Documente Academic
Documente Profesional
Documente Cultură
INFORMACIÓN DE LICENCIA
Acuerdo de licencia
AVISO A TODOS LOS USUARIOS: LEA DETENIDAMENTE EL ACUERDO LEGAL CORRESPONDIENTE A LA LICENCIA QUE HA ADQUIRIDO, QUE ESTIPULA
LOS TÉRMINOS Y CONDICIONES GENERALES PARA EL USO DEL SOFTWARE CON LICENCIA. SI NO SABE QUÉ TIPO DE LICENCIA HA ADQUIRIDO,
CONSULTE LOS DOCUMENTOS DE VENTA Y OTROS DOCUMENTOS RELACIONADOS CON LA CONCESIÓN DE LA LICENCIA O CON LA ORDEN DE COMPRA
QUE ACOMPAÑAN AL PAQUETE DE SOFTWARE, O QUE HAYA RECIBIDO POR SEPARADO COMO PARTE DE LA COMPRA (POR EJEMPLO, UN MANUAL, UN
ARCHIVO DEL CD DEL PRODUCTO O UN ARCHIVO DISPONIBLE EN EL SITIO WEB DESDE EL QUE DESCARGÓ EL PAQUETE DE SOFTWARE). SI NO
ACEPTA TODOS LOS TÉRMINOS DESCRITOS EN EL ACUERDO, NO INSTALE EL SOFTWARE. SI PROCEDE, PUEDE DEVOLVER EL PRODUCTO A MCAFEE O
AL LUGAR DONDE LO ADQUIRIÓ CON EL FIN DE OBTENER SU REEMBOLSO ÍNTEGRO.
1 Introducción 9
Módulos de Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Cómo Endpoint Security protege su equipo . . . . . . . . . . . . . . . . . . . . . . . 10
Cómo se mantiene actualizada su protección . . . . . . . . . . . . . . . . . . . 11
Interacción con Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Acceso a las tareas de Endpoint Security desde el icono de la bandeja del sistema de McAfee
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Acerca de los mensajes de notificación . . . . . . . . . . . . . . . . . . . . . . 14
Acerca de Cliente de Endpoint Security . . . . . . . . . . . . . . . . . . . . . . 15
Índice 205
®
McAfee Endpoint Security es una exhaustiva solución de administración de la seguridad que se
ejecuta en los equipos de la red para identificar y detener amenazas automáticamente. En esta Ayuda
se explica cómo utilizar las funciones de seguridad básicas y solucionar problemas.
Para utilizar la ayuda de Endpoint Security en Internet Explorer, se debe activar Configuración de seguridad |
Automatización | Active scripting en el navegador.
Introducción
• Módulos de Endpoint Security en la página 9
Tareas frecuentes
• Abra Cliente de Endpoint Security en la página 19
Información adicional
Para acceder a información adicional sobre este producto, consulte:
• Soporte de McAfee
Endpoint Security es una exhaustiva solución de administración de la seguridad que se ejecuta en los
equipos de la red para identificar y detener amenazas automáticamente. En esta Ayuda se explica
cómo utilizar las funciones de seguridad básicas y solucionar problemas.
Si su equipo está gestionado, un administrador configura y ajusta Endpoint Security mediante uno de
estos servidores de administración:
Para obtener la información más reciente sobre la licencia de gestión y la autorización de Endpoint
Security, consulte KB87057.
Protección adaptable frente a amenazas no es compatible con sistemas gestionados por McAfee ePO
Cloud.
Contenido
Módulos de Endpoint Security
Cómo Endpoint Security protege su equipo
Interacción con Endpoint Security
• Firewall : supervisa las comunicaciones entre el equipo y los recursos de la red o Internet.
Intercepta las comunicaciones sospechosas.
• Control web : muestra calificaciones de seguridad e informes sobre sitios web durante la
navegación y la búsqueda online. Control web permite al administrador de sitios web bloquear el
acceso a los sitios web basándose en su calificación de seguridad o contenido.
Protección adaptable frente a amenazas no es compatible con sistemas gestionados por McAfee ePO
Cloud.
Además, el módulo Ajustes generales proporciona la configuración para las funciones comunes, tales
como la seguridad de interfaz y el registro. Este módulo se instala automáticamente si se instala
cualquier otro módulo.
Si Endpoint Security está autogestionado, puede especificar cómo operan los módulos y las funciones.
Para determinar el tipo de administración, consulte la página Acerca de.
Periódicamente, el software cliente del equipo se conecta a un sitio web de Internet con el fin de
actualizar sus componentes. Al mismo tiempo, envía datos acerca de las detecciones que haya
encontrado en el equipo a un sitio web administrativo. Estos datos se emplean para generar informes
para el administrador sobre las detecciones y los problemas de seguridad del equipo.
Generalmente, el software cliente funciona en segundo plano sin que sea necesaria su actuación. No
obstante, y de manera ocasional, es posible que se vea obligado a interactuar. Por ejemplo, es posible
que desee comprobar manualmente si hay actualizaciones de software o realizar análisis en busca de
malware. Dependiendo de las directivas configuradas por el administrador, es posible que usted pueda
personalizar la configuración de seguridad.
Si actúa como administrador, podrá administrar y configurar de manera centralizada el software cliente
mediante McAfee ePO o McAfee ePO Cloud.
Para obtener la información más reciente sobre la licencia de gestión y la autorización de Endpoint
Security, consulte KB87057.
Véase también
Introduzca información sobre su protección en la página 21
• Actualizaciones de los archivos de contenidos utilizados para detectar amenazas. Los archivos de
contenido incluyen definiciones de amenazas tales como virus y spyware, y estas definiciones se
actualizan a medida que se descubren nuevas amenazas.
Para simplificar la terminología, esta Ayuda denomina actualizaciones tanto a actualizaciones como a
ampliaciones.
Las actualizaciones suelen funcionar en segundo plano. Puede que también tenga que comprobar si
hay actualizaciones manualmente. Dependiendo de la configuración, puede actualizar manualmente su
Véase también
Actualización del contenido y el software de forma manual en la página 22
McAfee Labs busca y agrega información sobre amenazas conocidas (firmas) a los archivos de
contenido. Junto con las firmas, los archivos de contenido incluyen información sobre la limpieza y
reparación del daño que el malware detectado pueda causar. Surgen nuevas amenazas, y McAfee Labs
publica archivos de contenido actualizados con frecuencia.
Endpoint Security almacena el archivo de contenido que se ha cargado y las dos versiones anteriores
en la carpeta Archivos de programa\Common Files\McAfee\Engine\content. Si es necesario, puede
restaurar una versión anterior.
McAfee publica nuevos archivos de contenido de Protección adaptable frente a amenazas cada dos
meses.
Protección adaptable frente a amenazas es un módulo opcional de Endpoint Security. Para disponer
de más fuentes de inteligencia de amenazas y funciones, despliegue el Servidor de Threat
Intelligence Exchange. Para obtener información, póngase en contacto con su reseller o
representante de ventas.
Real Protect es un componente del módulo opcional Protección adaptable frente a amenazas.
• Firmas de protección de la memoria: protección genérica contra desbordamiento del búfer (GBOP),
validación del autor de la llamada, Prevención genérica de la escalación de privilegios (GPEP) y
supervisión de API dirigida.
El contenido de Prevención de exploits es similar a los archivos de contenido de McAfee Host IPS.
Véase KB51504.
McAfee publica nuevos archivos de contenido de Prevención de exploits una vez al mes.
• Página Análisis en tiempo real: muestra la lista de detección cuando el análisis en tiempo real
detecta una amenaza.
• Cliente de Endpoint Security: muestra el estado actual de la protección y proporciona acceso a las
funciones.
Para los sistemas gestionados, el administrador configura y asigna las directivas para especificar qué
componentes aparecen.
Véase también
Acceso a las tareas de Endpoint Security desde el icono de la bandeja del sistema de McAfee
en la página 13
Acerca de los mensajes de notificación en la página 14
Administrar detecciones de amenazas en la página 59
Acerca de Cliente de Endpoint Security en la página 15
Haga clic con el botón derecho en el icono de la bandeja del sistema de McAfee para:
Comprobar el estado de Seleccione Ver estado de seguridad para acceder a la página Estado de seguridad de
seguridad. McAfee.
Abrir Cliente de Seleccione McAfee Endpoint Security.
Endpoint Security.
Actualizar la protección Seleccione Actualizar seguridad.
y el software
manualmente.
Desactivar o activar el Seleccione Desactivar firewall de Endpoint Security en el menú Configuración rápida.
Firewall. Cuando el Firewall está desactivado, la opción es Activar Firewall de Endpoint
Security.
Activar, desactivar o ver Seleccione una opción del menú Configuración rápida:
grupos sincronizados de
• Activar grupos sincronizados de firewall: Activa los grupos sincronizados durante
Firewall.
un período determinado para permitir el acceso a Internet antes de que
se apliquen las reglas que restringen el acceso. Cuando los grupos
sincronizados están activados, la que se muestra es Desactivar grupos
sincronizados de firewall.
Cada vez que selecciona esta opción, se restablece el tiempo asignado a
los grupos.
Dependiendo de la configuración, es posible que se le pida que
proporcione al administrador un motivo para activar los grupos
sincronizados.
• Ver grupos sincronizados de firewall: muestra los nombres de los grupos
sincronizados y el tiempo restante de activación de cada grupo.
Icono Indica...
Endpoint Security está protegiendo su sistema y no hay problemas.
Véase también
Qué se actualiza en la página 23
El proceso McTray.exe debe estar en ejecución para que Endpoint Security muestre los mensajes de
notificación.
• Las alertas emergen del icono de McAfee durante cinco segundos y, después, desaparecen.
Las alertas le notifican acerca de detecciones de amenazas, tales como eventos de intrusión de
Firewall, o cuando un análisis bajo demanda se pausa o reanuda. No requieren que realice ninguna
acción.
• Avisa y abre una página en la parte inferior de la pantalla que permanece visible hasta que
seleccione una opción.
Por ejemplo:
• Cuando un análisis bajo demanda planificado está a punto de empezar, Endpoint Security podría
pedirle que aplace el análisis.
• Cuando el analizador detecta una amenaza, Endpoint Security puede pedirle que responda a la
detección.
• Cuando Protección adaptable frente a amenazas detecta un archivo con una reputación
desconocida, Endpoint Security puede preguntarle si desea permitir o bloquear el archivo.
Windows 8 y 10 usan notificaciones de alerta: mensajes que aparecen para notificarle las alertas y
avisos. Haga clic en la notificación de alerta para mostrar la notificación en modo Escritorio.
Véase también
Responder a un aviso de detección de amenaza en la página 20
Responder a aviso de análisis en la página 21
Respuesta a un aviso de reputación de archivos en la página 185
• Los botones en la parte superior derecha de la página ofrecen un acceso rápido a las tareas
habituales.
• El Resumen de amenazas proporciona información sobre las amenazas que Endpoint Security ha
detectado en el equipo en los últimos 30 días.
Véase también
Cargue un archivo Extra.DAT en la página 29
Iniciar sesión como administrador en la página 26
Analizar el equipo en busca de malware en la página 55
Actualización del contenido y el software de forma manual en la página 22
Visualización del Registro de eventos en la página 23
Administrar elementos en cuarentena en la página 60
Administrar Endpoint Security en la página 26
Acerca del Resumen de amenazas en la página 16
A medida que se detectan nuevas amenazas, la página Estado actualiza dinámicamente la información
en el área Resumen de amenazas en el panel inferior.
En los sistemas gestionados, los cambios de directiva realizados en McAfee ePO podrían sobrescribir los
cambios de la página Configuración.
Si no puede acceder a Cliente de Endpoint Security o a tareas y funciones específicas que necesita para
hacer su trabajo, hable con su administrador.
Véase también
Control del acceso a la interfaz de cliente en la página 32
•
Botón
• En la página Configuración.
Dependiendo del Modo de interfaz de cliente y de cómo haya configurado su acceso el administrador, es
posible que no estén disponibles algunas o ninguna de las funciones.
Véase también
Cómo afecta la configuración al acceso al cliente en la página 17
Use el cliente en modo Acceso estándar para ejecutar la mayoría de las funciones, incluidos análisis
del sistema y administración de elemento en cuarentena.
Contenido
Abra Cliente de Endpoint Security
Obtener ayuda
Responder a avisos
Introduzca información sobre su protección
Actualización del contenido y el software de forma manual
Visualización del Registro de eventos
Administrar Endpoint Security
Referencia de la interfaz del Cliente de Endpoint Security: Ajustes generales
Procedimiento
1 Use uno de estos métodos para mostrar Cliente de Endpoint Security:
• Haga clic con el botón derecho en el icono de la bandeja del sistema, y a continuación
seleccione McAfee Endpoint Security.
2 Introduzca McAfee Endpoint Security en el área de búsqueda y pulse o haga doble clic en
la aplicaciónMcAfee Endpoint Security.
Cliente de Endpoint Security se abre en el modo interfaz que el administrador haya configurado.
Véase también
Desbloqueo de la interfaz de cliente en la página 27
Obtener ayuda
Los dos métodos de obtener ayuda al trabajar en el cliente son la opción Ayuda en el menú y el icono ?.
Para utilizar la ayuda de Endpoint Security en Internet Explorer, se debe activar Configuración de seguridad |
Automatización | Active scripting en el navegador.
Procedimiento
1 Abra Cliente de Endpoint Security.
• Páginas Configuración, Actualizar, Analizar sistema, Revertir AMCore Content y Cargar Extra.DAT: haga clic en ?
en la interfaz.
Responder a avisos
Dependiendo de cómo se configuren las opciones, es posible que Endpoint Security solicite su
intervención cuando detecte una amenaza o cuando un análisis bajo demanda planificado esté a punto
de empezar.
Procedimientos
• Responder a un aviso de detección de amenaza en la página 20
Cuando el analizador detecta una amenaza, Endpoint Security puede pedirle que realice
una entrada antes de continuar, dependiendo de cómo se haya realizado la configuración.
• Responder a aviso de análisis en la página 21
Cuando un análisis bajo demanda planificado está a punto de empezar, Endpoint Security
podría pedirle confirmación para continuar. El aviso aparece solo si el análisis se configura
para permitirle aplazar, pausar, resumir o cancelar el análisis.
Windows 8 y 10 usan notificaciones de alerta: mensajes que aparecen para notificarle las alertas y
avisos. Haga clic en la notificación de alerta para mostrar la notificación en modo Escritorio.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
• En la página Análisis en tiempo real, seleccione opciones para administrar las detecciones de amenazas.
Puede volver a abrir la página de análisis para administrar las detecciones en cualquier momento.
La lista de detecciones del análisis en tiempo real se borra cuando se reinicia el servicio de
Endpoint Security o el sistema.
Véase también
Administrar detecciones de amenazas en la página 59
Solo para los sistemas gestionados, si el análisis se configura para ejecutarse solo cuando el equipo
está inactivo, Endpoint Security muestra un cuadro de diálogo cuando el análisis se pausa. Si se
configura, puede reanudar análisis pausados o reiniciarlos para que se ejecuten solo cuando está
inactivo.
Windows 8 y 10 usan notificaciones de alerta: mensajes que aparecen para notificarle las alertas y
avisos. Haga clic en la notificación de alerta para mostrar la notificación en modo Escritorio.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
Si el analizador detecta una amenaza, Endpoint Security puede pedirle que introduzca información
antes de continuar, dependiendo de cómo se haya realizado la configuración.
Procedimiento
1 Abra Cliente de Endpoint Security.
3 Haga clic en el nombre de un módulo o función en la izquierda para acceder a la información acerca
de dicho elemento.
4 Haga clic en el botón Cerrar en el navegador parar cerrar la página Acerca de.
Véase también
Tipos de administración en la página 22
Abra Cliente de Endpoint Security en la página 19
Tipos de administración
El tipo de administración indica cómo se administra Endpoint Security.
En los sistemas gestionados, los cambios de directiva realizados en McAfee ePO podrían sobrescribir los
cambios de la página Configuración.
También puede ejecutar actualizaciones manuales desde el icono de la bandeja del sistema de McAfee.
Endpoint Security no es compatible con la recuperación y copia de forma manual de los archivos de
contenido actualizados en el sistema cliente. Si necesita ayuda para actualizar una versión de contenido
específica, póngase en contacto con el Soporte de McAfee .
Procedimiento
1 Abra Cliente de Endpoint Security.
Véase también
Acceso a las tareas de Endpoint Security desde el icono de la bandeja del sistema de McAfee
en la página 13
Cómo se mantiene actualizada su protección en la página 11
Nombres y ubicaciones de los archivos de registro de Endpoint Security en la página 24
Qué se actualiza en la página 23
Configure el comportamiento predeterminado de las actualizaciones en la página 36
Abra Cliente de Endpoint Security en la página 19
Qué se actualiza
Endpoint Security actualiza el contenido de seguridad y el software (hotfixes y parches) de manera
diferente, dependiendo del método y la configuración de la actualización.
Véase también
Actualización del contenido y el software de forma manual en la página 22
Procedimiento
Para obtener ayuda, en el menú Acción , seleccione Ayuda.
Esta página muestra todos los eventos que Endpoint Security haya registrado en el sistema durante
los últimos 30 días.
Si el Cliente de Endpoint Security no puede acceder al Administrador de eventos, muestra un
mensaje de error de comunicación. En tal caso, reinicie el sistema para ver el Registro de eventos.
3 Seleccione un evento en el panel superior para ver los detalles en el panel inferior.
Para cambiar los tamaños relativos de los paneles, haga clic en el widget de marco deslizante y
arrástrelo entre los paneles.
Para... Pasos
Ordenar los eventos por Haga clic en el encabezado de columna.
fecha, funciones, acción
realizada y gravedad.
Buscar en el registro de Introduzca el texto de búsqueda en el campo Buscar y pulse Intro
eventos. o haga clic en Buscar.
En la búsqueda no se distingue entre mayúsculas y minúsculas, y
el texto buscado se comprueba en todos los campos del registro
de eventos. La lista de eventos incluye todos los elementos con
texto coincidente.
Para cancelar la búsqueda y mostrar todos los eventos, haga clic
en x en el campo Buscar.
Filtrar los eventos por En la lista desplegable de filtros, seleccione una opción.
gravedad o módulo. Para eliminar el filtro y mostrar todos los eventos, seleccione
Mostrar todos los eventos de la lista desplegable.
Para... Pasos
Mostrar la página de eventos anterior. Haga clic en Página anterior.
Mostrar la página de eventos siguiente. Haga clic en Página siguiente.
Mostrar una página concreta del registro. Introduzca un número de página y pulse Intro o haga
clic en Ir.
De manera predeterminada, el Registro de eventos muestra 20 eventos por página. Para que
aparezcan más eventos por página, seleccione una opción de la lista desplegable Eventos por página.
Véase también
Nombres y ubicaciones de los archivos de registro de Endpoint Security en la página 24
Abra Cliente de Endpoint Security en la página 19
%ProgramData%\McAfee\Endpoint Security\Logs
La activación del registro de depuración para cualquier módulo también lo activa para las funciones del
módulo Ajustes generales, como por ejemplo Autoprotección.
Firewall Firewall_Activity.log
Firewall_Debug.log
FirewallEventMonitor.log
Registra eventos de tráfico bloqueado y permitido,
si así está configurado.
En los sistemas gestionados, los cambios de directiva realizados en McAfee ePO podrían sobrescribir los
cambios de la página Configuración.
Véase también
Iniciar sesión como administrador en la página 26
Desbloqueo de la interfaz de cliente en la página 27
Activación y desactivación de funciones en la página 27
Cambio de la versión de AMCore content en la página 28
Utilice archivos Extra.DAT en la página 28
Configurar parámetros comunes en la página 29
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se debe establecer en Acceso estándar.
