de grupos de los dispositivos. Para obtener ms informacin sobre la forma de utilizar los mbitos en la administracin basada en funciones de Management Suite y la forma de definir mbitos con las rutas de directorio personalizadas, consulteRole-based administration.
Acerca de la pgina del Rastreador de inventario del cuadro de dilogo Configuracin de agente (en el agente de LANDesk estndar)
La pgina Rastreador de inventario del cuadro de dilogo Configuracin de agente contiene las siguientes opciones: Actualizacin manual: la lista de software utilizada para excluir ttulos durante los rastreos de software se carga en los dispositivos remotos. Siempre que se modifica la lista de software en la consola, debe volver a enviarla de forma manual a los dispositivos remotos. Actualizacin automtica: los dispositivos remotos leen la lista de software en el servidor central durante los rastreos de software. Si se establece esta opcin, cada dispositivo debe disponer de una unidad asignada en el directorio LDLOGON del servidor central de modo que puedan tener acceso a la lista de software. Los cambios de la lista estn disponibles de inmediato en los dispositivos.
464
Actualizacin con HTTP: comenzando con Management Suite 8, el rastreador de inventario puede utilizar HTTP para las transferencias del archivo LDAPPL3.INI. Esto permite que el rastreador admita caractersticas de multidifusin dirigida como la descarga priorizada de ancho de banda y la descarga de iguales. Con las descarga entre iguales se permite a los dispositivos que necesitan actualizaciones de LDAPPL3.INI consultar con el servidor central la fecha de la versin ms reciente y, posteriormente, transmitir a los iguales en su subred para ver si alguno dispone de la actualizacin en su cach de multidifusin. Si uno de los iguales tiene la actualizacin, tiene lugar la transferencia de archivos en la subred local sin que se genere trfico de red entre los enrutadores o enlaces WAN. Al inicio, la configuracin del registro de la clave de ejecucin: active esta opcin si desea que el rastreo de inventario se ejecute al inicio. Tambin puede hacer clic en Cambiar configuracin y configurar una programacin personalizada basada en la hora, el da de la semana o del mes, en si el usuario ha iniciado sesin o no, en los cambios en la direccin IP y en el ancho de banda de red disponible. Si desactiva Al inicio, con la configuracin del registro de la clave de ejecucin y no configura ms opciones de configuracin haciendo clic en Cambiar configuracin, los rastreos de inventario no se ejecutan automticamente.
Pgina del Programador local del cuadro de dilogo Configuracin de agente (en el Agente de LANDesk estndar)
El agente del programador local le permite a Management Suite iniciar tareas de dispositivo basadas en la hora o el ancho de banda disponible. El agente del programador local resulta de mayor utilidad en el caso de equipos porttiles que no se encuentran conectados siempre a la red o que se conectan a ella con una conexin de acceso telefnico. Por ejemplo, se puede utilizar el programador local para permitir la distribucin de los paquetes de equipos porttiles slo cuando dichos dispositivos se encuentren conectados a la red WAN. Al programar la distribucin de paquetes de software o al crear las directivas de las aplicaciones, se puede especificar el ancho de banda que precisarn los paquetes o las directivas antes de su aplicacin. El programador local se ejecuta como un servicio en Windows NT/2000/XP o como un pseudo servicio en Windows 95/98. La pgina Programador local incluye las siguientes funciones: Frecuencia con que el agente sondear las tareas: la frecuencia con la que el programador local busca las tareas. El valor predeterminado es de 10 segundos. El intervalo de consulta seleccionado se almacena en el equipo local. Frecuencia de deteccin del ancho de banda: frecuencia con la que el programador local comprueba el ancho de banda. El valor predeterminado es de 120 segundos. Las comprobaciones de ancho de banda se producen nicamente cuando existe una tarea programada pendiente.
465
MANUAL DE USUARIO
Pgina Deteccin del ancho de banda del cuadro de dilogo Configuracin de agente (en el Agente de LANDesk estndar)
La deteccin del ancho de banda permite que se detecte el ancho de banda entre los dispositivos y el servidor central. Las acciones de Management Suite como, por ejemplo la distribucin de software, se pueden limitar en funcin del ancho de banda disponible. Utilice esta opcin si existen dispositivos remotos o dispositivos que se conectan a la red a travs de un vnculo lento. La pgina Deteccin del ancho de banda del cuadro de dilogo Configuracin de agente contiene las siguientes funciones: Elegir el mtodo de deteccin de ancho de banda: seleccione utilizar ICMP o PDS para la deteccin del ancho de banda. El protocolo ICMP enva solicitudes de eco ICMP de distintos tamaos al dispositivo remoto y utiliza el tiempo de ida y vuelta de estas solicitudes/respuestas de eco para determinar el ancho de banda aproximado. El protocolo ICMP tambin distingue entre conexiones LAN (de alta velocidad) y WAN (de baja velocidad pero no de conexin telefnica). No obstante, no todos los enrutadores o dispositivos admiten las solicitudes de eco ICMP. Si la red no est configurada para permitir las solicitudes de eco ICMP, puede seleccionar PDS. Las pruebas de ancho de banda de PDS no son tan detalladas pero detectan una conexin de red de rea local o una conexin de tipo RAS de ancho de banda bajo (generalmente de acceso telefnico). El mtodo PDS solamente funciona si el servicio PDS se ejecuta en el servidor de paquetes. Puede instalar este servicio mediante la implementacin del agente de LANDesk estndar en el servidor de paquetes. Umbral de LAN, en bits por segundo: umbral que clasifica una conexin como WAN en lugar de LAN. El valor predeterminado es de 262144 bps. Habilitar lmite dinmico: especifica que el trfico de red que crea un dispositivo tiene prioridad con respecto al trfico de distribucin. Esta opcin tambin hace que se realice una descarga completa del archivo en la cach del dispositivo, que asimismo permite el reinicio del punto de comprobacin del nivel de bytes, donde las descargas se reanudan desde el punto en que quedaron si se interrumpieron. Esta opcin tambin est disponible en el cuadro de dilogo Mtodos de entrega. Si habilita esta opcin en la configuracin de agente pero no en el cuadro de dilogo Mtodos de entrega, an estar habilitada en el dispositivo. Si no habilita esta opcin en la configuracin de agente pero s en el cuadro de dilogo Mtodos de entrega, el lmite de ancho de banda dinmico se habilitar en el dispositivo para esa secuencia de comandos del paquete.
Pgina Opciones de reinicio de dispositivo del cuadro de dilogo Configuracin de agente (en el Agente de LANDesk estndar)
Una vez que se han instalado los agentes de Management Suite en los dispositivos, es probable que stos deban reiniciarse a fin de completar la configuracin de los agentes. La pgina Opciones de reinicio de dispositivo del cuadro de dilogo Configuracin de agente contiene las siguientes funciones:
466
No reiniciar los dispositivos despus de la configuracin: los dispositivos no se reiniciarn, aunque los componentes seleccionados lo necesiten. Si el reinicio es necesario, los componentes no funcionarn correctamente hasta que se reinicie el dispositivo. Reiniciar los dispositivos si es necesario: reinicia los dispositivos slo si el componente seleccionado necesita un reinicio. Reiniciar con opcin para que el usuario cancele: si se debe reiniciar algn agente seleccionado, los usuarios podrn cancelar el reinicio. Si el reinicio es necesario, los componentes no funcionarn correctamente hasta que se reinicie el dispositivo. Se puede seleccionar el tiempo que la indicacin de reinicio debe permanecer en la pantalla del usuario antes de que se reinicie el equipo. Este tiempo de espera es til para los usuarios que no estn en sus equipos cuando se produce la implementacin de los dispositivos. Permitir al usuario cancelar el reinicio durante este perodo de tiempo: si desea dar a los usuarios la oportunidad de cancelar el reinicio antes de que se realice de forma automtica, especifique la duracin del indicador de reinicio.
Implementacin de reglamentos de alertas

Los reglamentos de alertas definen qu eventos requieren una accin inmediata o deben registrarse para su revisin. Un reglamento contiene un grupo de reglas de alerta, cada una de las cuales cuenta con una accin de alerta correspondiente. Al definir un reglamento de alertas, puede implementarlo a uno o ms dispositivos, a fin de supervisar los elementos que son relevantes para ese tipo de dispositivo. Puede implementar uno de los reglamentos predefinidos o puede implementar reglamentos que haya creado dentro de la herramienta de alerta. La pgina de alerta contiene las siguientes funciones: Agregar: Haga clic en Agregar para agregar un reglamento existente a la lista Reglamentos de alerta seleccionados . Los reglamentos de esta lista se implementarn a dispositivos que reciban esta configuracin de agente. Quitar: Haga clic en un reglamento y luego en Quitar para quitarlo de la lista Reglamento de alerta seleccionado .
Implementacin de formularios de datos personalizados

Se pueden crear y distribuir formularios de datos personalizados para recopilar informacin de dispositivos que complementar la informacin estndar disponible en la base de datos central. Los formularios creados con el Diseador de formularios se pueden distribuir mediante un servicio de implementacin de dispositivos o mediante el cuadro de dilogo Configuracin de agente. El Diseador de formularios permite personalizar los formularios que se distribuyen a los dispositivos de su dominio de administracin. Para obtener ms informacin, consulte Using custom data forms.
467
MANUAL DE USUARIO
Acerca de los Formularios del cuadro de dilogo Configuracin de agente enviados con la pgina de agente
La seccin de formularios de datos personalizados consta de dos pginas. La pgina Formularios de datos personalizados incluye las siguientes funciones: Formularios de actualizacin manual: los formularios seleccionados se envan a cada dispositivo. Si los formularios cambian o se agregan nuevos, debe volver a enviarlos manualmente a los dispositivos remotos. Actualizacin automtica: los dispositivos remotos acuden al servidor central para consultar los formularios actualizados siempre que se ejecuta el rastreador de inventario, como por ejemplo al inicio. Cada dispositivo debe tener una unidad asignada en el directorio LDLOGON del servidor central para tener acceso a los formularios actualizados. Mostrar formularios a usuarios finales: seleccione el modo de acceso de los dispositivos remotos a los formularios personalizados: Al iniciar: los formularios seleccionados se ejecutan automticamente al inicio en cada dispositivo. Cuando se ejecute el Rastreador de inventario: los formularios seleccionados slo se ejecutan cuando el rastreador de inventario se ejecuta en cada dispositivo. El rastreador de inventario se ejecuta automticamente al inicio y los dispositivos pueden ejecutarlo de forma manual en cualquier momento. Si se inicia desde la carpeta del programa LANDesk: los formularios seleccionados aparecen como elementos en la carpeta de LANDesk Management del dispositivo. No se ejecutan de forma automtica.
La pgina Formularios enviados con agente muestra todos los formularios de datos personalizados. Marque los formularios que estarn disponibles en los dispositivos que reciban esta tarea de configuracin. Tendr que crear los formularios (Herramientas | Configuracin | Formularios de datos personalizados) para que aparezcan en esta lista.
Implementacin de la distribucin de software

La distribucin de software automatiza el proceso de instalacin de aplicaciones de software y de distribucin de archivos en los dispositivos. Utilice este agente para instalar aplicaciones de forma simultnea en varios dispositivos o para actualizar archivos o controladores en distintos dispositivos. La distribucin de software utiliza un servidor de archivos o Web para el almacenamiento de paquetes. Los dispositivos acceden a este servidor de paquetes al descargar un paquete. Debe configurar un servidor de paquetes tal como se describe en el captulo dedicado a la distribucin de software del Manual del usuario. El agente de distribucin de software se puede implementar en los dispositivos antes de configurar un servidor de paquetes. Para obtener ms informacin, consulte Software distribution.
468
Pgina Distribucin de software del cuadro de dilogo Configuracin de agente

La pgina Distribucin de software del cuadro de dilogo Configuracin de agente contiene las siguientes funciones: Destino del cliente: La ubicacin donde las aplicaciones virtualizadas implementadas se almacenan en dispositivos administrados. Esta opcin no tiene efecto si no distribuye aplicaciones virtualizadas creadas con el complemento Virtualizacin de aplicaciones de LANDesk.
Pgina de opciones de Poltica del cuadro de dilogo Configuracin de agente (en la distribucin de software)
El agente de distribucin basada en directivas permite instalar de forma automtica conjuntos de aplicaciones en grupos de dispositivos. Utilice este agente para administrar grupos de dispositivos que tengan necesidades de software comunes. El portal de implementacin de software de LANDesk se ejecuta en dispositivos administrados y muestra el software disponible para ese dispositivo administrado. Para mostrar un software disponible, el portal de implementacin de software necesita obtener peridicamente informacin de poltica desde el servidor central. Las actualizaciones polticas se realizarn cuando: Un usuario ejecuta el portal de implementacin de software de LANDesk desde el men Inicio de Windows. En inicio de sesin si la ejecucin en la opcin Portal de implementacin de software de LANDesk de inicio de sesin se encuentra marcada. En inicio de sesin si la ejecucin en la opcin Actualizar informacin de poltica desde el servidor central de inicio de sesin se encuentra marcada. En el intervalo del programador local especifica cundo hace clic en el botn Change settings. De forma predeterminada, los dispositivos administrados utilizan el programador local para obtener actualizaciones polticas una vez al da.
La pgina Opciones de poltica incluye las siguientes funciones: Portal de implementacin de software de LANDesk: Si est marcado, el dispositivo administrado muestra el Portal de implementacin de software de LANDesk luego de que el usuario inicia sesin. Los usuarios pueden ver qu software se encuentra disponible para ellos. Actualizar informacin de poltica desde el servidor central: Si est marcado, el dispositivo administrado actualiza la informacin de poltica luego de que un usuario inicia sesin. Cambiar configuracin: Use esto para cambiar la frecuencia y el momento en que el programador local buscar actualizaciones de poltica. Esta programacin se suma a cualquiera de las ejecuciones en las opciones de inicio de sesin que active.
469
MANUAL DE USUARIO
Implementacin del control remoto

Al implementar el control remoto, es necesario considerar qu modelo de seguridad se desea utilizar. Dispone de las siguientes opciones: Plantilla local: constituye el nivel de seguridad ms bsico, el cual utiliza las configuraciones de control remoto especificadas en el dispositivo. Este modelo no precisa ninguna otra autenticacin o pertenencia a un grupo. Seguridad de Windows NT/Plantilla local: este modelo de seguridad utiliza un grupo de operadores de control remoto de Windows NT. Los miembros de este grupo pueden controlar los dispositivos de forma remota. Los usuarios con permisos todava utilizan las opciones de control remoto del dispositivo, tales como el permiso requerido. Basada en certificado/plantilla local: se trata de la opcin ms segura y es nueva en Management Suite 8. Tambin se denomina control remoto de seguridad a peticin y se describe en la siguiente seccin. Seguridad integrada: este es el nuevo modelo de seguridad predeterminado que se agreg a Management Suite 8.7.
Acerca del control remoto de seguridad a peticin basada en certificados

LANDesk Management Suite 8 incorpora un nuevo control remoto de seguridad a peticin (basada en certificado/plantilla local). Este control remota mejora la versin anterior en los siguientes aspectos: Las consolas remotas se autentican con el servidor central. El agente de control remoto de un dispositivo se carga a peticin cuando el servidor central autoriza una sesin de control remoto. Todo el trfico y la autenticacin de control remoto se cifran a travs de una conexin SSL. Una vez que el control remoto finaliza con un dispositivo, se carga el agente de control correspondiente.
A continuacin se incluye un esquema del flujo de comunicacin de control remoto: 1. 2. La consola de Management Suite le pide permiso al servidor central para controlar de forma remota al dispositivo especificado. Si la consola o el usuario estn autorizados para controlar al dispositivo especificado de forma remota, el servidor central le indica al dispositivo que cargue el agente de control remoto con un conjunto de credenciales de autenticacin generadas al azar. El servidor central transmite las credenciales de autenticacin a la consola. La consola autentica al dispositivo con las credenciales de autenticacin y se inicia el control remoto.
3. 4.
Advertencia: El control remoto a peticin necesita el servidor central Con el control remoto a peticin, si el servidor no se encuentra disponible, las consolas no podrn controlar de forma remota los dispositivos. El control remoto a peticin necesita al servidor central para funcionar.
470
Acerca de la Seguridad integrada

La seguridad integrada es el nuevo modelo de seguridad predeterminado. Es similar al control remoto basado en certificados, excepto que el agente de control remoto siempre se carga y el control remoto se inicia ms rpidamente. A continuacin se incluye un esquema del flujo de comunicacin de control remoto de la seguridad integrada: 1. El visor del control remoto se conecta con el agente de control remoto del dispositivo administrado. Sin embargo, el agente responde que la seguridad integrada debe estar autentificada. El visor le pide derechos de control remoto al servidor central. El servidor central calcula los derechos de control remoto segn el mbito del visor, los derechos administrativos basados en funciones y los derechos de Active Directory. Luego, el servidor central crea un documento firmado seguro que enva al visor. El visor enva este documento a un agente de control remoto del dispositivo administrado, que comprueba el documento firmado. Si todo es correcto, el agente le permite al control remoto comenzar a funcionar.
2. 3.
4.
Advertencia: La seguridad integrada necesita el servidor central Con el control remoto de seguridad integrada, si el servidor central no se encuentra disponible, las consolas no podrn controlar de forma remota los dispositivos. El control remoto de la seguridad integrada necesita al servidor central para funcionar.
Uso de Seguridad de Windows NT/plantilla local con dispositivos Windows XP

Para que la autenticacin de seguridad de Windows NT/plantilla local funcione con los dispositivos Windows XP, debe configurarlos de manera que el modelo de seguridad y para compartir de las cuentas locales de Windows XP sea clsico (usuarios locales autenticados como ellos mismos). Si no lo hace, la autenticacin de slo invitado predeterminada no funcionar con la seguridad de Windows NT de control remoto. Para establecer el modelo de seguridad de Windows XP en clsico 1. 2. En el dispositivo Windows XP, haga clic en Inicio | Panel de control. En el subprograma Herramientas administrativas, Directiva de seguridad local, haga clic en Opciones de seguridad | Acceso de red: modelo de seguridad y para compartir para cuentas locales y establzcalo en Clsico: usuarios locales autenticados como ellos mismos.
Pgina Control remoto del cuadro de dilogo Configuracin de agente

La pgina Control remoto del cuadro de dilogo Configuracin de agente contiene las siguientes funciones: Plantilla local: Utiliza slo los permisos sencillos del dispositivo local establecidos en la pgina Permisos de control remoto.
471
MANUAL DE USUARIO
Plantilla local/seguridad de Windows NT: slo permite que los miembros del grupo de operadores de control remoto inicien conexiones de control desde la consola en los dispositivos remotos. Los usuarios autorizados deben utilizar los permisos establecidos en la pgina Configuracin de control remoto de este asistente. El grupo de operadores de control remoto es un grupo local, por tanto, cada dispositivo dispone de su propia copia del grupo. Para evitar la administracin del grupo de operadores de control remoto de cada dispositivo de forma individual, incluya grupos globales (nivel de dominio) con cada grupo local. Los usuarios con permisos todava utilizan las opciones de control remoto del dispositivo, tales como el permiso requerido. Plantilla local/basada en certificado: la comunicacin entre la consola y los dispositivos remotos se autentica con un servidor central; slo las consolas autenticadas desde el mismo servidor central pueden utilizar las funciones de control remoto para estos dispositivos. Seleccione los certificados que desee incluir en la lista Certificados de confianza. Los usuarios con permisos an deben utilizar el conjunto de permisos de la Pgina de permisos. Esta opcin tambin se conoce como control remoto de seguridad a peticin, tal como se describe anteriormente en este captulo. Seguridad integrada: Este es el modelo de seguridad predeterminado que se describi antes en este captulo. Los usuarios con permisos an deben utilizar el conjunto de permisos de la Pgina de permisos.
Adicin de usuarios al grupo de operadores de control remoto y al grupo de slo ver

Si selecciona Seguridad de Windows NT/Plantilla local como modelo de seguridad, los cuadros Grupo de operadores de control remoto y Grupo de slo ver incluyen los usuarios para la consola o para el dominio de Windows NT seleccionado. Los usuarios que se seleccionen aqu tendrn acceso de control remoto a los dispositivos que reciben la configuracin definida en este archivo de valores de configuracin. Los usuarios del Grupo de slo ver solamente pueden ver los dispositivos remotos. No pueden tomar control del ratn o del teclado. Al agregar usuarios a uno de los grupos de control remoto, la consola utiliza las credenciales de Windows del usuario que ha iniciado la sesin y no las credenciales del usuario de la consola de LANDesk, para hacer una lista de los usuarios de un dominio. Si el cuadro Lista de usuarios de no muestra el dominio que desea, inicie una sesin en Windows como usuario con derechos en ese dominio. Para realizar la seleccin en un servidor o dominio existente 1. 2. 3. 4. 5. En la pgina Control remoto, haga clic en Seguridad y plantilla local de Windows NT y luego en el botn Agregar. En el cuadro Enumerar nombres de, seleccione el nombre del servidor central o un nombre de dominio de Windows NT que contenga cuentas de usuario. En la lista de usuarios, seleccione uno o varios usuarios y haga clic en Insertar para agregarlos a la lista Nombres insertados. Seleccione Aceptar para agregar los nombres seleccionados al grupo de operadores de control remoto en cada dispositivo que reciba estos valores de configuracin. Si desea que algunos de estos usuarios pertenezcan al Grupo de slo ver, seleccinelos y muvalos. Los usuarios solamente pueden pertenecer a un grupo.
472
Para introducir nombres de forma manual Para escribir nombres de forma manual, haga clic en la lista Nombres insertados y utilice cualquiera de los siguientes formatos para escribirlos. Utilice puntos y comas para separar los nombres. DOMINIO\nombredeusuario; DOMINIO es el nombre de cualquier dominio al que puede acceder el dispositivo de destino. MQUINA\nombredeusuario; MQUINA es el nombre de cualquier dispositivo en el mismo dominio que el dispositivo de destino. DOMINIO\nombredegrupo; DOMINIO es el nombre de cualquier dominio al que puede acceder el dispositivo de destino y nombredegrupo es el nombre de un grupo de administracin de dicho dominio. MQUINA\nombredegrupo; MQUINA es el nombre de cualquier dispositivo en el mismo dominio que el nodo administrado y nombredegrupo es el nombre del grupo de administracin en dicho dispositivo.
Si no especifica ningn nombre de dispositivo o dominio, se asume que el usuario o grupo especificado pertenece al dispositivo local. Haga clic en Aceptar para agregar los nombres al grupo de usuarios de operadores de control remoto en el dispositivo de destino.
Pgina Permisos del cuadro de dilogo Configuracin de cliente (en el Control remoto)
La pgina Permisos de la seccin Control remoto contiene las siguientes funciones: Control remoto: otorga permiso para controlar el dispositivo. Reiniciar: otorga permiso para reiniciar el dispositivo. Conversacin: otorga permiso para conversar con el dispositivo. Transferencia de archivos: otorga permiso para transferir archivos a y desde las unidades locales del dispositivo. Ejecutar programas en dispositivo remoto: otorga permiso para ejecutar programas en el dispositivo. Dibujar: otorga permiso para utilizar las herramientas de dibujo de la ventana del visor en el dispositivo.
Tambin se pueden especificar las siguientes configuraciones de control remoto: Se requieren permisos: es necesario que el usuario de la consola obtenga permiso del dispositivo antes de que se le otorgue cualquier tipo de acceso remoto. Solamente si el usuario ha iniciado sesin: pide al usuario que ha iniciado la sesin que especifique el permiso. Si ningn usuario ha iniciado una sesin, el control remoto no requiere permiso. Pedir todos los permisos a la vez: se pide al usuario una vez los permisos de sesin. Normalmente, si el permiso es necesario, el usuario debe permitir de forma individual el control remoto, la conversacin, la transferencia de archivos, etc. Esta opcin otorga permiso para todas las opciones relacionadas con el control remoto durante la duracin de una sesin.
473
MANUAL DE USUARIO
Slo ver: los operadores de control remoto solamente pueden ver el dispositivo, no interactuar con l de forma remota.
Acerca de la Pgina Indicadores (en el Control remoto)

La pgina Indicadores de la seccin Control remoto contiene las siguientes funciones: Icono flotante en el escritorio: muestra el icono del agente de control remoto en la pantalla del dispositivo siempre o slo cuando se lo controla de forma remota. Cuando el control lo ejerce la consola, el icono cambia para mostrar una lupa y la barra de ttulo cambia a color rojo. Icono en la bandeja del sistema: coloca el icono del agente de control remoto en la bandeja del sistema. Una vez ms, el icono se puede ver siempre o slo mientras se lleva a cabo el control remoto. Usar "mirror driver": esta opcin, que se encuentra seleccionada de forma predeterminada, utiliza el "mirror driver" de control remoto en los dispositivos para que el control remoto funcione ms rpidamente. Utilizar el controlador bloqueador de pantalla: esta opcin, que se encuentra seleccionada de forma predeterminada, utiliza un controlador especial que puede informarle a la pantalla del dispositivo de destino que apague el monitor. Cuando este controlador se encuentra activo, filtra los comandos que se dirigen al controlador de pantalla real para evitar que vuelvan a prender el monitor. Los operadores de control remoto pueden activar o desactivar el bloqueador de pantalla desde la aplicacin del visor del control remoto. Si se presentan problemas de compatibilidad con este controlador, puede desactivar la casilla de verificacin para utilizar un modo de bloqueador de pantalla ms compatible pero probablemente menos eficaz. Si no utiliza el controlador bloqueador de pantalla, el modo bloqueador de pantalla alternativo puede hacer parpadear la pantalla del dispositivo de destino durante el control remoto. Esta opcin requiere del "mirror driver".
Si se utiliza la seguridad de control remoto basada en certificados, el indicador solamente est visible durante el control remoto. Este modelo de seguridad descarga el agente de control remoto y el icono indicador cuando no se utiliza el control remoto.
474
Implementacin y configuracin del rastreador de seguridad y revisiones LANDesk

El agente del rastreador de seguridad y revisiones se instala de forma predeterminada con el agente de LANDesk estndar. No obstante, al crear configuracin de agentes de dispositivos necesita utilizar las opciones en la pgina rastreo de seguridad y revisiones especfica para configurar ciertos aspectos de cmo y cundo se ejecuta el rastreo de seguridad en dispositivos administrados. Tambin puede habilitar y configurar la configuracin de reemplazo de la variable personalizada, los rastreos de seguridad frecuentes, spyware en tiempo real y bloqueo de la aplicacin. El rastreador de seguridad permite rastrear los dispositivos administrados en los SO conocidos y las vulnerabilidades de la aplicacin y otros riesgos de seguridad, tales como: spyware, virus, aplicaciones no autorizadas, actualizaciones de software y de controlador, amenazas de seguridad de configuracin de sistema, definiciones de seguridad personalizadas, etc. El contenido del rastreo de seguridad depende de la suscripcin de contenido de Security Suite y del tipo de definiciones de seguridad que ha descargado con la herramienta Administrador de Seguridad y Revisiones. Tambin puede reparar los problemas detectados a travs de la reparacin automtica y las tareas y directivas de reparacin. Para obtener ms informacin sobre estos procedimientos, consulte Uso del Administrador de Seguridad y Revisiones en el Manual del usuario. La informacin de las siguientes pginas relacionadas con la seguridad se encuentra a continuacin. Haga clic en un vnculo para ir a la seccin correspondiente. "Acerca de la pgina LANDesk Antivirus del cuadro de dilogo Configuracin de agente" en la pgina 479 "Acerca de la pgina Servidor de seguridad de Windows del cuadro de dilogo Configuracin de agente" en la pgina 480 "Acerca de la pgina LANDesk Host Intrusion Prevention (HIPS) del cuadro de dilogo Configuracin de agente" en la pgina 481 "Acerca de la pgina del Vigilante del agente del cuadro de dilogo Configuracin de agente" en la pgina 481 "Acerca de la pgina Deteccin extendida de dispositivos del cuadro de dilogo Configuracin de agente" en la pgina 482 "Acerca de la pgina Compatibilidad LANDesk 802.1x del cuadro de dilogo Configuracin de agente" en la pgina 483
Acerca de la pgina Rastreo de seguridad y revisiones del cuadro de dilogo Configuracin de agente
Utilice esta pgina para configurar la forma en que se inicia y el modo en que se comporta el rastreador de seguridad en los dispositivos administrados con esta configuracin de agente. (Tambin puede ejecutar rastreos de seguridad como tareas y directivas programadas desde la consola o de forma manual en el dispositivo administrado). La pgina Rastreo de seguridad y revisiones contiene las opciones siguientes:
475
MANUAL DE USUARIO
Durante el inicio de sesin con Ejecutar configuracin de registro de claves: Coloca el rastreador de seguridad en la clave de ejecucin del registro de Windows, lo cual hace que el rastreador se ejecute siempre que se inicie una sesin en los dispositivos administrados con esta configuracin de agente. Cambiar configuracin: Abre el cuadro de dilogo Programar rastreador de seguridad y revisiones, donde puede configurar las opciones de programacin de los rastreos de seguridad que ejecuta el programador local. El programador local ejecuta de forma automtica un rastreo de seguridad de forma repetida en la primera oportunidad que se presente dentro del perodo de tiempo y las restricciones especificadas. Tambin puede configurar opciones para ejecutar el rastreador de seguridad cuando un dispositivo cumple con determinadas condiciones, tales como: slo cuando el usuario ha iniciado sesin, slo si se encuentra disponible un ancho de banda mnimo especificado y siempre que se cambie la direccin IP de un dispositivo. Cuando haya configurado estas opciones de programacin para el rastreador de seguridad, simplemente haga clic en Guardar para volver a la pgina principal donde ahora aparecen los criterios de programacin. Configuracin global: Se aplica a todos los dispositivos con esta configuracin de agente y sobrescribe las opciones especficas de las tareas. No reiniciar nunca: garantiza que los dispositivos con esta configuracin de agentes no se reinicien durante la ejecucin del rastreador de seguridad y revisiones. Esta opcin es global para todos los dispositivos con esta configuracin de agentes, lo cual significa que anula las opciones de reinicio del usuario que se aplican a los rastreos de seguridad o a las tareas de reparacin. En otras palabras, independientemente de las opciones de reinicio del usuario final utilizadas para una tarea de seguridad, esta opcin global tiene precedencia. Marque esta opcin si no desea que los dispositivos se reinicien durante cualquier operacin de rastreo de seguridad y revisiones y desmrquela si desea poder configurar las opciones de reinicio con la herramienta de administracin de seguridad y revisiones. Nunca reparar automticamente: garantiza que los dispositivos con esta configuracin de agente no permitan que los rastreos de seguridad y revisiones realicen la reparacin automtica al corregir vulnerabilidades detectadas, aun cuando esta tenga habilitada la reparacin automtica. Como esta opcin es global para todos los dispositivos con esta configuracin de agentes, su uso anula las opciones de reparacin automtica del usuario que se aplican a los rastreos de seguridad o a las tareas de reparacin. Utilice esta opcin si desea garantizar que los dispositivos no corrijan de forma automtica las vulnerabilidades detectadas mediante un rastreo de seguridad. Configuracin de rastreo y reparacin: Determina la informacin que muestra el rastreador de seguridad en los dispositivos administrados, la interaccin del usuario final, la operacin de reinicio y la configuracin del contenido cuando se ejecuta el rastreador en los dispositivos administrados con esta configuracin de agente por medio del mtodo seleccionado anteriormente (ejecutar clave durante el inicio de sesin, el programador local o ambos). Seleccione una configuracin de rastreo y reparacin de la lista desplegable para aplicarla a la configuracin que cre. Tambin puede hacer clic en Configurar para crear y aplicar una nueva configuracin de rastreo y reparacin o para editar una existente.
476
Acerca de la pgina Variables personalizadas (en el rastreo de seguridad y revisiones)