Procedimiento
Para obtener ayuda, en el menú Acción , seleccione Ayuda.
Ahora podrá acceder a todas las funciones del Cliente de Endpoint Security.
Para cerrar sesión, seleccione Acción | Cerrar sesión de administrador. El cliente regresa al modo de interfaz
Acceso estándar.
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se debe establecer en Bloquear interfaz
de cliente.
Procedimiento
1 Abra Cliente de Endpoint Security.
2 En la página Iniciar sesión como administrador, introduzca la contraseña del administrador en el campo
Contraseña y, a continuación, haga clic en Iniciar sesión.
Cliente de Endpoint Security se abre y se puede acceder a todas las funciones del cliente.
3 Para cerrar sesión y cliente, en el menú Acción , seleccione Cerrar sesión de administrador.
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
La página Estado muestra el estado activado del módulo, que puede no reflejar el estado real de las
funciones. Puede ver el estado de cada función en la página Configuración. Por ejemplo, si la opción de
configuración Activar ScriptScan no se aplica correctamente, el estado puede ser (Estado: desactivado).
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
2 Haga clic en el nombre del módulo (por ejemplo, Prevención de amenazas o Firewall) en la página de
Estado principal.
En el menú Acción, seleccione Configuración y haga clic en el nombre del módulo en la página
Configuración.
Activar cualquiera de las funciones Prevención de amenazas activa también el módulo Prevención de
amenazas.
Véase también
Iniciar sesión como administrador en la página 26
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
Endpoint Security almacena el archivo de contenido que se ha cargado y las dos versiones anteriores
en la carpeta Archivos de programa\Common Files\McAfee\Engine\content. Si es necesario, puede
restaurar una versión anterior.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
Véase también
Cómo funcionan los archivos de contenido en la página 11
Iniciar sesión como administrador en la página 26
Procedimientos
• Descargar archivos Extra.DAT en la página 29
Para descargar un archivo Extra.DAT, haga clic en el vínculo de descarga proporcionado por
McAfee Labs.
• Cargue un archivo Extra.DAT en la página 29
Para instalar el archivo Extra.DAT descargado, utilice Cliente de Endpoint Security.
Véase también
Acerca de archivos Extra.DAT en la página 28
Puede descargar archivos Extra.DAT para amenazas específicas desde la Página de solicitud de
Extra.DAT de McAfee Labs.
Cada archivo Extra.DAT incluye una fecha de caducidad integrada. Cuando se carga el archivo
Extra.DAT, la fecha de caducidad se compara con la fecha de compilación de AMCore content instalado
en el sistema. Si la fecha de compilación de AMCore content es más reciente que la fecha de
caducidad del Extra.DAT, el Extra.DAT se considera caducado y el motor ya no lo carga ni utiliza. El
Extra.DAT se elimina del sistema en la siguiente actualización.
Procedimiento
1 Haga clic en el vínculo de descarga, especifique una ubicación donde guardar el archivo Extra.DAT
y haga clic en Guardar.
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
3 Haga clic en Examinar, desplácese a la ubicación donde haya descargado el archivo Extra.DAT y, a
continuación, haga clic en Abrir.
Véase también
Iniciar sesión como administrador en la página 26
para Cliente de Endpoint Security, inicio de sesión, servidor proxy para McAfee GTI y configuración de
la actualización.
Procedimientos
• Proteger recursos de Endpoint Security en la página 30
Una de las primeras cosas que intenta hacer el malware durante un ataque es desactivar el
software de seguridad de su sistema. Configure la Autoprotección en las opciones de
Ajustes generales para evitar que se detengan o modifiquen los servicios y archivos de
Endpoint Security.
• Configurar parámetros de registro en la página 31
Configure el registro Endpoint Security en los parámetros del Ajustes generales.
• Permitir autenticación mediante certificados en la página 31
Los certificados permiten que un proveedor ejecute código en los procesos de McAfee.
• Control del acceso a la interfaz de cliente en la página 32
Controle el acceso al Cliente de Endpoint Security estableciendo una contraseña en la
configuración de Ajustes generales.
• Configuración del servidor proxy para McAfee GTI en la página 33
Especifique las opciones del servidor proxy para recuperar la reputación de McAfee GTI en
la configuración de Ajustes generales.
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
5 Especifique la acción para cada uno de los siguientes recursos de Endpoint Security:
• Archivos y carpetas: impide que los usuarios modifiquen la base de datos, los binarios, los archivos
de búsqueda segura y los archivos de configuración de McAfee.
• Registro: impide que los usuarios modifiquen el subárbol del Registro de McAfee y los
componentes COM, así como que lleven a cabo desinstalaciones mediante el valor de Registro.
6 Haga clic en Aplicar para guardar los cambios o haga clic en Cancelar.
Véase también
Iniciar sesión como administrador en la página 26
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
5 Haga clic en Aplicar para guardar los cambios o haga clic en Cancelar.
Véase también
Nombres y ubicaciones de los archivos de registro de Endpoint Security en la página 24
Iniciar sesión como administrador en la página 26
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
Procedimiento
1 Abra Cliente de Endpoint Security.
5 Haga clic en Aplicar para guardar los cambios o haga clic en Cancelar.
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
Modo de interfaz de cliente está establecido como Acceso total de forma predeterminada, lo que permite a los
usuarios cambiar la configuración de seguridad, ya que los sistemas se pueden quedar sin protección
contra ataques de malware.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
4 Haga clic en Aplicar para guardar los cambios o haga clic en Cancelar.
Véase también
Efectos del establecimiento de una contraseña de administrador en la página 32
Iniciar sesión como administrador en la página 26
Todos los usuarios En el modo Bloquear interfaz de cliente, los usuarios deben introducir la
contraseña de administrador o provisional para acceder al Cliente de
Endpoint Security.
Una vez que se haya introducido, el usuario dispondrá de acceso a toda la
interfaz, incluidas las opciones de configuración de la página Configuración.
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
Procedimiento recomendado: Excluya las direcciones de McAfee GTI del servidor proxy. Para
obtener información, consulte KB79640 y KB84374.
5 Haga clic en Aplicar para guardar los cambios o haga clic en Cancelar.
Véase también
Iniciar sesión como administrador en la página 26
Procedimientos
• Configurar sitios de origen para actualizaciones en la página 34
Puede configurar los sitios desde los que Cliente de Endpoint Security obtiene archivos de
seguridad actualizados en la configuración del módulo Ajustes generales.
• Configure el comportamiento predeterminado de las actualizaciones en la página 36
Especifique el comportamiento de actualizaciones iniciadas desde el Cliente de Endpoint
Security en el módulo Ajustes generales.
• Configure, planifique y actualice tareas de análisis en la página 37
Puede configurar tareas de actualización personalizadas o cambiar la planificación de la
tarea Actualización de cliente predeterminada desde Cliente de Endpoint Security en la
configuración del módulo Ajustes generales.
• Configure, planifique y ejecute tareas de duplicación en la página 38
Puede modificar o planificar tareas de duplicación desde Cliente de Endpoint Security en la
configuración del Ajustes generales .
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
El orden de los sitios determina el orden que Endpoint Security utiliza para buscar el sitio de
actualización.
6 Haga clic en Aplicar para guardar los cambios o haga clic en Cancelar.
Véase también
Qué contiene la lista de repositorios en la página 35
Cómo funciona la tarea Actualización cliente predeterminada en la página 37
Iniciar sesión como administrador en la página 26
Configure, planifique y actualice tareas de análisis en la página 37
Si la red utiliza un servidor proxy, puede especificar qué configuración de proxy utilizar, la dirección del
servidor proxy y si se utilizará autenticación. La información de proxy se almacena en la lista de
repositorios. La configuración de proxy especificada se aplicará a todos los repositorios de la lista.
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
•
Mostrar u ocultar el botón en el cliente.
• Especificar qué actualizar cuando el usuario hace clic en el botón o ejecuta la tarea Actualización de
cliente predeterminada.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
5 Haga clic en Aplicar para guardar los cambios o haga clic en Cancelar.
Véase también
Iniciar sesión como administrador en la página 26
Configurar sitios de origen para actualizaciones en la página 34
Configure, planifique y actualice tareas de análisis en la página 37
3 Compara las versiones de software contenidas en el archivo con las versiones existentes en el
equipo y descarga cualquier actualización de software disponible.
Véase también
Configurar sitios de origen para actualizaciones en la página 34
Configure, planifique y actualice tareas de análisis en la página 37
Qué contiene la lista de repositorios en la página 35
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
Utilice esta configuración para definir desde el cliente cuándo se debe ejecutar la tarea Actualización de
cliente predeterminada. También puede configurar el comportamiento predeterminado de actualizaciones de
cliente iniciadas desde Cliente de Endpoint Security.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
Cambiar una tarea de • Haga doble clic en la tarea, efectúe los cambios y haga clic en
actualización. Aceptar para guardarla.
6 Haga clic en Aplicar para guardar los cambios o haga clic en Cancelar.
Véase también
Cómo funciona la tarea Actualización cliente predeterminada en la página 37
Configurar sitios de origen para actualizaciones en la página 34
Configure el comportamiento predeterminado de las actualizaciones en la página 36
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
Cambiar una tarea de • Haga doble clic en la tarea de duplicación, efectúe los cambios y haga
duplicación. clic en Aceptar.
6 Haga clic en Aplicar para guardar los cambios o haga clic en Cancelar.
Una vez replicado el sitio de McAfee que contiene los archivos de actualización, los equipos de la red
pueden descargar los archivos del sitio de duplicación. Esto permite actualizar cualquier ordenador de
la red, tanto si tiene acceso a Internet como si no. El uso de un sitio replicado es más eficaz porque lo
sistemas se comunican con un servidor más próximo al sitio de McAfee en Internet, lo que ahorra
tiempo de acceso y descarga.
Endpoint Security depende de un directorio para actualizarse. Por lo tanto, al duplicar un sitio, es
importante replicar toda la estructura de directorios.
Contenido
Página Registro de eventos
Ajustes generales: Opciones
Ajustes generales: Tareas
Crítico 1
Grave 2
Leve 3
Advertencia 4
Informativa 5
Véase también
Visualización del Registro de eventos en la página 23
Desinstalación Requerir contraseña Solicita una contraseña para desinstalar Cliente de Endpoint
para desinstalar el Security y especifica la contraseña.
cliente La contraseña predeterminada es mcafee.
(Opción desactivada de forma predeterminada)
• Contraseña: especifica la contraseña.
• Confirmar contraseña: confirma la contraseña.
<UNIDAD_DEL_SISTEMA>:\ProgramData\McAfee\Endpoint\Logs
Registro de Activar registro de Activa el registro de todas las actividades de Endpoint Security.
actividades actividades
Limitar tamaño (MB) Limita cada archivo de registro de actividades al tamaño máximo
de cada uno de los especificado (entre 1 MB y 999 MB). El valor predeterminado es
archivos de registro 10 MB.
de actividades Si el archivo de registro supera este tamaño, los datos nuevos
sustituyen el 25 por ciento más antiguo de las entradas en el
archivo.
Para permitir que los archivos de registro tengan cualquier
tamaño, desactive esta opción.
Registro de La activación del registro de depuración para cualquier módulo
depuración también lo activa para las funciones del módulo Ajustes
generales, como por ejemplo Autoprotección.
Registrar eventos en Envía todos los eventos registrados en el Registro de eventos del
el registro de la Cliente de Endpoint Security al registro de aplicaciones de
aplicación Windows Windows.
Se puede acceder al registro de aplicación de Windows en Visor de
eventos | Registros de Windows | Aplicación.
Actualización de Activar el botón Muestra u oculta el botón Actualizar ahora en la página principal del
cliente Actualizar ahora en Cliente de Endpoint Security.
predeterminado el cliente Haga clic en este botón para comprobar y descargar
manualmente actualizaciones de archivos de contenido y
componentes de software en el sistema cliente.
Qué actualizar Especifica qué actualizar al hacer clic en el botón Actualizar ahora.
• Contenido de seguridad, hotfixes y parches: actualiza a las versiones
más recientes todo el contenido de seguridad (ya sea contenido
de motor, AMCore o Prevención de exploits), así como cualquier
hotfix y parche.
• Contenido de seguridad: Actualiza únicamente contenido de
seguridad. (Opción predeterminada)
• Hotfixes y parches: actualiza únicamente hotfixes y parches.
Servidor proxy para Sin servidor proxy Especifica que los sistemas gestionados recuperan información
sitios de origen sobre reputación de McAfee GTI directamente a través de
Internet, en vez de a través de un servidor proxy. (Opción
predeterminada)
Utilizar Especifica el uso de la configuración de proxy para el sistema
configuración de cliente, y activa opcionalmente la autenticación de proxy HTTP o
proxy del sistema FTP.
Configurar servidor Personaliza la configuración de proxy.
proxy
• Dirección HTTP/FTP: especifica la dirección DNS, IPv4 o IPv6 del
servidor proxy HTTP o FTP.
• Puerto: limita el acceso a través del puerto especificado.
• Excluir estas direcciones: especifica las direcciones de los sistemas
del Cliente de Endpoint Security que no se desea que utilicen el
servidor proxy para obtener calificaciones de McAfee GTI.
Haga clic en Agregar e introduzca la dirección que excluir.
Véase también
Proteger recursos de Endpoint Security en la página 30
Configurar parámetros de registro en la página 31
Control del acceso a la interfaz de cliente en la página 32
Configuración del servidor proxy para McAfee GTI en la página 33
Configure el comportamiento predeterminado de las actualizaciones en la página 36
Configurar sitios de origen para actualizaciones en la página 34
Agregar sitio o Editar sitio en la página 48
Un sitio FTP ofrece flexibilidad de actualización sin tener que adherirse a permisos de
seguridad de red. Dado que el FTP es menos propenso a ataques de código no deseados
que HTTP, puede ofrece una mejor tolerancia.
Ruta UNC o Recupera los archivos de la ubicación de ruta UNC o local designada.
Ruta local
Un sitio UNC es el más rápido y fácil de configurar. Las actualizaciones de UNC entre
dominios requieren permisos de seguridad para cada dominio, lo que precisa mayor
configuración para la actualización.
Véase también
Ejecución de un Análisis completo o un Análisis rápido en la página 56
Actualización del contenido y el software de forma manual en la página 22
Configure, planifique y ejecute tareas de duplicación en la página 38
Agregar tarea en la página 51
Agregar tarea
Agrega tareas de actualización, duplicación o análisis personalizado.
Opción Definición
Nombre Especifica el nombre de la tarea.
Seleccionar tipo de Especifica el tipo de tarea:
tarea
• Análisis personalizado: configura y planifica análisis personalizados, como los análisis
de memoria diarios.
• Duplicación: replica en un sitio de duplicación en la red los archivos de contenido y
de motor actualizados del primer repositorio accesible.
• Actualización: configura y planifica actualizaciones de producto, del motor de
análisis o de archivos de contenido.
Véase también
Agregar tarea de análisis o Editar tarea de análisis en la página 52
Agregar tarea de duplicación o Editar tarea de duplicación en la página 53
Agregar tarea de actualización o Editar tarea de actualización en la página 52
Planificación Activa y planifica las tareas para que se ejecuten a una hora determinada.
Véase también
Configure, planifique y ejecute tareas de análisis en la página 95
Configurar Análisis bajo demanda en la página 90
Ejecución de un Análisis completo o un Análisis rápido en la página 56
Prevención de amenazas: Análisis bajo demanda en la página 120
Planificación en la página 53
Planificación Activa y planifica las tareas para que se ejecuten a una hora determinada.
De forma predeterminada, la tarea Actualización de cliente predeterminada se
ejecuta cada día a las 00:00 y se repite cada cuatro horas hasta las 23:59.
Véase también
Ajustes generales: Opciones en la página 42
Configure el comportamiento predeterminado de las actualizaciones en la página 36
Configure, planifique y actualice tareas de análisis en la página 37
Planificación en la página 53
Véase también
Configure, planifique y ejecute tareas de duplicación en la página 38
Planificación en la página 53
Planificación
Planifique tareas de análisis, actualización y duplicación.
Tabla 2-10 Opciones
Categoría Opción Definición
Planificación Activar planificación Planifica las tareas para que se ejecuten a una hora determinada.
(Opción activada de forma predeterminada)
Seleccione esta opción para planificar la tarea.
Hacer aleatoria la Especifica que la tarea se ejecute de forma aleatoria dentro del
hora de inicio de la periodo de tiempo elegido.
tarea De lo contrario, la tarea se iniciará a la hora planificada,
independientemente de si hay o no otras tareas cliente planificadas
para ejecutarse a la misma hora.
Ejecutar tarea omitida Ejecuta la tarea una vez haya transcurrido el tiempo en minutos
especificado en Retrasar el inicio cuando se reinicia el sistema gestionado.
Cuenta Especifica las credenciales a utilizar para ejecutar la tarea.
Si no se especifican credenciales, la tarea se ejecuta como cuenta
local del administrador del sistema.
Véase también
Agregar tarea de análisis o Editar tarea de análisis en la página 52
Agregar tarea de actualización o Editar tarea de actualización en la página 52
Agregar tarea de duplicación o Editar tarea de duplicación en la página 53
Contenido
Analizar el equipo en busca de malware
Administrar detecciones de amenazas
Administrar elementos en cuarentena
Administrar Prevención de amenazas
Referencia de la interfaz del Cliente de Endpoint Security: Prevención de amenazas
Procedimientos
• Ejecución de un Análisis completo o un Análisis rápido en la página 56
Use Cliente de Endpoint Security para realizar un Análisis completo o Análisis rápido en su
equipo manualmente.
• Analizar un archivo o carpeta en la página 58
Haga clic con el botón derecho en el Explorador de Windows para analizar inmediatamente
un archivo o carpeta individual que sospeche que pueda estar infectado.
Véase también
Tipos de análisis en la página 55
Tipos de análisis
Endpoint Security proporciona dos tipos de análisis: en tiempo real y bajo demanda.
• Análisis en tiempo real: el administrador configura análisis en tiempo real para su ejecución en
los equipos gestionados. En el caso de equipos gestionados, configure el analizador en tiempo real
en la página Configuración.
Cada vez que se accede a archivos, carpetas y programas, el analizador en tiempo real intercepta
la operación y analiza el elemento según los criterios definidos en la configuración.
Véase también
Configure, planifique y ejecute tareas de análisis en la página 95
Responder a aviso de análisis en la página 21
Antes de empezar
El módulo Prevención de amenazas debe estar instalado.
El comportamiento del Análisis completo y del Análisis rápido depende de cómo se haya realizado la
configuración. Con credenciales de administrador puede modificar y planificar estos análisis en la
configuración Análisis bajo demanda.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
2
Haga clic en .
3 En la página Analizar sistema, haga clic en Analizar ahora para el análisis que desee llevar a cabo.
Análisis completo Realiza una comprobación exhaustiva de todas las áreas de su sistema,
recomendado si sospecha que su equipo podría estar infectado.
Análisis rápido Ejecuta una comprobación rápida de las áreas de su sistema que sean más
susceptibles de infectarse.
Práctica recomendada: La Fecha de creación de AMCore Content indica la última vez que se ha
actualizado el contenido. Si el contenido tiene una antigüedad superior a dos días, actualice la
protección antes de ejecutar el análisis.
4 Haga clic en los botones de la parte superior de la página de estado para controlar el análisis.
5 Una vez que se haya completado el análisis, la página muestra el número de archivos analizados, el
tiempo transcurrido y las posibles detecciones.
La lista de detecciones de análisis bajo demanda se borra cuando empieza el siguiente análisis bajo
demanda.
6 Seleccione una detección en la tabla y, a continuación, haga clic en Limpiar o Eliminar para limpiar o
eliminar el archivo infectado.
Según el tipo de amenaza y los parámetros de análisis, puede que dichas acciones no estén
disponibles.
Véase también
Tipos de análisis en la página 55
Nombres de detecciones en la página 62
Actualización del contenido y el software de forma manual en la página 22
Administrar detecciones de amenazas en la página 59
Configurar Análisis bajo demanda en la página 90
Configure, planifique y ejecute tareas de análisis en la página 95
Antes de empezar
El módulo Prevención de amenazas debe estar instalado.
El comportamiento del Análisis con el botón derecho del ratón depende de cómo se haya realizado la
configuración. Con credenciales de administrador puede modificar estos análisis en la configuración
Análisis bajo demanda.
Procedimiento
1 En el Explorador de Windows, haga clic con el botón derecho en el archivo o carpeta que analizar y
seleccione Analizar en busca de amenazas desde el menú emergente.
Cliente de Endpoint Security muestra el estado del análisis en la página Analizar en busca de amenazas.
2 Haga clic en los botones en la parte superior de la página para controlar el análisis.
3 Una vez que se haya completado el análisis, la página muestra el número de archivos analizados, el
tiempo transcurrido y las posibles detecciones.
La lista de detecciones de análisis bajo demanda se borra cuando empieza el siguiente análisis bajo
demanda.
4 Seleccione una detección en la tabla y, a continuación, haga clic en Limpiar o Eliminar para limpiar o
eliminar el archivo infectado.
Según el tipo de amenaza y los parámetros de análisis, puede que dichas acciones no estén
disponibles.
Véase también
Tipos de análisis en la página 55
Nombres de detecciones en la página 62
Configurar Análisis bajo demanda en la página 90
Antes de empezar
El módulo Prevención de amenazas debe estar instalado.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
La lista de detecciones del análisis en tiempo real se borra cuando se reinicia el servicio de
Endpoint Security o el sistema.
Endpoint Security usa información de los archivos de contenido para limpiar los
archivos. Si el archivo de contenido no tiene limpiador o el archivo se ha dañado y
no se puede reparar, el analizador niega el acceso al mismo. En este caso, McAfee
recomienda eliminar el archivo de Poner en cuarentena y restaurarlo desde una copia
de seguridad limpia.
Si una acción no está disponible para la amenaza, la opción correspondiente no estará disponible.
Por ejemplo, Limpiar no está disponible si el archivo ya se ha eliminado.
La lista de detecciones del análisis en tiempo real se borra cuando se reinicia el servicio de
Endpoint Security o el sistema.
Antes de empezar
El módulo Prevención de amenazas debe estar instalado.
Por ejemplo, puede restaurar un elemento después de descargar una versión posterior del contenido
con información que limpia la amenaza.
Los elementos en cuarentena pueden contener varios tipos de objetos analizados, como archivos,
registros o todo lo que Endpoint Security analice en busca de malware.
Procedimiento
Para obtener ayuda, en el menú Acción , seleccione Ayuda.
3 Seleccione un elemento en el panel superior para mostrar los detalles en el panel inferior.
Ver un elemento en Seleccione un elemento y haga clic en el vínculo Ver en Registro de eventos en el
el Registro de panel de detalles.
eventos. La página Registro de eventos se abre, y el evento relacionado con el elemento
seleccionado aparecerá resaltado.
Obtener más Seleccione un elemento y haga clic en el vínculo Obtenga más información sobre
información sobre esta amenaza en el panel de detalles.
una amenaza. Se abre una nueva ventana de navegador en el sitio web McAfee Labs con
más información acerca de la amenaza que provocó que el elemento se
pusiera en cuarentena.
Véase también
Nombres de detecciones en la página 62
Repetición de análisis de elementos en cuarentena en la página 63
Abra Cliente de Endpoint Security en la página 19
Actualización del contenido y el software de forma manual en la página 22
Nombres de detecciones
Los La cuarentena informa de amenazas por nombre de detección.
Nombre de Descripción
detección
Adware Genera ingresos mostrando anuncios dirigidos al usuario. El adware genera
ingresos a través del proveedor o los socios del proveedor. Algunos tipos de
adware pueden capturar o transmitir información personal.
Marcador Redirige las conexiones de Internet a otra parte distinta del proveedor de
servicios de Internet predeterminado del usuario. Los marcadores están
diseñados para agregar costes de conexión para un proveedor de contenidos, un
vendedor u otro.
Broma Afirma dañar el equipo pero no tiene carga útil ni uso maliciosos. Las bromas no
afectan a la seguridad o la privacidad, pero pueden alarmar o molestar al
usuario.
Registrador de Intercepta datos entre el usuario que los introduce y la aplicación a la que iban
pulsaciones de destinados. Un caballo troyano y un programa no deseado registrador de
teclado pulsaciones de teclado pueden funcionar de manera idéntica. El software de
McAfee detecta los dos tipos para evitar intrusiones de privacidad.
Cracker de Permite al usuario o administrador recuperar las contraseñas perdidas u
contraseñas olvidadas desde las cuentas o archivos de datos. En manos de un atacante,
permiten el acceso a información confidencial y son una amenaza para la
seguridad y la privacidad.
Programa A menudo incluye software legítimo (que no es malware) que puede alterar el
potencialmente no estado de seguridad o la política de privacidad del sistema. Este software se
deseado puede descargar con un programa que el usuario desea instalar. Puede incluir
spyware, adware, registradores de pulsaciones de teclado, crackers de
contraseñas, herramientas de hacker y aplicaciones de marcador.
Herramienta de Otorga a un administrador el control remoto de un sistema. Estas herramientas
administración pueden suponer una amenaza de seguridad grave si las controla un atacante.
remota
Spyware Transmite información personal a terceros sin el conocimiento o consentimiento
del usuario. El spyware genera exploits en los equipos infectados con finalidades
comerciales mediante:
• Envío de anuncios emergentes no solicitados
• Robo de información personal, incluida su información financiera, como puede
ser el número de las tarjetas de crédito
• Supervisión de la actividad de navegación por la Web para fines de marketing
• Enrutamiento de solicitudes HTTP a sitios de publicidad
Consulte también Programa potencialmente no deseado.
Sigiloso Es un tipo de virus que intenta evitar ser detectado por el software antivirus.
También conocido como interceptor interruptor.
Muchos virus sigilosos interceptan solicitudes de acceso a disco. Cuando una
aplicación antivirus intenta leer archivos o sectores de arranque para encontrar
virus, el virus muestra una imagen "limpia" del elemento solicitado. Otros virus
esconden el tamaño real del archivo infectado y muestran el tamaño del archivo
antes de infectarse.
Nombre de Descripción
detección
Troyano Es un programa dañino que se hace pasar por una aplicación benigna. Un
troyano no se replica pero causa daño o pone en peligro la seguridad del equipo.
Los equipos suelen infectarse:
• Cuando un usuario abre un troyano adjunto en un correo electrónico.
• Cuando un usuario descarga un troyano de un sitio web.
• Redes de igual a igual.
Como no se replican, los troyanos no se consideran virus.
Práctica recomendada: Vuelva a analizar siempre los elementos en cuarentena antes de restaurarlos.
Por ejemplo, puede volver a analizar un elemento tras actualizar la protección. Si el elemento ya no es
una amenaza, lo puede restaurar a su ubicación original y quitarlo de la cuarentena.
Entre el momento en el que se detectó una amenaza originalmente y cuando se volvió a realizar el
análisis, las condiciones de análisis pueden cambiar, lo cual puede afectar a la detección de elementos
en cuarentena.
Incluso utilizando esta configuración de análisis, volver a analizar la cuarentena puede fallar en la
detección de una amenaza. Por ejemplo, si los metadatos de los elementos (ruta o ubicación de
Registro) cambian, volver a analizar puede producir un falso positivo incluso aunque el elemento siga
infectado.
En los sistemas gestionados, los cambios de directiva realizados en McAfee ePO podrían sobrescribir los
cambios de la página Configuración.
Configuración de exclusiones
Prevención de amenazas le permite ajustar la protección especificando elementos que excluir.
Por ejemplo, quizás necesite excluir algunos tipos de archivo para impedir que el analizador bloquee
un archivo utilizado por una base de datos o un servidor. Un archivo bloqueado puede hacer que se
produzcan errores en la base de datos o el servidor.
Procedimiento recomendado: Para mejorar el rendimiento de los análisis en tiempo real y bajo
demanda, utilice las técnicas de elusión de análisis en lugar de agregar exclusiones de archivos y
carpetas.
Las exclusiones en las listas de exclusión son mutuamente exclusivas. Cada exclusión se evalúa por
separado de otras exclusiones de la lista.
Para excluir una carpeta en sistemas Windows, agregue una barra invertida (\) al final de la ruta.
Véase también
Caracteres comodín en exclusiones en la página 65
Los caracteres comodín pueden aparecer delante de la barra invertida (\) en una ruta. Por ejemplo, C:
\ABC\*\XYZ corresponde a C:\ABC\DEF\XYZ.
Este comportamiento difiere de VirusScan Enterprise. Consulte la Guía de migración de McAfee Endpoint
Security.
Con Prevención de amenazas, puede usar los caracteres comodín **\ iniciales en las exclusiones a
nivel de raíz para hacer coincidir las unidades y subcarpetas. Por ejemplo, **\test coincide con lo
siguiente:
C:\test
D:\test
C:\temp\test
D:\foo\test
Se debe activar Protección de acceso para detectar intentos de acceso a archivos, recursos
compartidos, claves y valores de Registro, procesos y servicios.
2 Si la acción incumple una regla, Protección de acceso administra la acción mediante la información
en las reglas configuradas.
4 Molestarme.exe intenta modificar el sistema operativo para cargarse siempre al iniciarse el equipo.
5 Protección de acceso procesa la solicitud y la compara con una regla existente de bloqueo e
informe.
6 Protección de acceso impide que Molestarme.exe modifique el sistema operativo y registra los
detalles del intento. Protección de acceso también genera y envía una alerta al servidor de
administración.
Las reglas definidas por McAfee siempre se aplican antes que cualquier regla definida por el usuario.
Reglas definidas • Estas reglas complementan la protección proporcionada por las reglas definidas
por el usuario por McAfee.
• Una tabla Ejecutables vacía indica que se aplica la regla a todos los ejecutables.
• Una tabla Nombres de usuario vacía indica que se aplica la regla a todos los
usuarios.
• Puede agregar y quitar, así como activar, desactivar y cambiar la configuración
de estas reglas.
Exclusiones
En el nivel de reglas, las exclusiones e inclusiones se aplican a la regla especificada. En el nivel de
directivas, las exclusiones se aplican a todas las reglas. Las exclusiones son opcionales.
Véase también
Excluir procesos de Protección de acceso en la página 73
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
Es posible:
No es posible:
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
5 Modifique la regla:
a En la sección Reglas, seleccione Bloquear, Informar o ambas opciones para la regla.
• Para bloquear o informar de todo, seleccione Bloquear o Informar en la primera fila.
b Haga doble clic en una regla definida por McAfee para editarla.
d En la sección Ejecutables, haga clic en Agregar, configure las opciones y haga clic en Guardar dos
veces para guardar la regla.
6 Haga clic en Aplicar para guardar los cambios o haga clic en Cancelar.
Véase también
Reglas de Protección de acceso definidas por McAfee en la página 69
Iniciar sesión como administrador en la página 26
Excluir procesos de Protección de acceso en la página 73
Esta regla es una alternativa más restrictiva que Hijacking .EXE y otras extensiones
ejecutables.
Cambio de directivas de Protege los valores de Registro que contienen información de seguridad de
derechos de usuario Windows.
Esta regla impide que los gusanos alteren cuentas que poseen derechos de
administrador.
Creación de nuevos Impide la creación de archivos desde cualquier proceso, no solo a través de la
archivos ejecutables en la red.
carpeta Windows Esta regla impide la creación de archivos .EXE y .DLL en la carpeta de
Windows.
Desactivación del Editor del Protege las entradas del Registro de Windows, con lo que evita la
Registro y del desactivación del Editor del Registro y el Administrador de tareas.
Administrador de tareas
En caso de un brote, desactive esta regla para poder cambiar el Registro o
abra el Administrador de tareas para detener los procesos activos.
Hijacking .EXE u otras Protege, entre otras, las claves de Registro ejecutables .EXE y .BAT en
extensiones ejecutables HKEY_CLASSES_ROOT.
Esta regla impide que el malware modifique las claves de Registro y se
ejecute el virus junto con otro ejecutable.
La regla es una alternativa menos restrictiva a Cambio de cualesquiera registros de
extensiones de archivo.
Instalación de objetos Impide que el adware, el spyware y los troyanos que se instalan como
auxiliares del explorador o objetos auxiliares del explorador se instalen en el equipo host.
extensiones de shell Esta regla impide que el adware y el spyware se instalen en los sistemas.
Modificación de procesos Impide que se creen o ejecuten archivos con los nombres que más se
centrales de Windows falsifican.
Esta regla impide que los virus y troyanos se ejecuten con el nombre de un
proceso de Windows. Esta regla excluye archivos auténticos de Windows.
Modificar configuración de Impide que los procesos que no se encuentren en la lista de exclusión puedan
red modificar las opciones de red del sistema.
Esta regla captura el tráfico de red y lo envía a sitios de terceros para
proteger de los proveedores de servicios por niveles que transmiten datos,
como su comportamiento de navegación.
Acceso remoto a archivos o Impide el acceso de lectura y escritura al equipo desde equipos remotos.
carpetas locales Esta regla impide que se extienda un gusano entre los recursos compartidos.
En un entorno típico, esta regla es útil para estaciones de trabajo, pero no
para servidores, y solo cuando los equipos están activamente bajo ataque.
Si un equipo se gestiona insertando archivos en el mismo, esta regla impide
la instalación de actualizaciones o parches. Esta regla no afecta a las
funciones gestionadas de McAfee ePO.
Creación remota de Impide que otros equipos realicen una conexión y creen o modifiquen
archivos de ejecución archivos de ejecución automática (autorun.inf).
automática Los archivos de ejecución automática se utilizan para iniciar automáticamente
archivos de programa, generalmente archivos de configuración de CD.
Esta regla impide que se ejecuten el spyware y el adware distribuidos en CD.
Esta regla está configurada de manera predeterminada para Bloquear e Informar.
Creación o modificación Impide que otros equipos realicen conexiones y modifiquen ejecutables, como
remota de archivos de tipo los archivos en la carpeta Windows. Esta regla afecta solo a los tipos de
portable ejecutable archivo normalmente infectados por los virus.
(PE), .INI, .PIF y ubicaciones Esta regla protege contra los gusanos o virus que se extienden rápidamente y
de núcleo del sistema atraviesan una red mediante los recursos compartidos abiertos o
administrativos.
Ejecución de archivos Bloquea el inicio de cualquier ejecutable desde cualquier carpeta cuyo nombre
desde las carpetas de contenga la palabra "temp".
usuario común Esta regla protege contra el malware que se guarda y ejecuta desde la
carpeta temp del usuario o del sistema. Este malware puede incluir datos
adjuntos ejecutables en correos electrónicos y programas descargados.
Aunque esta regla proporciona la mayor protección, podría bloquear la
instalación de aplicaciones legítimas.
Ejecución de archivos de Impide que las aplicaciones instalen software desde el navegador o el cliente
carpetas de usuario de correo electrónico.
comunes por parte de Esta regla impide que los ejecutables y los datos adjuntos de correos
programas comunes electrónicos se ejecuten en páginas web.
Véase también
Configuración de reglas de Protección de acceso definidas por McAfee en la página 68
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
a En la sección Ejecutables, haga clic en Agregar, configure las propiedades del ejecutable y haga clic
en Guardar.
Una tabla Ejecutables vacía indica que se aplica la regla a todos los ejecutables.
b En la sección Nombres de usuario, haga clic en Agregar y configure las propiedades del nombre de
usuario.
Una tabla Nombres de usuario vacía indica que se aplica la regla a todos los usuarios.
En la sección Destinos, haga clic en Agregar, configure la información del destino y haga clic en
Guardar dos veces.
7 Haga clic en Aplicar para guardar los cambios o haga clic en Cancelar.
Véase también
Excluir procesos de Protección de acceso en la página 73
• Si una subregla incluye todos los archivos, pero excluye el archivo C:\marketing\jjaime, la subregla
se activa si el archivo no es C:\marketing\jjaime.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
Especificar procesos 1 Editar una regla definida por el usuario existente o agregar una nueva
para inclusión o regla.
exclusión en una
regla definida por el 2 En la página Agregar regla o Editar regla, en la sección Ejecutables, haga clic en
usuario. Agregar para agregar un ejecutable que excluir o incluir.
3 En la página Agregar ejecutable, configure las propiedades del ejecutable, y
también si desea incluir o excluir el ejecutable.
4 Haga clic en Guardar dos veces y luego en Aplicar para guardar la
configuración.
Host Intrusion Prevention 8.0 se puede instalar en el mismo sistema que Endpoint Security versión
10.5. Si McAfee Host IPS está activado, se desactiva Prevención de exploits aunque esté activada en la
configuración de la directiva.
• Los ataques basados en pila utilizan los objetos de la memoria de la pila para almacenar entradas
de usuario (más comunes).
• Los ataques basados en montón saturan el espacio de memoria reservado a un programa (raros).
El objeto de memoria en pila de tamaño fijo se encuentra vacío a la espera de que el usuario realice
una entrada. Cuando un programa recibe una entrada por parte del usuario, los datos se almacenan
en la parte superior de la pila y se les asigna una dirección de memoria de retorno. Cuando se procesa
la pila, la entrada del usuario se envía a la dirección de retorno especificada por el programa.
1 Desbordar la pila.
Cuando se escribe el programa, se reserva una cantidad específica de espacio de memoria para los
datos. La pila se desborda si los datos escritos tienen un tamaño superior al espacio reservado para
ellos en la pila. Esta situación solo supone un problema si se combina con una entrada maliciosa.
2 Vulnerar el desbordamiento.
El programa espera por información del usuario. Si el atacante introduce un comando ejecutable
que excede el tamaño de la pila, dicho comando se almacenará fuera del espacio reservado.
3 Ejecutar el malware.
El comando no se ejecuta automáticamente cuando excede el espacio de búfer de la pila. En un
principio, el programa se bloquea debido al desbordamiento del búfer. Si el atacante proporcionó
una dirección de memoria de retorno que hace referencia al comando malicioso, el programa
intenta recuperarse utilizando la dirección de retorno. Si la dirección de retorno es válida, el
comando malicioso se ejecuta.
Las firmas protegen aplicaciones específicas, las cuales están definidas en la lista Reglas de protección
de aplicaciones. Cuando se detecta un ataque, Prevención de exploits puede detener el
comportamiento iniciado por dicho ataque.
Puede cambiar la configuración relativa a las acciones de estas firmas, pero no puede agregar o
eliminar firmas, ni tampoco modificarlas. Para proteger determinados archivos, recursos compartidos,
claves o valores de Registro, procesos y servicios, cree reglas de Protección de acceso personalizadas.
Acciones
Una acción es aquello que lleva acabo Prevención de exploit cuando se activa una firma.
Reglas de comportamiento
Las reglas de comportamiento bloquean los ataques de tipo zero-day e implementan el
comportamiento apropiado del sistema operativo y las aplicaciones. Las reglas de comportamiento
heurísticas definen un perfil de actividad legítima. La actividad que no coincide con estas reglas se
considera sospechosa y desencadena una respuesta. Por ejemplo, una regla de comportamiento puede
establecer que solo un proceso de servidor web puede acceder a los archivos HTML. Si cualquier otro
proceso intenta acceder a los archivos HTML, Prevención de exploits realiza la acción especificada.