Utilice esta pgina para asignar una configuracin de reemplazo de variable personalizada a los dispositivos que tengan esta configuracin de agente. El rastreador de seguridad y revisiones puede utilizar variables personalizadas (valores modificables incluidos en ciertas definiciones de tipos de seguridad) para rastrear y modificar opciones especficas de configuracin y para implementar opciones estndar de configuracin del sistema en los dispositivos administrados. Puede cambiar el valor de una configuracin y seleccionar si desea reemplazar el valor actual con uno nuevo y luego utilizar esta configuracin de agente para aplicarla en los dispositivos de destino. Es posible que en algunos casos desee ignorar la configuracin de variables personalizadas o, en otras palabras, crear una excepcin a la regla. La configuracin del reemplazo de variables personalizadas le permite decidir qu variables personalizadas se van a pasar por alto durante el rastreo de los dispositivos para que no se las detecte como vulnerables ni se las repare aunque cumplan con las condiciones reales de las reglas de deteccin de una definicin. La configuracin de reemplazo de variables personalizas no es necesaria con una configuracin de agente. Puede seleccionar una configuracin existente de la lista desplegable, hacer clic en Configurar para crear una nueva o dejar el campo en blanco. La pgina Variables personalizadas contiene las siguientes opciones: Configuracin de variable personalizada: especifica la configuracin de reemplazo de variables personalizadas que se utilizan en los dispositivos de destino cuando se rastrean las definiciones de seguridad que incluyen variables personalizadas (tales como amenazas de seguridad y virus). La configuracin de reemplazo de variables personalizadas permite especificar los valores de la configuracin que desea ignorar u omitir durante un rastreo de seguridad. Resulta muy til cuando no se desea que el dispositivo rastreado sea identificado como vulnerable de acuerdo con una configuracin de variable personalizada predeterminada de la definicin. Seleccionar una configuracin de la lista desplegable. En la lista desplegable tambin puede seleccionar eliminar la configuracin de reemplazo de variable personalizada de los dispositivos de destino. La opcin Quitar configuracin de variable personalizada le permite borrar un dispositivo para que la configuracin de variable personalizada est en efecto completo. Haga clic en Editar para modificar las opciones de la configuracin seleccionada. Haga clic en Configurar para crear una configuracin nueva. Para obtener ms informacin, consulte "Acerca del cuadro de dilogo Ajustes de reemplazo de variables personalizadas" en la pgina 533.
Acerca de la pgina Rastreo de seguridad frecuente (en el rastreador de seguridad y revisiones)

Utilice esta pgina para habilitar y configurar un rastreo de seguridad constante de una coleccin especfica de vulnerabilidades de alto riesgo u otras definiciones de seguridad en los dispositivos con esta configuracin de agente. El rastreo de seguridad frecuente resulta til cuando se deben rastrear de forma regular en los dispositivos ataques de seguridad agresivos o peligrosos.
477
MANUAL DE USUARIO
Slo rastreos de grupo Los rastreos de seguridad frecuentes se basan en las definiciones de seguridad del grupo seleccionado a partir de los grupos de contenido de seguridad predefinidos del Administrador de Seguridad y Revisiones. Esta pgina contiene las siguientes opciones: Usar el rastreo de seguridad frecuente: habilita el rastreo de seguridad frecuente en los dispositivos con esta configuracin de agente. Rastrear slo cuando un usuario inicie sesin: limita el rastreo de seguridad frecuente para que slo se ejecute si el usuario ha iniciado sesin en el dispositivo de destino. Cada: especifica el intervalo de tiempo de un rastreo de seguridad frecuente. Seleccione una configuracin de rastreo y reparacin (que busque en un grupo): especifica la configuracin de rastreo y reparacin que controla el rastreador de seguridad para rastreos de seguridad frecuentes. La configuracin de rastreo y reparacin determina si el rastreador de seguridad y revisiones se muestra en los dispositivos durante la ejecucin, las opciones de reinicio y la interaccin con el usuario. La opcin que seleccione debe estar configurada para rastrear un grupo, no un tipo. Tambin puede hacer clic en Configurar para crear una configuracin de rastreo o reparacin nueva que est asociada a un grupo.
Acerca de la pgina Spyware (en el rastreo de seguridad y revisiones)

Utilice est pgina para habilitar la deteccin de spyware y la notificacin en tiempo real en los dispositivos con esta configuracin de agente. La deteccin de spyware en tiempo real slo verifica las definiciones de spyware que residen en el grupo Rastrear del Administrador de Seguridad y Revisiones y que tienen la reparacin automtica activada. Puede habilitar de forma manual la opcin de reparacin automtica de las definiciones de spyware descargadas o bien puede configurar las actualizaciones de la definicin de spyware para que la opcin de reparacin automtica se habilite automticamente cuando stas se descarguen. La deteccin de spyware en tiempo real supervisa los procesos nuevos iniciados que intentan modificar el registro local. Si se detecta spyware, el rastreador de seguridad del dispositivo le enva un mensaje al usuario final para que elimine el spyware. Esta pgina contiene las siguientes opciones: Habilitar el bloqueo de spyware en tiempo real: activa el monitoreo y el bloqueo de spyware en tiempo real en los dispositivos con esta configuracin de agente. Notificar al usuario cuando se ha bloqueado spyware: muestra un mensaje que le informa al usuario final que se ha detectado y reparado un programa de spyware. Si una aplicacin no se reconoce como spyware, requerir aprobacin del usuario antes de instalar: aunque el proceso detectado no se reconozca como spyware de acuerdo con la lista actual de definiciones de spyware del dispositivo, se le preguntar al usuario final antes de instalar el software en el equipo.
478
Acerca de la pgina Bloqueador de aplicaciones (en el rastreo de seguridad y revisiones)

Utilice esta pgina para habilitar el bloqueo de aplicaciones no autorizadas y la notificacin en tiempo real. El bloqueador de aplicaciones en tiempo real verifica slo las aplicaciones que residen en el grupo Rastrear del Administrador de Seguridad y Revisiones. Con el bloqueo de la aplicacin en tiempo real, la reparacin NO es una tarea aparte. El bloqueo de aplicaciones se produce como parte del rastreo de seguridad mismo. Para ello edita el registro en el disco duro local a fin de deshabilitar el acceso de los usuarios a las aplicaciones no autorizadas. El Administrador de Seguridad y Revisiones utiliza la funcin softmon.exe de la herramienta de monitoreo de licencias de software LANDesk para denegar el acceso a determinados ejecutables de aplicaciones aunque el nombre de archivo del ejecutable se haya modificado porque softmon.exe lee la informacin del encabezado del archivo. Esta pgina contiene las siguientes opciones: Habilitar el bloqueo de aplicaciones no autorizadas: activa el bloqueo de aplicaciones en tiempo real en los dispositivos con esta configuracin de agente. Notificar al usuario cuando se ha bloqueado una aplicacin: Muestra un mensaje que le informa al usuario final que han intentado iniciar una aplicacin no autorizada y que el acceso se ha denegado.
Acerca de la pgina LANDesk Antivirus del cuadro de dilogo Configuracin de agente

Utilice esta pgina para seleccionar una configuracin de antivirus para los dispositivos con esta configuracin de agente y para seleccionar si se deben quitar o no los productos de antivirus existentes de dichos dispositivos cuando se configuren. Para seleccionar una configuracin de antivirus, primero debe activar la casilla de verificacin del agente de LANDesk Antivirus en la pgina Inicio. La configuracin de antivirus le permite controlar la forma en que opera el rastreador de antivirus en los dispositivos de destino. Puede definir parmetros de rastreo de antivirus tales como: archivos y carpetas para rastrear o excluir, rastreos manuales, rastreos en tiempo real, rastreos programados, opciones de cuarentena y copia de seguridad, opciones de actualizacin de archivos de patrones de virus y las opciones de informacin e interactiva que se muestran en la pantalla de los dispositivos del usuario final durante el rastreo de antivirus.
479
MANUAL DE USUARIO
Implementacin de LANDesk Antivirus en dispositivos que ya tienen un producto de antivirus instalado Si hay otro producto de antivirus instalado en los dispositivos de destino, puede seleccionar removerlo automticamente durante la configuracin del agente de LANDesk. Para ello seleccione la opcin Quitar producto de antivirus existente. Si elige no quitar el otro producto de antivirus durante la configuracin del agente, LANDesk Antivirus se deshabilita hasta que quite de forma manual el otro producto. Sin embargo, an puede implementar el agente de LANDesk Antivirus en los dispositivos de destino. Para obtener una lista actual de productos de antivirus que pueden quitarse de los dispositivos al implementar LANDesk Antivirus, consulteAntivirus products that can be automatically removed during configuration. Esta pgina contiene las siguientes opciones: Quitar producto de antivirus existente: quita automticamente otro software de antivirus que ya podra estar instalado en los dispositivos antes de instalar LANDesk Antivirus. (Nota: Tambin puede seleccionar quitar el software de antivirus existente de los dispositivos administrados al crear una tarea de Instalar o actualizar LANDesk Antivirus con el Administrador de Seguridad y Revisiones). Configuracin de LANDesk Antivirus: La configuracin de antivirus determina si el icono de LANDesk Antivirus aparece en la bandeja del sistema del dispositivo, la disponibilidad de las opciones interactivas para los usuarios finales, la habilitacin del rastreo de mensajes de correo electrnico y de la proteccin en tiempo real, los tipos de archivos para rastrear, los archivos y las carpetas para excluir, la cuarentena y la copia de seguridad de los archivos infectados, los rastreos antivirus programados y las actualizaciones programadas de los archivos de definiciones de virus. Seleccionar una configuracin de la lista desplegable. Haga clic en Configurar para crear una configuracin nueva. Para obtener ms informacin, consulte "Acerca del cuadro de dilogo de Configuracin de Antivirus" en la pgina 440.
Acerca de la pgina Servidor de seguridad de Windows del cuadro de dilogo Configuracin de agente
Utilice esta pgina para habilitar y configurar el servidor de seguridad de Windows en dispositivos administrados con esta configuracin de agente. Puede utilizar esta funcin para implementar una configuracin para el servidor de seguridad en las siguientes versiones de Windows: Windows 2003/XP Windows Vista
Esta pgina contiene las siguientes opciones: Configuracin del servidor de seguridad de Windows: Permite la configuracin automtica del servidor de seguridad de Windows en dispositivos con esta configuracin de agente.
480
Elegir una configuracin de servidor de seguridad de Windows: Especifica las opciones de configuracin del servidor de seguridad de Windows implementadas en los dispositivos de destino con esta configuracin de agente. Seleccione una configuracin de la lista desplegable para aplicarla a la configuracin que cre. Tambin puede hacer clic en Configurar para crear y aplicar una nueva configuracin de rastreo y reparacin o para editar una existente.
Acerca de la pgina LANDesk Host Intrusion Prevention (HIPS) del cuadro de dilogo Configuracin de agente
Utilice esta pgina para seleccionar una configuracin de HIPS en los dispositivos administrados con esta configuracin de agente. La configuracin de HIPS determina si el cliente de LANDesk HIPS tiene proteccin con contrasea, la disponibilidad de las opciones interactivas para los usuarios finales, el manejo de cdigo firmado, el modo de operacin y las certificaciones de archivo. Para seleccionar una configuracin de HIPSs, primero debe activar la casilla de verificacin del agente de LANDesk HIPS en la pgina Inicio. LANDesk HIPS es compatible con LANDesk Antivirus y Symantec Antivirus LANDesk HIPS se admite en dispositivos administrados que tengan instalado LANDesk Antivirus o Symantec Antivirus. NO implemente LANDesk HIPS en dispositivos que tengan instaladas otras soluciones de antivirus. Esta pgina contiene las siguientes opciones: Configuracin de Host Intrusion Prevention: La configuracin de HIPS determina la forma en que LANDesk HIPS se visualiza y funciona en los dispositivos protegidos. Seleccionar una configuracin de la lista desplegable. Haga clic en Configurar para crear una configuracin nueva. Para obtener ms informacin, consulte About the Host Intrusion Prevention settings dialog.
Acerca de la pgina del Vigilante del agente del cuadro de dilogo Configuracin de agente
Utilice esta pgina para habilitar y configurar la utilidad del vigilante del agente de LANDesk en los dispositivos con esta configuracin de agente. El Vigilante del agente le permite supervisar de forma activa los servicios y los archivos del agente de LANDesk seleccionados en los dispositivos. El vigilante del agente reinicia los servicios del agente que se han detenido y restablece los tipos de inicio de los servicios que se han establecido como automticos. Adems, la utilidad quita los archivos del agente monitoreado de las listas de archivos que se eliminarn durante el reinicio, a fin de impedir su eliminacin. De forma adicional, el Vigilante del agente le avisa cuando no se pueden reiniciar los servicios del agente, cuando se han eliminado los archivos del agente y cuando estos se han programado para ser eliminados durante el reinicio. Esta pgina contiene las siguientes opciones:
481
MANUAL DE USUARIO
Usar Vigilante del agente: habilita la utilidad del Vigilante del agente de LANDesk en los dispositivos con esta configuracin. Buscar cambios en la configuracin seleccionada: verifica automticamente los cambios en la configuracin del vigilante del agente seleccionado (implementado). Si se detecta un cambio, la configuracin actualizada del vigilante del agente se implementa de forma automtica en los dispositivos con esta configuracin de agente. Intervalo de verificacin: especifica el intervalo de tiempo para verificar cambios en la configuracin del vigilante del agente seleccionado. Seleccionar una configuracin para el vigilante del agente: especifica las opciones de configuracin del vigilante del agente implementadas en los dispositivos de destino con esta configuracin de agente. La configuracin del vigilante del agente determina qu servicios y archivos se supervisan y con qu frecuencia, as como tambin si la utilidad permanece residente en el dispositivo. Seleccionar una configuracin de la lista desplegable. Haga clic en Configurar para crear una configuracin nueva. Para obtener ms informacin, consulte Acerca del cuadro de dilogo Configuracin del agente.
Acerca de la pgina Deteccin extendida de dispositivos del cuadro de dilogo Configuracin de agente
Utilice esta pgina para habilitar y configurar la Deteccin extendida de dispositivos en dispositivos administrados con esta configuracin de agente. La deteccin extendida de dispositivos es una extensin de la herramienta de deteccin de dispositivos no administrados, y encuentra dispositivos en su red que no han enviado un rastreo de inventario a la base de datos central. Con la deteccin extendida de dispositivos, puede utilizar uno o ambos mtodos de deteccin que se encuentran a continuacin: Deteccin ARP (Protocolo de resolucin de direcciones) y deteccin WAP (punto de acceso inalmbrico). Con la deteccin ARP, el agente de deteccin extendida de dispositivos escucha las difusiones ARP de red. Luego el agente verifica los dispositivos detectados ARP para ver si tienen instalado el agente de LANDesk estndar. Si el agente de LANDesk no responde, el dispositivo detectado ARP se muestra en la lista Equipos. La deteccin extendida de dispositivos es ideal en situaciones donde los servidores de seguridad evitan que los dispositivos respondan a los mtodos de deteccin UDD normales basados en ping. Recuerde que no necesita implementar el agente de deteccin extendida de dispositivos a cada dispositivo administrado en su red, aunque lo puede hacer si quiere. La implementacin de este agente en varios dispositivos de cada subred debera brindar una cobertura suficiente. Esta pgina contiene las siguientes opciones: Utilice el Protocolo de resolucin de direcciones (ARP): Habilita al agente de deteccin extendida usando el mtodo de deteccin protocolo de resolucin de direcciones (ARP) en dispositivos con esta configuracin de agentes. Seleccionar una configuracin de deteccin ARP: Especifica la configuracin ARP que controla al agente de deteccin extendida de dispositivos al ejecutar la deteccin ARP en su red. Las configuraciones ARP determinan el nivel de frecuencia de rastreo y de registro de la deteccin. Seleccione una configuracin de la lista desplegable para aplicarla a la configuracin que cre. Tambin puede hacer clic en Configurar para crear y aplicar una nueva configuracin o para editar una existente.
482
Utilizacin de deteccin Punto de acceso inalmbrico (WAP): Habilita al agente de deteccin extendida usando el mtodo de deteccin protocolo de aplicacin inalmbrica (WAP) en dispositivos con esta configuracin de agentes. Seleccionar una configuracin de deteccin WAP: Especifica la configuracin WAP que controla al agente de deteccin extendida de dispositivos al ejecutar la deteccin WAP en su red. Las configuraciones WAP determinan el nivel de frecuencia de rastreo y de registro de la deteccin. Seleccione una configuracin de la lista desplegable para aplicarla a la configuracin que cre. Tambin puede hacer clic en Configurar para crear y aplicar una nueva configuracin o para editar una existente. Frecuencia de descarga de la configuracin (en minutos): Frecuencia con que los dispositivos administrados que tienen el agente de deteccin extendida de dispositivos instalado buscan una configuracin actualizada de la deteccin extendida de dispositivos en el servidor central. El agente siempre actualiza su configuracin desde el servidor central cuando se carga por primera vez. El valor predeterminado es 720 minutos (12 horas) Si determina este valor muy alto, los cambios de configuracin tardarn mucho en propagarse a los dispositivos. Si lo establece demasiado bajo, habr ms carga en el servidor central y en la red.
Acerca de la pgina Compatibilidad LANDesk 802.1x del cuadro de dilogo Configuracin de agente
Utilice esta pgina para habilitar la implementacin 802.1X del Control de acceso de red de LANDesk (NAC). Puede utilizar LANDesk 802.1X para aplicar su poltica de seguridad de cumplimiento en dispositivos administrados que admiten 802.1X, al ejecutar rastreos de seguridad de cumplimiento, otorgar o bloquear el acceso dependiendo del estado de integridad del dispositivo (cumplimiento), poniendo en cuarentena los dispositivos en mala condicin (que no cumplen) y realizando la reparacin. Esta pgina contiene las siguientes opciones: Habilitacin de la compatibilidad con LANDesk 802.1x: Activa el control de acceso de red 802.1X en dispositivos con esta configuracin de agente. (Nota: Esta opcin no est disponible si no ha habilitado el servidor Radius 802.1X en la herramienta NAC de LANDesk de la consola. LANDesk 802.1X utiliza el tipo EAP especificado en NAC de LANDesk de la herramienta Administrador de Seguridad y Revisiones. La configuracin del tipo EAP abarca todo el servidor central. En otras palabras, todos los dispositivos configurados con esta configuracin de agente tendrn el tipo EAP especificado en la consola. Utilizacin del IP en el rango de asignacin automtica: Especifica que los dispositivos que estn determinados a estar en mala condicin (que no cumplen), basados en la poltica de seguridad de cumplimiento, se enven a un rea de red de cuarentena utilizando la funcionalidad rango de direcciones IP asignada automticamente integrada del protocolo TCP/IP. Utilizacin de DHCP en la red de cuarentena: Especifica que los dispositivos que estn determinados a estar en mala condicin (que no cumplen), basados en la poltica de seguridad de cumplimiento, se enven a un rea de red de cuarentena utilizando un servidor DHCP y de reparacin configurado en su red de LANDesk. Seleccin de servidor de reparacin: Especifica el servidor de reparacin que quiere utilizar para reparar los dispositivos en mala condicin para que se puedan rastrear nuevamente y se les permita acceder a la red empresarial.
483
MANUAL DE USUARIO
Poner al cliente en cuarentena si no se ha realizado el rastreo de estado en: Utilice esta opcin para automatizar la cuarentena del dispositivo especificando un perodo mximo de tiempo en el que el dispositivo se puede considerar que est en buen estado sin tener que ejecutar el rastreo de seguridad de cumplimiento. Si este tiempo caduca sin un rastreo, el dispositivo se ubica automticamente en el rea de red de cuarentena.
484
Utilidad de instalacin de clientes

Cuadro de dilogo Utilidad de instalacin de clientes
El cuadro de dilogo Utilidad de configuracin de agente muestra el estado de una tarea de configuracin de dispositivos programada conforme se procesa la tarea. En este cuadro es slo para fines informativos; los dispositivos que se van a configurar se seleccionaron cuando se program la tarea. El cuadro de dilogo Utilidad de configuracin de agente contiene las siguientes funciones: Clientes para configurar: enumera los dispositivos programados para recibir estos valores de configuracin. Clientes que se estn configurando: enumera los dispositivos que ha contactado la consola y que estn en mitad de proceso de configuracin con este archivo de configuracin. Clientes terminados: enumera los dispositivos que ha configurado la consola durante esta sesin programada. Si el intento de configuracin ha tenido xito, el estado ser Terminado. Si se genera un error por cualquier motivo, el estado ser Error. Estos estados se reflejan en la ventana Tareas programadas cuando se selecciona esta tarea. Creacin de archivos de configuracin: muestra una barra de estado que indica estado de finalizacin de toda la tarea de configuracin.
Implementacin en servidores NetWare

Se puede instalar el rastreador de inventario en los servidores NetWare. La utilidad de configuracin de agentes NetWare modificar el AUTOEXEC.NCF para cargar el rastreador al inicio. Debe tener el cliente NetWare cargado en la consola desde la que se est instalando el agente y debe tener acceso de escritura al servidor NetWare en el que desee instalar los agentes. Para instalar el control remoto y el inventario en un servidor NetWare 1. 2. En la consola de Management Suite, haga clic en Configurar | Implementar cliente de LDMS en servidor de Netware. Especifique el nombre del servidor NetWare. Haga clic en Instalar y luego en Aceptar. Este procedimiento instala el agente en el servidor NetWare.
485
MANUAL DE USUARIO
Acerca del cuadro de dilogo Agregar un servidor de estructura metlica

Utilice el cuadro de dilogo Agregar un servidor de estructura metlica para agregar dispositivos a la cola de manera que se puedan ejecutar tareas de aprovisionamiento en ellos. Esto resulta til en el Aprovisionamiento inicial de dispositivos nuevos. Los dispositivos se agregan a la cola en espera mediante un identificador. Un identificador de servidor es una pieza de informacin que se puede para identificar de forma nica un servidor. Un identificador de servidor puede ser una direccin MAC (ms comn), un nmero de serie del proveedor, un GUID de IPMI o un GUID de Intel AMT. En todos los casos, el identificador debe tener la capacidad de ser rastreado por un agente que se ejecute en el entorno previo al inicio en el servidor de destino. Puede agregar los dispositivos de a uno o varios a la vez. Para agregar un solo dispositivo 1. 2. En la Vista de red, ample el grupo Configuracin. En el men contextual del elemento Servidor de estructura metlica, haga clic en Agregar dispositivos. Escriba un nombre descriptivo en la casilla Mostrar nombre. Aunque el nombre en pantalla es opcional, se recomienda especialmente colocarlo. En los dispositivos de estructura metlica, el Nombre para mostrar es lo nico que los diferencia en la vista de Aprovisionamiento. En la lista desplegable superior, seleccione un tipo de identificador (cualquier direccin MAC, nmero de serie, GUID de IPMI o GUID de Intel AMT) y especifique el Identificador. Haga clic en Aceptar.
3.
4.
Para agregar varios dispositivos 1. 2. En la Vista de red, ample el grupo Configuracin. En el men contextual del elemento Servidor de estructura metlica, haga clic en Agregar dispositivos. En la lista desplegable inferior, seleccione un tipo de identificador y el tipo de ubicacin para el archivo de texto (CVS) que contiene la informacin del identificador en el cuadro de texto (o haga clic en Examinar para buscar el archivo) y haga clic en Importar.
Cada identificador debe ir separado por comas en el archivo CSV. Formato del archivo de importacin: identificador; nombre para mostrar.
Implementacin en servidores Linux

Puede utilizar la herramienta de configuracin de agentes de la consola para implementar agentes en estas versiones de Linux: Red Hat Linux 7.3, 8,0 y 9 Red Hat Linux Enterprise 3 y 4 SuSE Linux 9.3
Si desea ms informacin sobre la implementacin de agentes de Linux, consulteYou can use LANDesk Management Suite to manage supported Linux/UNIX distributions. .
486
Acerca de la Pgina de Inicio (bajo Configuracin de agentes en Linux)

La pgina Inicio del cuadro de dilogo Configuracin de agente de Linux contiene las siguientes opciones: Nombre de configuracin: escriba un nombre que describa la configuracin en la que est trabajando. Puede ser un nombre de configuracin existente o uno nuevo. Este nombre aparece en la ventana Configuracin de agente. Agente de LANDesk estndar, Control remoto y Distribucin de software: estas opciones se instalan de forma predeterminada y no se pueden deshabilitar. Rastreador de vulnerabilidades de LANDesk: instala la versin Linux del rastreador de vulnerabilidades. El rastreador solamente informa sobre los problemas y no los repara. Predeterminado: restablece las opciones a los valores predeterminados (deshabilita la opcin Rastreador de vulnerabilidades de LANDesk).
Acerca de la Pgina Agente de LANDesk estndar (bajo Configuracin de agentes en Linux)

La pgina Agente de LANDesk estndar del cuadro de dilogo Configuracin de agente de Linux contiene las siguientes opciones: Certificados de confianza para la autenticacin de agentes: los certificados controlan qu servidores centrales pueden administrar dispositivos. Marque los certificados del servidor central que desee que se instalen con esta configuracin. Para obtener ms informacin, consulte Agent security and trusted certificates. Las otras opciones de esta pgina se encuentran atenuadas y no se aplican a las configuraciones de agentes de Linux.
Acerca de la Pgina Rastreador de inventario (bajo Configuracin de agentes en Linux)

La pgina Rastreador de inventario del cuadro de dilogo Configuracin de agente de Linux contiene las siguientes opciones: Iniciar rastreo de inventario: puede seleccionar Diario, Semanal o Mensual. La opcin que seleccione agrega un comando al archivo cron.daily, cron.weekly o cron.monthly del servidor que ejecuta el rastreador de inventario.
Acerca de la Pgina Control remoto (bajo Configuracin de agentes en Linux)

La pgina Control remoto del cuadro de dilogo Configuracin de agente de Linux contiene las siguientes opciones:
487
MANUAL DE USUARIO
Ejecutar como servicio con la seguridad de Windows NT: el agente se ejecuta como servicio y en segundo plano. Utiliza la seguridad basada en NT. Si desea agregar usuarios o grupos para utilizar el control remoto basado en NT, debe agregarlos al grupo de operadores de control remoto. Ejecutar a peticin con la seguridad basada en certificados: el agente slo se ejecuta cuando es necesario. Utiliza la seguridad basada en certificados.
Acerca de la Pgina Reglamentos (bajo Configuracin de agente de servidor predeterminado y Linux)

Las pginas Configuracin de agente de Linux y Reglamentos predeterminados de agente de servidor contienen estas opciones: En la ficha Reglamentos, seleccione algunos reglamentos de alertas y/o monitoreo que desee incluir en la configuracin. Estos reglamentos se almacenan en la carpeta ldlogon/alertrules. Se pueden crear nuevos reglamentos en las herramientas Monitoreo o Alertas de System Manager. Para que los reglamentos creados se visualicen en las listas desplegables, debe generar el archivo XML para el reglamento personalizado en la consola del Administrador de sistema.
Acerca de la Pgina Opciones de reinicio de servidor (bajo Configuracin de agente de servidor predeterminado y Linux)
La pgina de opciones de reinicio de la Configuracin de agente Linux se encuentra deshabilitada. La pgina Configuracin predeterminada de agente de servidor contiene las siguientes opciones: No reiniciar los servidores despus de la configuracin: no reinicia el servidor aunque sea necesario finalizar la configuracin del agente. Debe reiniciar el servidor de forma manual para que todos los agentes funcionen correctamente. Reiniciar los servidores si es necesario: reinicia automticamente el servidor si es necesario. Reiniciar los servidores siempre: reinicia el servidor siempre.
Acerca de la Pgina Administrador de sistema (bajo Configuracin predeterminada de Windows)

La pgina Administrador de sistema est disponible si ha instalado el Administrador de sistema en el servidor central. Contiene las opciones siguientes: Monitoreo de instalacin: instala el agente de monitoreo del Administrador de sistema en los dispositivos. Este agente informa sobre el estado del dispositivo al servidor central. Puede configurar alertas en la consola del Administrador de sistema en funcin de los datos del agente de monitoreo.
488
Monitoreo y alertas: seleccione los reglamentos de monitoreo y de alertas que desee incluir en la configuracin. Estos reglamentos se almacenan en la carpeta ldlogon/alertrules. Se pueden crear nuevos reglamentos de alertas en las herramientas Monitoreo o Alertas del Administrador de sistema. Para que los reglamentos recientemente creados se muestren en las listas desplegables, debe generar el XML para el reglamento personalizado en la consola del Administrador de sistema.
Ayuda de Informes
Cuadro de dilogo Propiedades de informe
Utilice este cuadro de dilogo para configurar el informe. Para obtener ms informacin, consulte Creating custom reports. Ttulo: especifica el ttulo del informe. Descripcin: ofrece una descripcin del informe. Filtro de Consulta: especifica la consulta aplicada al informe. Seleccione: permite seleccionar una consulta existente, la cual proporciona los parmetros para la generacin del informe. Editar: permite editar la consulta del informe. Nuevo: permite crear una consulta personalizada. Tipo de grfico: especifica si el informe incluye diagramas e informacin de grficos, al igual que el tipo de grfico que utilizar. Campo de consulta: especifica los datos de parmetro o de consulta en el cual se basar el grfico. Vista previa: genera y ejecuta una vista previa del informe. Diseo: ejecuta el diseador de informes, el cual permite personalizar el informe y crear plantillas de informe. Aceptar: guarda el informe y cierra el cuadro de dilogo. Cancelar: cierra el cuadro de dilogo sin guardar los cambios. Ayuda: abre el archivo de ayuda.
Cuadro de dilogo Informe publicado

Utilice este dilogo para realizar las siguientes tareas: Informe publicado satisfactoriamente en: Identifica la ruta completa y el nombre de archivo del informe publicado. Se trata de la ruta de red del recurso compartido de archivo que se puede enviar a los espectadores, junto con los nombres de usuarios y contraseas de los Informes LANDesk, para poder otorgar acceso a los informes publicados. Este campo no se puede editar. Vista previa: Abre el informe en la aplicacin adecuada. Se abre un informe .HTML en el explorador predeterminado. Si no tiene instalada la aplicacin adecuada para el acceso al formato del archivo, no podr ver la vista previa desde este dilogo. Por ejemplo, si el informe se guard como archivo .PDF, no podr ver la vista previa del informe si no tiene un visor de .PDF instalado, tal como Adobe* Acrobat. Copiar ruta al portapapeles: Copia la ruta completa y el nombre del archivo al portapapeles del sistema para pegarlos posteriormente. Cerrar: cierra el cuadro de dilogo.
489
MANUAL DE USUARIO
Ayuda: abre el archivo de ayuda.
Cuadro de dilogo Tareas programadas - Propiedades

Utilice este cuadro de dilogo para seleccionar un propietario para la tarea, programar la publicacin del informe, designar el destino del informe y configurar el servidor SMTP. Para obtener ms informacin, consulte Scheduling to publish a report. Informacin general Utilice esta pgina para especificar el propietario de la tarea y cambiar la hora programada de la tarea. Esta pgina resume las opciones seleccionadas en el cuadro de dilogo. Si desea modificar alguna de las opciones, haga clic en Cambiar, junto a esa tarea. Propietario: especifica el propietario de la tarea. Mostrar en Tareas comunes: marque esta opcin si desea que la tarea figure en la carpeta de tareas comunes del propietario. Hora programada: especifica la informacin de programacin de la tarea. Cambie: le lleva a la pgina Programar tarea para volver a programar la tarea.
Programar tarea Esta pgina permite programar la tarea. Puede configurar en qu momento se ejecutar una tarea y la forma en que funcionarn los reintentos. Hora inicial: especifica en qu momento se realiza la tarea. Dejar sin Programar: deja la tarea sin programar, pero conserva la tarea. Iniciar ahora: inicia la tarea una vez que se cierra el cuadro de dilogo. Iniciar ms adelante: especifica que la tarea se realice en una fecha y a una hora designadas. Fecha: especifica la fecha en que se realizar la tarea. Hora: especifica la hora en que se realizar la tarea. Repetir cada: marque esta opcin para especificar que se repetir la tarea a partir de la hora de inicio.
Destinatarios Esta pgina permite seleccionar los destinatarios del informe. Nombre: marque esta opcin para verificar adnde se enviar el informe. Destino: proporciona la ruta de archivo o la direccin de correo electrnico a la cual se enviar el informe. Correo electrnico de respuesta: especifica el remitente de los informes enviados por correo electrnico, que corresponde a la cuenta que recibir los mensajes de correo electrnico de respuesta. Seleccionar todos: selecciona todos los destinos. Borrar todo: anula la seleccin de todos los destinos.
490
Configuracin de SMTP Utilice esta pgina para configurar el servidor SMTP. Servidor del correo de salida (SMTP): especifica el servidor SMTP. Si selecciona <localhost> se utiliza el servidor SMTP predeterminado del servidor central. Nmero de puerto: especifica el nmero de puerto para el envo de correo electrnico. El puerto predeterminado es 25. Este servidor requiere una conexin segura (SSL): marque esta opcin para especificar si el servidor SMTP requiere SSL. Mi servidor (SMTP) requiere autenticacin: marque esta opcin para especificar si el servidor SMTP requiere autenticacin. Iniciar sesin utilizando autenticacin de NTLM: especifica si el servidor utiliza NTLM para la autenticacin. Iniciar sesin utilizando: especifica si el servidor utiliza un nombre de usuario y una contrasea para la autenticacin. Nombre de usuario: especifica el nombre de usuario para la autenticacin en el servidor SMTP. Contrasea: especifica la contrasea para la autenticacin en el servidor SMTP. Correo electrnico de prueba: especifica la direccin de correo electrnico que recibir un mensaje que verifica la configuracin debida del servidor SMTP. Probar: enva el mensaje de correo electrnico de prueba para verificar la configuracin.
Cuadro de dilogo Propiedades de plantilla de informe

Utilice este cuadro de dilogo para crear una nueva plantilla de informe. Para obtener ms informacin, consulte Creating a report template. Ttulo: introduzca un ttulo nico para la plantilla de informe. Descripcin: escriba una descripcin para la plantilla de informe.
Cuadro de dilogo Plantilla de informe