Este tipo de protección, denominada "blindaje y envoltura de aplicaciones", impide que se pongan en
peligro las aplicaciones y los datos de estas, así como que se utilicen las aplicaciones para atacar otras
aplicaciones.
Las reglas de comportamiento también bloquean los exploits de desbordamiento del búfer y evitan la
ejecución de código derivada de un ataque de desbordamiento del búfer, uno de los métodos de
ataque más habituales.
Niveles de gravedad
Cada firma tiene un nivel de gravedad predeterminado, que describe el peligro potencial de un ataque.
• Alto: firmas que protegen frente a amenazas de seguridad o acciones maliciosas identificables. La
mayoría de estas firmas son específicas para exploits bien identificados y, por lo general, no tienen
que ver con el comportamiento.
Para impedir que los sistemas queden expuestos a ataques de exploits, configure las firmas cuyo
nivel de gravedad sea Alto en Bloquear en todos los hosts.
• Media: firmas relacionadas con el comportamiento y que evitan que las aplicaciones actúen fuera de
su entorno (adecuado para clientes que protegen servidores web y Microsoft SQL Server 2000).
Procedimiento recomendado: En los servidores críticos, configure las firmas cuyo nivel de
gravedad sea Medio en Bloquear tras afinar su ajuste.
• Baja: firmas relacionadas con el comportamiento y que blindan las aplicaciones. El blindaje consiste
en bloquear los recursos de las aplicaciones y del sistema para que no se puedan modificar.
Configurar las firmas cuyo nivel de gravedad sea Bajo en Bloquear incrementa la seguridad el
sistema, pero requiere ajustes adicionales.
• Informativa: indica un cambio de la configuración del sistema que puede crear un riesgo benigno para
la seguridad o bien un intento de acceder a información del sistema de carácter confidencial. Los
eventos de este nivel se producen durante la actividad normal del sistema y, por lo general, no
constituyen un indicio de ataque.
• Desactivado: indica las firmas que están desactivadas en el archivo de contenido de Prevención de
exploits.
• Las firmas Desbordamiento del búfer ofrecen protección de la memoria mediante la supervisión
del espacio de memoria que utilizan los procesos.
• Las firmas API supervisan las llamadas de la API entre los procesos que se ejecutan en el modo
de usuario y el kernel.
El contenido de Prevención de exploits proporcionado por McAfee incluye una lista de aplicaciones que
están protegidas. Prevención de amenazas muestras estas aplicaciones en la sección Reglas de
protección de aplicaciones de la configuración de Prevención de exploits.
Para mantener la protección al día, las actualizaciones del contenido de Prevención de exploits
reemplazan las reglas de protección de aplicaciones definidas por McAfee en la configuración de
Prevención de exploits con las reglas de protección de aplicaciones más recientes.
Puede activar, desactivar, eliminar y cambiar el estado de inclusión de las reglas de protección de
aplicaciones definidas por McAfee. Además, puede crear y duplicar sus propias reglas de protección de
aplicaciones. Los cambios que realice en estas reglas se conservarán tras las actualizaciones del
contenido.
Si la lista incluye reglas de protección de aplicaciones contradictorias, las reglas cuyo Estado de
inclusión sea Excluir tienen prioridad sobre las configuradas con Incluir.
Cliente de Endpoint Security muestra la lista completa de aplicaciones protegidas, no solo aquellas
aplicaciones que se estén ejecutando actualmente en el sistema cliente. Este comportamiento es
distinto del de McAfee Host IPS.
En los sistemas gestionados, las reglas de protección de aplicaciones creadas en el Cliente de Endpoint
Security no se envían a McAfee ePO, y se pueden sobrescribir cuando el administrador despliega una
directiva actualizada.
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
Puede configurar la acción de las firmas definidas por McAfee. Puede activar, desactivar, eliminar y
cambiar el estado de inclusión de las reglas de protección de aplicaciones definidas por McAfee.
También puede crear y duplicar sus propias reglas de protección de aplicaciones. Los cambios que
realice en estas reglas se conservarán tras las actualizaciones del contenido.
Para acceder a la lista de procesos protegidos por Prevención de exploits, consulte KB58007.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
5 Configure los parámetros en la página y, a continuación, haga clic en Aplicar para guardar los
cambios o en Cancelar.
Véase también
Iniciar sesión como administrador en la página 26
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
Especificar procesos 1 Editar una regla definida por el usuario existente o agregar una regla
para inclusión o de protección de aplicaciones.
exclusión en una regla
de protección de 2 En la página Agregar regla o Editar regla, en la sección Ejecutables, haga clic
aplicaciones definida en Agregar para agregar ejecutables que excluir o incluir.
por el usuario.
3 En la página Agregar ejecutable, configure las propiedades del ejecutable.
Por ejemplo, al realizar pruebas de los clientes, un cliente reconoce la firma "Java - Creation of
suspicious files in Temp folder". La firma indica que la aplicación Java está intentando crear un archivo
en la carpeta Temp de Windows. Un evento activado por esta firma es motivo de alarma, puesto que
se podría utilizar una aplicación Java para descargar malware en la carpeta Temp de Windows. En este
ejemplo, podría tener sospechas razonables de que se ha instalado un troyano. No obstante, si el
proceso crea normalmente archivos en la carpeta Temp, por ejemplo, guardar un archivo con la
aplicación Java, cree una exclusión que permita esta acción.
• Debe especificar al menos un Proceso, un Módulo autor de llamada, una API o una Firma.
• Para exclusiones relacionadas con un Proceso, debe especificar al menos un identificador: Nombre
de archivo o ruta, Hash MD5 o Firmante.
• Si incluye ID de firma en una exclusión, esta solo se aplica al proceso de las firmas especificadas.
Si no se especifica ningún ID de firma, la exclusión se aplica al proceso en todas las firmas.
1 Especifique programas no deseados personalizados para que los analizadores en tiempo real y bajo
demanda los detecten en la configuración de la Opciones.
Véase también
Especificar programas potencialmente no deseados a detectar en la página 80
Activar y configurar la detección de programas potencialmente no deseados y respuestas en la
página 81
Configure Análisis en tiempo real en la página 83
Configurar Análisis bajo demanda en la página 90
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
Los analizadores detectan tanto los programas que especifique como los especificados en los archivos
de AMCore content.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
Véase también
Iniciar sesión como administrador en la página 26
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
e En Configuración de procesos, para cada tipo de Análisis en tiempo real, seleccione Detectar programas no
deseados.
e Para cada tipo de análisis (análisis completo, análisis rápido y análisis con el botón derecho):
• Seleccione Detectar programas no deseados.
Véase también
Configure Análisis en tiempo real en la página 83
Configurar Análisis bajo demanda en la página 90
Iniciar sesión como administrador en la página 26
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
• Ubicación de la cuarentena y el número de días que se guardan los elementos en cuarentena antes
de eliminarlos automáticamente
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
5 Configure los parámetros en la página y, a continuación, haga clic en Aplicar para guardar los
cambios o en Cancelar.
Véase también
Iniciar sesión como administrador en la página 26
Configure Análisis en tiempo real en la página 83
Configurar Análisis bajo demanda en la página 90
Puede configurar el nivel de sensibilidad que utiliza McAfee GTI cuando determina si una muestra
detectada es malware. Cuanto mayor sea el nivel de sensibilidad, mayor será el número de
detecciones de malware. Sin embargo, al permitirse más detecciones también puede que se obtengan
más resultados de falsos positivos. El nivel de sensibilidad de McAfee GTI se encuentra establecido en
Media de manera predeterminada. Defina el nivel de sensibilidad de cada analizador en la
configuración de Análisis en tiempo real y Análisis bajo demanda.
Puede configurar Endpoint Security para utilizar un servidor proxy con el fin de recuperar información
de reputación de McAfee GTI en la configuración de Ajustes generales.
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
Consulte la ayuda sobre la configuración de Opciones de Prevención de amenazas para disponer de más
opciones de configuración de análisis.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
5 Seleccione Activar análisis en tiempo real para activar el analizador en tiempo real y modificar opciones.
6 Especifique si se utilizará la configuración Estándar para todos los procesos, o parámetros distintos
para procesos de riesgo alto o bajo.
• Configuración estándar: configure los parámetros de análisis en la ficha Estándar.
• Opciones distintas según el tipo de proceso: seleccione la ficha (Estándar, Riesgo alto o Riesgo
bajo) y configure los parámetros de análisis para cada tipo de proceso.
7 Haga clic en Aplicar para guardar los cambios o haga clic en Cancelar.
Véase también
Iniciar sesión como administrador en la página 26
Configurar parámetros de análisis de ajustes generales en la página 82
La opción de análisis de escritura no impide el acceso a los archivos, ni antes ni después del análisis, de
modo que puede provocar que su sistema sea vulnerable a los ataques.
Cuando se selecciona el análisis de escritura, el analizador examina el archivo solo después de que se
haya escrito en el disco y cerrado. Un proceso puede llevar a cabo una operación de lectura, apertura
o ejecución en el archivo antes de que el analizador realice un análisis de escritura, lo que podría
acarrear una infección. Las aplicaciones también podrían encontrarse con errores de tipo
SHARING_VIOLATION si acceden al archivo tras escribirlo mientras se está realizando un análisis de
escritura.
• Se copian o mueven desde una unidad asignada a la unidad de disco duro local (si también está
activada la opción En unidades de red).
• Se copian o mueven desde la unidad de disco duro local a una unidad asignada (si también está
activada la opción En unidades de red).
Cuando se selecciona el análisis de lectura, el analizador impide el acceso a los archivos a menos que
se determine que están limpios.
• Se leen, abren o ejecuta desde unidades de red asignadas (si también está activada la opción En
unidades de red).
Procedimiento recomendado: Active esta opción para obtener la mejor protección y el mejor
rendimiento.
Cuando se selecciona esta opción, el analizador en tiempo real emplea la lógica de confianza para
optimizar el análisis. La lógica de confianza mejora la seguridad y aumenta el rendimiento mediante la
elusión de análisis, lo que evita análisis innecesarios. Por ejemplo, McAfee analiza algunos programas
y considera que son de confianza. Si McAfee verifica que no se han manipulado estos programas, el
analizador podría llevar a cabo un análisis reducido u optimizado.
Si configura McAfee GTI, el analizador utiliza heurística para buscar archivos sospechosos.
Windows 8 y 10: si el analizador detecta una amenaza en la ruta de una aplicación de la Tienda
Windows instalada, la marca como manipulada. Windows agrega la marca de manipulación al icono de
la aplicación. Cuando intenta ejecutarla, Windows notifica el problema y remite a la Tienda Windows
para una reinstalación.
Análisis de lectura
Cuando se selecciona el análisis de lectura y se intenta leer, abrir o ejecutar un archivo:
• Si es necesario analizar el archivo, el motor de análisis lo analiza, comparándolo con las firmas
presentes en el archivo de contenido de AMCore cargado actualmente.
• Si el archivo está limpio, el analizador lo desbloquea y almacena en caché el resultado.
3 Notifica al usuario que ha detectado una amenaza en el archivo y solicita la acción que se
debe realizar (limpiar o eliminar el archivo).
Análisis de escritura
El analizador examina el archivo solo después de que se haya escrito en el disco y cerrado.
b Si es necesario analizar el archivo, el motor de análisis lo analiza, comparándolo con las firmas
presentes en el archivo de contenido de AMCore cargado actualmente.
• Si el archivo está limpio, el analizador almacena en caché el resultado.
Prevención de amenazas vacía la caché de análisis global y vuelve a analizar todos los archivos
cuando:
• Analizar los procesos al iniciar servicios y actualizar contenido: vuelve a analizar todos los procesos que se
encuentren actualmente en la memoria cada vez que:
• Se vuelven a activar los análisis en tiempo real.
• El sistema se inicia.
Dado que algunos programas o ejecutables se inician automáticamente al iniciar el sistema, anule
la selección de esta opción para reducir el tiempo de inicio del sistema.
• Analizar instaladores de confianza analiza los archivos MSI (instalados por msiexec.exe y firmados por
McAfee o Microsoft) o los archivos del servicio Instalador de confianza de Windows.
Anule la selección de esta opción para mejorar el rendimiento de los instaladores de aplicaciones de
Microsoft de gran tamaño.
• Abierto para copia de seguridad: Analiza los archivos al acceder mediante el software de copia de
seguridad.
En la mayoría de los entornos no es necesario seleccionar esta configuración.
Acerca de ScriptScan
ScriptScan es un objeto auxiliar de explorador que examina código de JavaScript y VBScript en busca
de scripts maliciosos antes de que se ejecuten. Si el script está limpio, lo pasa a JavaScript o VBScript
para su procesamiento. Si ScriptScan detecta un script malicioso, lo bloquea para que no se ejecute.
ScriptScan solo examina scripts de Internet Explorer. No examina scripts de todo el sistema ni scripts
ejecutados por wscript.exe o cscript.exe.
Con Prevención de amenazas instalada, la primera vez que se inicia Internet Explorer se ofrece la
posibilidad de activar uno o más complementos de McAfee. Para que ScriptScan analice scripts:
• Debe estar seleccionada la opción Activar ScriptScan. ScriptScan está desactivado de manera
predeterminada.
• Si el script está limpio, el analizador de scripts lo pasa al Windows Script Host nativo.
• Si el script contiene una posible amenaza, el analizador de scripts impide que se ejecute.
Puede especificar subcadenas o URL parciales para las exclusiones de ScriptScan. Si una cadena de
exclusión coincide con cualquier parte de la URL, entonces se excluye la URL.
• Utilice solo nombres de dominio completos (FQDN, por sus siglas en inglés) y nombres de NetBIOS.
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
Consulte la ayuda sobre la configuración de Opciones de Prevención de amenazas para disponer de más
opciones de configuración de análisis.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
5 Haga clic en una ficha para configurar ajustes para el análisis especificado.
• Análisis completo
• Análisis rápido
6 Configure los parámetros en la página y, a continuación, haga clic en Aplicar para guardar los
cambios o en Cancelar.
Véase también
Iniciar sesión como administrador en la página 26
Configurar parámetros de análisis de ajustes generales en la página 82
Configure, planifique y ejecute tareas de análisis en la página 95
1 El analizador bajo demanda usa los criterios siguientes para determinar si el elemento se debe
analizar:
• La extensión del archivo coincide con la configuración.
Si configura McAfee GTI, el analizador utiliza heurística para buscar archivos sospechosos.
2 Si el archivo cumple los criterios de análisis, el analizador compara su información con las firmas de
malware conocido que se encuentran en ese momento en los archivos de AMCore content.
• Si el archivo está limpio, el resultado se almacena en la caché y el analizador comprueba el
siguiente elemento.
1 Utiliza la información en el archivo de AMCore content cargado en ese momento para limpiar
el archivo.
3 Notifica al usuario que ha detectado una amenaza en el archivo, e incluye el nombre del
elemento y la acción que se ha realizado.
La lista de detecciones de análisis bajo demanda se borra cuando empieza el siguiente análisis bajo
demanda.
Prevención de amenazas vacía la caché de análisis global y vuelve a analizar todos los archivos cuando
se carga un Extra.DAT.
Cuando se activa esta opción, Prevención de amenazas pausa el análisis cuando detecta actividad del
disco o del usuario (por ejemplo, acceso mediante el teclado o el ratón). Prevención de amenazas
reanuda el análisis si el usuario no accede al sistema durante tres minutos.
• Permitir a los usuarios reanudar análisis que se hayan puesto en pausa debido a actividad del
usuario.
• Volver a configurar el análisis para que se ejecute solo cuando el sistema esté inactivo.
Desactive esta opción solo en los sistemas servidor y en los sistemas a los que los usuarios acceden
mediante una conexión de Escritorio remoto (RDP). Prevención de amenazas depende de McTray para
determinar si el sistema está inactivo. En sistemas a los que solo se accede mediante el escritorio
remoto, McTray no se inicia y el analizador bajo demanda no se ejecuta nunca. Para evitar este
problema, los usuarios pueden iniciar McTray (de manera predeterminada en C:\Archivos de programa
\McAfee\Agent\mctray.exe) manualmente cuando inicien sesión en el escritorio remoto.
Seleccione Analizar solo cuando el sistema está inactivo en la sección Rendimiento de la ficha Configuración de
la Tarea de análisis.
• No analizar si el sistema está en modo de presentación (disponible cuando se ha activado Analizar en cualquier
momento)
Seleccione Los usuarios pueden aplazar el análisis en la sección Rendimiento de la ficha Configuración de la
Tarea de análisis.
Seleccione Detener la tarea si se ejecuta durante más de en la sección Opciones de la ficha Planificación de la
Tarea de análisis.
Anule la selección de esta opción a menos que necesite específicamente analizar los archivos del
almacenamiento.
Véase también
Configurar Análisis bajo demanda en la página 90
Configure, planifique y ejecute tareas de análisis en la página 95
sistema operativo especificar la cantidad de tiempo de CPU que el analizador bajo demanda recibe
durante el proceso de análisis.
Si el valor para la utilización del sistema se establece en Bajo, se mejora el rendimiento del resto de
aplicaciones que están en ejecución. El valor bajo resulta útil en sistemas con actividad del usuario
final. Por el contrario, si se establece el valor de utilización del sistema en Normal, el análisis finaliza
más rápido. La configuración normal es útil en sistemas que tienen grandes volúmenes y poca
actividad del usuario final.
Cada tarea se ejecuta independientemente, sin tener en cuenta los límites de otras tareas.
Seleccione los Archivos que se han migrado a la opción de almacenamiento para configurar el analizador bajo
demanda de modo que analice los archivos gestionados por Almacenamiento remoto. Cuando el
analizador encuentra un archivo con contenido migrado, restaura el archivo al sistema local antes del
análisis.
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
Cambiar una tarea de • Haga doble clic en la tarea, efectúe los cambios y haga clic en Aceptar
análisis. para guardarla.
6 Haga clic en Aplicar para guardar los cambios o haga clic en Cancelar.
Véase también
Iniciar sesión como administrador en la página 26
Configurar Análisis bajo demanda en la página 90
Ejecución de un Análisis completo o un Análisis rápido en la página 56
Contenido
Página Poner en cuarentena
Prevención de amenazas: Protección de acceso
Prevención de amenazas: Prevención de exploits
Prevención de amenazas: Análisis en tiempo real
Prevención de amenazas: Análisis bajo demanda
Ubicaciones de análisis
McAfee GTI
Acciones
Agregar exclusión o Editar exclusión
Prevención de amenazas: Opciones
Revertir contenido de AMCore
Véase también
Administrar elementos en cuarentena en la página 60
Nombres de detecciones en la página 62
Repetición de análisis de elementos en cuarentena en la página 63
Véase también
Configuración de reglas de Protección de acceso definidas por McAfee en la página 68
Configuración de las reglas de Protección de acceso definidas por el usuario en la página 72
Agregar exclusión o Editar exclusión en la página 108
Agregar regla o Editar regla en la página 98
Reglas de Protección de acceso definidas por McAfee en la página 69
Nombres de Especifica los nombres de usuario a los que se aplica la regla (solo para reglas
usuario definidas por el usuario).
• Agregar: Selecciona un nombre de usuario y lo añade a la lista.
• Hacer doble clic en un elemento: Modifica el elemento seleccionado.
• Eliminar: Elimina el elemento seleccionado.
• Duplicar: Crea una copia del elemento seleccionado.
• Alternar estado de inclusión: Cambia el estado de inclusión del elemento entre
Incluir y Excluir.
Véase también
Agregar exclusión o Editar exclusión en la página 108
Agregar Nombre de usuario o Editar Nombre de usuario en la página 100
Agregar subregla o Editar subregla en la página 100
Véase también
Agregar regla o Editar regla en la página 98
Archivos:
• Cambiar atributos ocultos o de solo lectura: bloquea o informa de los cambios de estos
atributos de los archivos en la carpeta especificada.
• Crear: bloquea o informa de la creación de archivos en la carpeta especificada.
• Eliminar: bloquea o informa de la eliminación de archivos en la carpeta especificada.
• Ejecutar: bloquea o informa de la ejecución de archivos en la carpeta especificada.
• Cambiar permisos: bloquea o informa de los cambios de la configuración de permisos de
los archivos en la carpeta especificada.
• Lectura: bloquea o informa del acceso de lectura a los archivos especificados.
• Cambiar nombre: bloquea el acceso destinado a cambiar el nombre a los archivos
especificados o informa de él.
Destinos • Agregar: especifica los destinos de la regla. Los destinos varían según la selección de
tipo de regla. Debe añadir, al menos, un destino a la subregla.
Haga clic en Agregar, seleccione el estado de inclusión e introduzca o seleccione el
destino que va a incluir o excluir.
• Hacer doble clic en un elemento: Modifica el elemento seleccionado.
• Eliminar: Elimina el elemento seleccionado.
Véase también
Agregar regla o Editar regla en la página 98
Destinos en la página 104
Agregar exclusión o Editar exclusión en la página 108
Destinos
Especifican la definición y el estado de inclusión para un destino.
Tabla 3-9 Opciones
Sección Opción Definición
Destinos Determina si el destino es una coincidencia positiva para la subregla.
También especifica el estado de inclusión para el destino.
• Incluir: indica que la subregla puede coincidir con el destino especificado.
• Excluir: indica que la subregla no debe coincidir con el destino
especificado.
Agregue un destino mediante las directivas Incluir o Excluir.
Véase también
Agregar subregla o Editar subregla en la página 100
• Debe especificar, al menos, un identificador: Nombre de archivo o ruta, Hash MD5 o Firmante.
Nombre de Especifica la ruta o nombre de archivo del ejecutable que se va a agregar o editar.
archivo o ruta Haga clic en Examinar para seleccionar el ejecutable.
La ruta del archivo puede incluir caracteres comodín.
Hash MD5 Indica el hash MD5 del proceso (un número hexadecimal de 32 dígitos).
Firmante Activar comprobación de firma digital : Garantiza que el código no se ha alterado o dañado
desde que se firmó con un hash criptográfico.
Si esta opción está activada, especifique:
• Permitir cualquier firma: permite los archivos firmados por cualquier firmante de proceso.
• Firmado por: permite solo los archivos firmados por el firmante de proceso
especificado.
Se requiere un nombre distintivo del firmante (SDN) que debe coincidir exactamente
con las entradas en el campo adjunto, incluidos comas y espacios.
El firmante del proceso aparece en el formato correcto en los eventos del Registro
de eventos de Cliente de Endpoint Security y en el Registro de eventos de amenazas
de McAfee ePO. Por ejemplo:
C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR,
CN=MICROSOFT WINDOWS
Para obtener el nombre distintivo del firmante de un ejecutable:
1 Haga clic con el botón derecho en un ejecutable y seleccione Propiedades.
Véase también
Agregar regla o Editar regla en la página 98
Para acceder a la lista de procesos protegidos por Prevención de exploits, consulte KB58007.
Host Intrusion Prevention 8.0 se puede instalar en el mismo sistema que Endpoint Security versión
10.5. Si McAfee Host IPS está activado, se desactiva Prevención de exploits aunque esté activada en la
configuración de la directiva.
Prevención de Activar la Activa la integración de la Prevención de ejecución de datos (DEP, por sus
ejecución de Prevención siglas en inglés) de Windows. (Opción desactivada de manera
datos de de ejecución predeterminada)
Windows de datos de Seleccione esta opción para:
Windows
• Activar DEP para aplicaciones de 32 bits en la lista de protección de
aplicaciones de McAfee, si aún no está activada, y utilizarla en lugar de
protección genérica contra desbordamiento del búfer (GBOP).
La validación del autor de la llamada y la supervisión de API dirigida
siguen implementadas.
• Supervisar las detecciones de DEP en aplicaciones de 32 bits con DEP
activado.
• Supervisar las detecciones de DEP en aplicaciones de 64 bits de la lista de
protección de aplicaciones de McAfee.
• Registrar las detecciones de DEP y enviar un evento a McAfee ePO.
La desactivación de esta opción no afecta a ningún proceso que tenga la
Prevención de ejecución de datos activada como resultado de esta directiva
de Windows.
Véase también
Configuración de las opciones de Prevención de exploits en la página 77
Agregar exclusión o Editar exclusión en la página 112
• Debe especificar al menos un Proceso, un Módulo autor de llamada, una API o una Firma.
• Para exclusiones relacionadas con un Proceso, debe especificar al menos un identificador: Nombre
de archivo o ruta, Hash MD5 o Firmante.
• Se aceptan caracteres comodín para todo excepto para hash MD5 e ID de firma.
• Si incluye ID de firma en una exclusión, esta solo se aplica al proceso de las firmas especificadas.
Si no se especifica ningún ID de firma, la exclusión se aplica al proceso en todas las firmas.
Hash MD5 Indica el hash MD5 del proceso (un número hexadecimal de 32 dígitos).
Módulo autor Nombre Especifica el nombre del módulo (archivo DLL) que carga un ejecutable que
de llamada es propietario de la memoria grabable que realiza la llamada.
Este campo es obligatorio junto con al menos otro campo: Nombre de archivo o
ruta, Hash MD5 o Firmante.
Hash MD5 Indica el hash MD5 del proceso (un número hexadecimal de 32 dígitos).
Véase también
Exclusión de procesos de Prevención de exploits en la página 78
• Debe especificar, al menos, un identificador: Nombre de archivo o ruta, Hash MD5 o Firmante.
Hash MD5 Indica el hash MD5 del proceso (un número hexadecimal de 32 dígitos).
Activar análisis en Activa la función Análisis en tiempo real cada vez que se inicia el
tiempo real al iniciar equipo.
el sistema (Opción activada de forma predeterminada)
Analizar los procesos Vuelve a analizar todos los procesos que se encuentren en la
al iniciar servicios y memoria cada vez que:
actualizar contenido
• Se vuelven a activar los análisis en tiempo real.
• Los archivos de contenido se actualizan.
• El sistema se inicia.
• Se inicia el proceso McShield.exe.
(Opción desactivada de forma predeterminada)
Analizar instaladores Analiza los archivos MSI (instalados por msiexec.exe y firmados por
de confianza McAfee o Microsoft) o los archivos del servicio Instalador de
confianza de Windows.
(Opción desactivada de forma predeterminada)
Analizar al copiar Analiza los archivos cuando el usuario copia de una carpeta local a
entre carpetas locales otra.
Si esta opción está:
• Desactivada: solo se analizan los elementos de la carpeta de
destino.
• Desactivada: se analizan los elementos tanto en la carpeta de
origen (lectura) como en la de destino (escritura).
(Opción desactivada de forma predeterminada)
Configuración de Usar la configuración Aplica la misma configuración a todos los procesos cuando
procesos Estándar para todos los se realiza un análisis en tiempo real.
procesos
Configurar opciones Configura diferentes opciones de análisis para cada tipo de
distintas para procesos de proceso que se identifique.
riesgo alto y de riesgo bajo
Detectar amenazas de Utiliza McAfee GTI para detectar archivos ejecutables que
programas desconocidos tengan código similar al malware.
Detectar amenazas de Utiliza McAfee GTI para detectar virus de macros
macros desconocidas desconocidos.
Acciones Especifica cómo responde el analizador cuando detecta una
amenaza.
Exclusiones Especifica archivos, carpetas y unidades que excluir del
análisis.
Agregar Agrega un elemento a la lista de exclusión.
Eliminar Quita un elemento de la lista de exclusión.
Véase también
Configure Análisis en tiempo real en la página 83
McAfee GTI en la página 126
Acciones en la página 127
Agregar exclusión o Editar exclusión en la página 128
• Seleccionar Análisis completo o Análisis rápido en la página Analizar ahora en Cliente de Endpoint Security.
• Como administrador, ejecutar una tarea de análisis bajo demanda desde Configuración | Ajustes
generales | Tareas desde Cliente de Endpoint Security.
• Hacer clic con el botón derecho del ratón en un archivo o carpeta y seleccionar Analizar en busca de
amenazas en el menú emergente.
Detectar amenazas de Utiliza McAfee GTI para detectar archivos ejecutables que tengan
programas código similar al malware.
desconocidos
Detectar amenazas de Utiliza McAfee GTI para detectar virus de macros desconocidos.
macros desconocidas
Ubicaciones de (solo Análisis Especifica las ubicaciones que analizar.
análisis completo y Análisis Estas opciones solo se aplican a Análisis completo, Análisis rápido y
rápido) análisis personalizados.
Opciones del Estas opciones solo se aplican a Análisis completo, Análisis rápido y
análisis análisis personalizados.
planificado
Analizar solo cuando el Ejecuta el análisis solo cuando el sistema está inactivo.
sistema está inactivo Prevención de amenazas pausa el análisis cuando el usuario
accede al sistema mediante el teclado o ratón. Prevención de
amenazas reanuda el análisis cuando el usuario (y la CPU) está
inactivo durante cinco minutos.
Desactive esta opción solo en los sistemas servidor y en los
sistemas a los que los usuarios acceden mediante una conexión de
Escritorio remoto (RDP). Prevención de amenazas depende de
McTray para determinar si el sistema está inactivo. En sistemas a
los que solo se accede mediante el escritorio remoto, McTray no se
inicia y el analizador bajo demanda no se ejecuta nunca. Para
evitar este problema, los usuarios pueden iniciar McTray (de
manera predeterminada en C:\Archivos de programa\McAfee
\Agent\mctray.exe) manualmente cuando inicien sesión en el
escritorio remoto.
Véase también
Configurar Análisis bajo demanda en la página 90
Configure, planifique y ejecute tareas de análisis en la página 95
Ejecución de un Análisis completo o un Análisis rápido en la página 56
Analizar un archivo o carpeta en la página 58
Ubicaciones de análisis en la página 124
McAfee GTI en la página 126
Acciones en la página 127
Agregar exclusión o Editar exclusión en la página 128
Ubicaciones de análisis
Especifique las ubicaciones que analizar.
Estas opciones solo se aplican a Análisis completo, Análisis rápido y análisis personalizados.
Memoria para rootkits Analiza la memoria del sistema para buscar rootkits instalados,
procesos ocultos y otros comportamientos que puedan sugerir
que un malware está intentando ocultarse. Este análisis se
produce antes que los demás análisis.
Archivos registrados Analiza los archivos a los que hace referencia el Registro de
Windows.
El analizador busca nombres de archivo en el registro,
determina si el archivo existe, crea una lista de archivos para
analizar y analiza los archivos.
Véase también
Prevención de amenazas: Análisis bajo demanda en la página 120
McAfee GTI
Activa y configura los ajustes de McAfee GTI (Global Threat Intelligence).
Tabla 3-20 Opciones
Sección Opción Definición
Activar Activa y desactiva las comprobaciones heurísticas.
McAfee GTI
• Cuando se ha activado, se envían huellas digitales de muestras, o hashes, a
McAfee Labs para determinar si se trata de malware. Al enviar hashes, la
detección podría estar disponible antes que la próxima publicación de
archivos de AMCore content, cuando McAfee Labs publique la actualización.
• Cuando se desactiva, no se envían huellas digitales ni datos a McAfee Labs.
Nivel de Configura el nivel de sensibilidad que se debe utilizar para determinar si una
sensibilidad muestra detectada es malware.
Cuanto mayor sea el nivel de sensibilidad, mayor será el número de
detecciones de malware. Sin embargo, al permitirse más detecciones también
puede que se obtengan más resultados de falsos positivos.
Muy bajo Las detecciones y el riesgo de falsos positivos son los mismos que con archivos
de contenido de AMCore normales. Puede disponer de una detección para
Prevención de amenazas cuando McAfee Labs la publique en lugar en la
siguiente actualización de archivos de AMCore Content.
Utilice esta configuración para los equipos de sobremesa y servidores con
derechos de usuario restringidos y fuertes configuraciones de seguridad.
Esta configuración da lugar a una media de entre 10 y 15 consultas al día por
equipo.
Media Utilice esta configuración cuando el riesgo normal de exposición a malware sea
superior al riesgo de un falso positivo. Las comprobaciones heurísticas
propietarias de McAfee Labs generan detecciones que probablemente son
malware. No obstante, algunas detecciones podrían producir un falso positivo.
Con esta configuración, McAfee Labs comprueba que las aplicaciones y los
archivos del sistema operativo conocidos no produzcan falsos positivos.
Esta configuración es la recomendación mínima para portátiles, equipos de
sobremesa y servidores.
Esta configuración da lugar a una media de entre 20 y 25 consultas al día por
equipo.
Muy alto Utilice esta configuración en volúmenes que no contengan sistemas operativos.
Las detecciones que se encuentran con este nivel son supuestamente
maliciosas, pero no se han comprobado completamente para determinar si son
falsos positivos.
Utilice esta configuración únicamente para analizar volúmenes y directorios que
no admitan la ejecución de programas ni sistemas operativos.
Esta configuración da lugar a una media de entre 20 y 25 consultas al día por
equipo.
Véase también
Prevención de amenazas: Análisis en tiempo real en la página 116
Prevención de amenazas: Análisis bajo demanda en la página 120
Control web: Opciones en la página 173
Acciones
Especifica cómo responde el analizador cuando detecta una amenaza.
Véase también
Prevención de amenazas: Análisis en tiempo real en la página 116
Prevención de amenazas: Análisis bajo demanda en la página 120
Véase también
Prevención de amenazas: Análisis en tiempo real en la página 116
Prevención de amenazas: Análisis bajo demanda en la página 120
Caracteres comodín en exclusiones en la página 65
Configuración de exclusiones en la página 64
Véase también
Configurar parámetros de análisis de ajustes generales en la página 82
Opción Definición
Seleccione la versión Especifica el número de versión de un archivo de AMCore content anterior que
que cargar hay que cargar.
Endpoint Security conserva las dos versiones previas en el sistema cliente.
Cuando cambia a una versión anterior, Endpoint Security elimina la versión actual
de AMCore content del sistema.
Véase también
Cambio de la versión de AMCore content en la página 28
Contenido
Cómo funciona Firewall
Activación y desactivación de Firewall en el icono de la bandeja del sistema de McAfee
Activación o visualización de los grupos sincronizados de Firewall mediante el icono de la bandeja
del sistema de McAfee
Administrar Firewall
Referencia de la interfaz del Cliente de Endpoint Security: Firewall
A medida que revisa el tráfico entrante o saliente, el Firewall comprueba su lista de reglas, que es un
conjunto de criterios con acciones asociadas. Si el tráfico coincide con todos los criterios de una regla,
el Firewall actúa de acuerdo con dicha regla, bloqueando o permitiendo el tráfico a través de Firewall.
La información sobre detecciones de amenazas se guarda para crear informes que notifican al
administrador sobre cualquier problema de seguridad relativo al equipo.
Las opciones y reglas de Firewall definen cómo funciona el Firewall. Los grupos de reglas organizan las
reglas de firewall para una administración más fácil.
Si el Modo de interfaz cliente se establece en Acceso total o ha iniciado sesión como administrador,
puede configurar las reglas y grupos mediante Cliente de Endpoint Security. Para los sistemas
gestionados, las reglas o grupos que cree podrían sobrescribirse cuando el administrador despliegue
una directiva actualizada.
Véase también
Configurar opciones deFirewall en la página 135
Cómo funcionan las reglas de firewall en la página 139
Cómo funcionan los grupos de reglas de firewall en la página 141
Estas opciones podrían no estar disponibles, dependiendo de cómo se haya definido la configuración.
Procedimiento
• Haga clic con el botón derecho en el icono de la bandeja del sistema de McAfee y seleccione
Desactivar Firewall de Endpoint Security una opción del menú Configuración rápida.
Si el Firewall está activado, la opción es Desactivar Firewall de Endpoint Security.
Dependiendo de la configuración, es posible que deba proporcionar un motivo al administrador para
desactivar el Firewall.
Estas opciones podrían no estar disponibles, dependiendo de cómo se haya definido la configuración.
Procedimiento
• Haga clic con el botón derecho en el icono de la bandeja del sistema de McAfee y seleccione una
opción del menú Configuración rápida.
• Activar grupos sincronizados de firewall: Activa los grupos sincronizados durante un período
determinado para permitir el acceso a Internet antes de que se apliquen las reglas que
restringen el acceso. Cuando los grupos sincronizados están activados, la que se muestra es
Desactivar grupos sincronizados de firewall.
Cada vez que selecciona esta opción, se restablece el tiempo asignado a los grupos.
• Ver grupos sincronizados de firewall: muestra los nombres de los grupos sincronizados y el tiempo
restante de activación de cada grupo.
• De forma manual, seleccionando las opciones del icono de la bandeja del sistema de McAfee.
Administrar Firewall
Como administrador, puede configurar las opciones de Firewall y crear reglas y grupos en Cliente de
Endpoint Security.
En los sistemas gestionados, los cambios de directiva realizados en McAfee ePO podrían sobrescribir los
cambios de la página Configuración.
Procedimientos
• Configurar opciones deFirewall en la página 135
Configure los parámetros en Opciones active o desactive la protección por firewall, active el
modo de adaptación y configure otras opciones de Firewall.
• Bloqueo del tráfico DNS en la página 136
Para ajustar la protección por firewall, puede crear una lista de nombres de dominio
completos que desee bloquear. Firewall bloquea las conexiones a las direcciones IP que se
resuelven en los nombres de dominio.
• Definir redes para usar en reglas y grupos en la página 137
Establezca las direcciones de red, las subredes o los intervalos que usar en las reglas y los
grupos. También puede especificar las redes que son de confianza.
• Configuración de ejecutables de confianza en la página 138
Defina o edite la lista de ejecutables de confianza que se consideren seguros para su
entorno.
Véase también
Preguntas frecuentes: McAfee GTI y Firewall en la página 136
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
Host Intrusion Prevention 8.0 se puede instalar en el mismo sistema que Endpoint Security versión
10.5. Si el Firewall de McAfee Host IPS está instalado y activado, se desactiva el Firewall de
Endpoint Security aunque esté activado en la configuración de la directiva.
5 Configure los parámetros en la página y, a continuación, haga clic en Aplicar para guardar los
cambios o en Cancelar.
Véase también
Iniciar sesión como administrador en la página 26
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
4 Introduzca los nombres de dominio completos que desea bloquear y haga clic en Guardar.
Puede usar los caracteres comodín * y ?. Por ejemplo, *dominio.com.
6 Haga clic en Aplicar para guardar los cambios o haga clic en Cancelar.
La configuración de las Opciones de Firewall le permite bloquear el tráfico entrante y saliente de una
conexión de red que McAfee GTI haya clasificado como de alto riesgo. Estas preguntas frecuentes
explican qué hace McAfee GTI y cómo afecta al firewall.
Por cada dirección IP de Internet, McAfee GTI calcula un valor de reputación. McAfee GTI basa
este valor en el comportamiento de alojamiento o envío y en diversos datos de entorno
recopilados de los clientes y partners en relación con el estado del panorama de amenazas en
Internet. La reputación se expresa con cuatro clases que se basan en nuestro análisis:
• No bloquear (riesgo mínimo): se trata de un origen o destino legítimos de contenido/tráfico.