Utilice este cuadro de dilogo para aplicar una plantilla de informe. Para obtener ms informacin, consulte Applying a report template. Plantillas de informe: muestra una lista de las plantillas de informe que se han creado. Cargar: carga la plantilla de informe seleccionada y cierra el cuadro de dilogo. Eliminar: elimina la plantilla de informe seleccionada. Cambiar nombre: cambia el nombre de la plantilla de informe seleccionada. Cerrar: cierra el cuadro de dilogo sin aplicar ninguna plantilla. Ayuda: abre el archivo de ayuda.
Acerca del cuadro de dilogo Nuevo informe CSV

Utilice este cuadro de dilogo para crear un informe en formato CSV. Para obtener ms informacin, consulte Creating .CSV files.
491
MANUAL DE USUARIO
Nombre de archivo: introduzca un nombre de archivo nico al final de la ruta existente. Si no existe la ruta del directorio, debe indicar si desea crearla. Examinar: permite navegar a la ubicacin de un archivo. Informe de todos los dispositivos: especifica si desea ejecutar el informe en todos los dispositivos o nicamente en los seleccionados actualmente en la vista de red. Informe de nodos seleccionados: especifica si desea ejecutar el informe en los dispositivos seleccionados en la vista de red. Codificacin de pgina actual: hace que se utilice la codificacin de pgina actual. Codificacin Unicode: hace que se utilice la codificacin Unicode. Aceptar: guarda el informe y cierra el cuadro de dilogo. Cancelar: cierra el cuadro de dilogo sin guardar el informe. Ayuda: abre el archivo de ayuda.
Cuadro de dilogo Seleccionar elementos

Este cuadro de dilogo permite especificar el criterio de informe, el cual determina la informacin que se incluir en el informe. Al configurar estos parmetros y reducir el enfoque, podr producir informes ms precisos. A fin de aplicar el criterio de informe, realice las selecciones deseadas y haga clic en Aceptar. Para obtener ms informacin, consulte Reports.
Ayuda de tareas programadas

Acerca del cuadro de dilogo Programar tarea
A este cuadro de dilogo se accede desde la ventana Tareas programadas (Herramientas | Distribucin | Tareas Programadas). En la ventana Tareas programadas, haga clic en el botn Crear tarea de distribucin de software en la barra de tareas, o desde el men contextual de la tarea que desee configurar, haga clic en Propiedades. Utilice este cuadro de dilogo para establecer el momento de la tarea y si se desea su repeticin, y con qu frecuencia. Este cuadro de dilogo tambin muestra los destinos de la tarea. Dependiendo del tipo de tarea que se est programando, tambin podr ver las opciones de entrega y distribucin de los paquetes.
Acerca de la copia de tareas

Tambin puede crear grupos para que las tareas comunes los clasifiquen. Los dems usuarios vern los grupos slo si su mbito RBA les permite ver una tarea en dicho grupo. No podr eliminar un grupo que contiene tareas si stas se encuentran dentro de un grupo que su mbito no le permite ver.
492
Acerca de la pgina de Introduccin

Esta pgina permite elegir un propietario para la tarea y resume las opciones seleccionadas para el cuadro de dilogo Tareas programadas. Si desea modificar alguna de las opciones, haga clic en Cambiar, junto a esa tarea. Si desea que la tarea aparezca en el grupo Tareas comunes de la ventana Tareas programadas, en lugar de en el grupo Mis tareas, haga clic en Mostrar en tareas comunes.
Acerca de la pgina Paquete de distribucin

Esta pgina permite seleccionar el paquete que se desea enviar. Una vez seleccionado el Tipo de paquete, la lista Paquete de distribucin muestra los paquetes de ese tipo que se pueden distribuir. Los paquetes de la lista corresponden a los paquetes que se pueden ver en ese tipo especfico, en la ventana Paquetes de distribucin para el usuario actual y el usuario pblico. Haga clic en el Paquete de distribucin deseado. Las tareas de distribucin de software de instalacin automtica pueden incluir un paquete preliminar y uno final. Si se utilizan varios paquetes, los mismos se instalan uno a la vez y en orden. El paquete anterior debe devolver un estado de tarea satisfactoria antes de empezar la instalacin del paquete siguiente. Para obtener ms informacin, consulte Using multiple distribution packages in a task.
Acerca de la pgina Mtodos de entrega

Esta pgina permite seleccionar el mtodo de envo que se utilizar con el paquete que se est enviando. Una vez seleccionado el Tipo de entrega, la lista Mtodos de entrega muestra los mtodos de envo de ese tipo que se pueden utilizar. Los mtodos de entrega de la lista corresponden a los mtodos que se pueden ver en la ventana Mtodos de entrega para el usuario actual y el usuario pblico. Haga clic en el Mtodo de entrega deseado.
Acerca de la pgina Dispositivos de destino

Utilice esta pgina para ver los dispositivos de destino para la tarea que est configurando. En esta pgina no se pueden agregar destinos. Ms adelante se pueden agregar destinos arrastrando y soltndolos en la tarea de la ventana Tareas programadas. Los dispositivos de destino pueden incluirse en alguna de las categoras siguientes: Dispositivos de destino Objetos de destino LDAP Consultas dirigidas Consultas LDAP dirigidas Grupos de dispositivos de destino
493
MANUAL DE USUARIO
En esta pgina tambin puede marcar la opcin Dispositivos reactivados. Esta opcin reactiva un equipo apagado para la tarea seleccionada mediante el uso de Wake On LAN. Una vez completada la tarea, el equipo se vuelve a apagar. Esta funcin slo funciona en equipos con versiones del BIOS que admiten la tecnologa Wake on LAN. Seleccionar esta opcin causar que las tareas demoren ms tiempo, debido a que la tarea espera a los dispositivos que se acaban de iniciar o activar. No seleccione esta opcin para realizar la instalacin solicitada de paquetes de distribucin.
Acerca de la pgina Tarea programada

Utilice esta pgina para configurar en qu momento se ejecutar una tarea y la forma en que funcionarn los reintentos. Dejar sin programar: Agrega la tarea a la ventana Tareas programadas, pero no la programa. Utilice esta opcin si desea preservar una tarea de configuracin pero no desea ejecutarla. Iniciar ahora: inicia la tarea cuando se cierra el cuadro de dilogo. Puede haber un retraso de hasta un minuto antes de que la tarea se inicie realmente. Iniciar ms adelante: inicia la tarea en la fecha y horas especificadas. Hora: inicia una tarea a la hora seleccionada. De forma predeterminada, este campo muestra la hora actual. Fecha y hora: ejecuta una tarea en la fecha seleccionada. Indique la fecha utilizando el formato MM/DD/AA, o bien, haga clic en la lista desplegable para seleccionar la fecha en un calendario. Repetir cada: programa la tarea para que suceda peridicamente. Indique el da, la semana y el mes en la lista desplegable para seleccionar con qu frecuencia se repetir la tarea. Se repetir cuando se indique. Programar estos dispositivos: la primera vez que se ejecuta una tarea, es recomendable que utilice la opcin predeterminada Programar estos dispositivos. En las ejecuciones subsiguientes, elija entre Todos, Dispositivos que no ejecutaron la tarea o Dispositivos que no intentaron ejecutar la tarea. Estas opciones se explican en detalle a continuacin.
Al reprogramar una tarea, puede limitar los dispositivos en los que se ejecuta. Es probable que desee hacerlo si la tarea no se ejecuta en una gran cantidad de dispositivos y no cree que cambie el estado de los dispositivos fallidos. El limitar la tarea de este modo podra ayudar a que sta se complete ms rpidamente debido a que el programador no continuar intentando en los dispositivos que no procesarn la tarea. Puede elegir ejecutar las tareas en dispositivos con los estados siguientes. Esperando o en ejecucin: opcin predeterminada que debe utilizarse al ejecutar la tarea por primera vez. Si vuelve a ejecutar la tarea, esta opcin utiliza los dispositivos de destino que ejecutaron la tarea la primera vez que se ejecut. Todos: seleccione esta opcin si desea que la tarea se ejecute en todos los dispositivos, independientemente del estado. Considere esta opcin si tiene una tarea, particularmente una repetitiva, que necesite ejecutarse en la mayor cantidad de dispositivos posible.
494
Dispositivos que no ejecutaron la tarea: seleccione esta opcin si desea que la tarea solamente se ejecute en todos los dispositivos que no la completaron la primera vez. Esta opcin excluye los dispositivos que tienen el estado Satisfactorio. La tarea se ejecutar en los dispositivos con todos los dems estados, incluso Esperando o Activo. Considere esta opcin si necesita ejecutar la tarea en la mayor cantidad posible de dispositivos que no la ejecutaron, y solamente necesita ejecutarla una vez en cada dispositivo. Dispositivos que no intentaron ejecutar la tarea: seleccione esta opcin si desea que la tarea solamente se ejecute en los dispositivos que no la ejecutaron pero que tampoco fallaron. Esto excluye los dispositivos con el estado Apagado, Ocupado, Fallido o Cancelado. Considere esta opcin si varios dispositivos de destino fallaron y no tienen importancia como destino.
Acerca del cuadro de dilogo Programacin

Varios agentes de Management Suite tienen funciones que puede programar mediante el agente programador local que se encuentra instalado en los dispositivos administrados. Utilice este cuadro de dilogo para configurar la programacin. Tambin puede utilizar el programador local para programar la ejecucin peridica de sus propias tareas en los dispositivos. Una vez que cree una secuencia de comandos local o personalice la programacin del agente de un dispositivo, puede implementar la misma en los dispositivos mediante la ventana Tareas programadas. Para configurar la tarea del programador local, en la ventana Secuencias de comando administradas (Herramientas | Distribucin | Secuencias de comando administradas), en el men contextual Mis Secuencias, haga clic en Nueva secuencia de comandos del Programador Local. Antes de que se ejecute la tarea deben satisfacerse todos los criterios en este cuadro de dilogo que est configurando. Por ejemplo, si configura una programacin que se repite todos los das entre las 8 y las 9 en punto con un Estado del equipo de El equipo de escritorio debe bloquearse, la tarea slo se ejecutar entre las 8 y las 9 en punto Y si el equipo est bloqueado. Estas opciones estn disponibles en el cuadro de dilogo Programacin: Seccin "Sucesos" del cuadro de dilogo Programacin La seccin de sucesos est atenuada a menos que est configurando una secuencia de comandos del programador local desde la herramienta Administrar secuencias de comandos. Ejecutar cuando el usuario inicia sesin: marque esta opcin para ejecutar la tarea siempre que un usuario inicie sesin. Cuando un usuario lo haga, el programador local ejecutar la tarea directamente. Ejecutar siempre que cambie la direccin IP del equipo: marque esta opcin si desea ejecutar la tarea si cambia la direccin IP del dispositivo o si se renueva a travs de DHCP. Por ejemplo, puede usar esta opcin para iniciar un rastreo de inventario cuando cambie la direccin IP, para mantener sincronizada la direccin IP de la base de datos de Management Suite.
495
MANUAL DE USUARIO
Seccin "Hora" del cuadro de dilogo Programacin Use esta seccin para configurar los horarios de ejecucin de la tarea. Si ejecut este cuadro de dilogo desde la herramienta configuracin del agente, puede especificar un retraso aleatorio en la pgina de configuracin del agente desde la que usted lleg. El intervalo de retraso aleatorio que especifique es un rango horario en el que puede ejecutarse la tarea. Por ejemplo, si cuenta con una gran cantidad de usuarios que inician sesin al mismo tiempo, este retraso permite que las tareas que se ejecutan en el inicio de sesin no lo hagan todas a la vez, si se asume que su intervalo de retraso es lo suficientemente extenso. El retraso predeterminado es de una hora. Iniciar: marque esta opcin para mostrar un calendario en el que puede seleccionar el da de inicio de la tarea. Despus de elegir un da, tambin puede ingresar un horario. El valor predeterminado de estas opciones es la fecha y hora actuales. Repetir despus de: si desea que la tarea se reitere, haga clic en el cuadro de lista y seleccione minutos, horas o das. Despus, ingrese en el primer cuadro la extensin deseada para el intervalo que seleccion. Por ejemplo, 10 das. Rango horario: si desea que la tarea se ejecute dentro de cierto horario, seleccione las horas de inicio y fin. Las horas estn en formato horario de 24 horas (militar). Semanalmente entre: si desea que la tarea se ejecute entre ciertos das de la semana, seleccione los das de inicio y fin. Mensualmente entre: si desea que la tarea se ejecute entre ciertas fechas del mes, seleccione las fechas de inicio y fin.
Seccin "Ejecutar filtros" del cuadro de dilogo Programacin Al configurar los comandos del programador local, puede especificar el criterio de ancho de banda mnimo necesario para que se ejecute la tarea. La prueba del ancho de banda consiste en crear trfico de red en el dispositivo especificado. Cuando llega el momento de ejecutar la tarea, cada dispositivo que ejecuta la tarea del programador local enva una pequea cantidad de trfico de red ICMP al dispositivo especificado y evala el rendimiento de la transferencia. Si el dispositivo de destino de prueba no est disponible, la tarea no se ejecuta. Al especificar criterios de ancho de banda para dispositivos que pueden conectarse al servidor central a travs de LANDesk Management Gateway, se debe colocar la direccin IP de Management Gateway en el campo para. Esto permite que se complete la prueba de ancho de banda y que la tarea pueda ejecutarse a continuacin. Las opciones de Ancho de banda mnimo son: RAS: la tarea se ejecuta si la conexin de red del dispositivo al dispositivo de destino tiene al menos una velocidad RAS o de acceso telefnico, tal como se detecta a travs del API de red. Normalmente, si se selecciona esta opcin, la tarea siempre se va a ejecutar si el dispositivo tiene una conexin de red de algn tipo. WAN: la tarea se ejecuta si la conexin del dispositivo al dispositivo de destino es al menos una velocidad WAN. La velocidad WAN se define como una conexin no RAS que es ms lenta que el umbral LAN.
496
LAN: La tarea se ejecuta cuando la conexin del dispositivo al dispositivo de destino excede la configuracin de velocidad LAN. La velocidad LAN se define como cualquier velocidad mayor a 262,144 bps, de forma predeterminada. Puede definir el umbral LAN en la configuracin del agente (Herramientas | Configuracin | Agente | Configuracin, Deteccin de ancho de banda). Los cambios que realice entran en efecto cuando se implementa la configuracin actualizada en los dispositivos.
La seccin ejecutar filtros cuenta con estas opciones: Ancho de banda mnimo: Si desea que el criterio de ejecucin de tareas incluya el ancho de banda disponible, seleccione el ancho de banda mnimo deseado e ingrese el nombre del dispositivo o direccin IP de destino para la prueba de ancho de banda entre el destino y el dispositivo. Estado del equipo: si desea que el criterio de ejecucin de tareas incluya un estado del equipo, seleccione uno de los siguientes estados: Protector de pantalla o equipo de escritorio bloqueado, El equipo de escritorio debe bloquearse, El equipo debe estar en posicin neutral, El usuario debe estar en sesin o El usuario debe estar fuera de sesin. Los criterios para el estado El equipo debe estar en posicin neutral son: el SO est bloqueado, el protector de pantalla est activo, o el usuario est fuera de sesin.
Otras opciones del cuadro de dilogo Programacin Retraso aleatorio adicional una vez que se superan todos los dems filtros: si desea un retraso aleatorio adicional, utilice esta opcin. Si selecciona un retraso aleatorio que se extienda ms all de los lmites horarios configurados para la tarea, sta puede no ejecutarse si el valor aleatorio coloca a la tarea por fuera de los lmites horarios configurados. Retraso de hasta: Seleccione el retraso aleatorio adicional que desee. Y de al menos: si desea que la tarea aguarde al menos cierta cantidad de minutos antes de ejecutarse, seleccione esta opcin. Por ejemplo, si programa un rastreo de inventario, puede ingresar un cinco aqu, de manera que el equipo tenga tiempo para terminar el inicio antes de que comience el rastreo, con lo que se mejora la reaccin del equipo para el usuario. Comando: escriba el programa que desea ejecutar de forma local. Incluya la ruta completa al programa o cercirese de que el programa est es una carpeta que forme parte de la ruta del dispositivo. La ruta debe ser la misma en todos los dispositivos en los que se despliega el archivo de comandos. Parmetros: escriba los parmetros de lnea de comandos que desea pasar al programa.
497
MANUAL DE USUARIO
Ayuda del Administrador de Seguridad y Revisiones

Desde la ventana del Administrador de Seguridad y Revisiones (Herramientas | Seguridad | Administrador de Seguridad y Revisiones) se descargan y administran los contenidos de seguridad y revisiones, se configuran las tareas de seguridad, como la evaluacin del rastreo y la reparacin, se personalizan y aplican configuraciones de interaccin y pantalla del rastreador de seguridad y se visualiza informacin relacionada con la seguridad para los dispositivos rastreados, entre otras importantes tareas de administracin de seguridad, todas diseadas para ayudarle a proteger sus dispositivos administrados por LANDesk de los tipos ms importantes de riesgos de seguridad y exposiciones que pueden daar la red. El Security and Patch Manager captulo introduce esta herramienta de administracin de seguridad, que es un componente integral de productos tanto de LANDesk Management Suite y LANDesk Security Suite. En aquel captulo encontrar la introduccin e informacin de la suscripcin de contenido de seguridad, s como instrucciones detalladas de cmo utilizar todas las funciones de la herramienta. Tambin se incluye en ese captulo una seccin que describe la interfaz y la funcionalidad de la herramienta, consulteUnderstanding and using the Security and Patch Manager tool window. Este captulo contiene las siguientes secciones de ayuda en lnea que describen los cuadros de dilogo de la herramienta del Administrador de Seguridad y Revisiones. Desde la interfaz de la consola, se puede acceder a estas secciones de ayuda si hace clic en el botn Ayuda de su respectivo cuadro de dilogo: "Acerca del cuadro de dilogo Administrar filtros" en la pgina 499 "Acerca del cuadro de dilogo Propiedades del filtro" en la pgina 499 "Acerca del cuadro de dilogo Descargar actualizaciones" en la pgina 499 "Acerca del cuadro de dilogo Propiedades de definiciones" en la pgina 503 "Acerca del cuadro de dilogo Descargar revisiones asociadas" en la pgina 506 "Acerca del cuadro de dilogo Propiedades de regla de deteccin" en la pgina 507 "Acerca del cuadro de dilogo Purgar las definiciones de seguridad y de revisiones" en la pgina 45 "Acerca del cuadro de dilogo Crear tarea de rastreo de seguridad" en la pgina 517 "Acerca del cuadro de dilogo Configurar rastreo y reparacin (cumplimiento y servidor de seguridad)" en la pgina 518 "Acerca del cuadro de dilogo Ajustes de rastreo y reparacin" en la pgina 518 "Acerca del cuadro de dilogo Informacin de seguridad y revisiones" en la pgina 525 "Acerca del cuadro de dilogo Crear tarea de rastreo de cumplimiento" en la pgina 526 "Acerca del cuadro de dilogo Crear una tarea de reinicio" en la pgina 527 "Acerca del cuadro de dilogo Crear una tarea de reparacin" en la pgina 528 "Acerca del cuadro de dilogo Opciones de multidifusin" en la pgina 529 "Acerca del cuadro de dilogo Desinstalar revisin" en la pgina 530 "Acerca del cuadro de dilogo Tarea de cambio de configuracin" en la pgina 531 "Acerca del cuadro de dilogo Configurar los ajustes de reemplazo de variables personalizadas" en la pgina 533 "Acerca del cuadro de dilogo Ajustes de reemplazo de variables personalizadas" en la pgina 533
498
"Acerca del cuadro de dilogo Configuracin de alertas" en la pgina 534 "Acerca del cuadro de dilogo Configuracin del servidor central de resumen" en la pgina 535 "Acerca del cuadro de dilogo Seleccionar columnas" en la pgina 535 "Acerca de los cuadros de dilogo Configuracin del servidor de seguridad" en la pgina 536
Acerca del cuadro de dilogo Administrar filtros

Utilice este cuadro de dilogo para administrar filtros que puede usar para personalizar el contenido de seguridad y revisiones que se muestra en la lista de elementos de la ventana del Administrador de Seguridad y Revisiones. Puede utilizar los filtros para racionalizar una larga lista. Nuevo: abre el cuadro de dilogo Propiedades del filtro donde se puede configurar la configuracin del nuevo filtro. Editar: abre el cuadro de dilogo Propiedades del filtro donde se puede modificar y guardar el filtro seleccionado. Eliminar: Quita el filtro seleccionado de la base de datos de forma permanente. Utilizar filtro: aplica el filtro seleccionado a la lista de elementos actuales. Los filtros aplicados persisten aun cuando se hace clic en diversos grupos en la vista de rbol.
Acerca del cuadro de dilogo Propiedades del filtro

Utilice este cuadro de dilogo para crear o editar filtros de listas de contenido de seguridad. Se puede filtrar por sistema operativo, gravedades del riesgo de seguridad o cualquier combinacin de ambas. Nombre del filtro: identifica el filtro con un nombre nico. Dicho nombre aparecer en la lista desplegable del filtro. Filtrar sistemas operativos: especifica los sistemas operativos cuyas definiciones desee mostrar en las listas de elementos. Solo se muestran los elementos asociados con los sistemas operativos seleccionados. Filtrar gravedades: especifica las gravedades cuyas definiciones desee mostrar en las listas de elementos. Solo se muestran los elementos que coinciden con las gravedades seleccionadas.
Acerca del cuadro de dilogo Descargar actualizaciones

Este cuadro de dilogo se emplea para configurar la descarga de actualizaciones de contenido de seguridad y revisiones, el servidor proxy, la ubicacin de descarga del archivo de revisin, la reparacin automtica de spyware y las actualizaciones y copias de seguridad de antivirus. Luego de especificar las actualizaciones de tipo de contenido que desee descargar y otras opciones, en las fichas del cuadro de dilogo Descargar actualizaciones:
499
MANUAL DE USUARIO
Para realizar una descarga inmediata, haga clic en Actualizar ahora. Si hace clic en Aplicar, la configuracin que especifica se guardar y aparecer la prxima vez que abra este cuadro de dilogo. Si hace clic en Cerrar, el sistema preguntar si desea guardar la configuracin. Para programar una tarea de descarga de contenido de seguridad y revisiones, haga clic en Programar actualizacin para abrir el cuadro de dilogo Informacin de actualizacin programada. Escriba un nombre para la tarea, corrobore la informacin para la tarea y luego haga clic en Aceptar para agregar la tarea a las Tareas programadas.
Para guardar los cambios en cualquier ficha de este cuadro de dilogo, haga clic en Aplicar. El cuadro de dilogo Descargar actualizaciones contiene las siguientes fichas: "Acerca de la ficha Actualizaciones" en la pgina 501 "Acerca de la ficha Configuracin del proxy" en la pgina 502 "Acerca de la ficha Ubicacin de la revisin" en la pgina 503 "Acerca de la ficha LANDesk Antivirus" en la pgina 503
Consideraciones para la descarga de contenido de seguridad

Suscripcin a los contenidos de Security Suite La instalacin bsica de LANDesk Management Suite permite la descarga y el rastreo de las actualizaciones de software LANDesk y la creacin de sus propias definiciones personalizadas. Para el resto de los tipos de contenido de seguridad, tales como las vulnerabilidades especficas de la plataforma, spyware, etc., deber tener la suscripcin al contenido de LANDesk Security Suite para poder descargar las definiciones asociadas. Para obtener ms informacin sobre las suscripciones a los contenidos de Security Suite, pngase en contacto con su distribuidor de LANDesk, o visite la pgina Web de LANDesk. Configuracin global y especfica a las tareas Observe que slo los tipos de definicin, los idiomas y la configuracin de descarga de definicin y de revisiones se guardan y asocian con una tarea especfica cuando se crea la misma. Esas tres configuraciones se consideran especficas de la tarea. Sin embargo, la configuracin de las otras fichas del cuadro de dilogo Descargar actualizaciones es global. Ello significa que se aplican a todas las tareas de descarga de contenido de seguridad posteriores. La configuracin global incluye: ubicacin de la descarga de revisiones, servidor proxy, reparacin automtica de spyware, alertas de seguridad y antivirus. Siempre que se cambia una configuracin global, dicho cambio se aplica a todas las tareas de descarga del contenido de seguridad desde ese punto en adelante.
500
Acerca de la ficha Actualizaciones

Seleccione el sitio de origen de la actualizacin: especifica el servidor de contenido de LANDesk Security al que se accede para descargar las ltimas definiciones, reglas de deteccin y revisiones asociadas a su base de datos. Seleccione el servidor ms cercano a su ubicacin. Tipos de definiciones: identifica cules definiciones del contenido de seguridad y revisiones se actualizan. Slo estn disponibles aquellos tipos de definiciones para los que se tiene una suscripcin. Mientras seleccione ms tipos de definiciones, ms tiempo le llevar la descarga. Despus de descargar el contenido de seguridad, puede usar la lista desplegable Tipo en la ventana principal de la herramienta Administrador de seguridad y revisiones para determinar los tipos de definiciones que se visualizarn en una lista. Para obtener ms informacin sobre cmo usar las opciones de lista, consulteType drop-down list. Para obtener ms informacin sobre cmo funciona el rastreador de seguridad para cada tipo diferente, consulteHow Security and Patch Manager scans for different content types. Idiomas: identifica las versiones de idioma de los tipos de definiciones seleccionadas que se actualizan. Ciertas vulnerabilidades y otros tipos de definiciones, as como cualquier revisin asociada, son de idioma neutral o independientes, lo que significa que son compatibles con cualquier versin de idioma del SO o aplicacin a la que se aplique dicha definicin. Es decir, no es necesario disponer de una revisin especfica de idioma nico para reparar las vulnerabilidades, ya que la revisin engloba todos los idiomas admitidos. Por ejemplo, las plataformas Linux utilizan solamente definiciones y revisiones neutras al idioma. Sin embargo, las revisiones y definiciones de vulnerabilidad de las plataformas Microsoft Windows y Apple Macintosh tienen casi siempre idiomas especficos. Cuando descarga contenido de cualquier plataforma (con la suscripcin apropiada al contenido de seguridad), todas las definiciones de vulnerabilidad con idioma neutro se actualizan de forma automtica. Si ha seleccionado un tipo de contenido de plataforma Windows o Mac, tambin debe seleccionar los idiomas especficos cuyas definiciones desee actualizar. Si ha seleccionado una plataforma Linux o Sun Solaris, no es necesario seleccionar un idioma especfico debido a que el contenido es neutro al idioma y se actualizar de forma automtica. Descargar revisiones para las definiciones seleccionadas arriba: descarga automticamente los archivos ejecutables de la revisin en la ubicacin de descarga especificada (consulte la ficha Ubicacin de la revisin), de acuerdo con una de las siguientes opciones de descarga: Slo para definiciones detectadas: descarga nicamente las revisiones asociadas con vulnerabilidades, ataques de seguridad o actualizaciones de LANDesk detectadas por el ltimo rastreo de seguridad (p. ej., definiciones que residen actualmente en el grupo Detectadas). Para todas las definiciones descargadas: descarga TODAS las revisiones asociadas con la vulnerabilidad, las amenazas de seguridad y las actualizaciones de software de LANDesk que actualmente se encuentran en el grupo Rastrear.
501
MANUAL DE USUARIO
Habilitar la implementacin de revisiones automticas mediante Process Manager: Le permite configurar la base de datos de LANDesk Process Manager que se requiere para usar la funcin integrada de implementacin de revisiones automticas. Configurar Process Manager: Abre el cuadro de dilogo Implementacin de revisiones automticas que describe la capacidad integrada entre la herramienta LANDesk Process Manager y Administrador de seguridad y revisiones que le permite crear un flujo de trabajo que automatice la implementacin de revisiones a los dispositivos de destino en la red de LANDesk. Tambin tiene la opcin de ver un tutorial que le mostrar los pasos para este procedimiento. LANDesk Process Manager incluye una ayuda en lnea a la que puede tener acceso en cualquier momento para obtener informacin detallada sobre estas funciones y cmo usarlas. Coloque definiciones nuevas en el grupo No asignadas (a menos que estn sobrescritas en la configuracin del grupo Definicin): coloca de forma automtica las nuevas definiciones y las reglas de deteccin asociadas en el grupo No asignadas en lugar del grupo Rastrear. Seleccione esta opcin si desea poder mover de forma manual contenido hacia y desde el grupo Rastrear para personalizar el rastreo de seguridad. (Nota: las definiciones que se seleccionan para colocarse en el grupo de Alertas (del cuadro de dilogo Configurar alertas) se colocan automticamente en el grupo Rastrear aunque est seleccionada esta opcin. Para el tipo de aplicacin bloqueada, las definiciones se descargan del grupo No asignadas de manera predeterminada, no del grupo Rastrear. No es necesario seleccionar esta opcin si est descargando slo definiciones de aplicaciones bloqueadas Configuracin del grupo Definicin: abre la configuracin del grupo Definicin en el que puede crear, administrar y seleccionar los grupos de definicin. Puede usar la configuracin del grupo Definicin para automatizar la forma en que se descargan las definiciones de seguridad (contenido) que coinciden con los criterios de tipo y gravedad especificados, su estado de rastreo y la ubicacin de descarga.
Acerca de la ficha Configuracin del proxy

Si la red emplea un servidor proxy para transmisiones externas (por ejemplo, acceso a Internet), utilice esta ficha para habilitar y establecer los valores de configuracin del servidor proxy. El acceso a Internet es necesario tanto para actualizar la informacin de vulnerabilidad como para la descargar los archivos de revisin de los servicios Web adecuados. Utilizar servidor proxy: habilita la opcin de servidor proxy (de forma predeterminada, esta opcin se encuentra desactivada). Si se habilita un servidor proxy, se deben rellenar la direccin y los campos de puerto siguientes. Servidor: Direccin: identifica la direccin IP del servidor proxy. Puerto: identifica el nmero de puerto del servidor proxy. Proxy basado en HTTP: habilita el servidor proxy, si se trata de un servidor proxy basado en HTTP (como Squid), de modo que pueda establecer conexin para la descarga de revisiones de sitios FTP. Las revisiones alojadas en algunos sitios FTP no se pueden descargar mediante servidores proxy basados en HTTP, a menos que primero habilite esta opcin. Inicio de sesin necesario: permite escribir un nombre de usuario y contrasea si el servidor proxy dispone de credenciales en lugar de ser un servidor proxy transparente. Nombre de usuario: escriba un nombre de usuario vlido con las credenciales de autenticacin en el servidor proxy. Contrasea: escriba la contrasea de usuario.
502
Acerca de la ficha Ubicacin de la revisin

Utilice esta ficha para especificar el lugar donde se descargan los ejecutables de revisiones. Ruta UNC donde se almacenan las revisiones: especifica el lugar donde se pueden descargar los archivos de revisin. La ubicacin predeterminada es la carpeta \LDLogon\Patch del servidor central. Se puede introducir una ruta UNC distinta para descargar las revisiones, aunque se debe asegurar el acceso a dicha ubicacin indicando credenciales de autenticacin vlidas en los siguientes campos. Credenciales para almacenar revisiones: identifica una contrasea y nombre de usuario vlidos para acceder a una ubicacin distinta al servidor central. Si se encuentra descargando revisiones a la ubicacin predeterminada en el servidor central, no se aplica el nombre de usuario y contrasea. Direccin URL de Web donde los clientes tendrn acceso a las revisiones: especifica una direccin Web donde los dispositivos pueden tener acceso a las revisiones descargadas para la implementacin. La ubicacin predeterminada es la carpeta \LDLogon\Patch del servidor central. Normalmente esta ubicacin ser la misma que la ruta UNC especificada anteriormente. Comprobar configuracin: realiza una prueba de conectividad en la direccin URL del Web especificada. Restablecer valores predeterminados: restaura la ruta UNC y la direccin URL del Web en la ubicacin predeterminada, que es la carpeta \LDLogon\Patch del servidor central.
Acerca de la ficha LANDesk Antivirus

Utilice esta ficha para configurar las opciones de descarga de archivos de definiciones de virus de LANDesk Antivirus. Recuerde que esta ficha se aplica solamente a los archivos de definiciones de virus reales que utiliza LANDesk Antivirus; no se aplica al contenido de deteccin del rastreador de antivirus (actualizaciones de antivirus) que estn disponibles en la lista de definiciones de la ficha Actualizaciones. Para obtener informacin detallada, consulte"Acerca de la ficha de LANDesk Antivirus en el cuadro de dilogo Descargar actualizaciones" en la pgina 436.
Acerca del cuadro de dilogo Propiedades de definiciones

Utilice este dilogo para ver las propiedades de los tipos de definiciones descargadas, incluyendo las vulnerabilidades, spyware, ataques de seguridad, actualizaciones de software, etc. Puede utilizar esta pgina para crear sus propias definiciones personalizadas. Esta informacin es de slo lectura para las definiciones que se descargaron. Para las definiciones personalizadas, los campos de este dilogo se pueden editar. Puede ingresar informacin detallada de las reglas de deteccin, identificacin y atributo (para una definicin personalizada) usando los campos disponibles en este dialogo y en el de las propiedades de las propiedades de las reglas de deteccin. Para obtener ms informacin, consulte Creating custom definitions and detection rules.
503
MANUAL DE USUARIO
Utilice los botones de flecha derecha e izquierda (<, >) para ver la informacin de propiedades para la anterior o la siguiente definicin en el orden en que se incluyen actualmente en la ventana principal. El cuadro de dilogo Propiedades de definicin contiene las siguientes fichas: "Acerca de la Definicin: Ficha General" en la pgina 504 "Acerca de la Definicin: Ficha Descripcin" en la pgina 505 "Acerca de la Definicin: Ficha Dependencias" en la pgina 505 "Acerca de la Definicin: Ficha Variables personalizadas" en la pgina 505
Acerca de la Definicin: Ficha General

Id: identifica la definicin seleccionada como cdigo alfanumrico nico, definido por el proveedor ( o por el usuario, en el caso de una definicin personalizada). Tipo: identifica el elemento seleccionado como vulnerabilidad, amenaza de seguridad, definicin personalizada, etc. Fecha de publicacin: indica la fecha en que el proveedor public la definicin seleccionada (o en que el usuario la cre). Ttulo: describe la naturaleza o el destino de la definicin seleccionada en una breve cadena de texto. Gravedad: indica el nivel de gravedad de la definicin. Para contenido descargado, este nivel de gravedad lo asigna el proveedor. Para una definicin personalizada, la gravedad la asigna quien la haya creado. Los niveles de gravedad posibles incluyen: Service Pack, Crtica, Alta, Media, Baja, No aplica y Desconocida. Utilice esta informacin para evaluar un riesgo representado por la definicin, y la forma en que el rastreo y reparacin urgente estn configurados para su red. Estado: indica el estado de la definicin en la ventana del Administrador de Seguridad y Revisiones. Los tres indicadores de estado son los siguientes: Rastrear indica que el elemento seleccionado se incluir en el siguiente rastreo de seguridad; No rastrear indica que no se producir ningn rastreo; y No asignada indica que se encuentra en un rea de espera temporal y que no se rastrear. Para obtener ms informacin sobre estos tres estados/grupos, consulte Understanding and using the Security and Patch Manager tool window. Idioma: indica el idioma de la plataforma identificada por la definicin. Para las definiciones personalizadas, INTL es el valor predeterminado, lo que significa que es independiente del idioma y no se puede editar. Categora: indica una categora ms especfica dentro de un tipo de contenido de seguridad individual (consulte arriba). Reglas de deteccin: muestra las reglas de deteccin asociadas con la definicin seleccionada. Observe que la opcin Descargada indica si los archivos de revisin asociados se descargan en el depsito local e Instalacin en segundo plano indica si la revisin se instala sin interaccin por parte del usuario.
Puede hacer clic con el botn derecho en una regla de deteccin para descargar su revisin asociada (o revisiones), habilitar o deshabilitar la regla de deteccin del rastreo de seguridad, desinstalar sus revisiones asociadas o ver sus propiedades. Puede hacer doble clic en una regla de deteccin para ver sus propiedades.
504
Si trabaja con una definicin personalizada, haga clic en Agregar para crear una nueva regla de deteccin, en Editar para modificar la regla seleccionada, o en Eliminar para quitar la regla seleccionada. Para obtener ms informacin sobre definiciones personalizadas, consulteTo create custom detection rules.
Acerca de la Definicin: Ficha Descripcin

Descripcin: proporciona informacin adicional detallada acerca de la definicin seleccionada. Esta informacin proviene de estudios y notas de pruebas realizadas por los proveedores (o por el usuario que cre la definicin personalizada). Ms informacin en: proporciona un vnculo HTTP a una pgina Web especfica de un proveedor (o definida por el usuario); suele ser un sitio de asistencia tcnica con informacin adicional sobre la definicin seleccionada. Ms informacin sobre la ID de CVE: (Se aplica slo a las vulnerabilidades) Proporciona la ID de CVE (nombre) de la vulnerabilidad seleccionada y un vnculo a la pgina web de CVE para esa ID de CVE especfica. Para obtener ms informacin, consulteUsing CVE names.
Acerca de la Definicin: Ficha Dependencias

Esta ficha se muestra slo si la definicin seleccionada posee una definicin de requisitos previos asociados o si otra definicin depende de la definicin seleccionada antes de que se pueda ejecutar. Puede utilizar esta ficha para asegurarse de que el rastreo de seguridad contenga todas las definiciones necesarias para operar adecuadamente antes de rastrear los dispositivos. Puede existir una relacin de dependencia slo para los siguientes tipos de definiciones de seguridad: Requisitos previos: enumera todas las definiciones que tienen que ejecutarse ANTES de la definicin seleccionada que pueden controlarse en dispositivos. Si alguna de las definiciones en esta lista no se incluyen en su tarea de rastreo, el rastreador de seguridad no detectar la definicin seleccionada. Dependencias: enumera las definiciones que el rastreador de seguridad no detectar hasta DESPUS de que se ejecute la definicin seleccionada. Observe que la definicin seleccionada se rastrear an si estas definiciones no estn incluidas en la tarea de rastreo de seguridad. No obstante, si desea que la tarea de rastreo detecte con xito una definicin en esta lista, la definicin seleccionada debe ejecutarse primero.
Acerca de la Definicin: Ficha Variables personalizadas

Esta ficha aparece SLO si la definicin de seguridad seleccionada incluye la configuracin o los valores que pueden modificarse. Algunas definiciones de amenaza a la seguridad de la configuracin del sistema tienen valores variables que pueden cambiar antes de incluirlos en un rastreo de seguridad. Generalmente, las definiciones de antivirus tambin tienen ajustes con variables personalizadas.
505
MANUAL DE USUARIO
Con las variables personalizadas puede ajustar el rastreo de las amenazas a la seguridad mediante la modificacin de uno o ms valores de ajuste para que el rastreador busque las condiciones que defina y determine que un dispositivo es vulnerable slo si se cumple con esa condicin (por ejemplo, si se detecta el valor especificado). Derecho requerido para modificar variables personalizadas Para modificar los ajustes de las variables personalizadas, el usuario de LANDesk debe tener el derecho de administracin basado en funciones Modificar variables personalizadas. Los derechos se configuran con la herramienta Usuarios. Cada definicin de seguridad con variables que se puedan personalizar tiene un conjunto nico de valores especficos que pueden modificarse. En cada caso, sin embargo, la ficha Variables personalizadas mostrar la siguiente informacin comn: Nombre: identifica la variable personalizada. No se puede modificar el nombre. Valor: indica el valor actual de la variable personalizada. A menos que la variable sea de slo lectura, puede hacer doble clic en este campo para cambiar el valor. Descripcin: provee informacin adicional til del fabricante de la definicin sobre las variables personalizadas. Valor predeterminado: Brinda el valor predeterminado si modific la configuracin y desea restaurarla a su valor original.
Para cambiar una variable personalizada, haga doble clic en el campo Valor y seleccione un valor, si hay una lista desplegable disponible, o edite manualmente el valor y luego haga clic en Aplicar. Observe que algunas variables son de slo lectura y no pueden editarse (esto generalmente se indica en la descripcin). La informacin sobre la configuracin de reemplazo de variable personalizada puede verse en la vista Inventario del dispositivo. Configuracin de reemplazo de variable personalizada Es posible que en algunos casos desee hacer caso omiso de la configuracin de variables personalizadas o, en otras palabras, crear una excepcin a la regla. Puede hacerlo con una funcin denominada configuracin de reemplazo de variables personalizadas. La configuracin del reemplazo de variables personalizadas le permite decidir qu variables personalizadas se van a pasar por alto durante el rastreo de los dispositivos para que no se las detecte como vulnerables ni se las repare aunque cumplan con las condiciones reales de las reglas de deteccin de una definicin. Puede crear las configuraciones de reemplazo de variables personalizadas que desee y aplicarlos a los dispositivos con la tarea Cambiar configuracin. Para obtener ms informacin, consulte "Acerca del cuadro de dilogo Ajustes de reemplazo de variables personalizadas" en la pgina 533.
Acerca del cuadro de dilogo Descargar revisiones asociadas

Utilice este cuadro de dilogo para descargar archivos ejecutables que son necesarios para reparar la vulnerabilidad seleccionada, pero que no estn disponibles en este momento en el servidor (o en cualquier otra ubicacin de depsito de revisiones especificada). Las revisiones necesarias deben residir en la ubicacin de revisin designada a fin de que se pueda reparar de forma satisfactoria el dispositivo administrado en el que se detect una vulnerabilidad.
506
Nombre: indica el nombre de archivo ejecutable de la revisin. Definiciones: indica la vulnerabilidad que est asociada con este archivo de revisin. Descargada: indica si el archivo de revisin se ha descargado o no. Puede descargar: indica si la revisin puede descargarse automticamente o si es necesario descargarla mediante un proceso del Administrador de Seguridad y Revisiones. Mostrar slo las revisiones actualmente requeridas: muestra solamente los archivos de revisin necesarios para reparar la vulnerabilidad seleccionada en este momento. En otras palabras, la lista incluye las revisiones que han reemplazado a las revisiones anteriores y no estas ltimas. Mostrar todas las revisiones asociadas: muestra una lista exhaustiva de todas las revisiones asociadas con la vulnerabilidad seleccionada, ya sea que se hayan reemplazado o no. Descarga: haga clic en esta opcin para descargar los archivos de revisin del sitio de origen de actualizacin. Cancelar: cancela la operacin de descarga.
Acerca del cuadro de dilogo Propiedades de regla de deteccin

Utilice este cuadro de dilogo para ver las propiedades de las reglas de deteccin para el contenido de seguridad descargado, o para crear y editar reglas de deteccin personalizadas. Esta informacin es de slo lectura para las reglas de deteccin que pertenecen a definiciones descargadas. Para las definiciones personalizadas, los campos en las pginas de este dilogo se pueden editar. Puede especificar la configuracin de la regla de deteccin y configurar las opciones en cada pgina, a fin de crear reglas de deteccin personalizadas. An ms, si la regla de deteccin personalizada permite la reparacin, puede agregar comandos especiales que se ejecuten durante la reparacin (instalacin o desinstalacin de la revisin). Puede utilizar los botones de flecha derecha e izquierda (<, >) para ver la informacin de propiedades para la anterior o la siguiente regla de deteccin en el orden en que se incluyen actualmente en la ventana principal. El cuadro de dilogo Propiedades de la regla de deteccin contiene las pginas siguientes: "Acerca de la regla de deteccin: Pgina de Informacin general" en la pgina 508 "Acerca de la Lgica de deteccin: Pgina Plataformas afectadas" en la pgina 508 "Acerca de la Lgica de deteccin: Pgina Productos afectados" en la pgina 508 "Acerca de la Lgica de deteccin: Archivos utilizados para la pgina de deteccin" en la pgina 509 "Acerca de la Lgica de deteccin: Configuracin del registro usado para la pgina de deteccin" en la pgina 510 "Acerca de la Lgica de deteccin: Pgina de secuencia personalizada de comandos" en la pgina 510 "Acerca de la pgina Informacin de revisiones" en la pgina 512 "Acerca de la Deteccin de la revisin: Archivos utilizados para la pgina de deteccin de revisiones instalada" en la pgina 513 "Acerca de la Deteccin de la revisin: Configuracin del registro usado para la pgina de deteccin de revisiones instalada" en la pgina 514 "Acerca de la pgina de Comandos de instalacin de la revisin" en la pgina 514 "Acerca de la pgina de Comandos para desinstalar revisiones" en la pgina 516
507
MANUAL DE USUARIO
Acerca de la regla de deteccin: Pgina de Informacin general

Nombre: muestra el nombre de la regla de deteccin. Estado: indica si la regla de deteccin se ha definido en rastrear o no rastrear. Estos dos estados corresponden a los grupos Rastrear y No rastrear (dentro de las Reglas de deteccin de la ventana del Administrador de Seguridad y Revisiones). Id.: muestra el Id. de la definicin asociada con esta regla. Ttulo: muestra el ttulo de la definicin asociada con esta regla. Descripcin: muestra la descripcin de la definicin asociada con esta regla. Comentarios: proporciona informacin adicional del proveedor, si se encuentra disponible. Si se encuentra creando o editando una definicin personalizada, puede ingresar sus propios comentarios.
Pginas Lgica de deteccin

Las pginas siguientes hacen referencia a la lgica de deteccin utilizada por la regla de deteccin seleccionada para determinar si la vulnerabilidad (u otro tipo de definicin) existe en el servidor rastreado.
Acerca de la Lgica de deteccin: Pgina Plataformas afectadas

Identifica los sistemas operativos en los que se ejecutar el rastreador de seguridad y revisiones para verificar la definicin asociada con esta regla. En otras palabras, solo los dispositivos que coinciden con las plataformas seleccionadas intentarn procesar esta regla. DEBE seleccionarse al menos una plataforma. Si un dispositivo de destino utiliza un sistema operativo distinto, el rastreo de seguridad se interrumpe.
Acerca de la Lgica de deteccin: Pgina Productos afectados

Productos: Enumera los productos que desea revisar con la regla de deteccin que determine si la definicin asociada existe en los dispositivos rastreados. Seleccione un producto en la lista para ver la informacin de nombre, proveedor y versin. No necesita tener un producto asociado a las reglas de deteccin. Los productos asociados actan como filtros durante el proceso de rastreo de seguridad. Si de los productos asociados especificados se encuentra en el dispositivo, el rastreo de seguridad se interrumpe. No obstante, si no se especifican productos, el rastreo contina con la verificacin de archivos.
Si est creando o editando una regla de deteccin personalizada, haga clic en Configurar para abrir un nuevo dilogo que permite agregar y eliminar productos en la lista. La lista de productos disponibles es determinada por el contenido de seguridad y revisiones que actualiz mediante el servicio LANDesk Security. Nombre: proporciona el nombre del producto seleccionado. Proveedor: proporciona el nombre del proveedor.
508
Versin: proporciona el nmero de versin del producto seleccionado.
Acerca de la Lgica de deteccin: Archivos utilizados para la pgina de deteccin

Archivos: enumera las condiciones de archivo (existencia, versin, fecha, tamao, etc.) que se utilizan para determinar si la definicin asociada est presente en los dispositivos rastreados. Seleccione un archivo en la lista para ver el mtodo de verificacin y los parmetros esperados. Si se cumplen todas las condiciones del archivo, el dispositivo no se encuentra afectado. Lo que significa que si NO se cumple cualquiera de estas condiciones de archivo, se determina que existe vulnerabilidad en el dispositivo. Si no existen condiciones de archivo en la lista, el rastreo realiza la verificacin del registro. Si est creando o editando una regla de deteccin personalizada, haga clic en Agregar para hacer que los campos se puedan editar y permitir que configure una condicin de archivo nueva y los valores y parmetros previstos. Una regla puede incluir una o ms condiciones de archivo, segn la complejidad que desee. Para guardar una condicin de archivo, haga clic en Actualizar. Para eliminar una condicin de archivo de la lista, seleccinela y haga clic en Eliminar. Verificar con: indica el mtodo utilizado para verificar si la condicin de archivo prescrita se satisface en los dispositivos rastreados. Por ejemplo, una regla de deteccin podra rastrear la existencia del archivo, la versin, la fecha, el tamao, etc. Los parmetros esperados que aparecen debajo del mtodo de verificacin son determinados por el mtodo mismo (vea la lista siguiente). Si est creando o editando una regla de deteccin personalizada, seleccione el mtodo de verificacin en la lista desplegable Verificar con. Como se explica anteriormente, los campos de parmetro son distintos para cada mtodo de verificacin, como lo describe la lista siguiente: Observe que la opcin Buscar archivo repetidamente aplica a todos los mtodos de verificacin excepto los MSI, y causa que el rastreo busque archivos en la ruta de ubicacin especfica y en todas las subcarpetas que existiesen. Slo existe el archivo: realiza la verificacin mediante el rastreo del archivo especificado. Los parmetros son: Ruta (ubicacin del archivo en la unidad del disco duro, incluye el nombre de archivo) y Requisito (debe existir o no debe existir). Versin del archivo: realiza la verificacin mediante el rastreo del archivo especificado y el nmero de versin. Los parmetros son: Ruta, Versin mnima y Requisito (debe existir, no debe existir o podra existir).
Observe que para los parmetros Versin del archivo, Fecha y Tamao puede hacer clic en el botn Recolectar datos, luego de especificar la ruta y nombre del archivo a fin de completar los campos con los valores correspondientes. Fecha de archivo: realiza la verificacin mediante el rastreo del archivo especificado y la fecha. Los parmetros son: Ruta, Fecha mnima y Requisito (debe existir, no debe existir o podra existir). Tamao y/o Suma de comprobacin: realiza la verificacin mediante el rastreo del archivo especificado y el tamao o el valor de la suma de comprobacin. Los parmetros son: Ruta, Suma de comprobacin, Tamao de archivo y Requisito (debe existir, no debe existir o podra existir).
509
MANUAL DE USUARIO
ID de Producto MSI instalado: realiza la verificacin mediante el rastreo a fin de cerciorarse de que el producto MSI est instalado (un producto instalado mediante la utilidad Microsoft Installer). Los parmetros son: Guid (identificador nico global del producto). ID de Producto MSI no instalado: realiza la verificacin mediante el rastreo a fin de asegurarse de que el producto MSI no est instalado. Los parmetros son: Guid.
Acerca de la Lgica de deteccin: Configuracin del registro usado para la pgina de deteccin
Registro: muestra una lista de las condiciones de clave de registro que se utilizan para determinar si existe la vulnerabilidad asociada (u otro tipo) en un dispositivo rastreado. Seleccione una clave de registro en la lista para ver los parmetros esperados. Si NO se cumple cualquiera de estas condiciones, se determina que existe la vulnerabilidad en el dispositivo.
Importante: si no existen condiciones de registro en la lista Y no existen condiciones de archivo en la ficha Archivos, el rastreo falla. En otras palabras, la regla de deteccin debe tener al menos una condicin de archivo o de registro. Si est creando o editando una regla de deteccin personalizada, haga clic en Agregar para hacer que los campos se puedan editar, lo cual permite configurar una condicin de clave de registro nueva y los valores o parmetros esperados. Una regla puede incluir una o ms condiciones de registro. Para guardar una condicin de registro, haga clic en Actualizar. Para eliminar una condicin de registro de la lista, seleccinela y haga clic en Eliminar. Clave: identifica la carpeta y la ruta esperadas de la clave de registro. Nombre: identifica el nombre de clave esperado. Valor: identifica el valor de clave esperado. Requisito: indica si la clave de registro debe o no existir en los dispositivos de destino.
Acerca de la Lgica de deteccin: Pgina de secuencia personalizada de comandos

Utilice esta pgina si desea escribir una secuencia de comandos VB que busque otras condiciones en los dispositivos rastreados. Las propiedades del agente del rastreador de seguridad que pueden accederse con una secuencia personalizada son las siguientes: Detectadas, Razones, Esperadas y Encontradas. Haga clic en el botn Utilizar editor para abrir la herramienta predeterminada de edicin de secuencias de comandos asociada con este tipo de archivo. Cuando cierra la herramienta se le indica que guarde los cambios en la pgina Secuencia de comandos. Si desea utilizar otra herramienta debe cambiar la asociacin del tipo de archivo.
510
Acerca de las propiedades del producto de la vulnerabilidad personalizada: Pgina de Informacin general
Utilice estos cuadros de dilogo al crear una definicin de vulnerabilidad personalizada que incluya un producto personalizado. Puede escribir un nombre, proveedor y el nmero de versin, y luego definir la lgica de deteccin que determine las condiciones para que exista la vulnerabilidad. Estos cuadros de dilogo son similares a los cuadros de dilogo de propiedades para las definiciones de vulnerabilidad publicadas y descargadas. Consulte las secciones correspondientes ms arriba. Esta pgina incluye las siguientes opciones: Productos afectados: Menciona los productos afectados por la definicin de vulnerabilidad personalizada. Productos disponibles: Muestra todos los productos descargados. Filtrar productos disponibles por plataformas afectadas: Restringe la lista de productos disponibles slo a aquellos que se asocian con las plataformas que seleccion en Lgica de deteccin: Pgina Plataformas afectadas. Agregar: Abre el cuadro de dilogo Propiedades en el que puede crear una definicin de productos personalizada.
Acerca del producto de la vulnerabilidad personalizada: Pgina de lgica de deteccin

Las pginas siguientes hacen referencia a la lgica de deteccin utilizada por la regla de deteccin seleccionada para determinar si la vulnerabilidad (u otro tipo de definicin) existe en el servidor rastreado. Estos cuadros de dilogo son idnticos a los cuadros de dilogo de la lgica de deteccin para las definiciones de vulnerabilidad descargadas y conocidas de las aplicaciones y SO publicadas por los proveedores descritos anteriormente. Para obtener ms informacin acerca de las opciones, consulte las secciones correspondientes ms arriba.
Acerca del producto de la vulnerabilidad personalizada: Lgica de deteccin: Archivos utilizados para la pgina de deteccin
Consulte la Lgica de deteccin: Archivos utilizados para la pgina de deteccin ms arriba.
511
MANUAL DE USUARIO
Acerca del producto de la vulnerabilidad personalizada: Lgica de deteccin: Claves de configuracin del registro usadas para la pgina de deteccin
Consulte la Lgica de deteccin: Configuracin del registro usado para la pgina de deteccin anterior.
Acerca del producto de la vulnerabilidad personalizada: Lgica de deteccin: Pgina de Secuencia personalizada de comandos de deteccin
Consulte la Lgica de deteccin: Pgina de Secuencia personalizada de comandos anterior.
Acerca de la pgina Informacin de revisiones

Utilice esta pgina para definir y configurar el archivo de revisin asociado a la regla (si se requiere uno para la reparacin) y la lgica utilizada para detectar si la revisin ya existe. Tambin se pueden configurar comandos adicionales de instalacin o desinstalacin del archivo de revisin para reparaciones personalizadas. Esta pgina y las que se encuentran debajo de ella hacen referencia al archivo de revisin necesario para reparar una vulnerabilidad. Estas pginas se aplican solamente si la regla de deteccin seleccionada permite la reparacin mediante la implementacin de un archivo de revisin. Si la regla de deteccin se limita solamente al rastreo, o si el tipo de contenido de seguridad no utiliza archivos para la reparacin, como en el caso de los ataques de seguridad, o el spyware, entonces estas pginas no son importantes. Reparar solamente mediante revisin o deteccin: Haga clic en alguna de estas opciones para especificar si la regla de deteccin simplemente buscar la presencia de la definicin asociada (solo deteccin), o si tambin puede reparar la definicin al implementar e instalar la revisin requerida. Informacin de la descarga de la revisin: URL de la revisin: muestra el nombre y ruta completa del archivo de revisin necesario para reparar la definicin seleccionada, si se detecta. Ah es donde se descargar el archivo de revisin. Auto-descargable: indica si el archivo de revisin puede descargarse de forma automtica desde el servidor que lo almacena. Esta opcin puede utilizarse con reglas de deteccin personalizadas si desea prevenir que los archivos de revisin se descarguen, mediante el men contextual de la regla. Por ejemplo, puede necesitar prevenir la descarga automtica de una revisin se existe un cortafuegos (barrera de seguridad) que bloquee el acceso al servidor de almacenamiento. Descarga: Si est creando o editando una regla de deteccin personalizada, la cual tambin realiza la reparacin, y ha escrito el nombre de archivo y la URL de la revisin, haga clic en Descargar para intentar la descarga del archivo de revisin en este momento. Puede descargar el archivo de revisin posteriormente, si lo desea. Informacin de la reparacin:
512
Nombre de archivo nico: Identifica el nombre de archivo ejecutable nico del archivo de revisin. Tenga en cuenta que se recomienda enfticamente que cuando descargue un archivo de revisin, cree un hash para dicho archivo. Para ello, haga clic en Generar MD5 Hash. (La mayora de los archivos de revisin asociados de las vulnerabilidades conocidas contienen un hash.) Debe descargarse el archivo de revisin antes de crear un hash. El archivo hash se utiliza para garantizar la integridad del archivo de revisin durante la reparacin (por ejemplo, cuando se despliega e instala en un dispositivo afectado). El rastreador de seguridad realiza esto mediante la comparacin del cdigo hash creado al hacer clic en el botn Generar MD5 hash con un hash nuevo generado inmediatamente antes de que se intenta instalar el archivo de revisin a partir del depsito de revisiones del cliente. Si los dos archivos hash coinciden, se contina con la reparacin. Si los dos archivos hash no coinciden, quiere decir que el archivo de revisin ha cambiado de algn modo desde que se descarg en el depsito y se interrumpe el proceso de reparacin. Requiere reinicio: indica si el archivo de revisin requiere que el dispositivo reinicie antes de terminar sus procesos de instalacin y configuracin en el mismo. Instalacin en segundo plano: indica si el archivo de revisin puede completar su instalacin sin la interaccin con el usuario final.
Pginas Detectando la revisin

Las pginas siguientes hacen referencia a la lgica de deteccin utilizada por la regla para verificar si la revisin ya se encuentra instalada en los dispositivos. Importante: deben satisfacerse TODAS las condiciones especificadas para la configuracin de AMBOS archivos y del registro a fin de que se detecte la instalacin del archivo de revisin en un dispositivo.
Acerca de la Deteccin de la revisin: Archivos utilizados para la pgina de deteccin de revisiones instalada
Esta pgina especifica las condiciones de archivo que se utilizan para determinar si un archivo de revisin ya se encuentra instalado en un dispositivo. Las opciones de esta pgina son las mismas que las de la pgina Archivos de la definicin de la lgica de deteccin (vase ms arriba). Sin embargo, la lgica funciona al revs cuando se est detectando una instalacin de revisin. En otras palabras, al verificar la instalacin de una revisin, deben satisfacerse todas las condiciones de archivo especificadas en esta pgina para determinar la instalacin.
513
MANUAL DE USUARIO
Acerca de la Deteccin de la revisin: Configuracin del registro usado para la pgina de deteccin de revisiones instalada
Esta pgina especifica las condiciones de clave de registro que se utilizan para determinar si un archivo de revisin ya se encuentra instalado en un dispositivo. Las opciones de esta pgina son las mismas que las de la pgina Configuracin del registro de la definicin de la lgica de deteccin (vase ms arriba). No obstante, la lgica funciona de forma inversa en este caso. En otras palabras, al verificar la instalacin de una revisin, deben satisfacerse todas las condiciones de registro especificadas en esta pgina para determinar la instalacin. Importante: deben satisfacerse TODAS las condiciones especificadas para la configuracin de AMBOS archivos y del registro a fin de que se detecte la instalacin del archivo de revisin en un dispositivo.
Pginas de instalacin y desinstalacin de revisiones

Las pginas siguientes le permiten configurar comandos adicionales que se ejecutan cuando la revisin se instala o desinstala de los dispositivos afectados. Esta opcin esta disponible slo para las definiciones personalizadas que permiten la reparacin. Estos comandos son tiles si necesita programar acciones especficas en los dispositivos destino para asegurar una reparacin satisfactoria. Los comandos adicionales no son requeridos. Si no configura comandos adicionales, el archivo de revisin se auto ejecuta de forma predeterminada. Recuerde que si no configura uno o ms comandos adicionales, deber incluir un comando que excluya el archivo de revisin actual con el comando Ejecutar.
Acerca de la pgina de Comandos de instalacin de la revisin

Utilice esta pgina a fin de configurar comandos adicionales para cada tarea de instalacin de revisiones. Los comandos disponibles son los mismos para la instalacin y desinstalacin de las revisiones. Comandos: incluye los comandos en el orden en que se ejecutan en dispositivos remotos. Seleccione un comando para ver los argumentos. Puede cambiar el orden de los comandos con los botones Subir y Bajar. Para eliminar un comando de la lista, seleccinelo y haga clic en Quitar. Agregar: abre un dilogo que permite seleccionar un tipo de comando que agregar a la lista Comandos. Argumentos de Comando: muestra los argumentos que definen el comando seleccionado. Los valores de los argumentos pueden editarse. Para editar un argumento, haga doble clic en el campo Valor y escriba el argumento directamente en el campo. Para todos los tipos de comandos, tambin puede hacer clic con el botn secundario en el campo Valor para seleccionar e insertar una macro o variable en el argumento.
La siguiente lista describe los comandos y sus argumentos:
514
Copiar: copia un archivo del origen especificado al destino especificado en el disco duro del dispositivo destino. Este comando se puede utilizar antes y/o despus de la ejecucin del archivo de revisin en s mismo. Por ejemplo, luego de extraer el contenido de un archivo comprimido con el comando Descomprimir, copie los archivos desde donde se encuentran hasta otra ubicacin. Los argumentos del comando Copiar son los siguientes: Dest (ruta completa de donde desea copiar el archivo, no incluye el nombre de archivo) y Fuente (ruta completa y nombre del archivo que desea copiar).
Ejecutar: ejecuta el archivo de revisin, o cualquier otro archivo ejecutable, en los dispositivos destino. Los argumentos del comando Ejecutar son los siguientes: Ruta (ruta completa y el nombre de archivo, dnde est guardado el archivo ejecutable; para el archivo de revisin puede utilizar las variables %SDMCACHE% y %PATCHFILENAME%), Args (Opciones de lnea de comandos para el archivo ejecutable, este campo no es obligatorio), Espera (nmero de segundos para esperar que el ejecutable finalice antes de continuar con el prximo comando en la lista, si el argumento Esperar se establece como verdadero), y Esperar (valor verdadero o falso que determina si debe esperar a que el ejecutable finalice antes de continuar con el prximo comando de la lista)
ButtonClick: hace clic automticamente en un botn especfico que aparece cuando se ejecuta un archivo ejecutable. Puede utilizar este comando para programar el clic en un botn si se necesita esa interaccin con el ejecutable. Para que el comando ButtonClick funcione correctamente, el argumento Esperar para el comando precedente Ejecutar debe establecerse en falso, a fin de que el ejecutable finalice antes de continuar con la accin del clic en el botn. Los argumentos del comando ButtonClick son los siguientes: Requerido (valor verdadero o falso que indica si el botn se debe apretar antes de proceder, si selecciona verdadero y el botn no se puede apretar por alguna razn, se elimina la reparacin. Si se selecciona falso, y el botn no se puede apretar, la reparacin continuar), ButtonIDorCaption (identifica el botn que desee presionar por su etiqueta de texto, o su Id. de control), Espera (nmero de segundos que toma apretar el botn aparecer cuando se ejecute el ejecutable) y WindowCaption (identifica la ventana o cuadro de dilogo donde se encuentra el botn que desea apretar).
ReplaceInFile: edita el archivo basado en texto en los dispositivos destino. Utilice este comando si necesita realizar alguna modificacin a un archivo basado en texto, como por ejemplo un valor especfico en un archivo .INI, antes o despus de la ejecucin de un archivo de revisin para asegurarse que se ejecute correctamente. Los argumentos del comando ReplaceInFile son los siguientes: Filename (nombre y ruta completa del archivo que desea editar), ReplaceWith (cadena de texto exacta que desee agregar al archivo) y Original Text (cadena de texto exacta que desee eliminar del archivo).
StartService: inicia el servicio en los dispositivos destino. Utilice esta opcin para comenzar un servicio requerido a fin de que se ejecute la revisin, o reinicie el servicio que se requera detener para que se ejecute el archivo de revisin.
515
MANUAL DE USUARIO
Los argumentos del comando StartService son los siguientes: Service (nombre del servicio). StopService: detiene el servicio en los dispositivos de destino. Utilice este comando si debe detenerse en un dispositivo un servicio para que pueda instalarse el archivo de revisin. Los argumentos del comando StopService son los siguientes: Service (nombre del servicio). Unzip: descomprime un archivo comprimido en el dispositivo de destino. Por ejemplo, puede utilizar este comando si la reparacin requiere que se ejecute ms de un archivo o que se copie a los dispositivos destino. Los argumentos del comando Descomprimir son los siguientes: Dest (ruta completa hacia donde se desee extraer los contenidos de un archivo comprimido en el disco duro de un dispositivo) y Fuente (ruta completa del archivo comprimido). WriteRegistryValue: escribe un valor en el registro. Los argumentos de WriteRegistryValue son los siguientes: Clave, Escribir, ValueName, ValueData, WriteIfDataEmpty
Acerca de la pgina de Comandos para desinstalar revisiones