• Riesgo alto: este origen/destino envía o alberga contenido/tráfico potencialmente malicioso que
McAfee considera de riesgo.
• Sin verificar: este sitio web parece ser una fuente o un destino legítimo de contenido/tráfico,
pero también muestra algunas propiedades que sugieren la necesidad de una inspección
adicional.
• Utiliza una arquitectura de almacenamiento en caché inteligente. Con los patrones de uso
normal de la red, la mayoría de las conexiones más importantes se resuelven mediante la
caché, sin una consulta de reputación activa.
Si el firewall no puede conectar con los servidores de McAfee GTI, ¿el tráfico se detiene?
Si el firewall no puede conectar con ninguno de los servidores de McAfee GTI, asigna
automáticamente a todas las conexiones aplicables una reputación predeterminada para
permitirlas. A continuación, el firewall sigue con un análisis de las reglas posteriores.
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
Para... Pasos
Definir una nueva Haga clic en Agregar e introduzca la información de la red de confianza.
red. Para definir la red como de confianza, seleccione Sí en el menú desplegable
De confianza.
Si selecciona No, la red se define para su uso en reglas y grupos, pero el
tráfico entrante y saliente de la red no se considera de confianza
automáticamente.
5 Haga clic en Aplicar para guardar los cambios o haga clic en Cancelar.
Al definir una red como de confianza, se crea una regla bidireccional Permitir para dicha red remota en
la primera posición de la lista de reglas de Firewall.
Una vez definidas, puede crear reglas de firewall que se aplicarán a estas redes de confianza. Las
redes de confianza también funcionan como excepciones a McAfee GTI en el firewall.
Práctica recomendada: Al añadir redes a las reglas o grupos de Firewall, seleccione Redes definidas en
el Tipo de red al que quiere aplicar esta función.
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
5 Haga clic en Aplicar para guardar los cambios o haga clic en Cancelar.
Mantener una lista de ejecutables seguros en un sistema reduce o elimina la mayoría de los falsos
positivos. Por ejemplo, cuando se ejecuta una aplicación de copias de seguridad, pueden darse
muchos eventos de falsos positivos. Para evitar que se produzcan falsos positivos, convierta la
aplicación de copias de seguridad en un ejecutable de confianza.
Un ejecutable de confianza puede sufrir vulnerabilidades comunes como desbordamiento del búfer y uso
ilegal. Por lo tanto, Firewall supervisa los ejecutables de confianza y puede desencadenar eventos para
prevenir exploits.
El Catálogo de Firewall contiene tanto ejecutables como aplicaciones. Los ejecutables del catálogo se
pueden asociar a una aplicación contenedora. Puede agregar ejecutables y aplicaciones del catálogo a
la lista de ejecutables de confianza. Una vez definidos, puede hacer referencia a los ejecutables en
reglas y grupos.
Procedimientos
• Creación y administración de directivas y grupos de Firewall en la página 145
Para los sistemas gestionados, las reglas o grupos que configure desde Cliente de Endpoint
Security podrían sobrescribirse cuando el administrador despliegue una directiva
actualizada.
• Creación de grupos de aislamiento de conexión en la página 147
Cree un grupo de reglas de firewall de aislamiento de conexión para establecer un conjunto
de reglas que se apliquen solo cuando se conecta a una red con unos parámetros
determinados.
• Creación de grupos sincronizados en la página 148
Cree grupos sincronizados de Firewall para restringir el acceso a Internet hasta que un
sistema cliente se conecte a través de una conexión VPN.
Puede definir las reglas de manera amplia (por ejemplo, todo el tráfico IP) o de manera estricta (por
ejemplo, mediante la identificación de una aplicación o servicio concretos) y especificar opciones.
Puede agrupar reglas de acuerdo con una función de trabajo, un servicio o una aplicación, para así
facilitar la gestión. Al igual que las reglas, los grupos de reglas pueden definirse por opciones de red,
transporte, aplicación, programa y localización.
2 No obstante, si el tráfico no cumple las condiciones de la primera regla, Firewall pasa a la siguiente
regla de la lista hasta que encuentre una regla que coincida con el tráfico.
Si se ha activado el modo de adaptación, se crea una regla de permiso para el tráfico. A veces, el
tráfico interceptado coincide con más de una regla de la lista. Si es así, la prioridad hace que Firewall
aplique solo la primera regla coincidente de la lista.
Recomendaciones
Coloque las reglas más específicas al principio de la lista y las reglas más generales al final. Este orden
asegura que Firewall filtra el tráfico adecuadamente.
Por ejemplo, para permitir las solicitudes HTTP, excepto de una dirección específica (por ejemplo, la
dirección IP 10.10.10.1), cree dos reglas:
• Regla de bloqueo: bloquea el tráfico HTTP desde la dirección IP 10.10.10.1. Esta regla es
específica.
• Regla de permiso: permite todo el tráfico que utiliza el servicio HTTP. Esta regla es más general.
Coloque la regla de bloqueo, más específica, en una posición más alta en la lista de reglas de firewall
que la regla de permiso, más general. Así, cuando el firewall intercepta una solicitud de HTTP desde la
dirección 10.10.10.1, la primera regla coincidente que encuentra es la que bloquea este tráfico a
través del firewall.
Si colocó la regla de permiso en una posición superior a la de la regla de bloqueo, Firewall encontraría
una coincidencia de la solicitud HTTP con la regla de permiso antes de poder encontrar la regla de
bloqueo. Permitiría el tráfico, aunque lo que el usuario deseara fuera bloquear las solicitudes HTTP
provenientes de una dirección específica.
Ubicación:
Redes:
• Tipos de conexión
Si dos grupos que detectan la ubicación se aplican a una conexión, Firewall utiliza la prioridad normal
y procesa el primer grupo aplicable de su lista de reglas. Si no hay ninguna regla que coincida en el
primer grupo, prosigue con el procesamiento de la regla.
Cuando Firewall encuentra una coincidencia entre los parámetros de un grupo para localización y una
conexión activa, aplica las reglas incluidas en el grupo. Tratará las reglas como un conjunto pequeño
de reglas y usará la prioridad normal. Si algunas de las reglas no coinciden con el tráfico interceptado,
el firewall las omite.
• Criterios de grupo
Los grupos con el aislamiento de conexión activado no pueden tener asociadas opciones de transporte
ni ejecutables.
• Gateway predeterminada
El equipo tiene adaptadores de red LAN e inalámbrica. El equipo se conecta a la red corporativa con
una conexión con cable. Sin embargo, la interfaz inalámbrica sigue estando activa, de modo que se
conecta a otro hotspot fuera de la oficina. El equipo se conecta a ambas redes porque las reglas de
acceso básico están entre las primeras de la lista de reglas de firewall. La conexión LAN con cable está
activa y cumple los criterios del grupo de la LAN corporativa. El firewall procesa el tráfico a través de
LAN, pero debido a que la opción de aislamiento de conexión está activada, el resto del tráfico que no
pasa por la LAN queda bloqueado.
Las reglas de conexión general permiten configurar una cuenta basada en tiempos en el hotel para
poder acceder a Internet. Las reglas de conexión de VPN permiten la conexión y el uso del túnel VPN.
Después de establecer el túnel, el cliente VPN crea un adaptador virtual que coincide con los criterios
del grupo de VPN. El único tráfico que el firewall permite es el del interior del túnel VPN y el tráfico
básico del adaptador actual. Se bloquean los intentos de otros huéspedes del hotel de acceder al
equipo a través de la red, ya sea por cable o de forma inalámbrica.
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
Los grupos y reglas aparecen en orden de prioridad en la tabla Reglas de Firewall. No puede ordenar las
reglas por columna.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
Puede eliminar reglas solo 2 Seleccione la regla o reglas y haga clic en Eliminar.
desde los grupos Agregado por
el usuario y Adaptación.
4 Haga clic en Aplicar para guardar los cambios o haga clic en Cancelar.
Véase también
Caracteres comodín en reglas de firewall en la página 146
Iniciar sesión como administrador en la página 26
Creación de grupos de aislamiento de conexión en la página 147
Las rutas de las claves de Registro para las localizaciones de los grupos de firewall no reconocen los
valores de los comodines.
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
6 Bajo Redes, para Tipos de conexión, seleccione el tipo de conexión (Con cable, Inalámbrica o Virtual) para
aplicar a las reglas de este grupo.
8 Cree reglas nuevas dentro de este grupo, o mueva las reglas existentes a él desde la lista de reglas
de firewall.
9 Haga clic en Aplicar para guardar los cambios o haga clic en Cancelar.
Véase también
Grupos de reglas y aislamiento de conexión de Firewall en la página 142
Cómo funcionan los grupos de reglas de firewall en la página 141
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
3 Cree un grupo deFirewall con una configuración predeterminada que permita la conexión a
Internet.
Por ejemplo, puede permitir el tráfico HTTP en el puerto 80.
• Desactivar la planificación y activar el grupo desde el icono de la bandeja del sistema de McAfee: permite que los
usuarios activen el grupo en la bandeja del sistema de McAfee y mantiene el grupo activado
durante un periodo de minutos concreto.
Si permite que los usuarios administren los grupos sincronizados, puede, de manera opcional,
solicitar que proporcionen una justificación antes de activar el grupo.
6 Cree un grupo de aislamiento de conexión correspondiente a la red VPN para permitir el tráfico
necesario.
Práctica recomendada: Para dejar tráfico saliente únicamente del grupo de aislamiento de la
conexión en el sistema cliente, no coloque reglas de Firewall bajo este grupo.
7 Haga clic en Aplicar para guardar los cambios o haga clic en Cancelar.
Véase también
Creación de grupos de aislamiento de conexión en la página 147
Contenido
Firewall: Opciones
Firewall: Reglas
Firewall: Opciones
Activa y desactiva el módulo de Firewall, establece las opciones de protección y defines las redes y los
ejecutables de confianza.
Para restablecer la configuración predeterminada de McAfee y cancelar los cambios, haga clic en
Restablecer a predeterminado.
Host Intrusion Prevention 8.0 se puede instalar en el mismo sistema que Endpoint Security versión
10.5. Si el Firewall de McAfee Host IPS está instalado y activado, se desactiva el Firewall de Endpoint
Security aunque esté activado en la configuración de la directiva.
Desactivar las reglas Desactiva las reglas de red integradas de McAfee (en el grupo de
de redes principales reglas Redes principales de McAfee).
de McAfee (Opción desactivada de forma predeterminada)
Bloquear todos los Bloquea todos los ejecutables que no están firmados o cuya
ejecutables no reputación de McAfee GTI es desconocida.
fiables
Umbral de Especifica el umbral de riesgo de McAfee GTI a partir del cual debe
reputación de red bloquearse el tráfico entrante o saliente desde una conexión de red.
entrante
• No bloquear: este sitio web es una fuente o un destino legítimo de
Umbral de contenido/tráfico.
reputación de red
saliente • Riesgo alto: este origen/destino envía o alberga contenido/tráfico
potencialmente malicioso que McAfee considera de riesgo.
• Riesgo medio: este origen/destino muestra un comportamiento que
McAfeeMcAfee considera sospechoso. Cualquier contenido/tráfico
procedente del sitio web requiere un escrutinio especial.
• Sin verificar: este sitio web parece ser una fuente o un destino legítimo
de contenido/tráfico, pero también muestra algunas propiedades
que sugieren la necesidad de una inspección adicional.
Firewall con Usar inspección de Permite rastrear conexiones FTP, de modo que solo se requiera una
seguimiento protocolo FTP regla de Firewall para el tráfico FTP de cliente saliente y el tráfico FTP
de estado de servidor entrante.
Si esta opción no está seleccionada, las conexiones FTP requerirán una
regla adicional para el tráfico FTP de cliente entrante y otra para el
tráfico FTP de servidor saliente.
Propietario
Ejecutables de Especifica ejecutables que son seguros en cualquier entorno y que no
confianza tienen vulnerabilidades conocidas. Estos ejecutables tienen permiso
para realizar todas las operaciones excepto aquellas que indiquen que
los ejecutables están en peligro.
Al configurar un ejecutable de confianza, se crea una regla
bidireccional Permitir para dicho ejecutable en la primera posición de
la lista de reglas de Firewall.
• Agregar: agrega un ejecutable de confianza.
• Hacer doble clic en un elemento: Modifica el elemento seleccionado.
• Eliminar: Elimina el ejecutable de la lista de confianza.
Véase también
Configurar opciones deFirewall en la página 135
Definir redes para usar en reglas y grupos en la página 137
Configuración de ejecutables de confianza en la página 138
Agregar ejecutable o Editar ejecutable en la página 158
Firewall: Reglas
Administre grupos y reglas de firewall.
Solo puede agregar y eliminar reglas y grupos en el grupo Agregado por usuario. Firewall mueve de
manera automática a este grupo las reglas que se acaban de agregar.
Véase también
Creación y administración de directivas y grupos de Firewall en la página 145
Agregar regla o Editar regla, Agregar grupo o Editar grupo en la página 153
Véase también
Creación y administración de directivas y grupos de Firewall en la página 145
Creación de grupos sincronizados en la página 148
Activación o visualización de los grupos sincronizados de Firewall mediante el icono de la
bandeja del sistema de McAfee en la página 134
Agregar red o Editar red en la página 159
Agregar ejecutable o Editar ejecutable en la página 158
Nombre de archivo Especifica la ruta o nombre de archivo del ejecutable que se va a agregar o editar.
o ruta Haga clic en Examinar para seleccionar el ejecutable.
La ruta del archivo puede incluir caracteres comodín.
Véase también
Tipo de dirección en la página 160
Tipo de dirección
Especifique el tipo de dirección de una red definida.
Tabla 4-7 Opciones
Opción Definición
Dirección IP única Especifica una dirección IP concreta. Por ejemplo:
• IPv4: 123.123.123.123
• IPv6: 2001:db8::c0fa:f340:9219:bd20:9832:0ac7*
Contenido
Acerca de las funciones de Control web
Acceso a las funciones de Control web
Administrar Control web
Referencia de la interfaz del Cliente de Endpoint Security: Control web
El software utiliza los resultados de las pruebas para notificar a los usuarios sobre posibles amenazas
basadas en web.
En las páginas de resultados de búsqueda: aparece un icono junto a cada sitio de la lista. El color
del icono indica la calificación de seguridad del sitio web. Los usuarios pueden acceder a información
adicional a través de los iconos.
En la ventana del navegador: aparece un botón en el navegador. El color del botón indica la
calificación de seguridad del sitio web. Los usuarios pueden acceder a información adicional haciendo
clic en el botón.
El botón también notifica a los usuarios cuando se producen problemas de comunicación y proporciona
acceso rápido a pruebas que ayudan a identificar problemas comunes.
• Controlar el acceso a sitios web, páginas y descargas, según su calificación de seguridad o tipo de
contenido.
Por ejemplo, bloquear los sitios web rojos y advertir a los usuarios que intentan acceder a los sitios
web amarillos.
• Identificar sitios web como bloqueados o permitidos, en función de las direcciones URL y los
dominios.
• Impedir que los usuarios desinstalen o cambien archivos de Control web, claves y valores de
Registro, servicios y procesos.
• Personalizar la notificación que aparece cuando los usuarios intentan acceder a un sitio web
bloqueado.
• Supervisar y regular la actividad del navegador en los equipos de red y crear informes detallados
acerca de sitios web.
• Controlar el acceso a sitios web, páginas y descargas, según su calificación de seguridad o tipo de
contenido.
Por ejemplo, bloquear los sitios web rojos y advertir a los usuarios que intentan acceder a los sitios
web amarillos.
• Mozilla Firefox ESR (Extended Support Release): versión actual y versión anterior
Como Google y Mozilla publican frecuentemente versiones nuevas, es posible que Control web no
funcione con una actualización nueva. Se publicará un parche de Control web tan pronto como sea
posible para que sea compatible con los cambios realizados en Google o Mozilla.
Para obtener la información más reciente sobre los navegadores compatibles con Control web,
consulte KB82761.
En los sistemas autogestionados se permiten todos los navegadores de forma predeterminada, tanto los
compatibles como los no compatibles.
Véase también
El botón de Control web identifica las amenazas durante la navegación en la página 163
Los iconos de seguridad identifican las amenazas durante la búsqueda en la página 164
Los informes de sitio web proporcionan detalles en la página 165
Modo de compilación de las clasificaciones de seguridad en la página 166
• Advertir: Control web muestra una advertencia para notificar a los usuarios de daños potenciales
asociados con el sitio web.
Cancelar vuelve al sitio web al que se ha navegado previamente.
• Bloquear: Control web muestra un mensaje de que el sitio web está bloqueado e impide a los
usuarios acceder al sitio web.
Aceptar vuelve al sitio web al que se ha navegado previamente.
Si las acciones de calificación para las descargas de un sitio web están establecidas en:
• Advertir: Control web muestra una advertencia para notificar a los usuarios de daños potenciales
asociados con el archivo descargado.
Bloquear: impide la descarga y vuelve al sitio web.
• Bloquear: Control web muestra un mensaje que indica que el sitio web está bloqueado e impide la
descarga.
Aceptar: vuelve al sitio web.
Véase también
Ver información acerca de un sitio al navegar en la página 167
Las pruebas detectaron algunos problemas que usted debe conocer. Por ejemplo, el sitio ha
intentado cambiar los valores predeterminados de los analizadores para el navegador, ha
mostrado ventanas emergentes o ha enviado una cantidad significativa de mensajes de correo
electrónico no considerados spam.
Las pruebas detectaron algunos problemas graves que usted debe tener en cuenta antes de
acceder a este sitio web. Por ejemplo, el sitio web ha enviado a los analizadores correo
electrónico spam o adware incluido en las descargas.
Este sitio está bloqueado por una .
Véase también
Ver informe de sitio web durante la búsqueda en la página 168
Este Indica...
elemento...
Descripción La calificación global del sitio web, determinada por estas pruebas:
general
• Evaluación de las prácticas de correo electrónico y descarga del sitio web usando
nuestras técnicas patentadas de recopilación y análisis de datos.
• Examen del propio sitio web en busca de prácticas molestas como, por ejemplo,
un exceso de ventanas emergentes o solicitudes para cambiar la página de inicio
del usuario.
• Análisis de sus afiliaciones online para ver si el sitio está asociado a otros sitios
sospechosos.
• Combinación de la revisión de sitios sospechosos de McAfee con los comentarios
de los servicios Threat Intelligence.
Afiliaciones Con qué nivel de agresividad actúa el sitio web en su intento de persuadir a los
online usuarios para que vayan a otros sitios web marcados con una calificación roja de
McAfee.
Los sitios web sospechosos a menudo se asocian con otros sitios sospechosos. La
finalidad primaria de un sitio web "alimentador" es conseguir que el usuario visite el
sitio sospechoso. Un sitio web puede recibir una calificación roja si, por ejemplo,
cuenta con numerosos vínculos a otros sitios web rojos. En este caso, Control web
considera el sitio web rojo por asociación.
Pruebas de La calificación global del impacto que tiene el software descargable de un sitio web
descarga en el equipo de pruebas, en función de sus resultados.
McAfee asigna marcas rojas a los sitios web que cuentan con descargas infectadas
con virus o que agregan software no relacionado que podría considerarse adware o
spyware. La calificación también considera los servidores de red con los que
contacta un programa descargado durante su funcionamiento, además de cualquier
modificación realizada a la configuración del navegador o los archivos de Registro
de un equipo.
Véase también
Ver informe de sitio web durante la búsqueda en la página 168
Ver información acerca de un sitio al navegar en la página 167
• Descarga de archivos para verificar si hay virus o programas potencialmente no deseados incluidos
en la descarga.