Utilice esta pgina para configurar comandos adicionales para cada tarea de desinstalacin de revisiones. Los comandos disponibles son los mismos para la instalacin y desinstalacin de las revisiones. Sin embargo, la pgina de comandos de desinstalacin de revisiones incluye dos opciones nicas: La revisin puede desinstalarse: indica si el archivo de revisin puede desinstalarse de los dispositivos reparados. Se necesita la revisin original para la desinstalacin: indica si el archivo ejecutable original de revisin debe ser accesible desde el servidor central para poder desinstalarlo de los dispositivos rastreados.
Para obtener ms informacin sobre los comandos, consulte"Acerca de la pgina de Comandos de instalacin de la revisin" en la pgina 514.
Acerca del cuadro de dilogo Purgar las definiciones de seguridad y de revisiones

Utilice este dilogo para eliminar revisiones de forma definitiva, y sus reglas de deteccin asociadas, de la base de datos. Requiere el derecho de administrador de LANDesk El usuario debe contar con el derecho de administrador de LANDesk para realizar esta tarea.
516
Puede eliminar las definiciones si se convierten en obsoletas, si no funcionan correctamente, o si el riesgo de seguridad relacionado se resolvi en su totalidad. Este cuadro de dilogo contiene las opciones siguientes: Plataformas: especifica las plataformas cuyas definiciones desee eliminar de la base de datos. Si una definicin se asocia con varias plataformas, debe seleccionarlas todas para poder eliminar la definicin y su informacin de regla de deteccin. Idiomas: especifica las versiones de idiomas de las plataformas seleccionadas cuyas definiciones desee eliminar de la base de datos. Si seleccion una plataforma de Windows o Macintosh, debe especificar los idiomas cuya informacin de definicin desea eliminar. Si eligi una plataforma UNIX o Linux, es necesario especificar la opcin Idioma neutral para poder eliminar la informacin de definiciones independientes de los idiomas de la plataforma. Tipos: especifica los tipos de contenidos cuyas definiciones desee eliminar. Purgar: elimina definitivamente la definicin y la informacin de regla de deteccin para los tipos que seleccion que pertenecen a las plataformas especificadas y los idiomas que seleccion. Esta informacin solo puede restaurarse al descargar nuevamente el contenido. Cerrar: cierra el cuadro de dilogo sin guardar los cambios y sin eliminar la informacin de definicin.
Acerca del cuadro de dilogo Crear tarea de rastreo de seguridad

Utilice el cuadro de dilogo Crear tarea de rastreo de seguridad para crear y configurar una tarea que ejecuta el rastreador de seguridad y revisiones en los dispositivos destino. Rastreos de seguridad y cumplimiento a peticin Tambin puede ejecutar un rastreo de seguridad o cumplimiento inmediato en uno o ms dispositivos de destino. Haga clic con botn derecho en el dispositivo seleccionado (o en hasta 20 dispositivos mltiples seleccionados) y haga clic en Rastreo de seguridad y revisiones y seleccione una configuracin de rastreo y reparacin o bien, haga clic en Rastreo de cumplimiento y luego en Aceptar. Este cuadro de dilogo contiene las opciones siguientes: Nombre de la tarea: escriba un nombre nico que identifique la tarea de rastreo de seguridad y revisiones. Crear una tarea programada: agrega la tarea de rastreo de seguridad y revisiones a la ventana de Tareas programadas, donde puede configurar sus opciones de programacin y ocurrencia, y asignarles dispositivos destino. Crear una directiva: agrega la tarea de rastreo de seguridad y revisiones a la ventana de Tareas programadas, donde puede configurar las opciones de directiva.
517
MANUAL DE USUARIO
Configuracin de rastreo y reparacin: especifica la configuracin de rastreo y reparacin que se utiliza para la tarea de rastreo. La configuracin de rastreo y reparacin determina si el rastreo de seguridad y revisiones se muestra en los dispositivos mientras se ejecuta, las opciones de reinicio, la interaccin con el usuario y los tipos de contenido de seguridad rastreados. Seleccione una configuracin de rastreo y reparacin de la lista desplegable para asignarla a la tarea de rastreo de seguridad que cre. Puede hacer clic en Editar para modificar las opciones de la configuracin de rastreo y reparacin seleccionada. Tambin puede hacer clic en Configurar para crear una configuracin de rastreo o reparacin. Para obtener ms informacin, consulte "Acerca del cuadro de dilogo Configurar rastreo y reparacin (cumplimiento y servidor de seguridad)" en la pgina 518.
Acerca del cuadro de dilogo Configurar rastreo y reparacin (cumplimiento y servidor de seguridad)
Utilice este cuadro de dilogo para administrar la configuracin de rastreo y reparacin (cumplimiento y servidor de seguridad). Una vez configurada, se puede aplicar la configuracin a las tareas de rastreo de seguridad, de rastreo de cumplimiento, de reparacin, de desinstalacin y de reinicio. Este cuadro de dilogo contiene las opciones siguientes: Nuevo: abre el cuadro de dilogo donde puede configurar las opciones pertinentes al tipo de configuracin especificado. Editar: abre el cuadro de dilogo de configuracin donde puede modificar la configuracin seleccionada. Copiar: abre una copia de la configuracin seleccionada como una plantilla que luego puede modificar y a la que se le puede cambiar el nombre. Eliminar: quita la configuracin seleccionada de la base de datos. Nota: la configuracin seleccionada puede estar asociada a una o ms tareas o dispositivos administrados. Si elige eliminar la configuracin: los dispositivos con esa configuracin la seguirn utilizando hasta que se implemente una tarea de cambio de configuracin nueva; las tareas programadas con esa configuracin se seguirn ejecutando en los dispositivos de destino tal como lo hacen las tareas del programador local con esa configuracin hasta que se implemente una nueva. Cerrar: cierra el cuadro de dilogo sin aplicar una configuracin a la tarea.
Acerca del cuadro de dilogo Ajustes de rastreo y reparacin

Utilice este cuadro de dilogo para crear y editar un ajuste de rastreo y reparacin. La configuracin de rastreo y reparacin determina si el rastreo de seguridad y revisiones se muestra en los dispositivos mientras se ejecutan, las opciones de reinicio, la interaccin con el usuario y los tipos de contenidos rastreados.
518
Nota sobre la configuracin del rastreo de cumplimiento La informacin que se encuentra en este cuadro de dilogo tambin se aplica a los rastreos de cumplimiento. Observe que la ficha Cumplimiento reemplaza a la ficha Rastrear. Consulte la seccin Acerca de la ficha Cumplimiento, para obtener detalles sobre la configuracin especfica que se aplica a los rastreos de cumplimiento. Note sobre la configuracin de reinicio Las opciones de la ficha Reiniciar de este cuadro de dilogo tambin sirven para las tareas de slo reinicio. Se pueden crear tantas reglas de configuracin de rastreo y reparacin como se desee y editarlas en cualquier momento. Por ejemplo, puede configurar una configuracin de rastreo y reparacin con un panorama especfico de notificacin y reinicio para los dispositivos de escritorio, y otra configuracin de rastreo y reparacin con opciones de reinicio diferentes para los servidores. o, puede ajustar una configuracin de rastreo y reparacin para el rastreo de vulnerabilidades de Windows, y otro para el rastreo de spyware, etc. Una vez configurada, se puede aplicar la configuracin de rastreo y reparacin a las tareas de rastreo de seguridad, reparacin, desinstalacin y reinicio.
Ajustes de rastreo y reparacin

Nombre: identifica la configuracin con un nombre nico. Este nombre aparece en la lista desplegable Configuracin en un cuadro de dilogo de tareas de seguridad.
El cuadro de dilogo de configuracin contiene las siguientes fichas: "Acerca de Ajustes de rastreo y reparacin: Ficha General" en la pgina 519 "Acerca de Ajustes de rastreo y reparacin: Ficha Rastreo" en la pgina 520 "Acerca de Ajustes de rastreo y reparacin: Ficha Cumplimiento" en la pgina 521 "Acerca de Ajustes de rastreo y reparacin: Ficha Reparacin" en la pgina 522 "Acerca de Ajustes de rastreo y reparacin: Ficha MSI" en la pgina 522 "Acerca de Ajustes de rastreo y reparacin: Ficha Reinicio" en la pgina 523 "Acerca de Ajustes de rastreo y reparacin: Ficha Red" en la pgina 523 "Acerca de Ajustes de rastreo y reparacin: Ficha Piloto" en la pgina 524
Acerca de Ajustes de rastreo y reparacin: Ficha General

Mostrar progreso durante la ejecucin: habilita que el rastreador de seguridad y revisiones muestre informacin en los dispositivos de usuarios finales mientras se ejecuta. Haga clic en esta opcin si desea mostrar la actividad del rastreador, y si desea configurar otras opciones de muestra e interaccin en este cuadro de dilogo. Si no hace clic en esta opcin, ninguna de las otras fichas en este dilogo estarn disponibles para la configuracin, y el rastreador se ejecuta de forma transparente en los dispositivos. Permitir al usuario cancelar el rastreo: muestra un botn Cancelar en el dilogo del Administrador de Seguridad y Revisiones en el dispositivo del usuario final. Haga clic en esta opcin si desea que el usuario final tenga la oportunidad de cancelar la operacin de rastreo. Si no se marca esta opcin, el cuadro de dilogo no incluye el botn Cancelar y el usuario final no puede detener el rastreo. Cuando no se necesita reiniciar:
519
MANUAL DE USUARIO
requiere la entrada por parte del usuario final antes de cerrar. para un rastreo o tarea de rastreo que no necesite reiniciar para completar la operacin completa, haga clic en esta opcin si desea que el rastreador pregunte al usuario final antes de que cierre el dilogo de muestra en el dispositivo. Si seleccion esta opcin, y el usuario final no responde, el dilogo permanece abierto, lo que puede causar que se agote el tiempo de espera de otras tareas programadas. Cerrar al expirar el tiempo de espera: para un rastreo de una tarea de reparacin que no necesite reinicio, haga clic en esta opcin si desea que el dilogo de muestra del rastreador se cierre luego de una duracin que especifica. Rastrear por: especifica los tipos de contenidos que desea rastrear en este rastreo. Puede seleccionar un grupo personalizado (preconfigurado) o especificar los tipos de contenidos. Puede seleccionar solo aquellos tipos para los que posee una suscripcin al contenido de LANDesk Security Suite. Tambin, las definiciones actuales de seguridad que se rastrean dependen de los contenidos del grupo Rastrear en la ventana del Administrador de Seguridad y Revisiones. En otras palabras, si en este dilogo selecciona vulnerabilidades y ataques de seguridad, solo se rastrearn aquellas vulnerabilidades y ataques de seguridad que se encuentran en el momento en sus respectivos grupos de Rastrear. Habilitar reparacin automtica: indica que el rastreador de seguridad y revisiones implementar e instalar de forma automtica los archivos de revisin necesarios asociados para las vulnerabilidades o definiciones personalizadas que detecte en los dispositivos rastreados. Esta opcin solo se aplica con las tareas de rastreos de seguridad. Para que funcione la reparacin automtica, el archivo de revisin debe tener activada la reparacin automtica.
Acerca de Ajustes de rastreo y reparacin: Ficha Rastreo

Rastrear por: especifica los tipos de contenidos que desea rastrear en este rastreo. Puede seleccionar un grupo personalizado (preconfigurado) o especificar los tipos de contenidos. Puede seleccionar solo aquellos tipos para los que posee una suscripcin al contenido de LANDesk Security Suite. Tambin, las definiciones actuales de seguridad que se rastrean dependen de los contenidos del grupo Rastrear en la ventana del Administrador de Seguridad y Revisiones. En otras palabras, si en este dilogo selecciona vulnerabilidades y ataques de seguridad, solo se rastrearn aquellas vulnerabilidades y ataques de seguridad que se encuentran en el momento en sus respectivos grupos de Rastrear. Reparar inmediatamente todos los elementos detectados: Indica que cualquier riesgo de seguridad identificado por este rastreo particular se reparar automticamente. Habilitar reparacin automtica: indica que el rastreador de seguridad y revisiones implementar e instalar de forma automtica los archivos de revisin necesarios asociados para las vulnerabilidades o definiciones personalizadas que detecte en los dispositivos rastreados. Esta opcin solo se aplica con las tareas de rastreos de seguridad. Para que funcione la reparacin automtica, el archivo de revisin debe tener activada la reparacin automtica.
520
Acerca de Ajustes de rastreo y reparacin: Ficha Cumplimiento

Observe que las opciones de la ficha Cumplimiento slo se aplican a los rastreos de seguridad del cumplimiento. Rastrear de manera frecuente el grupo Cumplimiento: ejecuta un rastreo de seguridad de forma frecuente segn el contenido del grupo Cumplimiento. El rastreo de seguridad frecuente bsico se define en la configuracin inicial del agente pero se lo puede sobrescribir con las opciones de esta ficha. Puede especificar que el rastreo de seguridad de cumplimiento se ejecute solamente cuando los usuarios inicien una sesin en los dispositivos administrados. Rastrear despus de cambiar direccin IP: realiza un rastreo de seguridad de cumplimiento siempre que se cambie la direccin IP en los dispositivos de destino. Por ejemplo, si se conecta nuevamente un equipo porttil a la red y ste recibe una direccin IP distinta a la anterior. Deshabilitar el rastreador de seguridad frecuente en la configuracin del agente: Indica que se desactivar la instalacin del rastreo de seguridad frecuente a travs de la configuracin del agente del dispositivo y en su lugar se utilizarn los ajustes de rastreo frecuente definidos aqu para el rastreo de seguridad de cumplimiento. Habilitar reparacin automtica: indica que el rastreador de seguridad implementar e instalar de forma automtica los archivos de revisin necesarios asociados con las vulnerabilidades que detecte en los dispositivos rastreados. Esta opcin solo se aplica a las tareas de rastreo de seguridad y cumplimiento. Para que funcione la reparacin automtica, debe tener activada la reparacin automtica. Reparar inmediatamente todos los elementos detectados: se reparan todas las vulnerabilidades detectadas, aunque sus revisiones asociadas no tengan habilitada la reparacin automtica. Aplicar la configuracin de seguridad IP actual tras el rastreo: Garantiza que los dispositivos con la seguridad IP habilitada en los que se rastrea su seguridad mediante esta configuracin utilicen posteriormente la poltica de seguridad IP actual una vez finalizado el rastreo. Aplicar rastreo 802.1X compatible: Garantiza que los dispositivos con 802.1X habilitado en los que se rastrea su seguridad mediante esta configuracin puedan tener acceso o poner en cuarentena en funcin de si cumplen o no con la poltica de seguridad personalizada. Si un virus no se puede eliminar o poner en cuarentena (slo LANDesk Antivirus): las dos opciones que se mencionan a continuacin slo se aplican a LANDesk Antivirus y proporcionan un mtodo para tener un activador del rastreo de antivirus o para iniciar un rastreo de seguridad completo que verifique los dispositivos de destino configurados con esta configuracin de cumplimiento con la poltica de seguridad actual. En otras palabras, si el dispositivo se encuentra en buen estado o no. Puede seleccionar una o ambas opciones a continuacin. La accin descrita por estas opciones se produce cuando se detecta un virus en el dispositivo y ste no se puede eliminar ni poner en cuarentena. (Nota: Un requisito previo para realizar este tipo de rastreo consiste en agregar la definicin de antivirus AV-110 predefinida en el grupo de Cumplimiento. Tambin debe agregar las definiciones que desee utilizar para definir la directiva de seguridad del grupo de Cumplimiento.
521
MANUAL DE USUARIO
Rastrear inmediatamente el cumplimiento de los dispositivos: si se detecta un virus y ste no se puede eliminar ni poner en cuarentena, se inicia directamente el rastreo de seguridad de cumplimiento (a travs del rastreador de seguridad, no del rastreador de antivirus). Realizar verificacin de control de acceso de red para determinar si el dispositivo no es apropiado: si se detecta un virus y ste no se puede eliminar ni poner en cuarentena, se inicia inmediatamente una verificacin de control de acceso a travs del NAC de LANDesk.
Acerca de Ajustes de rastreo y reparacin: Ficha Reparacin

Pregunte al usuario antes de reparar, instalar o desinstalar una revisin. haga clic en esta opcin si desea que un mensaje aparezca en el dispositivo del usuario final, con controles de interaccin y mensaje que se configuran con las opciones a continuacin. Si no habilita esta opcin, la operacin proceder de forma automtica sin preguntarle al usuario final. Permitir que el usuario cancele antes de comenzar una reparacin, instalacin o desinstalacin: haga clic en esta opcin si desea que el usuario final tenga la oportunidad de cancelar la operacin de reparacin del archivo de revisin. Mensaje: escriba un mensaje en este cuadro que aparecer en el dilogo del rastreador de seguridad y revisiones en el dispositivo de usuario final CUANDO un rastreo de seguridad detecta alguna de las definiciones especificadas en el dispositivo rastreado. Puede personalizar este mensaje dependiendo del tipo de rastreo de seguridad que se encuentre ejecutando. Si no obtiene respuesta del usuario final: Esperar respuesta: para una pregunta de operacin de archivo de revisin que no recibe respuesta, haga clic en esta opcin si desea que el rastreador de seguridad contine esperando infinitamente. Luego del tiempo de espera, de forma automtica: para una pregunta de archivo de revisin que no recibe respuesta, haga clic en esta opcin si desea que el rastreador de seguridad proceda de forma automtica y lleve a cabo la operacin de archivo de revisin o cierre sin realizar ninguna operacin, luego de la duracin que usted especifique. Porcentaje mximo del ancho de banda a utilizar: especifique el porcentaje mximo del ancho de banda que desee utilizar para descargar el archivo de revisin del depsito de revisiones a los dispositivos rastreados. Puede utilizar esta configuracin para equilibrar el trfico de la red para implementaciones de archivos grandes de revisin. Iniciar la reparacin aunque el reinicio est an pendiente: indica que la reparacin comenzar sin esperar la operacin de reinicio.
Acerca de Ajustes de rastreo y reparacin: Ficha MSI

Utilice esta ficha si el archivo de revisiones necesita acceso a su recurso de instalacin de producto que lo origin para instalar cualquier archivo suplementario que se pueda necesitar. Por ejemplo, puede necesitar proporcionar esta informacin cuando intente aplicar una revisin para Microsoft Office u otro suite de software. Ubicacin original del paquete: ingrese la ruta UNC a la imagen del producto.
522
Credenciales para la ubicacin del paquete original: escriba un nombre de usuario y contrasea vlidos para autenticarse en el recurso compartido de red que se especifica ms arriba. Omitir la opcin de lnea de comandos /overwriteoem: indica que se omitir el comando para sobrescribir las instrucciones especficas de OEM. En otras palabras, se ejecutan las instrucciones de OEM. Ejecutar como informacin: credenciales para ejecutar revisiones: Especifique un nombre de usuario y una contrasea vlidos para identificar las revisiones en ejecucin del usuario que ha iniciado una sesin.
Acerca de Ajustes de rastreo y reparacin: Ficha Reinicio

Cundo decidir si debe reiniciar: especifique cmo desea que el rastreador de seguridad y revisiones acte cuando una tarea de reparacin o rastreo intente reiniciar el dispositivo por alguna razn. Puede seleccionar que el dispositivo nunca se reinicie, que se reinicie slo si fuera necesario, o que se reinicie siempre. Al reiniciar: preguntar al usuario antes de reiniciar: cuando sucede un reinicio, haga clic en esta opcin si desea que el rastreador de seguridad y revisiones pregunte al usuario final. Si selecciona esta opcin, puede configurar las opciones de reinicio que acompaan ms adelante. Permitir al usuario diferir el reinicio: muestra un botn de aplazamiento en la pregunta de reinicio en el dispositivo de usuario final. Especifique la duracin del tiempo de aplazamiento y el nmero de veces que el usuario final puede aplazar el reinicio. El tiempo de aplazamiento (o repeticin) comienza con el prximo conteo del programador local. Permitir al usuario cancelar el reinicio: muestra un botn cancelar en la pregunta de reinicio en el dispositivo de usuario final. Mensaje de reinicio: ingrese un mensaje en este cuadro que aparecer en el dilogo del rastreador de seguridad y revisiones en el dispositivo de usuario final CUANDO un rastreo de seguridad le pregunta a un usuario final antes de intentar reiniciar un dispositivo. Esperar respuesta: para una pregunta de reinicio que no recibe respuesta, haga clic en esta opcin si desea que el rastreador de seguridad contine esperando infinitamente. Si no obtiene respuesta, el cuadro de pregunta se mantiene abierto. Luego del tiempo de espera, de forma automtica: para una pregunta de reinicio que no recibe respuesta, haga clic en esta opcin si desea que el rastreador de seguridad proceda de forma automtica y ya sea que reinicie, o repita, o cierre el cuadro sin reiniciar, luego de la duracin que especifique.
Acerca de Ajustes de rastreo y reparacin: Ficha Red

Utilice esta ficha para identificar un servidor central alternativo que pueda utilizarse para el rastreo y la reparacin de seguridad si el servidor central principal no est disponible. Comunicarse con un servidor central alterno: permite la comunicacin con un servidor alternativo. Nombre del servidor: escriba el nombre de un servidor central de LANDesk que sea vlido y que tenga licencia.
523
MANUAL DE USUARIO
Nota: La sintaxis para el campo del nombre del servidor debe ser: <nombre del servidor>:<nmero de puerto> donde el nmero de puerto es el puerto de seguridad 433 para la transmisin SSL. Si slo ingresa el nombre del servidor, sin especificar el puerto 443, utiliza de manera predeterminada el puerto 80 que es el puerto estndar HTTP.
Acerca de Ajustes de rastreo y reparacin: Ficha Piloto

Utilice esta ficha para crear y configurar un grupo piloto para verificar las definiciones de seguridad antes de realizar una implementacin ms amplia en toda la red. Definiciones peridicas de rastreo y reparacin en el siguiente grupo: Habilita las funciones de rastreo de seguridad piloto. Una vez marcada esta opcin, necesitar seleccionar un grupo personalizado de la lista desplegable. Cambiar configuracin: Abre el cuadro de dilogo Programar rastreos donde puede definir los parmetros para el rastreo de seguridad. Haga clic en el botn Ayuda para obtener detalles
Acerca del cuadro de dilogo Programar rastreos y reparaciones piloto peridicas

Varias tareas de administracin de LANDesk comparten este cuadro de dilogo. Para obtener detalles sobre las opciones en este cuadro de dilogo, consulte"Acerca del cuadro de dilogo Programacin" en la pgina 495.
Acerca del cuadro de dilogo Configuracin del grupo Definicin

Utilice este cuadro de dilogo para crear, editar y seleccionar las configuraciones que controlan la forma y el lugar en que se descargan las definiciones de seguridad en funcin de su tipo y gravedad. Este cuadro de dilogo contiene las opciones siguientes: Filtros de tipo y gravedad de la definicin: Menciona la configuracin del grupo definicin. Tipo: Muestra el tipo de definicin para la configuracin del grupo seleccionado. Gravedad: Muestra la gravedad de la definicin para la configuracin del grupo seleccionado. Estado: Muestra el estado (No Rastrear, Rastreo y No asignadas) para las definiciones que coinciden con las configuraciones del grupo cuando se descargan. El estado corresponde a los nodos del grupo en la vista de rbol del Administrador de seguridad y revisiones. No asignadas es el estado predeterminado. Grupo(s): Muestra el grupo o grupos donde se colocan las definiciones de seguridad que coinciden con los criterios de tipo y gravedad especificados anteriormente. Podr agregar y eliminar tantos grupos personalizados como desee. Reparacin automtica: Si especific que las definiciones de seguridad descargadas se establecen en el estado Rastreo (ubicado en el grupo Rastreo), seleccione esta opcin si desea que las vulnerabilidades tengan habilitada la opcin reparacin automtica.
524
Acerca del cuadro de dilogo Propiedades del filtro de definiciones

Use este cuadro de dilogo para definir la configuracin del grupo definicin. Esta configuracin controla la forma y el lugar en que se descargan las definiciones basadas en el tipo y gravedad. Este cuadro de dilogo contiene las opciones siguientes: Filtro: Define el contenido de seguridad (definiciones) que se llevar a cabo en el grupo o grupos seleccionados anteriormente. Tipo de definicin: Seleccione el tipo de definicin que desea descargar con el estado y la ubicacin deseados. Gravedad: Seleccione la gravedad para el tipo de definicin especificado. Si el tipo coincide pero la gravedad no, esta configuracin no filtrar la definicin. Accin: Define lo que desea hacer con las definiciones descargadas y el lugar en que desea colocarlas. Establecer el estado: Seleccione el estado para las definiciones descargadas. Entre las opciones se incluyen: No rastrear, Rastrear y No asignadas. Establecer la reparacin automtica: Seleccione la reparacin automtica si el estado es Rastrear y si desea reparar automticamente el riesgo de seguridad en el momento que lo detecta. Coloque la definicin en grupos personalizados: Seleccione uno o ms grupos con los botones Agregar y Eliminar. Puede seleccionar alguno de los grupos personalizados que cre, el grupo de Alertas, el grupo Compatible y varios de los grupos del sector de seguridad disponibles.
Acerca del cuadro de dilogo Informacin de seguridad y revisiones

Utilice este dilogo para ver la informacin detallada de seguridad y revisiones de los dispositivos seleccionados. Puede ver los resultados de los rastreos, las definiciones de seguridad detectadas, las revisiones instaladas y las que faltan (o las actualizaciones de software) y el historial de reparacin de un dispositivo. Utilice el botn Borrar para eliminar toda la informacin de rastreo de los dispositivos seleccionados existente en la base de datos. Tambin se puede hacer clic con el botn derecho en una vulnerabilidad (y otro tipo de contenidos de seguridad) de esta vista y crear directamente una tarea de reparacin, o bien, habilitar o deshabilitar la opcin Reparacin automtica para los tipos de contenido de seguridad que aplique.
La informacin mostrada es de acuerdo con el tipo de contenido de seguridad seleccionado.

Los nombres de grupos y los campos de informacin que se muestran en esta pgina son dinmicos y dependen del tipo de contenido de seguridad que se seleccione de la lista desplegable Tipos. Por ejemplo, si selecciona vulnerabilidades, se muestra la siguiente informacin de campos:
525
MANUAL DE USUARIO
Revisiones faltantes (Vulnerabilidades detectadas): enumera todas las vulnerabilidades detectadas en el dispositivo durante el ltimo rastreo. Revisiones instaladas: muestra una lista de todas las revisiones instaladas en el dispositivo. Historial de reparacin: muestra la informacin sobre las tareas de reparacin que se intentaron en el dispositivo. Esta informacin es muy til al resolver problemas de dispositivos. Para borrar esta informacin, haga clic en Purgar historial de reparaciones, especifique la configuracin de dispositivos y el lapso de tiempo, y luego haga clic en Purgar. Informacin de vulnerabilidad: Ttulo: muestra el ttulo de la vulnerabilidad seleccionada. Detectada: indica si se detect la vulnerabilidad seleccionada. Detectada por primera vez: muestra la fecha y la hora en que la vulnerabilidad se detect originalmente en el dispositivo. Esta informacin resulta til si ha realizado varios rastreos. Motivo: describe el motivo de la deteccin de la vulnerabilidad seleccionada. Esta informacin puede resultar til a la hora de decidir si el riesgo de seguridad es lo suficientemente relevante para indicar una reparacin inmediata. Esperado: muestra el nmero de versin del archivo o la clave de registro que busca el rastreador de vulnerabilidad. Si el nmero de versin del archivo o la clave de registro del dispositivo rastreado coincide con este nmero, no existe vulnerabilidad. Encontrados: muestra el nmero de versin del archivo o la clave de registro localizados en el dispositivo rastreado. Si este nmero es distinto al nmero esperado, existe vulnerabilidad. Informacin de revisin: Requiere revisin: muestra el nombre del archivo del ejecutable de revisin necesario para reparar la vulnerabilidad seleccionada. Revisin instalada: indica si la revisin fue instalada. ltima accin: muestra la fecha y la hora en que la revisin se instal en el dispositivo. Accin: indica si la ltima accin fue de instalar o desinstalar. Detalles: indica si la implementacin e instalacin se han realizado correctamente. Si se ha producido un error en la instalacin, esta informacin de estado se debe borrar antes de intentar instalar de nuevo la revisin. Borrar: borra la informacin sobre la fecha y el estado de la instalacin actual de la revisin para el dispositivo seleccionado. Es necesario borrar esta informacin a fin de volver a intentar el despliegue y la instalacin de la revisin.
Acerca del cuadro de dilogo Crear tarea de rastreo de cumplimiento

Utilice el dilogo Crear tarea de cumplimiento para crear y configurar una tarea que ejecuta el rastreador de seguridad a fin de verificar especficamente el cumplimiento de los dispositivos de destino con respecto a la poltica de seguridad en funcin del contenido del grupo Cumplimiento.
526
Rastreos de seguridad y cumplimiento a peticin Tambin puede ejecutar un rastreo de seguridad o cumplimiento inmediato en uno o ms dispositivos de destino. Haga clic con botn derecho en el dispositivo seleccionado (o en hasta 20 dispositivos mltiples seleccionados) y haga clic en Rastreo de seguridad y revisiones y seleccione una configuracin de rastreo y reparacin o bien, haga clic en Rastreo de cumplimiento y luego en Aceptar. Este cuadro de dilogo contiene las opciones siguientes: Nombre de la tarea: escriba un nombre nico que identifique la tarea de rastreo de cumplimiento. Crear una tarea programada: agrega la tarea de rastreo de cumplimiento a la ventana Tareas programadas, donde puede configurar sus opciones de programacin y recurrencia y asignarles dispositivos de destino. Mquinas de destino que no han informado desde: limita el rastreo de cumplimiento solamente en los dispositivos administrados que no han informado resultados del rastreo de seguridad desde la fecha especificada. Iniciar ahora: establece que la tarea de rastreo programada comience cuando se agregue la tarea a la ventana Tareas programadas para que no tenga que configurar las opciones de programacin de forma manual. Crear una directiva: agrega la tarea de rastreo de cumplimiento como una directiva a la ventana Tareas programadas, donde puede configurar las opciones de directivas.
Acerca del cuadro de dilogo Crear una tarea de reinicio

Utilice este cuadro de dilogo para crear y configurar una tarea genrica de reinicio. Una tarea de reinicio del dispositivo puede resultar til cuando se desea instalar revisiones (sin reiniciar) como un proceso individual y luego reiniciar los dispositivos reparados como otra tarea independiente. Por ejemplo, puede ejecutar un rastreo o una instalacin de una revisin durante el da, y luego implementar una tarea de solo reiniciar en algn momento ms conveniente para los usuarios finales. Nombre de la tarea: identifica la tarea con un nombre nico. Crear una tarea programada: crea una tarea de reinicio en la ventana Tareas programadas cuando hace clic en Aceptar. Crear una directiva: crea una directiva de reinicio cuando hace clic en Aceptar. Configuracin de rastreo y reparacin: especifica cules opciones de reinicio de la configuracin de rastreo y reparacin se utilizan en la tarea a fin de determinar los requisitos y las acciones de reinicio en los dispositivos de destino. Seleccione una configuracin de rastreo y reparacin en la lista desplegable, o haga clic en Configurar para crear una nueva configuracin de rastreo y reparacin.
527
MANUAL DE USUARIO
Acerca del cuadro de dilogo Crear una tarea de reparacin

Utilice este dilogo para crear y configurar una tarea de reparacin para los siguientes tipos de definiciones: vulnerabilidades, spyware, actualizaciones de software LANDesk, definiciones personalizadas y amenazas de seguridad con una revisin asociada. La opcin de programar reparacin no se aplica a las aplicaciones bloqueadas. Este cuadro de dilogo incluye las fichas siguientes: "Acerca de Crear una tarea de reparacin: Ficha General" en la pgina 528 "Acerca de Crear una tarea de reparacin: Ficha Revisiones" en la pgina 529
Acerca de Crear una tarea de reparacin: Ficha General

Nombre de la tarea: identifica la tarea de reparacin con un nombre nico. El valor predeterminado es el nombre de la definicin seleccionada o el grupo personalizado. Si lo prefiere puede modificar el nombre. Reparar como tarea programada: crea una tarea de reparacin de seguridad en la ventana Tareas programadas cuando hace clic en Aceptar. Separar en tareas en fases y tareas de reparacin: (opcional) permite crear tareas separadas en la herramienta Tareas programadas: una tarea de preparacin de los archivos de revisin necesarios en la memoria cach local del dispositivo de destino y una tarea para la instalacin de dichas revisiones en los dispositivos afectados. Equipos seleccionados a reparar: especifica cules dispositivos debe agregar a la tarea de reparacin programada. Puede elegir Ningn dispositivo, todos los dispositivos afectados (dispositivos cuya definicin se detect durante el ltimo rastreo), o solo los dispositivos afectados que tambin se seleccionan (esta ltima opcin se encuentra disponible slo cuando se accede al cuadro de dilogo Programar reparaciones desde un dilogo de Informacin de seguridad y revisiones de un dispositivo). Utilizar multidifusin: habilita esta funcin para la implementacin de revisiones en dispositivos. Haga clic en esta opcin, luego en Opciones de multidifusin si desea configurar las opciones de multidifusin. Para obtener ms informacin, consulte "Acerca del cuadro de dilogo Opciones de multidifusin" en la pgina 529. Reparar como directiva: crea una directiva de seguridad de reparacin cuando hace clic en Aceptar. Agregar consulta representando los dispositivos afectados: crea una nueva consulta, basada en la definicin seleccionada, y aplica la directiva. La directiva basada en consultas buscar dispositivos afectados por la definicin seleccionada, e implementar la revisin asociada. Descargar la Revisin entre iguales: restringe la implementacin de la revisin de modo que slo se pueda llevar a cabo si el archivo de revisin se ubica en la cach local del dispositivo o en un igual de la misma subred. Esta opcin permite conservar el ancho de banda de red. No obstante, para que la instalacin de la revisin se realice correctamente, el archivo de revisin debe residir actualmente en uno de estos dos lugares.
528
Slo descargar revisin (sin reparar): descarga la revisin en el depsito de revisiones pero no implementa la revisin. Puede utilizar esta opcin si desea recuperar el archivo de revisin para fines de pruebas previo a la implementacin en s misma. Configuracin de rastreo y reparacin: especifica cul configuracin de rastreo y reparacin se est utilizando para la tarea de reparacin, para as determinar si el rastreo de seguridad y revisiones se muestra en los dispositivos al ejecutarse. Seleccione una configuracin de rastreo y reparacin en la lista desplegable, o haga clic en Configurar para crear una nueva configuracin de rastreo y reparacin.
Acerca de Crear una tarea de reparacin: Ficha Revisiones

Utilice esta ficha para mostrar ya sea slo las revisiones necesarias o todas las revisiones asociadas con la vulnerabilidad seleccionada. (Nota: Los campos en esta pgina son idnticos a los de"Acerca del cuadro de dilogo Descargar revisiones asociadas" en la pgina 506.) Para descargar revisiones directamente de esta ficha, si an no se han descargado y colocado el depsito de revisiones, haga clic en Descargar.
Acerca del cuadro de dilogo Opciones de multidifusin

En este cuadro de dilogo se pueden configurar las siguientes opciones de multidifusin dirigida para una reparacin de tarea de seguridad programada: Deteccin de dominios de multidifusin: Usar deteccin de dominio de multidifusin: esta opcin permite a la multidifusin dirigida realizar una deteccin de dominio para esta tarea. Esta opcin no guarda el resultado de la deteccin de dominio para utilizarla en un futuro. Usar deteccin de dominio de multidifusin y guardar los resultados: esta opcin permite a la multidifusin dirigida realizar una deteccin de dominio para esta tarea y guardar el resultado para utilizarlo en un futuro, lo que permite ahorrar tiempo en las consiguientes multidifusiones. Usar los resultados de la ltima deteccin de dominio de multidifusin: utilice esta opcin despus de que la multidifusin dirigida haya realizado una deteccin de dominio y haya guardado el resultado. Hacer que los representantes de dominio reactiven los equipos: esta opcin permite hacer que los equipos que admiten la tecnologa Wake On LAN se activen para que puedan recibir la multidifusin. Nmero de segundos que esperar tras la funcin Wake On LAN: expresa la cantidad de tiempo que esperan los representantes de dominio para realizar la multidifusin tras enviar el paquete Wake On LAN. El intervalo de tiempo predeterminado es de 120 segundos. Si algunos equipos de la red tardan ms de 120 segundos en iniciar, se recomienda aumentar este valor. El valor mximo permitido es 3600 segundos (una hora).
Las siguientes opciones permiten configurar los parmetros de multidifusin dirigida especficos de la tarea. Los valores predeterminados deben ser adecuados para la mayora de multidifusiones. A continuacin se explican cada una de las opciones:
529
MANUAL DE USUARIO
Nmero mximo de representantes de dominio de multidifusin funcionando simultneamente: este valor seala el nmero mximo de representantes que realizan activamente una multidifusin al mismo tiempo. Limitar el procesamiento de los equipos con error en la multidifusin: si un dispositivo no recibe el archivo a travs de la multidifusin, descargar el archivo desde el servidor de archivos o Web. Este parmetro se puede utilizar para limitar el nmero de dispositivos que obtienen el archivo a la vez. Por ejemplo, si el nmero mximo de subprocesos es 200 y el nmero mximo de subprocesos de fallo de multidifusin es 20, el cuadro de dilogo Tarea personalizada procesar un mximo de 20 equipos en el momento en que fall la multidifusin. El cuadro de dilogo Tarea personalizada procesa hasta 200 dispositivos a la vez si reciben correctamente la multidifusin, aunque como mximo 20 de los 200 subprocesos correspondern a dispositivos en los que fall la tarea de multidifusin. Si este valor se establece como 0, el cuadro de dilogo Tarea personalizada no realizar la parte de la tarea correspondiente a la distribucin para cualquier equipo en el que haya fallado la multidifusin. Nmero de das que el archivo permanece en el cach: cantidad de tiempo que puede permanecer el archivo de multidifusin en la cach de los equipos cliente. Transcurrido este perodo de tiempo, el archivo se purgar automticamente. Nmero de das que permanecern los archivos en la cach del representante de dominio de multidifusin: cantidad de tiempo que puede permanecer el archivo de multidifusin en la cach del representante de dominio de multidifusin. Transcurrido este perodo de tiempo, el archivo se purgar automticamente. Nmero mnimo de milisegundos entre las transmisiones de paquetes (WAN o Local): cantidad de tiempo mnima que debe transcurrir entre el envo de diferentes paquetes de multidifusin.
Este valor slo se utiliza cuando el representante de dominio no transfiere el archivo desde su propia cach. Si no se especifica este parmetro, se utilizar el tiempo de espera mnimo predeterminado almacenado en el equipo representante de dominio/subred. Puede utilizar este parmetro para limitar el uso de ancho de banda en la red WAN. Nmero mximo de milisegundos entre las transmisiones de paquetes (WAN o Local): cantidad de tiempo mxima que debe transcurrir entre el envo de diferentes paquetes de multidifusin. Para obtener ms informacin, consulte Nmero mnimo de milisegundos entre transmisiones de paquetes.
Acerca del cuadro de dilogo Desinstalar revisin

Utilice este cuadro de dilogo para crear y configurar una tarea de desinstalacin para las revisiones que se implementaron en los dispositivos afectados. Nombre de la tarea: identifica la tarea con un nombre nico. De forma predeterminada, se utiliza el nombre de la revisin. Si lo prefiere puede modificar el nombre. Desinstalar como tarea programada: crea una tarea de desinstalacin de revisin en la ventana Tareas programadas cuando hace clic en Aceptar. Seleccionar destinos: especifica cules dispositivos se deben agregar a la tarea de desinstalacin de revisin. Puede elegir Ningn dispositivo, todos los dispositivos con la revisin instalada o slo los dispositivos con la revisin instalada que tambin se seleccionan (esta ltima opcin slo est disponible cuando accede al cuadro de dilogo Desinstalar revisin desde el dilogo Informacin de seguridad y revisiones de un dispositivo). Si se requiere la revisin original:
530
Utilizar multidifusin: habilita esta funcin para la tarea de implementacin de la desinstalacin de la revisin en dispositivos. Haga clic en esta opcin, luego en Opciones de multidifusin si desea configurar las opciones de multidifusin. Para obtener ms informacin, consulte "Acerca del cuadro de dilogo Opciones de multidifusin" en la pgina 529. Desinstalar como directiva: crea una directiva de desinstalacin de revisin en la ventana Tareas programadas cuando hace clic en Aceptar. Agregar consulta representando los dispositivos afectados: crea una nueva consulta, basada en la revisin seleccionada, y aplica la directiva. La directiva basada en consultas buscar dispositivos que tengan instalada la ruta seleccionada, y la desinstalarn. Configuracin de rastreo y reparacin: especifica cul configuracin de rastreo y reparacin se est utilizando para la tarea de desinstalacin, a fin de determinar si el rastreador de seguridad y revisiones se muestra en los dispositivos, las opciones de revisin, la informacin de la ubicacin MSI, etc. Seleccione una configuracin de rastreo y reparacin en la lista desplegable, o haga clic en Configurar para crear una nueva configuracin de rastreo y reparacin.
Acerca del cuadro de dilogo Tarea de cambio de configuracin

Utilice este cuadro de dilogo para crear y configurar una tarea que cambie la configuracin predeterminada de uno o ms servicios LANDesk en los dispositivos de destino. Los servicios de LANDesk que puede modificar son: Configuracin de cumplimiento (se aplica solamente para rastreos de seguridad de cumplimiento) Configure el servidor de seguridad de Windows Configuracin de reemplazo de variable personalizada Configuracin de Host Intrusion Prevention System (HIPS) Configuracin de LANDesk Antivirus Ajustes de rastreo y reparacin
Con una tarea de cambio de configuracin usted puede cambiar de forma conveniente la configuracin predeterminada (que se encuentra escrita en el registro local del dispositivo) de un dispositivo administrado sin tener que implementar nuevamente una configuracin de agente completa. Nombre de la tarea: escriba un nombre nico para identificar la tarea. Crear una tarea programada: agrega la tarea a la ventana Tareas programadas, donde puede configurar sus opciones de programacin y recurrencia y asignarles dispositivos de destino. Crear una directiva: agrega la tarea como una directiva a la ventana de Tareas programadas, donde puede configurar las opciones de directiva. Configuracin de rastreo y reparacin: especifica la configuracin de rastreo y reparacin que se utiliza en las tareas de rastreo de seguridad.
531
MANUAL DE USUARIO
La configuracin de rastreo y reparacin determina si el rastreador se muestra en los dispositivos mientras se ejecutan, las opciones de reinicio, la interaccin con el usuario y los tipos de contenidos de seguridad rastreados. Seleccionar una configuracin de la lista desplegable. Haga clic en Editar para modificar las opciones de la configuracin seleccionada. Haga clic en Configurar para crear una configuracin nueva. Para obtener ms informacin, consulte "Acerca del cuadro de dilogo Ajustes de rastreo y reparacin" en la pgina 518. Configuracin de cumplimiento: especifica la configuracin de cumplimiento utilizada para las tareas de rastreo de cumplimiento. La configuracin de cumplimiento determina el momento y la forma en que se realiza el rastreo de cumplimiento, si la reparacin ocurre automticamente y qu hacer cuando LANDesk Antivirus detecte una infeccin de virus en los dispositivos de destino. Configuracin de LANDesk Antivirus: especifica la configuracin de antivirus que se utiliza en las tareas de rastreo de antivirus. La configuracin de antivirus determina si el icono de LANDesk Antivirus aparece en la bandeja del sistema del dispositivo, la disponibilidad de las opciones interactivas para los usuarios finales, la habilitacin del rastreo de correo electrnico y de la proteccin en tiempo real, los archivos y las carpetas para excluir, la cuarentena y la copia de seguridad de los archivos infectados, los rastreos de antivirus programados y las actualizaciones programadas de los archivos de definiciones de virus. Seleccionar una configuracin de la lista desplegable. Haga clic en Editar para modificar las opciones de la configuracin seleccionada. Haga clic en Configurar para crear una configuracin nueva. Para obtener ms informacin, consulte "Acerca del cuadro de dilogo de Configuracin de Antivirus" en la pgina 440. Configuracin de reemplazo de variable personalizada: especifica la configuracin de reemplazo de variables personalizadas que se utilizan en los dispositivos de destino cuando se rastrean las definiciones de seguridad que incluyen variables personalizadas (tales como amenazas de seguridad y virus). La configuracin de reemplazo de variables personalizadas permite especificar los valores de la configuracin que desea ignorar u omitir durante un rastreo de seguridad. Resulta muy til cuando no se desea que el dispositivo rastreado sea identificado como vulnerable de acuerdo con una configuracin de variable personalizada predeterminada de la definicin. Seleccionar una configuracin de la lista desplegable. En la lista desplegable tambin puede seleccionar eliminar la configuracin de reemplazo de variable personalizada de los dispositivos de destino. La opcin Quitar configuracin de variable personalizada le permite borrar un dispositivo para que la configuracin de variable personalizada est en efecto completo. Haga clic en Editar para modificar las opciones de la configuracin seleccionada. Haga clic en Configurar para crear una configuracin nueva. Para obtener ms informacin, consulte "Acerca del cuadro de dilogo Ajustes de reemplazo de variables personalizadas" en la pgina 533.
Configuracin de Host Intrusion Prevention System (HIPS): especifica la configuracin de HIPS utilizada para la proteccin HIPS en los dispositivos de destino. Para obtener ms informacin, consulte Configuring LANDesk HIPS protection options with HIPS settings.
532
Acerca del cuadro de dilogo Configurar los ajustes de reemplazo de variables personalizadas
Utilice este cuadro de dilogo para administrar su configuracin reemplazo de variable personalizada. Una vez configurada, puede aplicar la configuracin de reemplazo de variable personalizada a una tarea de cambio de configuracin e implementarla en los dispositivos de destino para cambiar (o quitar) su configuracin predeterminada de reemplazo de variable personalizada. El reemplazo de variable personalizada permite configurar excepciones para los valores de las variables personalizadas. En otras palabras, con la configuracin de reemplazo de variable personalizada se puede pasar por alto u omitir una condicin especfica de variable personalizada para que el dispositivo rastreado no se determine como vulnerable. Este cuadro de dilogo contiene las opciones siguientes: Nuevo: abre el cuadro de dilogo de configuracin de reemplazo de variable personalizada donde puede configurar las opciones. Editar: abre el cuadro de dilogo de configuracin donde puede modificar la configuracin de reemplazo de la variable personalizada seleccionada. Copiar: abre una copia de la configuracin seleccionada como una plantilla que luego puede modificar y a la que se le puede cambiar el nombre. Eliminar: quita la configuracin seleccionada de la base de datos. Tenga en cuenta que la configuracin seleccionada puede estar asociada a una o ms tareas o dispositivos administrados. Si elige eliminar la configuracin: los dispositivos con esa configuracin la seguirn utilizando hasta que se implemente una tarea cambiar configuracin nueva; las tareas programadas con esa configuracin se seguirn ejecutando en los dispositivos de destino tal como lo hacen las tareas del programador local con esa configuracin hasta que se implemente una nueva Cerrar: cierra el cuadro de dilogo sin aplicar una configuracin a la tarea.
Acerca del cuadro de dilogo Ajustes de reemplazo de variables personalizadas

Utilice este cuadro de dilogo para crear excepciones para la configuracin de variables personalizadas. Algunas definiciones de amenaza a la seguridad de la configuracin del sistema tienen valores variables que pueden cambiar antes de incluirlos en un rastreo de seguridad. Generalmente, las definiciones de antivirus tambin tienen ajustes con variables personalizadas. Con las variables personalizadas puede ajustar el rastreo de las amenazas a la seguridad mediante la modificacin de uno o ms valores de ajuste para que el rastreador busque las condiciones que defina y determine que un dispositivo es vulnerable slo si se cumple con esa condicin (por ejemplo, si se detecta el valor especificado). Las variables personalizadas son una configuracin global. Por lo tanto, cuando se buscan definiciones de seguridad que tengan variables personalizadas, stas siempre se determinarn como vulnerables si se cumple con la condicin de las mismas.
533
MANUAL DE USUARIO
Derecho requerido para modificar variables personalizadas Para modificar los ajustes de las variables personalizadas, el usuario de LANDesk debe tener el derecho de administracin basado en funciones Modificar variables personalizadas. Los derechos se configuran con la herramienta Usuarios. La informacin sobre la configuracin de reemplazo de variable personalizada puede verse en la vista Inventario del dispositivo.
Acerca del cuadro de dilogo Configuracin de alertas

Utilice este cuadro de dilogo para configurar las alertas relacionadas con la seguridad para los dispositivos rastreados, entre ellas las alertas de vulnerabilidad y antivirus. El cuadro de dilogo Configuracin de alertas contiene las siguientes fichas:
Ficha Definiciones
Utilice esta ficha para configurar los avisos de seguridad. Si agreg definiciones de seguridad al grupo de Alertas, el Administrador de Seguridad y Revisiones le avisar cundo alguna de estas definiciones se detecta en dispositivos rastreados. Intervalo mnimo de alertas: especifica el intervalo de tiempo ms corto (en minutos u horas) en el que se envan avisos sobre vulnerabilidades detectadas. Es posible utilizar esta configuracin si no desea recibir alertas con demasiada frecuencia. Establezca el valor en cero si desea recibir alertas instantneas y en tiempo real. Agregar a grupo de Alertas: indica qu vulnerabilidades, por nivel de seguridad, se ubican de manera automtica en el grupo de Alertas durante un proceso de descarga de contenidos. Cada definicin que se ubica en el grupo de Alerta tambin se ubica de manera predeterminada y automtica en el grupo Rastrear (para incluir aquellas definiciones en una tarea de rastreo de seguridad).
Ficha antivirus
Utilice esta ficha para configurar las alertas de antivirus. Nivel mnimo de alerta: especifica el intervalo de tiempo ms corto (en minutos u horas) en el que se envan alertas sobre virus detectados. Es posible utilizar esta configuracin si no desea recibir alertas con demasiada frecuencia. Establezca el valor en cero si desea recibir alertas instantneas y en tiempo real. Alerta activa: indica qu eventos de antivirus generan alertas.
534
Acerca del cuadro de dilogo Configuracin del servidor central de resumen

Utilice este cuadro de dilogo para habilitar y configurar el reenvo automtico de los resultados del rastreo de seguridad ms reciente a un servidor central de resumen en la red. El reenvo de datos de seguridad (vulnerabilidad) le permite ver el estado de las vulnerabilidades en tiempo real de todos los dispositivos administrados en una red corporativa distribuida grande sin necesidad de recuperar manualmente esos datos directamente desde el servidor central principal. Cada vez que el rastreador de seguridad se ejecuta, escribe un archivo con los resultados del rastreo en una carpeta denominada VulscanResults en el servidor central y avisa al servicio web de LANDesk Security, el cual agrega el archivo a la base de datos central. Si la configuracin del servidor central de resumen est habilitada y se identifica un servidor de resumen vlido, ste lee el archivo de resultados del rastreo en su propia base de datos y proporciona un acceso ms rpido a la informacin de vulnerabilidades crticas. El cuadro de dilogo 'Configuracin de la base de datos central de resumen (Rollup core)' contiene las siguientes opciones: Enviar resultados del rastreo a la base de datos central de resumen (Rollup core) inmediatamente: habilita el reenvo inmediato de los resultados del rastreo de seguridad al servidor central especificado, mediante el mtodo descrito anteriormente. Utilizar la URL de resumen predeterminada: seleccione esta casilla si desea que se utilice la URL predeterminada cuando se enve el archivo con los resultados del rastreo desde el servidor central al servidor central de resumen. Escriba el nombre del servidor central y luego seleccione esta casilla para insertar automticamente la secuencia de comandos y la direccin Web en el campo URL de resumen. Nombre de servidor central de resumen: identifica al servidor central de resumen que desea que reciba los resultados del rastreo de seguridad ms reciente proveniente de la base de datos central. URL de resumen: especifica la direccin Web del servidor central de resumen que recibe los resultados del rastreo de seguridad y la carpeta de destino para el archivo de los resultados del rastreo en el servidor central de resumen. Para insertar automticamente la URL de resumen, seleccione la casilla de verificacin Utilizar URL de resumen predeterminada. Para editar el campo manualmente deseleccione la casilla de verificacin e ingrese la URL que desee.
Acerca del cuadro de dilogo Seleccionar columnas

Utilice este cuadro de dilogo para configurar las columnas de datos de las listas de elementos de la ventana de herramientas del Administrador de Seguridad y Revisiones. Usted decide qu columnas de datos se muestran para poder revisar listas largas de definiciones de seguridad descargadas y encontrar de forma fcil y rpida la informacin que necesita para una tarea o situacin especfica.
535
MANUAL DE USUARIO
Uso de la columna de datos de ID de CVE Los productos de seguridad de LANDesk admiten el estndar de nombres CVE (Vulnerabilidades y Exposiciones Comunes). Con el Administrador de Seguridad y Revisiones puede buscar vulnerabilidades por nombre CVE y ver la informacin CVE de las definiciones de vulnerabilidades descargadas. Para obtener ms informacin sobre la convencin de nombres de CVE, la compatibilidad de LANDesk con el estndar CVE, y la forma de usar la identificacin CVE para buscar definiciones de vulnerabilidades de seguridad individuales en el Administrador de Seguridad y Revisiones, consulteUsing CVE names. Si se agregan y quitan columnas de datos y se las desplaza hacia arriba y hacia abajo en la lista (hacia la izquierda y hacia la derecha en la vista de la columna), garantiza que la informacin ms importante se ubique al centro en el frente. Columnas disponibles: detalla las columnas de datos que actualmente no se muestran en la ventana de herramientas del Administrador de Seguridad y Revisiones pero que se encuentran disponibles para agregarlas en la lista de Columnas seleccionadas. Columnas seleccionadas: detalla las columnas de datos que actualmente se muestran en la ventana del Administrador de Seguridad y Revisiones. Las columnas de datos se muestran en una lista de definiciones de seguridad descargada de izquierda a derecha en el mismo orden en que aqu aparecen de arriba a abajo. Valores predeterminados: restaura las columnas de datos mostradas predeterminadas.
Acerca de los cuadros de dilogo Configuracin del servidor de seguridad

Utilice estos cuadros de dilogo para configurar la configuracin del servidor de seguridad que desea revisar (y modificar) con las variables personalizadas y que se pueden editar que estn disponibles para configurar la amenaza de seguridad al servidor de seguridad de Windows. Id. de amenaza del servidor de seguridad La Id. para la amenaza de Configurar el servidor de seguridad de Windows es: ST000102. Puede implementar una configuracin para el servidor de seguridad en las siguientes versiones de Windows: Windows 2003/XP Windows Vista
Este cuadro de dilogo contiene las opciones siguientes: Excepciones actuales: enumera programas, puertos y servicios cuyas conexiones y comunicaciones NO estn bloqueadas por el servidor de seguridad. El servidor de seguridad previene el acceso no autorizado a los dispositivos, excepto para los elementos en la lista. Agregar programa: permite agregar un programa especfico a la lista de excepciones para permitir la comunicacin. Agregar puertos: permite agregar un puerto especfico a la lista de excepciones para permitir la comunicacin. Editar: permite editar las propiedades de la excepcin seleccionada, incluso el alcance de los dispositivos afectados. Eliminar: quita la excepcin seleccionada de la lista.
536
Aceptar: guarda los cambios y cierra el cuadro de dilogo. Cancelar: cierra el cuadro de dilogo sin guardar los cambios.
Acerca del cuadro de dilogo Recopilar informacin histrica

Utilice este cuadro de dilogo para compilar datos sobre las vulnerabilidades rastreadas y detectadas en los dispositivos administrados. Esta informacin se utiliza en los informes de seguridad y de revisiones. Puede recopilar los datos inmediatamente o bien, crear una tarea para recopilar los datos durante un lapso de tiempo especificado. Este cuadro de dilogo contiene las opciones siguientes: Nombre de la tarea: identifica la tarea de recopilar informacin histrica con un nombre nico. Mantener datos histricos por: especifica la cantidad de tiempo (en das) durante los cuales se recopilan los datos. Puede especificar de 1 a 3.000 das. Recopilar ahora: recopila los datos actuales de forma inmediata. Crear tarea: agrega la tarea a la ventana Tareas programadas, donde puede configurar sus opciones de programacin y recurrencia y asignarles dispositivos de destino. Purgar: elimina por completo los datos recopilados hasta este punto.
Ayuda de la distribucin de software Uso del cuadro de dilogo Paquete de distribucin

El cuadro de dilogo Paquete de distribucin (Herramientas | Distribucin | Paquete de distribucin) almacena informacin en la base de datos que describe el paquete que se desea distribuir. Los datos contienen la configuracin necesaria para instalar un paquete de software especfico, tal como el nombre del paquete, cualquier dependencia o requisito previo, las opciones de instalacin, etc. Una vez creada, esta informacin se denomina "paquete de distribucin". Antes de utilizar este dilogo, coloque el paquete en el servidor de distribucin. Debe explorar el paquete y proveer informacin sobre los requisitos previos o archivos adicionales del paquete. Una vez que ha creado un paquete de distribucin para el paquete, podr asociarlo con un mtodo de entrega (Herramientas | Distribucin | Mtodos de entrega) a fin de implementar los dispositivos.
Acerca de la pgina Informacin de paquete

Utilice esta pgina para especificar el nombre y archivo principal del paquete. Si el paquete consiste de un solo archivo, agrguelo aqu. Si el paquete contiene varios archivos, agregue el archivo principal del paquete. Por ejemplo, el archivo que inicia la instalacin. Puede agregar archivos adicionales en la pgina Archivos adicionales.
537
MANUAL DE USUARIO
Para utilizar el explorador de archivos, escriba el nombre de un recurso compartido de Web o de una ruta de archivo en el cuadro junto al botn Ir. Haga clic en Ir para visualizar el destino en el cuadro Archivo principal. Puede continuar explorando ah. Al explorar el archivo, haga doble clic en el archivo que desee establecer como principal. Al hacerlo, se agrega el nombre del archivo a la ruta del paquete junto al botn Ir. Nombre: El nombre especificado aqu aparece en los rboles y cuadros de dilogo de Paquetes de distribucin y Mtodos de entrega. Utilice un nombre descriptivo que no sea demasiado largo, debido a que tendr que desplazarse para ver las descripciones extensas. Propietario del paquete: Puede seleccionar Pblico si desea que todos los usuarios de la consola vean este paquete, de lo contrario, puede seleccionar su propio nombre de usuario para que solamente usted pueda verlo. Los administradores pueden seleccionar un usuario especfico, adems de seleccionar Pblico. Descripcin: la descripcin especificada aqu aparece en los cuadros de dilogo Paquetes de distribucin y Mtodos de entrega. Archivo principal: el archivo principal del paquete. Ir: empieza a explorar la ruta especificada junto al botn Ir. Arriba: sube un nivel de carpeta a partir de la ubicacin que se est explorando.
Uso de variables de entorno Management Suite no admite la colocacin de variables de entorno directamente en la ruta del paquete, aunque la expansin an funciona con las secuencias de comandos personalizadas creadas con anterioridad. A fin de admitir variables de entorno en la nueva arquitectura SWD, el valor de registro "PreferredPackageServer" debe definirse en la variable de entorno que se utilizar. La variable de entorno se expande para definir el servidor en el cual se recuperar el archivo.
Acerca de la pgina Opciones de instalacin y desinstalacin

Esta pgina permite especificar el tipo de paquete. Existen diversas opciones en funcin del paquete que se implemente. No todos los tipos de paquetes tienen estas opciones. Instalar: indica que se desea utilizar un paquete de instalacin para instalar el software. Desinstalar: indica que se desea utilizar un paquete de instalacin para eliminar el software. Cuando se define este indicador, la secuencia de comandos elimina todo lo instalado con la secuencia de comandos de instalacin. Lnea de comandos: (no disponible con los paquetes SWD, Macintosh o Linux). lnea de comandos que desea pasar al archivo principal que ha especificado. La distribucin de software agrega automticamente los parmetros bsicos del tipo de paquete que se distribuye. Para obtener ms informacin, consulte Uso de las lneas de comandos en paquetes.
538
El campo lnea de comandos tambin permite pasar valores de la entrada de la base de datos del dispositivo a la lnea de comandos. Puede utilizar esto para pasar parmetros nicos a los archivos de proceso por lotes y ejecutables que distribuye. El campo lnea de comandos puede contener un parmetro, tal como %Computer.Device Name% que llame el nombre del dispositivo de la base de datos para cada dispositivo de destino y pase el parmetro como parte del proceso de ejecucin. Los parmetros deben tener el formato BNF y deben estar delimitados por smbolos de porcentaje. A continuacin se muestran ejemplos de BNF vlidos: % Computer.Display Name% : nombre de visualizacin de red del equipo. % Computer.Network.TCPIP.Address% : direccin IP del equipo. % Computer.OS.Name% : nombre del sistema operativo del equipo.
Puede ver los valores BNF de los atributos de base de datos en el cuadro de dilogo de creacin de consulta.
Uso de las lneas de comandos en paquetes

Al crear un paquete de distribucin, existe una opcin para incluir una lnea de comandos. En el caso de un paquete MSI, este campo se puede utilizar solamente para especificar una lista de propiedades de MSI en este formato: propiedad1=valor1 propidedad2=valor2 propiedad3=valor, etc. Un ejemplo de una propiedad MSI es TRANSFORMS. Los conmutadores de lnea de comandos que se describen en la documentacin pertinente a MSI, tal como /q, /f, etc., son en realidad conmutadores de lnea de comandos msiexec. Solamente msiexce los entiende. Cuando LANDesk distribuye un archivo MSI, llama al MSI API directamente. No utiliza msiexec. Por lo tanto, no es posible especificar conmutadores de lnea de comandos msiexec en el campo lnea de comandos. Para las diversas opciones que se activan con un conmutador de lnea de comandos al utilizar msiexec, se proporciona funcionalidad equivalente a travs de los mtodos de entrega y de las herramientas de paquete de distribucin. Para otras, no se proporciona funcionalidad equivalente debido a que no es necesario. A continuacin se enumeran algunos conmutadores de lnea de comandos msiexec y la forma en que se proporciona funcionalidad equivalente en la interfaz LANDesk: / q: para controlar las opciones de interaccin con el usuario durante la instalacin, utilice las opciones Comentarios de la herramienta de paquete de distribucin. /a: la instalacin administrativa no tiene sentido bajo LANDesk. El administrador debe realizarla de forma manual. Por lo tanto, no se provee funcionalidad equivalente en LANDesk. / f: reinstala el paquete MSI. LANDesk siempre reinstala los paquetes principales, de modo que esta opcin es implcita. Nota: Si no desea reinstalar, slo implemente la aplicacin msi como paquete dependiente en lugar de principal. Si no tiene otro paquete que pueda convertir en principal, puede crear un paquete para implementarlo en un archivo de proceso en lotes vaco y convertir a MSI en paquete dependiente. A continuacin, la deteccin tiene efecto en la aplicacin MSI y solamente se instala en los dispositivos en los que no se encuentra instalado. /x: desinstala el paquete MSI. Se proporciona funcionalidad equivalente con la opcin de desinstalacin de la herramienta de paquete de distribucin.
539
MANUAL DE USUARIO
/ j: anuncia el paquete MSI. LANDesk implementa conceptos similares a travs de la entrega basada en polticas y del portal de implementacin de software en dispositivos locales. / l: histrico. Sdclient.exe recopila el estado y crea archivos histricos en el dispositivo de forma predeterminada. /p: instala una revisin; se utiliza para revisar imgenes administrativas. Se provee funcionalidad equivalente bajo LANDesk a travs de Patch Manager, al igual que de la distribucin de software y los paquetes dependientes. Nota: implemente la revisin ms reciente como paquete principal y configure una cadena de dependencia para la aplicacin MSI y otras revisiones.
Acerca de la pgina Archivos adicionales

Si el paquete consiste de varios archivos, puede agregarlos en esta pgina. Para utilizar el explorador de archivos, escriba el nombre de un recurso compartido de Web o de una ruta de archivo en el cuadro junto al botn Ir. Si pulsa el botn Ir, se muestra el destino en el cuadro Archivos disponibles. Puede continuar explorando ah. Seleccione los archivos en el cuadro Archivos disponibles y haga clic en >> para agregarlos a la lista de Archivos adicionales. Al hacerlo, se agregan al paquete. Agregar archivos adicionales...: los archivos adicionales que desee que formen parte del paquete. Deteccin automtica: esta opcin est disponible con los paquetes MSI. Analiza el archivo MSI principal en busca de referencias de archivo externas y las agrega automticamente. Flechas: las flechas agregan y eliminan los archivos seleccionados de la lista Archivos adicionales. Ir: empieza a explorar la ruta especificada junto al botn Ir. Arriba: sube un nivel de carpeta a partir de la ubicacin que se est explorando.
Uso de la pgina Paquetes dependientes

Los paquetes dependientes son paquetes que ya deben encontrarse previamente en el dispositivo a fin de que se instale el paquete que se est configurando. Si no se encuentran en el dispositivo, los paquetes dependientes se instalan automticamente. Los paquetes MSI y SWD se detectan automticamente a travs de las claves de registro debidas en el dispositivo. Para otros tipos de paquetes, el mtodo de deteccin de paquetes depende de lo que se ha seleccionado en la pgina de deteccin. Si agrega un paquete existente con una dependencia como paquete dependiente al paquete que est creando, dicha dependencia existente tambin se agrega al paquete nuevo. Paquetes disponibles: enumera los paquetes pblicos que se han creado utilizando la ventana Paquete de distribucin. Solamente los paquetes pblicos pueden ser dependientes. Seleccione los paquetes que desee establecer como dependientes y haga clic en >>. Paquetes dependientes: enumera los paquetes que se han seleccionado como dependientes. Flechas: las flechas agregan y eliminan los archivos seleccionados de la lista Archivos adicionales.
540
Dependencias Linux de software Cuando hace clic en Guardar en el cuadro de dilogo Propiedades del paquete de distribucin del paquete Linux, la distribucin de software analiza el RPM primario y los RPM dependientes que se seleccionaron para las dependencias que estos RPM requieren. Estas dependencias luego aparecen en el cuadro de dilogo Bibliotecas faltantes. Si se activa una dependencia en este dilogo, sta le dice al software de distribucin que no le enve ms mensajes. Puede activar las dependencias que sabe que estn instaladas en los dispositivos administrados. Este cuadro de dilogo es slo para su informacin. Si falta una dependencia en el dispositivo de destino y no la incluy especficamente como un paquete dependiente, es probable que el RPM no se instale correctamente.
Uso de la pgina Requisitos previos