• Comprobación de intentos del sitio web de aprovecharse de las vulnerabilidades del navegador.
El equipo compila los resultados de la prueba en un informe de seguridad que puede incluir, además,
lo siguiente:
• Comentarios enviados por los propietarios del sitio web, que pueden incluir descripciones de las
medidas de seguridad que emplea el sitio o las respuestas a los comentarios de los usuarios.
• Comentarios enviados por los usuarios del sitio web, que pueden incluir informes de fraudes de
phishing o experiencias negativas de compra.
El servidor de McAfee GTI almacena las calificaciones de sitio web y los informes.
Procedimientos
• Activar el complemento Control web en el navegador en la página 166
Dependiendo de la configuración, deberá activar manualmente el complemento Control web
para recibir notificaciones sobre amenazas basadas en web al navegar y hacer búsquedas.
• Ver información acerca de un sitio al navegar en la página 167
Utilice el botón Control web del navegador para ver información acerca de un sitio. Este
botón funciona de forma distinta según el navegador.
• Ver informe de sitio web durante la búsqueda en la página 168
Use el icono de seguridad en la página de resultados de búsqueda para ver más
información acerca del sitio web.
Antes de empezar
El módulo Control web debe estar activado.
Cuando se inicia Internet Explorer o Chrome por primera vez, es posible que se le solicite que active
los complementos. Para obtener la información más reciente, véase el artículo KB87568 de la base de
conocimiento.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
3 Reinicie Firefox.
Antes de empezar
• El módulo Control web debe estar activado.
Procedimiento
1 Mostrar un globo con un resumen de la calificación de seguridad del sitio: mantenga el cursor sobre
el botón en la barra de herramientas de Control web.
(Solo Internet Explorer y Firefox)
2 Mostrar el informe de sitio web detallado, con más información sobre la calificación de seguridad
del sitio:
• Haga clic en el botón Control web.
• Haga clic en el vínculo Leer informe de sitio web en el globo del sitio web. (Solo Internet Explorer y
Firefox)
Véase también
El botón de Control web identifica las amenazas durante la navegación en la página 163
Los informes de sitio web proporcionan detalles en la página 165
Procedimiento
1 Mantenga el cursor sobre el icono de seguridad. Un globo de texto muestra un resumen del informe
de seguridad para el sitio web.
2 Haga clic en Leer informe de sitio web (en el globo) para abrir un informe de seguridad detallado en otra
ventana del navegador.
Véase también
Los iconos de seguridad identifican las amenazas durante la búsqueda en la página 164
Los informes de sitio web proporcionan detalles en la página 165
En los sistemas gestionados, los cambios de directiva realizados en McAfee ePO podrían sobrescribir los
cambios de la página Configuración.
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
O bien en el menú Acción , seleccione Configuración y, a continuación, haga clic en Control web en la
página Configuración.
5 Seleccione Activar Control web para activar Control web y modificar sus opciones.
7 Haga clic en Aplicar para guardar los cambios o haga clic en Cancelar.
Véase también
Cómo se analizan las descargas de archivos en la página 171
Iniciar sesión como administrador en la página 26
Puede configurar el nivel de sensibilidad que utiliza McAfee GTI cuando determina si una muestra
detectada es malware. Cuanto mayor sea el nivel de sensibilidad, mayor será el número de
detecciones de malware. Sin embargo, al permitirse más detecciones también puede que se obtengan
más resultados de falsos positivos. El nivel de sensibilidad de McAfee GTI se encuentra establecido en
Muy alto de manera predeterminada. Establezca el nivel de sensibilidad para analizar descargas de
archivos en la configuración de directiva Opciones de Control web.
Puede configurar Endpoint Security para usar un servidor proxy con el fin de recuperar la información
de reputación de McAfee GTI en la configuración de Ajustes generales.
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
O bien en el menú Acción , seleccione Configuración y, a continuación, haga clic en Control web en la
página Configuración.
5 En la sección Bloqueo de categorías web, para cada una de las Categorías web, active o desactive la opción
Bloquear.
Para los sitios web en las categorías no bloqueadas, Control web aplica las acciones de calificación.
6 En la sección Acciones de calificación, especifique las acciones que desea aplicar a los sitios web y las
descargas de archivos según las calificaciones de seguridad definidas por McAfee.
Estas acciones se aplican también a sitios web que no están bloqueados por bloqueo de categoría
web.
7 Haga clic en Aplicar para guardar los cambios o haga clic en Cancelar.
Véase también
Uso de categorías web para el control de acceso en la página 173
Uso de calificaciones de seguridad para controlar el acceso en la página 173
Iniciar sesión como administrador en la página 26
Cuando un cliente accede a un sitio web, el software comprueba la categoría web del sitio. Si el sitio
web pertenece a una de las categorías definidas, el acceso se bloquea o se permite según la
configuración de la Acciones según contenido. A los sitios web y las descargas de archivos de las
categorías no bloqueadas se les aplican las Acciones de calificación especificadas.
Contenido
Control web: Opciones
Control web: Acciones según contenido
Registrar eventos de Registra cuando se bloquean los sitios web maliciosos (Rojo) y
iFrame de Control web de advertencia (Amarillo) que aparecen en un iFrame de HTML.
Implementación Aplicar esta acción a Especifica la acción predeterminada que aplicar a sitios web
de acciones sitios aún no verificados que McAfee GTI todavía no ha calificado.
por McAfee GTI
• Permitir (opción predeterminada): permite que los usuarios
tengan acceso al sitio web.
• Advertir: muestra una advertencia que informa a los usuarios
sobre los peligros potenciales asociados con el sitio web. Los
usuarios deben descartar la advertencia antes de continuar.
• Bloquear: evita que los usuarios tengan acceso al sitio web y
muestra un mensaje que indica que el sitio de descargas está
bloqueado.
Permitir compatibilidad Bloquea el acceso a sitios web maliciosos (color Rojo) y con
con iFrame de HTML advertencias (color Amarillo) que aparecen en un iFrame HTML.
(Opción activada de manera predeterminada)
Bloquear sitios Bloquea el acceso a sitios web de forma predeterminada si
predeterminados si el Control web no puede acceder al servidor de McAfee GTI.
servidor de calificaciones
McAfee GTI no está
accesible
Bloquear páginas de Bloquea todas las páginas de phishing, con independencia de
phishing para todos los las acciones de calificaciones de contenido. (Opción activada de
sitios manera predeterminada)
Permitir análisis de Analiza todos los archivos (.zip, .exe, .ecx, .cab, .msi, .rar, .scr
archivos para las y .com) antes de descargarlos. (Opción activada de manera
descargas de archivos predeterminada)
Esta opción impide que los usuarios accedan a un archivo
descargado hasta que Control web y Prevención de amenazas
lo marquen como limpio.
Control web realiza una búsqueda de McAfee GTI del archivo.
Si McAfee GTI permite el archivo, Control web envía el archivo
a Prevención de amenazas para su análisis. Si un archivo
descargado se identifica como una amenaza, Endpoint Security
realiza una acción en el archivo y alerta al usuario.
Búsqueda segura Activar Búsqueda segura Activa la Búsqueda segura, y así bloquea automáticamente los
sitios web maliciosos de los resultados de búsqueda según su
calificación de seguridad.
Establezca el motor de Especifica el motor de búsqueda predeterminado en los
búsqueda predeterminado navegadores compatibles:
en los navegadores
• Yahoo
compatibles
• Google
• Bing
• Ask
Bloquear vínculos a sitios Evita que los usuarios hagan clic en vínculos a sitios web
peligrosos en los peligrosos en los resultados de la búsqueda.
resultados de la búsqueda
Véase también
Configuración de las opciones de Control web en la página 168
Cómo se analizan las descargas de archivos en la página 171
McAfee GTI en la página 176
McAfee GTI
Active y configure las opciones de McAfee GTI (Global Threat Intelligence).
Tabla 5-4 Opciones
Sección Opción Definición
Nivel de Configura el nivel de sensibilidad que se debe utilizar para determinar si una
sensibilidad muestra detectada es malware.
Cuanto mayor sea el nivel de sensibilidad, mayor será el número de
detecciones de malware. Sin embargo, al permitirse más detecciones también
puede que se obtengan más resultados de falsos positivos.
Muy bajo Las detecciones y el riesgo de falsos positivos son los mismos que con
archivos de contenido de AMCore normales. Puede disponer de una detección
para Prevención de amenazas cuando McAfee Labs la publique en lugar en la
siguiente actualización de archivos de AMCore Content.
Utilice esta configuración para los equipos de sobremesa y servidores con
derechos de usuario restringidos y fuertes configuraciones de seguridad.
Véase también
Control web: Opciones en la página 173
Para los sitios web y las descargas de archivos, Control web aplica las acciones de calificación.
Véase también
Especificar acciones de calificación y bloquear el acceso al sitio web según la categoría web en
la página 172
Uso de calificaciones de seguridad para controlar el acceso en la página 173
Uso de categorías web para el control de acceso en la página 173
Protección adaptable frente a amenazas es un módulo opcional de Endpoint Security que analiza el
contenido de su empresa y decide qué hacer en función de la reputación de los archivos, las reglas y
los umbrales de reputación.
Protección adaptable frente a amenazas no es compatible con sistemas gestionados por McAfee ePO
Cloud.
Contenido
Acerca de Protección adaptable frente a amenazas
Respuesta a un aviso de reputación de archivos
Administración de Protección adaptable frente a amenazas
Referencia de la interfaz del Cliente de Endpoint Security: Protección adaptable frente a amenazas
Protección adaptable frente a amenazas es un módulo opcional de Endpoint Security. Para disponer de
más fuentes de inteligencia de amenazas y funciones, despliegue el Servidor de Threat Intelligence
Exchange. Para obtener información, póngase en contacto con su reseller o representante de ventas.
Protección adaptable frente a amenazas no es compatible con sistemas gestionados por McAfee ePO
Cloud.
• Integración con el análisis de Real Protect para llevar a cabo análisis de reputación automatizados
en la nube y en los sistemas cliente.
• Integración en tiempo real con McAfee Advanced Threat Defense y McAfee GTI a fin de
®
proporcionar evaluaciones y datos detallados sobre la clasificación del malware. Esta integración
permite responder a las amenazas y compartir la información en todo el entorno.
• Data Exchange Layer: clientes y brókers que permiten la comunicación bidireccional entre el
módulo Protección adaptable frente a amenazas del sistema gestionado y el servidor de TIE.
Data Exchange Layer es opcional, pero es necesario para la comunicación con el servidor de TIE.
Para obtener detalles al respecto, véase la Guía del producto de McAfee Data Exchange Layer.
Estos componentes incluyen extensiones de McAfee ePO que incorporan diversos informes y funciones
nuevos.
Si Servidor de TIE y Data Exchange Layer están presentes, Protección adaptable frente a amenazas y
el servidor se comunican información sobre reputación de archivos. El marco de Data Exchange Layer
transmite inmediatamente esa información a los endpoints gestionados. Asimismo, comparte
®
información con otros productos de McAfee que acceden a Data Exchange Layer, tales como McAfee
®
Enterprise Security Manager (McAfee ESM) y McAfee Network Security Platform.
Figura 6-1 Protección adaptable frente a amenazas con Servidor de TIE y Data Exchange Layer
Si Servidor de TIE y Data Exchange Layer no están presentes, Protección adaptable frente a amenazas
se comunica con McAfee GTI para transmitir información sobre reputación de archivos.
• Si el Servidor de TIE está disponible, Protección adaptable frente a amenazas utiliza el marco de
Data Exchange Layer para compartir la información sobre los archivos y las amenazas
instantáneamente en toda la empresa. Puede ver el sistema concreto donde se ha detectado una
amenaza por primera vez, a qué ubicaciones se ha dirigido desde allí y detenerla inmediatamente.
Protección adaptable frente a amenazas con el Servidor de TIE le permite controlar la reputación
de los archivos en un nivel local, en su entorno. Usted decide qué archivos se pueden ejecutar y
cuáles se bloquean, y Data Exchange Layer comparte la información de manera inmediata en todo
el entorno.
• Permitir que un archivo se ejecute en un contenedor: cuando una empresa utiliza por
primera vez un archivo cuya reputación se desconoce, el administrador puede decidir permitir que
se ejecute en un contenedor. En este caso, el administrador configura las reglas de contención en
la configuración de Contención dinámica de aplicaciones. Las reglas de contención definen las
acciones que la aplicación contenida no puede realizar.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
• Conectividad de Inteligencia de amenazas: está conectado a Servidor de TIE para transmitir información
de reputación en el nivel de la empresa.
• Solo conectividad de McAfee GTI: está conectado a McAfee GTI para transmitir información de
reputación en un nivel global.
• Desconectado: no está conectado a Servidor de TIE o McAfee GTI. Protección adaptable frente a
amenazas determina la reputación de los archivos sirviéndose de la información del sistema
local.
2 Endpoint Security comprueba las exclusiones para determinar si debe inspeccionar o no el archivo.
4 El módulo Protección adaptable frente a amenazas inspecciona el archivo y recopila las propiedades
de interés del archivo y del sistema local.
5 El módulo busca el hash del archivo en la caché de reputación local. Si se encuentra el hash del
archivo, el módulo obtiene de la caché los datos de reputación y la prevalencia de Enterprise
correspondientes al archivo.
• Si no se encuentra el hash del archivo en la caché de reputación local, el módulo envía una
consulta al servidor de TIE. Si se encuentra el hash, el módulo obtiene los datos de prevalencia
de Enterprise (y las reputaciones disponibles) correspondientes a ese hash del archivo.
• Si no se encuentra el hash del archivo en la base de datos o el Servidor de TIE, el servidor envía
una consulta a McAfee GTI sobre la reputación del hash del archivo. McAfee GTI envía la
información disponible, por ejemplo, "desconocido" o "malicioso", y el servidor almacena esa
información.
El servidor envía el archivo para su análisis si se dan estas dos circunstancias:
• La directiva del endpoint está configurada para enviar el archivo a Advanced Threat Defense.
Puede consultar los pasos adicionales en Si Advanced Threat Defense está presente.
• Reputación
8 El módulo actúa de acuerdo con la directiva asignada al sistema que ejecuta el archivo.
2 Advanced Threat Defense analiza el archivo y envía los resultados relativos a la reputación del
archivo al Servidor de TIE mediante Data Exchange Layer. El servidor también actualiza la base de
datos y envía la información de reputación actualizada a todos los sistemas con Protección
adaptable frente a amenazas activado a fin de proteger su entorno de forma inmediata. Protección
adaptable frente a amenazas o cualquier otro producto de McAfee pueden iniciar este proceso. En
cualquier caso, Protección adaptable frente a amenazas procesa la reputación y la guarda en la
base de datos.
Para obtener información sobre cómo se integra Advanced Threat Defense con Protección adaptable
frente a amenazas, consulte la Guía del producto de McAfee Advanced Threat Defense.
Para obtener información sobre cómo McAfee Web Gateway intercambia información mediante un
Servidor de TIE, consulte el capítulo sobre los servidores proxy de la Guía del producto de McAfee
Web Gateway.
La siguiente vez que Protección adaptable frente a amenazas recibe un aviso sobre el archivo, se
vuelve a calcular la reputación.
solicitud solo aparece si Protección adaptable frente a amenazas está instalada y configurada para
ello.
El administrador configura el umbral de reputación, momento en el que se muestra una confirmación.
Por ejemplo, si el umbral de reputación es Desconocido, Endpoint Security le pide confirmación para
todos los archivos con una reputación desconocida e inferior.
Si no selecciona una opción, Protección adaptable frente a amenazas realiza la acción predeterminada
configurada por el administrador.
Windows 8 y 10 usan notificaciones de alerta: mensajes que aparecen para notificarle las alertas y
avisos. Haga clic en la notificación de alerta para mostrar la notificación en modo Escritorio.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
Para que Protección adaptable frente a amenazas no vuelva a preguntar en relación con el archivo,
seleccione Recordar esta decisión.
Protección adaptable frente a amenazas actúa, bien según su elección o bien conforme a la acción
predeterminada, y cierra la ventana de la solicitud.
En los sistemas gestionados, los cambios de directiva realizados en McAfee ePO podrían sobrescribir los
cambios de la página Configuración.
Protección adaptable frente a amenazas es un módulo opcional de Endpoint Security. Para disponer de
más fuentes de inteligencia de amenazas y funciones, despliegue el Servidor de Threat Intelligence
Exchange. Para obtener información, póngase en contacto con su reseller o representante de ventas.
Protección adaptable frente a amenazas no es compatible con sistemas gestionados por McAfee ePO
Cloud.
Introducción
Después de instalar Protección adaptable frente a amenazas, ¿qué hay que hacer?
Para empezar a utilizar Protección adaptable frente a amenazas, haga lo siguiente:
1 Cree directivas de Protección adaptable frente a amenazas para determinar lo que se permite, se
bloquea o se contiene.
2 Ejecute Protección adaptable frente a amenazas en el modo de evaluación para crear la prevalencia
de archivos y observar lo que Protección adaptable frente a amenazas detecta en el entorno.
Protección adaptable frente a amenazas genera eventos Bloquearía, Limpiaría y Contendría para
mostrar qué acciones realizaría. La prevalencia de un archivo indica la frecuencia con la que se
detecta en su entorno.
3 Supervise y ajuste las directivas, o bien las reputaciones de archivos o certificados individuales,
para controlar lo que se permite en su entorno.
Puede ver qué se está ejecutando en su entorno y agregar información de reputación de archivos y
certificados a la base de datos del Servidor de TIE. Esta información también rellena los gráficos y
paneles disponibles en el módulo donde se visualiza la información de reputación detallada sobre los
archivos y los certificados.
Para empezar, cree una o varias directivas de Protección adaptable frente a amenazas a fin de
ejecutarlas en unos pocos sistemas de su entorno. Las directivas determinan lo siguiente:
• Cuándo se permite que un archivo o certificado con una reputación concreta se ejecuten en un
sistema
• Cuándo se envía un archivo a Advanced Threat Defense para continuar con su análisis
Mientras crea la prevalencia de los archivos, puede ejecutar las directivas en el modo de evaluación.
Se agregan las reputaciones de archivos y certificados a la base de datos, y se generan eventos
Bloquearía, Limpiaría y Podría contener, pero no se lleva a cabo ninguna acción. Puede ver lo que
Protección adaptable frente a amenazas bloquea, permite o contiene si se implementa la directiva.
Utilice los paneles y las vistas de eventos de McAfee ePO para ver los archivos y certificados
bloqueados, permitidos o contenidos en función de las directivas.
Puede visualizar información detallada por endpoint, archivo, regla o certificado, además de ver con
rapidez el número de elementos identificados y las acciones realizadas. Puede acceder a información
detallada haciendo clic en un elemento, así como ajustar la configuración de reputación para archivos
o certificados concretos de manera que se realice la acción adecuada.
Por ejemplo, si un archivo de reputación predeterminada es sospechosa o desconocida, pero sabe que
es un archivo de confianza, puede cambiar la reputación a de confianza. A partir de ese momento, la
aplicación tiene permiso para ejecutarse en su entorno sin que se bloquee o se solicite confirmación al
usuario para llevar a cabo la acción. Puede cambiar la reputación de los archivos internos o
personalizados utilizados en su entorno.
• Utilice la página Informes - Paneles para ver diversos tipos de información sobre reputación a la
vez. Puede ver el número de archivos nuevos detectados en su entorno en la última semana, los
archivos por reputación, los archivos cuya reputación ha cambiado recientemente, los sistemas que
han ejecutado recientemente archivos nuevos, etc. Al hacer clic en un elemento en el panel,
aparece información detallada.