La pgina requisitos previos permite especificar los requisitos previos a la instalacin de un paquete. Esto se efecta mediante una consulta o a travs de un programa o archivo adicional que se ejecuta en los dispositivos y devuelve un cdigo de nivel de error. Los cdigos distintos de cero evitan que el paquete se instale. Los requisitos previos se ejecutan en los dispositivos de la lista de destino. El paquete no se instalar si un dispositivo de la lista de destino no cumple un requisito previo. Los detalles del fallo se encuentran en el registro de la tarea de distribucin. Los requisitos previos resultan particularmente tiles en organizaciones en las cuales un usuario crea los paquetes y otro los distribuye. El distribuidor podra no estar al tanto de los requisitos de sistema de los paquetes conocidos por el autor. En estos casos, el autor del paquete puede crear una consulta que incluya los requisitos del paquete, tales como el sistema operativo o la cantidad de memoria. Para la opcin de archivos adicionales, puede seleccionar un archivo que se encuentre en la lista de archivos adicionales del paquete. A continuacin, especifique una lnea de comandos con la que se ejecutar el paquete. Elija una consulta: seleccione una consulta existente que desee utilizar para filtrar los dispositivos de destino. Ejecutar archivo adicional: si desea ejecutar un archivo en los dispositivos, marque esta opcin. Elija un archivo adicional: escriba el archivo que desee ejecutar en los dispositivos. El archivo se ejecuta antes que cualquier archivo de paquete. Lnea de comandos: si el archivo especificado necesita una lnea de comandos, escrbala aqu.
Uso de la pgina Cuentas

Utilice la pgina Cuentas para seleccionar el tipo de cuenta de usuario a utilizar para la distribucin del paquete. Cuenta LocalSystem: cuenta del dispositivo. Cuenta de usuario actual: cuenta del usuario actual. Debe haber un usuario conectado al dispositivo, de lo contrario fallar la tarea del paquete de distribucin.
541
MANUAL DE USUARIO
Uso de la pgina Deteccin

Utilice esta pgina para detectar paquetes o aplicaciones dependientes que no se instalaron mediante Management Suite. Si se cumple uno o ms de los criterios no se instalarn los paquetes dependientes. Esta pgina no afecta el paquete principal. Utilice los siguientes mtodos de deteccin: Archivo existente Versin de archivo Tamao y/o suma de comprobacin del archivo Fecha de archivos Clave de registro existente Valor de registro existente Valor de registro coincidente
Se pueden agregar varios criterios. Al seleccionar un criterio de la lista, las opciones de ese criterio aparecen debajo de la misma. Escriba la informacin necesaria y haga clic en Agregar. Repita este paso las veces que sea necesario.
Uso de la pgina de Asociacin desinstalar

Utilice la pgina de asociacin Desinstalar para asociar un paquete de desinstalacin a un paquete de poltica de implementacin de software. Esto desinstalar en forma automtica el software del cliente cuando el equipo o usuario sea quitado de la lista o consulta de destino. Nota: los paquetes de desinstalacin slo se usan con la implementacin basada en polticas. Tipo: seleccione el tipo de paquete que desea utilizar para desinstalar el paquete. La lista de paquetes de distribucin disponibles mostrar slo los paquetes del tipo especificado. Actual: el paquete seleccionado actualmente.
Uso de la pgina Opciones de paquetes SWD

Utilice esta pgina para definir lo que sucede cuando un paquete SWD ya se encuentra instalado en el dispositivo. Si hay aplicaciones que no responden a una reparacin de paquetes habitual, la opcin de reinstalacin completa puede ser la mejor solucin. Sin embargo, el proceso de reparacin suele tardar menos tiempo que un reinstalacin completa. Al crear un paquete SWD, se puede crear con o sin la interfaz de instalacin que ven los usuarios. Si el paquete tiene una interfaz, puede elegir si el cuadro de dilogo de instalacin del paquete se visualiza encima de las aplicaciones existentes o si debe visualizarse un fondo de instalacin azul slido que enmascare el escritorio durante la instalacin del paquete. Reparar el paquete: esta opcin slo actualiza las claves del registro y sustituye los archivos de programa que han se han modificado con respecto al paquete de instalacin. Realizar una reinstalacin completa del paquete: Esta opcin reinstala completamente el paquete, sustituyendo todos los archivos y volviendo a crear todas las claves del registro. Si se permite la respuesta, anular la opcin anterior y dejar que el usuario decida: permite que los usuarios decidan entre reparar o reinstalar. Puede habilitar la respuesta en la pgina Respuestas del cuadro de dilogo Propiedades del mtodo de envo.
542
Cuando se permita respuesta, visualizar pantalla de fondo: Muestra la pantalla de fondo azul slido. Puede habilitar la respuesta en la pgina Respuestas del cuadro de dilogo Propiedades del mtodo de envo.
Uso del cuadro de dilogo Mtodos de entrega

El cuadro de dilogo Mtodos de entrega (Herramientas | Distribucin | Mtodos de entrega) define la forma en que se enviar el paquete a los dispositivos. Estas opciones no se asocian a un paquete de distribucin especfico. Las opciones incluyen la multidifusin dirigida y las distribuciones automticas o basadas en polticas. No cree un mtodo de entrega cada vez que desee distribuir un paquete. De forma idnea, cree una plantilla de mtodo de entrega que puede volver a utilizarse en distribuciones con el mismo mtodo de entrega. Antes de utilizar este cuadro de dilogo, se deber crear el paquete de distribucin (Herramientas | Distribucin | Paquetes de distribucin) que se desee entregar.
Acerca de la pgina Descripcin

Utilice esta pgina para describir el mtodo de entrega que se est creando y definir la cantidad de dispositivos en los que se desea distribuir de forma simultnea. Nombre: especifica el nombre del mtodo de entrega. Propietario: El nombre de la persona que cre el paquete. No puede cambiarlo. Descripcin del mtodo de entrega: la descripcin especificada aqu aparece en los rboles y cuadros de dilogo de Paquetes de distribucin y Mtodos de entrega. Utilice un nombre descriptivo que no sea demasiado largo, debido a que tendr que desplazarse para ver las descripciones extensas. Nmero de equipos de la distribucin: controla la cantidad mxima de dispositivos que pueden recibir de forma simultnea la distribucin de software.
Acerca de la pgina Uso de red

Utilice esta pgina para controlar la forma en que se enva el paquete y los archivos del paquete a los dispositivos administrados. Esta pgina incluye las opciones siguientes: Utilizar la multidifusin para implementar archivos: Utilice la multidifusin dirigida de LANDesk para enviar archivos a varios dispositivos de forma simultnea. Utilice la opcin de ejecutar desde el origen para distribuir archivos: No copia los archivos de forma local antes de instalarlos. Por el contrario, el archivo de paquete principal se ejecuta directamente desde la ubicacin de descarga del paquete. Esta opcin funciona con todos los tipos de paquetes de los recursos compartidos de paquetes UNC. Para los recursos compartidos HTTP, esta opcin slo funciona con los tipos de paquetes SWD y MSI. Puede utilizar esta opcin con instalaciones de aplicacin que requieren una estructura de carpeta especfica. Esta opcin utilizar servidores preferidos pero no intentar ejecutar el paquete desde un par.
543
MANUAL DE USUARIO
Utilice descargar desde el origen para desplegar archivos: Cada dispositivo descarga archivos de paquetes desde el servidor de paquetes antes de utilizarlos. Esta opcin no aprovecha la Multidifusin dirigida.
Acerca de la pgina Ancho de banda (bajo la pgina Uso de red)

Esta pgina permite controlar el ancho de banda de red que requiere el paquete para su implementacin. No es necesario seleccionar ninguna de estas opciones si se desea que todos los dispositivos seleccionados reciban el paquete, independientemente del ancho de banda con el que cuenten. El control del ancho de banda es importante para aquellos dispositivos con conexiones de acceso telefnico o WAN de baja velocidad. Lo normal es que no se implementen paquetes con una gran cantidad de megabytes de tamao en dispositivos con conexiones de baja velocidad. Se encuentran disponibles las opciones siguientes: Solicitar una conexin de red que no sea tipo RAS: Esta opcin activa el requisito del ancho de banda. Seleccione una de las opciones siguientes: Permitir cualquier conexin de red que no sea tipo RAS: Esta opcin permite la recepcin de paquetes en dispositivos WAN y LAN. Permitir slo conexiones de red de alta velocidad: Esta opcin permite la recepcin de paquetes slo en dispositivos con conexiones LAN. Limitar descargas remotas (por subred) a un dispositivo a la vez: esta opcin se utiliza para reducir el ancho de banda de red consumido en una subred. Porcentaje mximo de ancho de banda a utilizar: si ha seleccionado la opcin Limitar descargas remotas, podr limitar an ms el ancho de banda mediante el ajuste del porcentaje mximo del ancho de banda de red del dispositivo de destino que se utilizar para la distribucin.
Si utiliza PDS para detectar la velocidad de la conexin de la red, las conexiones de red de alta y baja velocidad proporcionan la misma informacin. Para obtener una deteccin ms precisa de las conexiones de red de alta velocidad, es necesario utilizar el protocolo ICMP. El protocolo ICMP enva solicitudes de eco ICMP de distintos tamaos al equipo remoto y utiliza el tiempo de ida y vuelta de estas solicitudes/respuestas para determinar el ancho de banda aproximado. Sin embargo, no todos los enrutadores ni todos los equipos admiten reenviar ni responder solicitudes de eco ICMP. El protocolo ICMP tambin distingue entre conexiones LAN (de alta velocidad) y WAN (de baja velocidad, aunque sin ser de conexin telefnica). Si la red no est configurada para permitir las solicitudes de eco ICMP, puede seleccionar PDS. Si utiliza PDS, la opcin Permitir slo conexiones de red de alta velocidad no proporcionar una gran precisin.
Acerca de la pgina Descargar (bajo la pgina Uso de red)

Esta pgina permite configurar el lmite de ancho de banda y los retrasos de paquete.
544
Descarga entre iguales (instalar slo desde la cach o un igual): slo se permite la descarga de paquetes si se encuentran en la cach local o en un igual del mismo dominio de multidifusin. Esta opcin permite conservar el ancho de banda de red. No obstante, para que la instalacin del paquete se realice correctamente, el paquete se debe encontrar en uno de estos dos lugares. Lmite dinmico de ancho de banda: especifica que el trfico de red que crea un dispositivo tiene prioridad con respecto al trfico de distribucin. Si selecciona esta opcin y deja el Porcentaje mnimo de ancho de banda disponible para utilizar en 0, una vez que el dispositivo inicie el trfico de la red, la distribucin disminuye a un paquete por segundo hasta que se detiene el trfico. Esta opcin obliga una descarga completa del archivo en la cach del dispositivo, que tambin habilita el reinicio de punto de control a nivel de byte, donde las descargas se reanudan en el punto en el que se interrumpieron. Al reinstalar o reparar un paquete SWD o MSI, puede que no se desee utilizar la opcin Lmite dinmico de ancho de banda, ya que estos tipos de paquetes normalmente slo descargan los archivos que necesitan. Porcentaje mnimo de ancho de banda disponible para utilizar: especifica el lmite dinmico de ancho de banda que se va a aplicar. Puede escribir valores de hasta el 50 por ciento del ancho de banda de red total disponible para el dispositivo. Por ejemplo, si hubiera otra aplicacin consumiendo ancho de banda de red en el dispositivo durante una distribucin y se define el porcentaje de ancho de banda en 50, la tarea de distribucin tomara el 50 por ciento y la aplicacin de dispositivo el otro 50. En la prctica, este porcentaje es variable porque el sistema operativo asigna automticamente gran parte del ancho de banda de red segn el nmero de aplicaciones que necesitan el ancho de banda y su prioridad. Retraso entre paquetes al descargar de un igual: Esta opcin especifica el retraso entre paquetes para iguales en la misma subred. Este retraso se puede utilizar para acelerar o ralentizar las distribuciones. El aumento del retraso entre paquetes hace que la distribucin sea ms lenta y utiliza menos ancho de banda. Puede utilizar esta opcin con Lmite dinmico de ancho de banda, pero si estas opciones se utilizan de forma conjunta, el retraso de paquete tiene bastante repercusin. Retraso entre paquetes al descargar del origen: Especifica el retraso entre el origen del paquete y el destino del dispositivo. El aumento del retraso entre paquetes hace que la distribucin sea ms lenta y utiliza menos ancho de banda. Puede utilizar esta opcin con Lmite dinmico de ancho de banda, pero si estas opciones se utilizan de forma conjunta, el retraso de paquete tiene bastante repercusin.
Acerca de la pgina Dominios de multidifusin (bajo la pgina Uso de red)

Esta pgina slo se muestra si se ha seleccionado la multidifusin como tipo de distribucin. Esta pgina permite configurar las opciones de multidifusin. Usar deteccin de dominio de multidifusin: esta opcin permite a la multidifusin dirigida realizar una deteccin de dominio para esta tarea. Esta opcin no guarda el resultado de la deteccin de dominio para utilizarla en un futuro. Usar deteccin de dominio de multidifusin y guardar los resultados: esta opcin permite a la multidifusin dirigida realizar una deteccin de dominio para esta tarea y guardar el resultado para utilizarlo en un futuro, lo que permite ahorrar tiempo en las consiguientes multidifusiones.
545
MANUAL DE USUARIO
Usar los resultados de la ltima deteccin de dominio de multidifusin: utilice esta opcin despus de que la multidifusin dirigida haya realizado una deteccin de dominio y haya guardado el resultado. Dispositivos de reactivacin de representantes de dominio: esta opcin permite hacer que los equipos que admiten la tecnologa Wake On LAN* se activen para que puedan recibir la multidifusin. El cuadro de dilogo Opciones de multidifusin permite configurar el tiempo que esperan los representantes de dominio para realizar la multidifusin una vez se ha enviado el paquete Wake On LAN. El intervalo de tiempo predeterminado es de 120 segundos. Nmero de segundos que se esperar la funcin Wake On LAN: expresa la cantidad de tiempo que esperan los representantes de dominio para realizar la multidifusin tras enviar el paquete Wake On LAN. El intervalo de tiempo predeterminado es de 120 segundos. Si algunos equipos de la red tardan ms de 120 segundos en iniciar, se recomienda aumentar este valor. El valor mximo permitido es 3600 segundos (una hora).
Descubrimiento de dominios El descubrimiento de dominios slo es necesario en redes con subredes cuyo trfico de multidifusin puede verse de unas a otras. Si las subredes conocen el trfico las unas de las otras, puede ahorrar tiempo guardando en primer lugar los resultados de una deteccin de dominio y, a continuacin, seleccionando Utilizar resultados del ltimo descubrimiento de dominio de multidifusin de modo que la multidifusin dirigida no realiza una deteccin de dominio antes de cada tarea. Si las subredes de la red no pueden ver el trfico del resto, la multidifusin dirigida funcionar ms rpidamente realizando una deteccin previa de los dominios mediante el archivo de secuencia de comandos multicast_domain_discovery.ini incluido en la carpeta ManagementSuite\Scripts. Esta secuencia de comandos no realiza ninguna operacin en los dispositivos de destino. Ejecute esta secuencia de comandos desde la ventana Tareas programadas en una lista de destino que se extienda a lo largo de la red. De esta forma se guarda el resultado del descubrimiento de dominios para utilizarlo en un futuro. Quizs desee ejecutar esta secuencia de comandos peridicamente si existen grandes conjuntos de distribuciones de multidifusin. Si se ha seleccionado Usar archivo en cach en Configurar | Servicios | Multidifusin, la multidifusin dirigida continuar con el proceso de descubrimiento aunque se haya seleccionado Utilizar el resultado del ltimo descubrimiento de dominio de multidifusin. La multidifusin dirigida requiere realizar esta operacin para determinar los representantes de dominio de multidifusin que incluye potencialmente el archivo en la cach.
Acerca de la pgina Lmites de multidifusin (bajo la pgina Uso de red)

Utilice esta pgina para configurar parmetros de multidifusin dirigida especficos a una tarea. Los valores predeterminados de este cuadro de dilogo son adecuados para la mayora de las multidifusiones. A continuacin se explican cada una de las opciones: Nmero mximo de representantes de dominio de multidifusin funcionando simultneamente: este valor seala el nmero mximo de representantes que realizan activamente una multidifusin al mismo tiempo. El valor predeterminado es 5.
546
Nmero mximo de dispositivos que no lograron procesar la multidifusin de forma simultnea: si un dispositivo no recibe el archivo a travs de la multidifusin, descargar el archivo desde el servidor de archivos o Web. Este parmetro se puede utilizar para limitar el nmero de dispositivos que obtienen el archivo a la vez. Por ejemplo, si el nmero mximo de subprocesos es 200 y el nmero mximo de subprocesos de fallo de multidifusin es 20, el gestor de tareas programadas procesar un mximo de 20 equipos en el momento en que fall la multidifusin. El gestor de tareas programadas procesa hasta 200 dispositivos a la vez si reciben correctamente la multidifusin, aunque como mximo 20 de los 200 subprocesos correspondern a dispositivos en los que fall la tarea de multidifusin. Si este valor se establece como 0, el gestor de tareas programadas no realizar la parte de la tarea correspondiente a la distribucin para cualquier equipo en el que haya fallado la multidifusin. El valor predeterminado es 240. Nmero de das que permanecern los archivos en la cach del dispositivo: cantidad de tiempo que puede permanecer el archivo de multidifusin en la cach de los equipos cliente. Transcurrido este perodo de tiempo, el archivo se purgar automticamente. El valor predeterminado es 2. Nmero de das que permanecern los archivos en la cach de los representantes de dominio de multidifusin: cantidad de tiempo que puede permanecer el archivo de multidifusin en la cach del representante de dominio de multidifusin. Transcurrido este perodo de tiempo, el archivo se purgar automticamente. El valor predeterminado es 14.
Acerca de la pgina Tiempo de paquetes de multidifusin (bajo la pgina Uso de red)

Utilice esta pgina para configurar parmetros de multidifusin dirigida especficos a una tarea. Los valores predeterminados de este cuadro de dilogo son adecuados para la mayora de las multidifusiones. A continuacin se explican cada una de las opciones: Nmero mnimo de milisegundos entre las transmisiones de paquetes (WAN o Local): cantidad de tiempo mnima que debe transcurrir entre el envo de diferentes paquetes de multidifusin. Este valor slo se utiliza cuando el representante no transfiere el archivo desde su propia cach. Si no se especifica este parmetro, se utilizar el tiempo de espera mnimo predeterminado almacenado en el equipo representante de dominio/subred. Puede utilizar este parmetro para limitar el uso de ancho de banda en la red WAN. El valor predeterminado es 1. Nmero mximo de milisegundos entre las transmisiones de paquetes (WAN o Local): cantidad de tiempo mxima que debe transcurrir entre el envo de diferentes paquetes de multidifusin. Para obtener ms informacin, consulte Nmero mnimo de milisegundos entre transmisiones de paquetes. El valor predeterminado es 200.
Acerca de la pgina Reinicio

Esta pgina permite configurar si se reinicia el equipo tras instalar o eliminar el software. Esta pgina incluye las tres opciones siguientes:
547
MANUAL DE USUARIO
No reiniciar nunca: los dispositivos no se reiniciarn tras la instalacin de un paquete. Si se selecciona este parmetro y el paquete requiere que se reinicie el equipo, se pueden producir errores de la aplicacin en el dispositivo hasta que se reinicie el sistema. Si el paquete es un paquete SWD, esta opcin anula cualquier configuracin establecida en el paquete. Si el paquete es un ejecutable genrico o un paquete MSI, la configuracin del paquete puede anular esta opcin. Reiniciar slo si es necesario: los dispositivos se reiniciarn si as lo requiere el paquete. Reiniciar siempre: los dispositivos se reiniciarn independientemente de que el paquete lo requiera o no.
Pgina de Respuestas y tiempo

Esta pgina permite determinar la informacin que ve el usuario durante la instalacin o eliminacin del software. Esta pgina incluye las opciones siguientes: Ocultar todas las respuestas del usuario: esta opcin oculta la instalacin al usuario en la medida en la que el paquete de distribucin de software lo permita. Si se ha creado el paquete de distribucin de software para que se ejecute en segundo plano, esta opcin garantiza que no se requerir la intervencin del usuario. Si se ha creado el paquete de distribucin de software para que intervenga el usuario, esta opcin no puede garantizar que se eliminar por completo la necesidad de que intervenga el usuario. Mostrar el progreso al usuario: esta opcin incluye las dos opciones siguientes: Permitir al usuario cancelar: esta opcin permite al usuario cancelar la accin: ya sea una instalacin o una eliminacin. En general, no se recomienda para las directivas de aplicaciones. Mostrar la interfaz completa: esta opcin controla si el paquete se instala de forma silenciosa (desactivada) o si realiza la interaccin con el usuario cuando es necesario (activada). Muestra al usuario final el estado correcto o fallido: Si se marca, muestra un cuadro de dilogo despus de haber instalado el paquete que indica si la instalacin se realiz correctamente o con errores. Ejecutar el paquete inmediatamente: Instala el paquete inmediatamente sin permitir ninguna opcin de aplazamiento. Permitir que el usuario aplace la ejecucin del paquete: Habilita las opciones de aplazamiento para que los usuarios puedan aplazar las instalaciones del paquete. Esto le sirve de ayuda a los usuarios que estn en el medio de una tarea con la que la instalacin del paquete podra interferir. Aplazar automticamente hasta el prximo inicio de sesin: Cuando se marca, la instalacin del paquete se aplaza hasta el prximo inicio de sesin sin preguntarle a los usuarios. Despus del siguiente inicio de sesin, los usuarios vern el dilogo de aplazamiento si marca El usuario selecciona el perodo de aplazamiento. El usuario selecciona el perodo de aplazamiento: Esta opcin se deshabilita a menos que se seleccione Mostrarle progreso al usuario. Al marcar esta opcin se habilita la pgina Ms opciones de aplazamiento.
548
Acerca de la pgina Ms opciones de aplazamiento (en l pgina de respuestas y tiempo)

Utilice esta pgina para configurar los lmites de aplazamiento del paquete y las opciones de tiempo de espera. Para habilitar las opciones de esta pgina debe hacer clic en El usuario selecciona el perodo de aplazamiento en la pgina Respuesta y tiempo. Esta pgina incluye las opciones siguientes: Cantidad de tiempo que el usuario puede aplazar el paquete: Seleccione la cantidad de horas, minutos o segundos que se aplazarn los paquetes si el usuario hace clic en Esperar en el dalogo de aplazamiento. El aplazamiento del usuario es limitado: Si se marca, limita la cantidad de veces que los usuarios pueden hacer clic en Esperar cuando aparece el cuadro de dilogo de aplazamiento. Cantidad de veces que el usuario puede aplazar: Lmite del aplazamiento. Esperar respuesta del usuario antes de continuar: Si se selecciona, se muestra el cuadro de dilogo de aplazamiento y espera la respuesta del usuario, sin considerar el tiempo de aplazamiento especificado. Si los usuarios tardan demasiado en responder o no hay nadie en el equipo, el tiempo de la tarea se agota y produce errores. Cuando se espera la respuesta del usuario, podr seleccionar la accin predeterminada de una lista desplegable. Haga clic en el botn circular que se encuentra al lado de la lista desplegable y seleccione Cancelar, Ejecutar el paquete o Aplazar. A continuacin, puede especificar la cantidad de tiempo que el dilogo de aplazamiento espera la respuesta antes de completar la accin seleccionada. Cantidad de tiempo antes de que la instalacin o eliminacin se inicie automticamente: Cantidad de tiempo antes de que se complete la accin de la lista desplegable.
Acerca de la pgina Mensajes personalizados (en la pgina de respuestas y tiempo)

Utilice esta pgina si desea configurar un mensaje personalizado para el cuadro de dilogo de aplazamiento. Este cuadro de dilogo slo se abre si permite los aplazamientos. El origen de la pgina HTML para las pginas de aplazamiento se encuentra en el servidor central, en la carpeta LDLogon\html\. Utilizar pginas HTML personalizadas: Utiliza las pginas HTML ubicadas en la carpeta LDLogon\html\ del servidor central. Incluir mensaje personalizado en el cuadro de dilogo de aplazamiento: Agrega el texto que especific (incluso el formato HTML) en el dilogo de aplazamiento y reemplaza el texto estndar que generalmente se inserta. El dilogo an puede mostrar los botones Esperar, Cancelar e Instalar ahora con el texto que describe las acciones que se realizan cuando se hace clic en cada botn.
Acerca de la pgina Tiempo de implementacin

Esta pgina permite controlar el momento en el que se implementa el paquete una vez llegado al dispositivo. No es necesario seleccionar ninguna de estas opciones si desea implementar el paquete en el momento en el que lo program.
549
MANUAL DE USUARIO
Si desea proporcionar a los dispositivos algn control, existen estas opciones: Posponer instalacin/eliminacin hasta el siguiente inicio de sesin: Esta opcin retrasa la implementacin hasta la prxima vez que un usuario inicie sesin en el equipo. Permitir al usuario posponer la instalacin/eliminacin: Esta opcin permite al usuario posponer la tarea. Esta opcin se puede personalizar mediante los parmetros siguientes: Utilizar mensaje personalizado: Esta opcin permite especificar un mensaje de retraso personalizado. Cantidad de tiempo antes de que la instalacin/desinstalacin se inicie automticamente: Esta opcin permite especificar el tiempo de espera mximo para que el usuario introduzca un perodo de retraso. El valor predeterminado es 60 segundos. Si el usuario no responde a la solicitud del perodo de retraso en el intervalo especificado, se inicia la implementacin.
Pgina Tipo y Frecuencia de la poltica

Esta pgina aparece con los tipos de entregas basadas en polticas y afecta la forma en que actan los dispositivos si reciben la poltica: Requerido: El agente de entrega basada en polticas aplica automticamente las polticas necesarias sin que tenga que intervenir el usuario. Estas directivas se pueden configurar para que se ejecuten en segundo plano. Cualquier interfaz de usuario que aparezca en el dispositivo mientras se instala una tarea requerida no deber bloquear el funcionamiento del sistema; en otras palabras, la instalacin de la aplicacin no debe precisar la intervencin del usuario. Recomendado: los usuarios pueden seleccionar cundo instalar las directivas recomendadas. stas se seleccionan de forma predeterminada en la interfaz de usuario del dispositivo. Opcional: los usuarios pueden seleccionar cundo instalar las directivas opcionales. stas no se seleccionan de forma predeterminada en la interfaz de usuario del dispositivo.
Tambin se puede configurar la frecuencia con la que se ejecutar una poltica: Ejecutar una vez: una vez se ejecuta correctamente una directiva en un dispositivo, ste no la volver a ejecutar de nuevo. A peticin: se pueden instalar en cualquier momento. Peridicamente: cuando se define una directiva opcional o recomendada como peridica, se eliminar de la interfaz de usuario cuando se procese correctamente y se mostrar de nuevo en la interfaz de usuario cuando haya transcurrido el intervalo especificado.
Pgina Degradar
Utilice esta pgina para configurar el comportamiento de la distribucin si el sistema operativo o los agentes del dispositivo de destino no admiten los mtodos de entrega elegidos. Por ejemplo, si utiliza agentes de Management Suite anteriores en los dispositivos, es probable que no admitan la multidifusin o la descarga entre iguales. Opciones de degradacin de SO:
550
Degradar funcionalidad al nivel del sistema operativo: permite que las tareas continen aunque las opciones del mtodo de entrega seleccionado no estn activas. Fallo si el sistema operativo no admite la funcionalidad predeterminada: la tarea falla si el sistema operativo no admite las opciones del mtodo de entrega que ha seleccionado.
Opciones de degradacin de dispositivo: Degradar funcionalidad al nivel del agente: permite que las tareas continen aunque las opciones del mtodo de entrega seleccionado no estn activas. Fallo si el agente no admite la funcionalidad predeterminada: la tarea falla si el agente no admite las opciones del mtodo de entrega que ha seleccionado.
Pgina Deteccin
Esta pgina permite elegir las opciones de deteccin de dispositivos. Para que el gestor de tareas programadas pueda procesar una tarea, debe detectar cada direccin IP actual de los dispositivos. Esta ficha permite configurar el modo en que el servicio se comunicar con los dispositivos. Opciones de deteccin: UDP: al seleccionar UDP se utiliza el servicio de deteccin de ping (PDS) a travs de UDP. La mayora de los componentes de dispositivo de Management Suite dependen de PDS, de modo que los dispositivos administrados deben tenerlo. PDS es parte del agente LANDesk estndar. Constituye el mtodo de deteccin predeterminado y el ms rpido. Con UDP, tambin puede seleccionar los reintentos y el tiempo de espera del ping de UDP. TCP: al seleccionar TCP se utiliza una conexin HTTP al dispositivo en el puerto 9595. Este mtodo de deteccin tiene la ventaja de que es capaz de funcionar a travs de un servidor de seguridad si se abre el puerto 9595. No obstante, est sujeto a los tiempos de espera de conexin HTTP si no se encuentran los dispositivos. Dichos tiempos de espera pueden ser de 20 segundos o ms. Si muchos de los dispositivos de destino no responden a la conexin TCP, la tarea tardar mucho en iniciarse. Ambos:al seleccionar Ambos, el servicio intenta la deteccin primero con UDP, luego con TCP y finalmente con DNS/WINS, si est seleccionado. Nmero de reintentos: cantidad de intentos de deteccin. Tiempo de espera de la Deteccin: duracin de la espera de una respuesta por cada intento de deteccin. Tiempo de espera para las difusiones de la Subred: duracin de la espera de una respuesta a las difusiones de subred. Inhabilitar difusin en subred:si se selecciona, se deshabilita la deteccin a travs de una difusin de subred. Si se selecciona, se enva una difusin dirigida a subredes mediante UDP y PDS. DNS/WINS:si se selecciona, se deshabilita la bsqueda del servicio de nombre para cada dispositivo, si falla el mtodo de deteccin TCP/UDP seleccionado.
551
MANUAL DE USUARIO
Ventana de estado de la distribucin de software de multidifusin

Esta ventana se muestra en el servidor central cuando hay una distribucin de multidifusin dirigida activa. Esta ventana muestra la informacin siguiente: Direccin UNC o URL del paquete: muestra la ubicacin del paquete que intenta distribuir en la actualidad. Esta lnea se actualiza con el archivo que se est transfiriendo. Estado: informe en tiempo real que muestra estado de la distribucin, si se ha completado y, en caso de que sea as, si se ha completado correctamente o no. Dominios de multidifusin: el campo situado en la parte superior muestra todas las subredes y los representantes de dominio de multidifusin que se utilizan en la distribucin. Cuando se sobresalta el representante de cada dominio, la ventana menor muestra todos los equipos que reciben su distribucin desde dicho representante de dominio. Cada equipo de la ventana menor contiene informacin sobre la forma en que se complet la distribucin en el mismo. Existen varios campos de informacin situados a la derecha de cada equipo, entre los que se incluyen Paquetes que faltan, Solicitudes de reenvo y Solicitudes de ralentizacin. Estos campos no incluyen ninguna informacin hasta que se haya completado la distribucin. Paquetes que faltan: Muestra la cantidad de paquetes que el dispositivo no pudo obtener del representante de la subred. Si este nmero no es 0, indica que la distribucin ha fallado. Solicitudes de reenvo: Muestra el nmero de veces que el dispositivo tuvo que solicitar que se reenviaran paquetes desde el representante de la subred. De este modo se puede medir, por ejemplo, qu tan ocupado est el dispositivo al manejar otros procesos durante la distribucin. Solicitudes de ralentizacin: muestra el nmero de veces que el dispositivo ha tenido que solicitar al representante de subred que reduzca la velocidad de la transferencia de paquetes. En este caso, un valor elevado suele indicar que el equipo tiene algn problema de hardware que est ralentizando la distribucin. Si hay un gran nmero de equipos con una gran cantidad de solicitudes de ralentizacin, compruebe el nmero de Retraso/Paquete en el representante de subred. Suele haber una correspondencia entre este valor y el nmero de solicitudes de ralentizacin.
Esta ventana se cierra de forma automtica una vez han transcurrido 10 segundos. Si desea que la ventana permanezca abierta durante toda la distribucin, haga clic en Mantener el cuadro de dilogo abierto para que la ventana permanezca abierta hasta que la cierre manualmente. Si el cuadro de dilogo se mantiene abierto, se detendr la ejecucin del archivo de comandos. Por tanto, asegrese de cerrarlo cuando haya finalizado.
Creacin de secuencias de comandos personalizadas

Si desea crear una secuencia de comando personalizada desde una plantilla genrica, puede utilizar la opcin Crear secuencia de comando personalizada. Para crear una secuencia de comando personalizada 1. Haga clic en Herramientas | Distribucin | Administrar secuencias de comandos.
552
2. 3. 4.
En el men contextual Todas las dems secuencias, haga clic en Crear secuencia de comandos personalizada. Introduzca un Nombre de secuencia de comando personalizada. Haga clic en Aceptar. El editor de texto predeterminado se abre con un documento cuyo nombre corresponde al nombre de la secuencia de comando personalizada que especific. Ingrese la secuencia de comando que desee y guarde el documento en la ruta predeterminada (LDMAIN\scripts).
Creacin de secuencias de comandos de implementacin de archivos

Si tan slo se desea copiar archivos en los dispositivos, se puede utilizar una secuencia de comandos de implementacin de archivos. Se puede transferir cualquier tipo de archivo, incluidos archivos de texto, al directorio especificado en el dispositivos. Las secuencias de comandos de implementacin de archivos admiten la multidifusin dirigida. Para distribuir archivos 1. 2. 3. 4. 5. Haga clic en Herramientas | Distribucin | Administrar secuencias de comandos. En el men contextual Todas las dems secuencias, haga clic en Crear secuencia de comandos de implementacin de archivos. Escriba un Nombre de secuencia y un Directorio de destino. Haga clic en Siguiente. Introduzca las opciones de dominio de multidifusin que desee. Haga clic en Siguiente. Seleccione los archivos que desee implementar; para ello, seleccione Ruta Web o Ruta del archivo compartido, introduzca la ruta y aada los archivos que desee al cuadro de lista. Haga clic en Siguiente. Lea el resumen de la pgina Finalizado y haga clic en Finalizar.
6.
Las secciones siguientes describen las pginas y opciones del asistente Crear secuencia de comandos de implementacin de archivos.
Pgina Opciones de descarga

Esta pgina permite configurar el lmite de ancho de banda y los retrasos de paquete. Descarga entre iguales (instalar slo desde la cach o un igual): slo se permite la descarga de paquetes si se encuentran en la cach local o en un igual del mismo dominio de multidifusin. Esta opcin permite conservar el ancho de banda de red. No obstante, para que la instalacin del paquete se realice correctamente, el paquete se debe encontrar en uno de estos dos lugares. Una forma de utilizar esta opcin consiste en copiar primero el paquete a un dispositivo de cada subred con la opcin anterior Slo archivo(s) de cach en el equipo con la multidifusin del asistente.
553
MANUAL DE USUARIO
Lmite dinmico de ancho de banda: especifica que el trfico de red que crea un dispositivo tiene prioridad con respecto al trfico de distribucin. Si selecciona esta opcin y deja el Porcentaje de ancho de banda mnimo disponible en 0, cuando el dispositivo inicia el trfico de red, la distribucin se reduce a aproximadamente un paquete por segundo hasta que se detenga el trfico. Esta opcin obliga una descarga completa del archivo en la cach del dispositivo, que tambin habilita el reinicio de punto de control a nivel de byte, donde las descargas se reanudan en el punto en el que se interrumpieron. Al reinstalar o reparar un paquete ESWD o MSI, puede que no se desee utilizar la opcin Lmite dinmico de ancho de banda, ya que estos tipos de paquetes normalmente slo descargan los archivos que necesitan. Porcentaje mnimo de ancho de banda disponible para utilizar en un equipo cliente: especifica el lmite dinmico de ancho de banda que se va a aplicar. Puede escribir valores de hasta el 50 por ciento del ancho de banda de red total disponible para el dispositivo. Por ejemplo, si hubiera otra aplicacin consumiendo ancho de banda de red en el dispositivo durante una distribucin y se define el porcentaje de ancho de banda en 50, la tarea de distribucin tomara el 50 por ciento y la aplicacin de dispositivo el otro 50. En la prctica, este porcentaje es variable porque el sistema operativo asigna automticamente gran parte del ancho de banda de red segn el nmero de aplicaciones que necesitan el ancho de banda y su prioridad. Retraso entre paquetes (igual): Esta opcin especifica el retraso entre paquetes para iguales en la misma subred. Este retraso se puede utilizar para acelerar o ralentizar las distribuciones. El aumento del retraso entre paquetes hace que la distribucin sea ms lenta y utiliza menos ancho de banda. Puede utilizar esta opcin con Lmite dinmico de ancho de banda, pero si estas opciones se utilizan de forma conjunta, el retraso de paquete tiene bastante repercusin. Retraso entre paquetes (origen): Especifica el retraso entre el origen del paquete y el destino del dispositivo. El aumento del retraso entre paquetes hace que la distribucin sea ms lenta y utiliza menos ancho de banda. Puede utilizar esta opcin con Lmite dinmico de ancho de banda, pero si estas opciones se utilizan de forma conjunta, el retraso de paquete tiene bastante repercusin.
Acerca de la pgina Opciones de tarea

Esta pgina permite configurar la implementacin de esta distribucin. Si distribuye un archivo MSI o un ejecutable genrico, se puede introducir cualquier opcin de lnea de comandos que sea necesario transmitir al archivo tras la multidifusin. La secuencia de comandos utiliza el lmite de distribucin predeterminado: Se puede limitar el nmero de equipos en los que la multidifusin dirigida realiza la distribucin de forma simultnea. Esta opcin utiliza el valor predeterminado que se estableci en la ficha Tareas personalizadas del cuadro de dilogo Configurar | Servicios bajo Distribuir en equipos X simultneamente. La secuencia de comandos utiliza un lmite de distribucin personalizado: Esta opcin permite sobrescribir el valor predeterminado de la tarea actual al especificar un valor diferente.
554
Instalar slo desde la cach o un igual: Esta opcin impide que los equipos de destino busquen ms all de su subred para instalar un paquete. Los equipos buscan en primer lugar en el directorio de cach de la multidifusin y si el paquete no se encuentra en dicha ubicacin, verifican los iguales de la subred en busca del paquete. Si el paquete no existe en ningn igual, la distribucin falla. Esta opcin permite reducir el trfico de red a travs de las subredes. Esta opcin se puede utilizar tras copiar un paquete en cada subred mediante la opcin Copiar en cach slo el o los archivos del equipo mediante la multidifusin de la pgina Crear secuencia de comandos. Compruebe el archivo antes de instalar el cliente: Genera un grupo (CRC) para el paquete que va a distribuir una vez finalizado el asistente. Los dispositivos pueden utilizar este valor de grupo para asegurarse de que el paquete o archivo recibido no est daado. En funcin del tamao del paquete o archivo que va a distribuir, puede que tenga que esperar varios minutos hasta que finalice el clculo del grupo. No intente completar tareas: Utilice esta opcin para no usar la funcin completar tareas a fin de reintentar tareas con errores. Generalmente, cuando se instala la finalizacin de tareas en los dispositivos, las tareas con errores se reintentarn la prxima vez que sta se ejecute. Si utiliza esta opcin, las tareas con errores se registrarn.
Acerca de la pgina Opciones de dominio de multidifusin

Esta pgina slo se muestra si se ha seleccionado la multidifusin como tipo de distribucin. Esta pgina permite configurar las opciones de multidifusin. Usar deteccin de dominio de multidifusin: esta opcin permite a la multidifusin dirigida realizar una deteccin de dominio para esta tarea. Esta opcin no guarda el resultado de la deteccin de dominio para utilizarla en un futuro. Usar deteccin de dominio de multidifusin y guardar los resultados: esta opcin permite a la multidifusin dirigida realizar una deteccin de dominio para esta tarea y guardar el resultado para utilizarlo en un futuro, lo que permite ahorrar tiempo en las consiguientes multidifusiones. Usar los resultados de la ltima deteccin de dominio de multidifusin: utilice esta opcin despus de que la multidifusin dirigida haya realizado una deteccin de dominio y haya guardado el resultado. Equipos de reactivacin de representantes de dominio: esta opcin permite hacer que los equipos que admiten la tecnologa Wake On LAN* se activen para que puedan recibir la multidifusin. El cuadro de dilogo Opciones de multidifusin permite configurar el tiempo que esperan los representantes de dominio para realizar la multidifusin una vez que se ha enviado el paquete Wake On LAN. El intervalo de tiempo predeterminado es de 120 segundos. Opciones avanzadas de multidifusin: esta opcin permite definir opciones avanzadas. Los valores predeterminados son adecuados para la mayora de las tareas.
Descubrimiento de dominios El descubrimiento de dominios slo es necesario en redes con subredes cuyo trfico de multidifusin puede verse de unas a otras. Si las subredes conocen el trfico las unas de las otras, puede ahorrar tiempo guardando en primer lugar los resultados de una deteccin de dominio y, a continuacin, seleccionando Utilizar resultados del ltimo descubrimiento de dominio de multidifusin de modo que la multidifusin dirigida no realiza una deteccin de dominio antes de cada tarea.
555
MANUAL DE USUARIO
Si las subredes de la red no pueden ver el trfico del resto, la multidifusin dirigida funcionar ms rpidamente realizando una deteccin previa de los dominios mediante el archivo de secuencia de comandos multicast_domain_discovery.ini incluido en la carpeta LDMAIN\Scripts. Esta secuencia de comandos no realiza ninguna operacin en los equipos destino. Ejecute esta secuencia de comandos desde la ventana Tareas programadas en una lista de destino que se extienda a lo largo de la red. De esta forma se guarda el resultado del descubrimiento de dominios para utilizarlo en un futuro. Quizs desee ejecutar esta secuencia de comandos peridicamente si existen grandes conjuntos de distribuciones de multidifusin. Si se ha seleccionado Usar archivo en cach en Configurar | Servicios de Management Suite | Multidifusin, la multidifusin dirigida continuar con el proceso de descubrimiento aunque se haya seleccionado Utilizar el resultado del ltimo descubrimiento de dominio de multidifusin. La multidifusin dirigida requiere realizar esta operacin para determinar los representantes de dominio de multidifusin que incluye potencialmente el archivo en la cach.
Acerca del cuadro de dilogo Opciones de multidifusin

El asistente para la secuencia de comandos de la implementacin de archivos tiene un cuadro de dilogo Opciones de multidifusin donde se pueden configurar parmetros de multidifusin dirigida especficos para la tarea. Los valores predeterminados de este cuadro de dilogo son adecuados para la mayora de las multidifusiones. A continuacin se explican cada una de las opciones: Nmero mximo de representantes de dominio de multidifusin funcionando simultneamente: este valor seala el nmero mximo de representantes que realizan activamente una multidifusin al mismo tiempo. Limitar el procesamiento de los equipos en los que ha fallado la multidifusin...: si un dispositivo no recibe el archivo a travs de la multidifusin, descargar el archivo desde el servidor de archivos o Web. Este parmetro se puede utilizar para limitar el nmero de dispositivos que obtienen el archivo a la vez. Por ejemplo, si el nmero mximo de subprocesos es 200 y el nmero mximo de subprocesos de fallo de multidifusin es 20, el cuadro de dilogo Tarea personalizada procesar un mximo de 20 equipos en el momento en que fall la multidifusin. El cuadro de dilogo Tarea personalizada procesa hasta 200 dispositivos a la vez si reciben correctamente la multidifusin, aunque como mximo 20 de los 200 subprocesos correspondern a dispositivos en los que fall la tarea de multidifusin. Si este valor se establece como 0, el cuadro de dilogo Tarea personalizada no realizar la parte de la tarea correspondiente a la distribucin para cualquier equipo en el que haya fallado la multidifusin. Nmero de das que permanecern los archivos en la cach del cliente: cantidad de tiempo que puede permanecer el archivo de multidifusin en la cach de los equipos cliente. Transcurrido este perodo de tiempo, el archivo se purgar automticamente. Nmero de das que permanecern los archivos en la cach del representante de dominio de multidifusin: cantidad de tiempo que puede permanecer el archivo de multidifusin en la cach del representante de dominio de multidifusin. Transcurrido este perodo de tiempo, el archivo se purgar automticamente.
556
Nmero mnimo de milisegundos entre las transmisiones de paquetes (WAN o Local): cantidad de tiempo mnima que debe transcurrir entre el envo de diferentes paquetes de multidifusin. Este valor slo se utiliza cuando el representante no transfiere el archivo desde su propia cach. Si no se especifica este parmetro, se utilizar el tiempo de espera mnimo predeterminado almacenado en el equipo representante de dominio/subred. Puede utilizar este parmetro para limitar el uso de ancho de banda en la red WAN. Nmero mximo de milisegundos entre las transmisiones de paquetes (WAN o Local): cantidad de tiempo mxima que debe transcurrir entre el envo de diferentes paquetes de multidifusin. Para obtener ms informacin, consulte Nmero mnimo de milisegundos entre transmisiones de paquetes. Nmero de segundos que se esperar tras la funcin Wake On LAN: expresa la cantidad de tiempo que esperan los representantes de dominio para realizar la multidifusin tras enviar el paquete Wake On LAN. El intervalo de tiempo predeterminado es de 120 segundos. Si algunos equipos de la red tardan ms de 120 segundos en iniciar, se recomienda aumentar este valor. El valor mximo permitido es 3600 segundos (una hora).
Acerca de la pgina Seleccionar archivos para implementar

La pgina Seleccionar archivos para implementar aparece en el asistente de la secuencia de comandos de transferencia de archivos. Ruta Web: haga clic en esta opcin para acceder a los paquetes almacenados en un servidor Web. Es necesario incluir http:// en la direccin URL. Ruta de la carpeta compartida de archivos: haga clic en Ruta de la carpeta compartida de archivos para acceder a paquetes almacenados en un recurso compartido de sesin annima de un servidor de archivos. Esta ruta debe escribirse de acuerdo con la convencin de nomenclatura unificada (UNC), \\nombre_del_servidor\nombre_del_recurso_compartido\. Examinar: haga clic en Examinar para desplazarse hasta la ubicacin que desee. Si se selecciona Ruta Web, se abrir una ventana pequea de exploracin. Si se selecciona Ruta de la carpeta compartida de archivos, se abre un cuadro de dilogo estndar de exploracin. Para explorar el directorio de un servidor Web en la ventana del explorador Seleccionar la ubicacin del paquete, es necesario incluir una barra oblicua final en la URL (/), ya que, de lo contrario, la ventana del explorador dar un error. Agregar: haga clic en Agregar para aadir directamente un programa desde el cuadro de edicin de ruta una vez introducida el nombre del archivo y la ruta completa. Quitar: seleccione un archivo que haya aadido y haga clic en Quitar para eliminar un archivo de la lista.
Acerca de la pgina Finalizado

Esta pgina resume las opciones seleccionadas para implementar el paquete. Antes de continuar, asegrese de que los dispositivos administrados cumplen todos los requisitos enumerados en la seccin de advertencia. Si selecciona Establecer como predeterminado, las opciones de configuracin seleccionadas se establecern como valores predeterminados para este asistente.
557
MANUAL DE USUARIO
Haga clic en Finalizar y programe la distribucin de las secuencias de comandos.
558
Ayuda de la deteccin de dispositivos no administrados

A la herramienta de Deteccin de dispositivos no administrados (UDD) de LANDesk se accede desde la consola principal de LANDesk (Herramientas | Configuracin | Deteccin de dispositivos no administrados). Esta herramienta ofrece un mtodo para encontrar dispositivos en la red que no hayan enviado un rastreo de inventario a la base de datos central de LANDesk. UDD dispone de varias formas de localizar dispositivos no administrados. Tambin provee la Deteccin extendida de dispositivos (XDD), la cual depende de un agente de dispositivo que escucha las difusiones ARP y WAP de red. El agente de deteccin extendida de dispositivos luego busca a los dispositivos detectados por el agente de LANDesk. Si el agente de LANDesk no responde, la deteccin extendida de dispositivos muestra al dispositivo en la lista Equipos. La deteccin extendida de dispositivos es ideal en situaciones donde los servidores de seguridad evitan que los dispositivos respondan a los mtodos de deteccin UDD normales basados en ping. El captulo Unmanaged device discovery describe esta herramienta. En aquel captulo encontrar informacin introductoria, como tambin instrucciones detalladas de cmo utilizar todas las funciones de la herramienta. Este captulo contiene las siguientes secciones de ayuda en lnea que describen los cuadros de dilogo de la herramienta de Deteccin de dispositivos no administrados. Desde la interfaz de la consola, se puede acceder a estas secciones de ayuda si hace clic en el botn Ayuda de su respectivo cuadro de dilogo.
Cuadro de dilogo Configuracin del rastreador

Utilice este cuadro de dilogo para personalizar y ejecutar los rastreos de dispositivos no administrados. Para acceder a este cuadro de dilogo, en la ventana de la herramienta Deteccin de dispositivos no administrados haga clic en el botn Rastrear red de la barra de herramientas. Configuraciones guardadas: muestra las configuraciones guardadas del rastreador. Para guardar una configuracin, cambie los valores que desee, haga clic en Nuevo, asigne un nombre a la configuracin y, una vez seleccionada la nueva, haga clic en Guardar. Deteccin de CBA: detecta los dispositivos con el agente CBA en ejecucin. Si los dispositivos disponen de CBA, ste es el mtodo de deteccin ms rpido. Deteccin de PDS2: detecta dispositivos utilizando el antiguo agente PDS2 de LANDesk. Slo se puede optar por esta opcin si se selecciona la CBA en primer lugar. Rastreo de red: detecta dispositivos utilizando un barrido de ping ICMP. Se trata del mtodo de deteccin ms lento y minucioso. Dominio NT: detecta dispositivos en un dominio de Windows NT. Esta opcin utiliza la informacin de la cuenta de dominio de NT y no necesita ningn intervalo de direccin IP, aunque se puede especificar uno. Al seleccionar esta opcin y hacer clic en Configurar se abre el cuadro de dilogo Configuracin de dominio NT donde se puede personalizar la configuracin de la deteccin de dominio NT.
559
MANUAL DE USUARIO
Filtrar por intervalo IP (para dominios NT y LDAP): filtra la deteccin de LDAP y el dominio NT en funcin de los intervalos IP especificados en IP de inicio e IP de finalizacin. LDAP: detecta dispositivos en un directorio LDAP. Al seleccionar esta opcin y hacer clic en Configurar se abre el cuadro de dilogo Configuracin de LDAP donde se puede personalizar la configuracin de la deteccin de LDAP. IPMI: Busca servidores habilitados para la Interfaz de administracin de plataforma inteligente (IPMI), lo que permite el acceso a muchas funciones sin importar que el servidor est encendido o no, o en qu estado se encuentre el SO. Chasis del servidor: busca mdulos de administracin de chasis de hoja (CMM). Las hojas en el chasis del servidor se detectan como servidores individuales. Intel* AMT: busca los dispositivos habilitados para tecnologa Active Management. Los dispositivos habilitados para Intel AMT figuran en la carpeta Intel AMT. IP de inicio:especifique la direccin IP de inicio para el intervalo de direcciones que desee rastrear. IP de finalizacin:especifique la direccin IP de finalizacin para el intervalo de direcciones que desee rastrear. UDD actualiza este campo automticamente a medida que se indica la direccin IP de inicio; la direccin IP de finalizacin se puede modificar de forma manual. La IP de finalizacin se calcula utilizando el valor de la mscara de subred + el valor indicado en la IP de inicio. Mscara de subred: introduzca la mscara de subred para el intervalo de direccin IP que se est explorando. Agregar y Quitar: agrega o elimina los intervalos de direccin IP de la cola de trabajo en la parte inferior del cuadro de dilogo. Programar tarea: programa el rastreo en funcin de la configuracin establecida. En la ventana Tareas programadas se puede personalizar la hora de inicio. Los rastreos programados se inician en el servidor central. Rastrear ahora: inicia el rastreo inmediatamente en funcin de la configuracin establecida. Las exploraciones que aqu se inician se originan en la consola en la que se est. Una vez comenzada la exploracin, aparecer el cuadro de dilogo Estado del rastreo donde se muestra el nmero total de dispositivos localizados, cuntos de los existentes se han actualizado y cuntos nuevos se han aadido.
Cuadro de dilogo Configuracin de dominio NT

Este cuadro se utiliza para configurar el modo de conexin al dominio que se desea explorar. Dominio: indique el dominio que desea explorar. Iniciar sesin con el usuario actual: seleccione esta opcin si inicia la sesin como usuario con acceso al dominio que va a explorar. Iniciar sesin como: seleccione esta opcin si no inicia la sesin como usuario con acceso al dominio que va a explorar. Asimismo, introduzca un nombre de usuario y una contrasea. Agregar y Quitar: aada los dominios que configure y que desee explorar a la cola de trabajo haciendo clic en Agregar. Seleccione Quitar para eliminar el dominio seleccionado de la cola de trabajo.
560
Cuadro de dilogo Configuracin de LDAP

Este cuadro se utiliza para configurar el modo de conexin al directorio LDAP que se desea explorar. LDAP://: indique el directorio LDAP que desee explorar. Iniciar sesin con el usuario actual: seleccione esta opcin si inicia la sesin como usuario con acceso al directorio que va a explorar. Iniciar sesin como: seleccione esta opcin si no inicia la sesin como usuario con acceso al directorio que va a explorar. Asimismo, introduzca un nombre de usuario y una contrasea. Seleccionar unidades OU: seleccione las unidades organizativas (OU) que desee explorar. Haga clic en Agregar para aadir estas unidades a la cola de trabajo. Seleccione Quitar para eliminar la OU seleccionada de la cola. Ruta de acceso de Active Directory: muestra la ruta de acceso de Active Directory, si es necesario.
Configuracin de rastreos de SNMP

Las detecciones de rastreo de red pueden utilizar SNMP. Segn la configuracin de SNMP de la red, es probable que deba especificar informacin adicional sobre SNMP en UDD. Haga clic en Configurar junto a la opcin SNMP para abrir el cuadro de dilogo Configuracin de SNMP, el cual contiene tres opciones: Reintentos: cantidad de veces que UDD reintenta la conexin SNMP. Espera de respuesta en segundos: lapso de tiempo que UDD debe esperar una respuesta SNMP. Puerto: puerto al que UDD debe enviar las consultas de SNMP. Nombre de comunidad: nombre de la comunidad SNMP que UDD debe utilizar. Configurar SNMP V3: UDD tambin admite SNMP V3. Haga clic en este botn para configurar las opciones de SNMP V3 en el cuadro de dilogo Configuracin de SNMP V3.
El cuadro de dilogo Configuracin de SNMP V3 contiene estas opciones: Nombre de usuario: el nombre de usuario que UDD debe utilizar para la autenticacin con el servicio SNMP remoto. Contrasea: contrasea del servicio SNMP remoto. Tipo de autenticacin: tipo de autenticacin que SNMP utiliza. Puede ser MD5, SHA o Ninguna. Tipo de privacidad: mtodo de codificacin que utiliza el servicio SNMP. Puede ser DES, AES128 o Ninguna. Contrasea de privacidad: contrasea que se utiliza con el tipo de privacidad especificado. No est disponible si selecciona el tipo de privacidad Ninguna.
561
MANUAL DE USUARIO
Acerca del cuadro de dilogo de la lista Configuracin de la deteccin ARP (o WAP)

Use este cuadro de dilogo para administrar la configuracin de ARP y WAP que se utiliza para la deteccin extendida de dispositivos. Una vez configurado, puede aplicar la configuracin XDD a las tareas de rastreo. Este cuadro de dilogo contiene las opciones siguientes: Nuevo: abre el cuadro de dilogo Configuracin donde puede configurar las opciones de mtodos de deteccin. Editar: abre el cuadro de dilogo de configuracin donde puede modificar la configuracin seleccionada. Copiar: abre una copia de la configuracin seleccionada como una plantilla que luego puede modificar y a la que se le puede cambiar el nombre. Esto resulta til si desea realizar ajustes menores en la configuracin y guardarlos para un propsito especfico. Eliminar: quita la configuracin seleccionada de la base de datos. Tenga en cuenta que es posible que la configuracin seleccionada se encuentre actualmente asociada a una o ms tareas o dispositivos administrados. Si elige eliminar la configuracin: los dispositivos con esa configuracin la seguirn utilizando hasta que se implemente una tarea de configuracin de agente nueva; las tareas programadas con esa configuracin se seguirn ejecutando en los dispositivos de destino tal como lo hacen las tareas del programador local con esa configuracin hasta que se implemente una nueva. Cerrar: cierra el cuadro de dilogo sin aplicar una configuracin a la tarea.
Acerca del cuadro de dilogo Configuracin de deteccin ARP

Utilice este cuadro de dilogo para personalizar la configuracin de rastreo de la deteccin extendida de dispositivos basada en ARP. Nombre de configuracin: identifica la configuracin con un nombre nico. Este nombre aparece en la lista desplegable Configuracin en un cuadro de dilogo de lista de configuraciones. Duracin de las entradas ARP de estadsticas en cach (en segundos): Tiempo durante el cual los dispositivos con el agente de deteccin extendida de dispositivos mantienen una direccin en la tabla ARP. A los dispositivos del cach ARP no se les har ping despus del ping de deteccin inicial. El valor predeterminado es 24 horas (86,400 segundos). El valor mnimo es 900 segundos.
562
Retraso mximo (en segundos) para enviar pings a un dispositivo desconocido para el agente de LANDesk: Cuando un dispositivo que tiene el agente de deteccin extendida de dispositivos reconoce un ARP nuevo, el dispositivo espera dos minutos para que el dispositivo detectado se inicie y luego espera durante un perodo aleatorio de tiempo dentro del valor especificado aqu. El agente que tiene la espera aleatoria ms breve hace primero un ping y luego se enva la difusin UDP a la subred que se ocup del ping de dicho dispositivo. Si hay varios agentes de deteccin extendida de dispositivos instalados, los dispositivos no pueden generar trfico en exceso y hacen ping al mismo tiempo. Si se establece muy alto, es probable que los dispositivos no administrados abandonen la red antes de que se les pueda hacer un ping. Si se establece demasiado bajo, es probable que varios agentes hagan ping e informen sobre el mismo dispositivo. El valor predeterminado es una hora (3,600 segundos). Frecuencia (en segundos) de actualizacin de la tabla de ARP en cach: Frecuencia con la que el dispositivo escribe el cach ARP en el disco para no perder la informacin si el dispositivo se apaga, se bloquea o se reinicia. El valor predeterminado es cinco minutos (300 segundos). Nivel de registro: Nivel de registro de errores (1), advertencias (2), todo (3) de la deteccin extendida de dispositivos. El nivel predeterminado es 1- Errores solamente. Los registros se almacenan localmente en C:\Archivos de programa\LANDesk\LDClient\xddclient.log. Forzar el nivel de sesin: Reemplaza la configuracin del nivel de registro desde el servidor central. Si desactiva esta opcin, puede establecer el nivel de registro de forma manual en un dispositivo especfico. Esto puede resultar til para resolver problemas en un dispositivo especfico sin tener que cambiar el nivel de registro de todos los dispositivos. Est habilitada de forma predeterminada. La deteccin extendida de dispositivos est habilitada: Cuando se desactiva, XDD se apaga en todos los dispositivos. Esta configuracin surtir efecto la prxima vez que un dispositivo con la deteccin extendida busque una actualizacin para la configuracin de la deteccin extendida de dispositivos en el servidor central. El agente busca actualizaciones para la configuracin en el servidor central aunque la deteccin no est habilitada. Est habilitada de forma predeterminada.
Acerca del cuadro de dilogo Historial de detecciones de ARP

Utilice este cuadro de dilogo para configurar la manera en que el servidor central mantiene la historia de deteccin ARP. Esta informacin histrica se utiliza para generar informes sobre la deteccin extendida de dispositivos. Las opciones de este cuadro de dilogo no afectan a los dispositivos detectados que se visualizan en la ventana principal de la deteccin de dispositivos no administrados. Este historial slo se aplica a los dispositivos detectados a travs de ARP que no tienen agentes LANDesk. Mantener historial por este perodo de das: Al seleccionar esta opcin se puede especificar la cantidad de das del historial de detecciones de ARP que se desean guardar en la base de datos. La informacin del historial de detecciones de ARP cuyos das superen a los especificados se eliminarn de la base de datos durante el mantenimiento. Borrar manualmente: Es la opcin predeterminada. El historial de la deteccin de ARP no se eliminar durante el mantenimiento. Borrar todas las entradas ahora: Haga clic en este botn para eliminar inmediatamente el historial de detecciones de ARP de la base de datos.
563
MANUAL DE USUARIO
Acerca del cuadro de dilogo Configuracin de deteccin WAP

Utilice este cuadro de dilogo para configurar el rastreo de la deteccin extendida de dispositivos basada en WAP. Este cuadro de dilogo contiene las opciones siguientes: Nombre de configuracin: identifica la configuracin con un nombre nico. Este nombre aparece en la lista desplegable Configuracin en un cuadro de dilogo de lista de configuraciones. Frecuencia del rastreo WAP (en segundos): Especifica la frecuencia con que el agente de deteccin extendida de dispositivos rastrea los puntos WAP. Nivel de registro: Nivel de registro de errores (1), advertencias (2), todo (3) de la deteccin extendida de dispositivos. El nivel predeterminado es 1- Errores solamente. Los registros se almacenan localmente en C:\Archivos de programa\LANDesk\LDClient\xddclient.log. Forzar el nivel de sesin: Reemplaza la configuracin del nivel de registro desde el servidor central. Si desactiva esta opcin, puede establecer el nivel de registro de forma manual en un dispositivo especfico. Esto puede resultar til para resolver problemas en un dispositivo especfico sin tener que cambiar el nivel de registro de todos los dispositivos. Est habilitada de forma predeterminada.
564

LANDesk Security Suite User 8.8

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

LANDesk Security Suite User 8.8

Încărcat de

Drepturi de autor:

Formate disponibile

LANDesk Security Suite 8.

LANDESK SECURITY SUITE

LANDESK SECURITY SUITE

LANDESK SECURITY SUITE

Introduccin a LANDesk Security Suite

Informacin general: Una solucin de seguridad en capas

Configuracin y bloqueo de dispositivos

Rastreo y deteccin de dispositivos no

LANDESK SECURITY SUITE

Tarea / problema de seguridad administrados

Solucin de LANDesk Security Suite Deteccin extendida de dispositivos (ARP y WAP)

Instalacin/activacin de Security Suite

Suscripcin a los contenidos de Security Suite

LANDESK SECURITY SUITE

Herramientas y funciones de Security Suite

Administrador de Seguridad y Revisiones

Cumplimiento de estndares de nombres CVE

Control de acceso de red de LANDesk:

Actualizar: Otras soluciones de control de acceso de red

LANDESK SECURITY SUITE

LANDesk Host Intrusion Prevention System

Administrador de control de conexiones

Herramientas de LANDesk comunes adicionales incluidas con LANDesk Security Suite

Configuracin de conjuntos de columnas

LANDESK SECURITY SUITE

Deteccin de dispositivos no administrados

Escritorio ejecutivo de la consola Web

Administracin de usuario basada en funciones y herramienta de cuentas locales

Otras funciones de administracin de LANDesk incluidas con Security Suite

Fuentes de informacin adicionales

LANDESK SECURITY SUITE

Administrador de Seguridad y Revisiones

LANDESK SECURITY SUITE

Introduccin al Administrador de Seguridad y Revisiones

LANDESK SECURITY SUITE

Suscripciones y tipos de contenido de seguridad

Vulnerabilidades (vulnerabilidades conocidas especficas de las plataformas y las aplicaciones)

Plataformas de dispositivos compatibles

Administracin basada en funciones con el Administrador de Seguridad y Revisiones

LANDESK SECURITY SUITE

Derechos del Administrador de Seguridad y Revisiones

Administrador de Seguridad y Revisiones

Cumplimiento de la seguridad y revisiones

Editar variables personalizadas

Flujo de trabajo de las tareas de administracin de seguridad y revisiones

LANDESK SECURITY SUITE

Uso de la ventana herramientas del Administrador de Seguridad y Revisiones

Botones de la barra de herramientas

LANDESK SECURITY SUITE

Lista desplegable de tipos

LANDESK SECURITY SUITE

Vista de rbol del Administrador de Seguridad y Revisiones

Tipo de nombre (o Todos los tipos)

LANDESK SECURITY SUITE

Puede utilizar los subgrupos de productos para realizar operaciones de grupo.

LANDESK SECURITY SUITE

Uso del men contextual de una definicin

Detalles de las reglas de deteccin

LANDESK SECURITY SUITE

Configuracin de dispositivos para rastreos de seguridad y reparaciones

Configuracin de dispositivos Windows para rastreos de seguridad

Configuracin de seguridad adicional en las configuraciones del agente

Consulte las secciones siguientes, si desea ms informacin.

LANDESK SECURITY SUITE