• Si ha identificado un archivo perjudicial o sospechoso, puede ver con rapidez qué sistemas lo han
ejecutado y podrían estar comprometidos.
• Importe las reputaciones de archivos o certificados a la base de datos para permitir o bloquear
archivos o certificados concretos en función de otros orígenes de reputación. Esto permite utilizar la
configuración importada para archivos y certificados concretos sin tener que establecerla
individualmente en el servidor.
• La columna Regla aplicada más reciente de la página Reputaciones de TIE muestra y rastrea la
información de reputación basándose en la regla de detección más reciente aplicada para cada
archivo del endpoint.
Advanced Threat Defense detecta malware de tipo zero-day y combina firmas antivirus, reputación y
defensas de emulación en tiempo real.Puede enviar automáticamente archivos desde Protección
adaptable frente a amenazas a Advanced Threat Defense en función de su nivel de reputación y
tamaño de archivo. La información de reputación de archivos enviada desde Advanced Threat Defense
se agrega a la base de datos del Servidor de TIE.
Categoría Descripción
Archivos y • Versiones del módulo y del servidor de TIE
certificados
• Configuración de omisión de reputación realizada con el servidor de TIE
• Información de reputación externa, por ejemplo, de Advanced Threat Defense
Solo archivos • Nombre, tipo, ruta, tamaño, producto, publicador y prevalencia del archivo
• Información sobre SHA-1, SHA-256 y MD5
• Versión del sistema operativo del equipo que ha informado del archivo
• Reputación máxima, mínima y promedio del archivo
• Si el módulo de generación de informes está en el modo de evaluación
• Si el archivo se ha permitido, bloqueado, contenido o limpiado
• Producto que ha detectado el archivo; por ejemplo, Advanced Threat Defense o
Prevención de amenazas
1 Active Protección adaptable frente a amenazas y especifique el umbral de reputación para activar
Contención dinámica de aplicaciones en Opciones.
2 Configure las reglas y las exclusiones de contención definidas por McAfee en Contención dinámica de
aplicaciones.
Véase también
Concesión de permiso a las aplicaciones contenidas para que se ejecuten con normalidad en la
página 192
Configuración de reglas de contención definidas por McAfee en la página 193
Activación del umbral de activación de Contención de aplicación dinámica en la página 192
Otras tecnologías, tales como McAfee Active Response, pueden solicitar la contención. Si varias
tecnologías registradas con Contención dinámica de aplicaciones solicitan que se contenga una
aplicación, cada solicitud es acumulativa. La aplicación continúa como contenida hasta que todas las
tecnologías la liberen. Si se desactiva o quita una tecnología que ha solicitado la contención,
Contención dinámica de aplicaciones libera esas aplicaciones.
5 Si considera que la aplicación contenida es segura, puede permitir que se ejecute con normalidad
(no como si estuviese calificada como contenida).
Véase también
Concesión de permiso a las aplicaciones contenidas para que se ejecuten con normalidad en la
página 192
• Si el servidor de TIE está disponible, cambie la reputación del archivo a un nivel que permita su
ejecución, como Conocido de confianza.
En este caso, se libera la aplicación de la contención y se ejecuta con normalidad, a menos que
otra tecnología haya solicitado la contención de esta aplicación.
Véase también
Exclusión de los procesos de Contención de aplicación dinámica en la página 194
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
O bien, en el menú Acción , seleccione Configuración y, a continuación, haga clic en Protección adaptable
frente a amenazas en la página Configuración.
6 Seleccione Activar Contención dinámica de aplicaciones cuando se alcance umbral de reputación alcance.
• Conocido malicioso
El umbral de reputación de la contención de aplicación dinámica debe ser mayor que el de Bloquear
y Limpiar. Por ejemplo, si el umbral de bloqueo configurado es Conocido malicioso, el umbral de la
contención de aplicación dinámica debe ser Probablemente malicioso o superior.
8 Haga clic en Aplicar para guardar los cambios o haga clic en Cancelar.
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
Para obtener información sobre las reglas de Contención dinámica de aplicaciones, incluidos los
procedimientos recomendados para saber cuándo configurar una regla de informe o bloqueo, véase
KB87843.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
O bien, en el menú Acción , seleccione Configuración y, a continuación, haga clic en Protección adaptable
frente a amenazas en la página Configuración.
5 En la sección Reglas de contención, seleccione Bloquear, Informar o ambas opciones para la regla.
• Para bloquear o informar de todo, seleccione Bloquear o Informar en la primera fila.
6 En la sección Exclusiones, configure los ejecutables que excluir de Contención de aplicación dinámica.
Los procesos en la lista de Exclusiones se ejecutan con normalidad (no como los contenidos).
7 Haga clic en Aplicar para guardar los cambios o haga clic en Cancelar.
Véase también
Exclusión de los procesos de Contención de aplicación dinámica en la página 194
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
O bien, en el menú Acción , seleccione Configuración y, a continuación, haga clic en Protección adaptable
frente a amenazas en la página Configuración.
6 En la página Agregar ejecutable, configure las propiedades del ejecutable y, a continuación, haga clic
en Guardar.
La aplicación aparecerá en la lista Exclusiones. La aplicación permanece en la lista Aplicaciones contenidas
hasta que haga clic en Aplicar. Cuando vuelva a la página Configuración, la aplicación solo aparece en
la lista Exclusiones.
7 Haga clic en Aplicar para guardar los cambios o haga clic en Cancelar.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
O bien, en el menú Acción , seleccione Configuración y, a continuación, haga clic en Protección adaptable
frente a amenazas en la página Configuración.
5 En la sección Exclusiones, haga clic en Agregar para añadir procesos que excluir de todas las reglas.
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
Los cambios de directiva realizados desde McAfee ePO sobrescriben los cambios efectuados en la página
Configuración.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
O bien, en el menú Acción , seleccione Configuración y, a continuación, haga clic en Protección adaptable
frente a amenazas en la página Configuración.
5 Configure los parámetros en la página y, a continuación, haga clic en Aplicar para guardar los
cambios o en Cancelar.
permiten los archivos y los certificados en los sistemas de su entorno en función de los niveles de
reputación.
Existen tres niveles de seguridad en función de cómo se desee equilibrar las reglas correspondientes a
tipos concretos de sistemas. Cada nivel está asociado con reglas determinadas que identifican los
archivos y certificados sospechosos y maliciosos.
• Productividad: sistemas que cambian con frecuencia, a menudo con instalaciones y desinstalaciones
de programas de confianza, y que reciben actualizaciones frecuentes. Ejemplos de este tipo de
sistemas son los equipos que se utilizan en los entornos de desarrollo. Para esta configuración se
emplean menos reglas con las directivas. Los usuarios ven escasos bloqueos y solicitudes de
confirmación cuando se detectan nuevos archivos.
• Equilibrados: sistemas empresariales típicos en los que se instalan programas nuevos y se realizan
cambios con poca frecuencia. Para esta configuración se emplean más reglas con las directivas. Los
usuarios experimentan más bloqueos y solicitudes de confirmación.
• Seguridad: sistemas gestionados por el departamento de TI, con un control estricto y pocos cambios.
Algunos ejemplos son los sistemas que acceden a información crítica o confidencial en un entorno
financiero o gubernamental. Esta configuración también se usa para los servidores. Para esta
configuración se emplea el número máximo de reglas con las directivas. Los usuarios experimentan
aún más bloqueos y solicitudes de confirmación.
Para ver las reglas específicas asociadas con cada nivel de seguridad, seleccione Menú | Configuración del
servidor. En la lista Categorías de configuración, seleccione Protección adaptable frente a amenazas.
A la hora de determinar qué nivel de seguridad asignar a una directiva, tenga en cuenta el tipo de
sistema donde se emplea la directiva y qué cantidad de bloqueos y solicitudes quiere que experimente
el usuario. Tras crear una directiva, asígnela a los equipos o dispositivos a fin de determinar qué
cantidad de bloqueos y solicitudes de confirmación se producen.
El analizador de Real Protect ofrece dos opciones para realizar análisis automatizados:
• En la nube
Real Protect basado en la nube recopila y envía los atributos y la información relacionada con el
comportamiento del archivo al sistema de aprendizaje automático de la nube para realizar un
análisis en busca de malware.
Esta opción necesita conectividad a Internet para mitigar los falsos positivos utilizando la
reputación de McAfee GTI.
Procedimiento recomendado: Desactive Real Protect basado en nube en los sistemas que no
están conectados a Internet.
• En el sistema cliente
Real Protect basado en cliente utiliza el aprendizaje automático en el sistema cliente para
determinar si el archivo coincide con malware conocido. Si el sistema cliente está conectado a
Internet, Real Protect envía información de telemetría a la nube, pero no utiliza la nube para el
análisis.
Si el sistema cliente utiliza TIE para las reputaciones, no necesita conectividad a Internet para
mitigar los falsos positivos.
Procedimiento recomendado: Active ambas opciones de Real Protect a menos que el servicio de
soporte le recomiende anular la selección de una de ellas o de ambas para reducir los falsos positivos.
Contenido
Protección adaptable frente a amenazas: Contención dinámica de aplicaciones
Protección adaptable frente a amenazas: Opciones
Véase también
Cómo funciona la Contención dinámica de aplicaciones en la página 190
Agregar exclusión o Editar exclusión en la página 198
Configuración de reglas de contención definidas por McAfee en la página 193
Exclusión de los procesos de Contención de aplicación dinámica en la página 194
• Debe especificar, al menos, un identificador: Nombre de archivo o ruta, Hash MD5 o Firmante.
Nombre de Especifica la ruta o nombre de archivo del ejecutable que se va a agregar o editar.
archivo o ruta Haga clic en Examinar para seleccionar el ejecutable.
La ruta del archivo puede incluir caracteres comodín.
Hash MD5 Indica el hash MD5 del proceso (un número hexadecimal de 32 dígitos).
Análisis de Real Activar análisis Activa el análisis de Real Protect basado en cliente, que utiliza el
Protect basado en el cliente aprendizaje automático en el sistema cliente para determinar si el
archivo coincide con malware conocido. Si el sistema cliente está
conectado a Internet, Real Protect envía información de telemetría
a la nube, pero no utiliza la nube para el análisis.
Si el sistema cliente utiliza TIE para las reputaciones, no necesita
conectividad a Internet para mitigar los falsos positivos.
Limitar tamaño (MB) a Limita el tamaño de los archivos enviados a Advanced Threat
Defense, entre 1 y 10 MB.
El valor predeterminado es 5 MB.
Véase también
Configuración de las opciones de Protección adaptable frente a amenazas en la página 195
Activación del umbral de activación de Contención de aplicación dinámica en la página 192
Archivos y certificados bloqueados o permitidos en la página 195
Utilización del análisis de Real Protect en la página 196
A administradores (continuación)
definición 10
acciones, Prevención de amenazas
iniciar sesión en el Cliente de Endpoint Security 26
realizar en elementos en cuarentena 60
Advanced Threat Defense 188
acciones, Threat Prevention
enviar archivos 195
especificar qué sucede cuando se descubre una amenaza
83, 90 uso para determinar reputaciones 183
permitir que los usuarios limpien y eliminen archivos adware, acerca de 62
infectados 83, 90 ajustes
programas no deseados 81 actualizaciones, configurar 34
Acerca de, página 10 Ajustes generales, Cliente de Endpoint Security 9
actualizaciones Ajustes generales, configurar módulo
botón Actualizar ahora, Cliente de Endpoint Security 22 ajustes de actualización 34
cancelar 22 alertas, Firewall 14
Opción Actualizar seguridad 13 alertas, Threat Prevention
qué se actualiza 23 descripción general de análisis bajo demanda 91
actualizaciones bajo demanda, véase actualizaciones manuales, amenazas
ejecución
administrar detecciones 59
actualizaciones de contenido 11
aplicaciones de la Tienda Windows 85, 91
actualizaciones de productos
archivos de AMCore content 11
comprobar si hay actualizaciones de forma manual 13, 22
Carpeta de cuarentena 60
planificar desde el cliente 37
detecciones durante el análisis 58
actualizaciones de software
infracciones de puntos de acceso 66
comprobar si hay actualizaciones de forma manual 13, 22
obtener información adicional de McAfee Labs 60
planificar desde el cliente 37
proceso de Protección de acceso 66
actualizaciones manuales, ejecución 22
responder a detecciones 20
actualizaciones, Endpoint Security
tipos 62
Actualización de cliente predeterminada, configurar 36
volver a analizar elementos en cuarentena 63
configurar comportamiento 34
y calificaciones de seguridad 166
configurar sitios de origen para actualizaciones 34
ampliaciones, componentes de software cliente 11
configurar y planificar desde el cliente 37
análisis
tarea Actualización de cliente predeterminada, acerca de 37
análisis con el botón derecho del ratón 58
actualizaciones, Firewall
aplazar, pausar, reanudar y cancelar 21
comprobación de actualizaciones de forma manual 22
Control web 171
actualizaciones, Prevención de amenazas
ejecutar en Cliente de Endpoint Security 56
comprobación de actualizaciones de forma manual 22
lectura y escritura 85
comprobar 13
parámetros de ajustes generales para análisis en tiempo
comprobar si hay actualizaciones de forma manual 22 real y bajo demanda 82
descripción general 11 personalizados, crear y planificar en el cliente 95
actualizaciones, Threat Prevention planificación con Cliente de Endpoint Security 95
archivos de contenido 11 responder a avisos 21
archivos Extra.DAT 29 tipos 55
adaptadores de red, permitir conexiones 141 usar caracteres comodín en exclusiones 65
administradores análisis bajo demanda
contraseña 27 acerca de 55
archivos de almacenamiento comprimidos, elusión del análisis ataques basados en pila, exploits de desbordamiento del búfer
87 75
archivos de almacenamiento, elusión de análisis 93 ataques, exploits de desbordamiento del búfer 75
archivos de almacenamiento, elusión del análisis 87 autogestionado, acerca de 22
archivos de AMCore content Autoprotección, configuración 30
analizador y reglas de Protección adaptable frente a avisos, Endpoint Security
amenazas 11 acerca de 14
archivos Extra.DAT 28, 29 responder a análisis 21
cambio de la versión 28 respuestas a la reputación de archivos 185
descripción general de análisis bajo demanda 91 Windows 8 y 10 20
descripción general del análisis en tiempo real 85 Ayuda, visualización 15, 20
firmas y actualizaciones de motores 11
motor de Real Protect y contenido 11 B
Archivos de AMCore content
bajo demanda, análisis
acerca de 11
análisis de Almacenamiento remoto 95
archivos de contenido
Bloquear interfaz de cliente
acerca de 11
al abrir Endpoint Security Client 19
actualizaciones para Prevención de exploits 75
Bloquear modo de interfaz de cliente
archivos Extra.DAT 28, 29
desbloqueo de la interfaz 27
cambio de la versión de AMCore 28
y configuración de directivas 17
comprobación manual de actualizaciones 22
botón
comprobar si hay actualizaciones de forma manual 13, 22
Ver detecciones 59
descripción general de análisis bajo demanda 91
botón Actualizar ahora 23
planificar actualizaciones desde el cliente 37
botón analizar ahora 56
y detecciones 20
Botón Ver análisis 56
archivos de definiciones de detección, véase archivos de
contenido Botón Ver detecciones 59
archivos de registro botones
configurar 31 Analizar ahora 56
errores de actualización 22 Ver análisis 56
ubicaciones 24 botones, Control web 163
ver 23 bromas, acerca de 62
archivos Extra.DAT Búsqueda segura, configuración de Control web 168
acerca de 28 búsquedas
archivos de AMCore Content 11 bloqueo de sitios peligrosos en resultados 168
cargar 29 iconos de seguridad 164
descargar 29
descripción general de análisis bajo demanda 91 C
descripción general del análisis en tiempo real 85 caché de análisis
usar 28 análisis bajo demanda 91
archivos y certificados, bloquear 195 análisis en tiempo real 85
archivos y certificados, enviar 195 caché de análisis global
archivos, contenido análisis bajo demanda 91
archivos Extra.DAT 28, 29 análisis en tiempo real 85
cambio de la versión de AMCore content 28 caché, análisis global
cargar archivos Extra.DAT 29 análisis bajo demanda 91
descripción general de análisis bajo demanda 91 análisis en tiempo real 85
Extra.DAT y AMCore 11 calificación, Web Control, véase calificaciones de seguridad
firmas y actualizaciones 11 calificaciones de seguridad
Prevención de exploits 11 configurar acciones para sitios web y descargas 172
Protección adaptable frente a amenazas 11 control de acceso a los sitios web 173
uso de archivos Extra.DAT 28 Control web y 161
archivos, especificar opciones de análisis 83, 90 iconos de seguridad 164
ataques basados en montón, exploits de desbordamiento del calificaciones, seguridad, véase calificaciones de seguridad
búfer 75
M
I
malware
icono de la bandeja del sistema
analizar en busca de 55
opción Actualizar seguridad 23
detecciones durante el análisis 56, 58
icono de la bandeja del sistema, definido por
responder a detecciones 20
McAfee 13
marcadores, acerca de 62
icono de la bandeja del sistema, McAfee 12
McAfee Active Response y Contención dinámica de aplicaciones
abrir Endpoint Security Client 19 190
activación y visualización de grupos sincronizados 134 McAfee Agent
activar y desactivar Firewall 133 tarea de actualización de producto y lista de repositorios 35
actualizar seguridad 13 McAfee Endpoint Security Client, véase Endpoint Security Client
configuración del acceso a Endpoint Security 32
grupos sincronizados de Firewall 13 McAfee ePO
icono de McAfee, véase icono de la bandeja del sistema de actualizar protección 11
McAfee y tipos de administración 22
iconos, McAfee, véase icono de la bandeja del sistema de McAfee GTI
McAfee
análisis bajo demanda, cómo funcionan 91
iconos, Web Control 164
análisis bajo demanda, configurar 90
inclusiones
análisis de archivos antes de su descarga 168
Prevención de exploits, reglas de protección de aplicaciones
78 análisis en tiempo real, cómo funcionan 85
subreglas de Protección de acceso 73 análisis en tiempo real, configurar 83
independiente, véase autogestionado, acerca de analizar archivos antes de su descarga 171
información de identificación personal, véase PII calificaciones de seguridad de Web Control 166
Motores de búsquedas Bing, e iconos de seguridad 164 Página Análisis en tiempo real 59
Mozilla Firefox, véase Firefox Página Analizar en busca de amenazas 58
Página Analizar sistema 59
N página Configuración
navegador Edge, no compatible con Control web 161 Autoprotección, configuración 30
navegadores configuración de actualización, configurar 36
activación del complemento Control web 166 configuración del servidor proxy, especificación 33
compatibles 161, 167 modificar opciones de firewall 135
comportamiento, sitios web y descargas bloqueados 163 registro, configurar 31
desactivación del complemento de Control web 168 seguridad de la interfaz de cliente, configuración 32
no compatibles 161 Página Configuración
ver información acerca de un sitio 167 administrar reglas y grupos de firewall 145
nivel de sensibilidad, McAfee GTI 83, 172 parámetros de análisis bajo demanda, configurar 90
niveles de seguridad parámetros de análisis en tiempo real, configurar 83
ejemplos 195 página de actualización 22
no gestionado, véase autogestionado, acerca de página de análisis, mostrar 56
notificaciones de alerta, Windows 8 y 10 14, 20 página de cuarentena 60
Página de estado de seguridad de McAfee, mostrar 13
O Página de estado, ver Resumen de amenazas 16
página de iniciar sesión como administrador
opción de la bandeja del sistema Actualizar seguridad 23
desbloqueo de la interfaz del cliente 27
opciones
Página de iniciar sesión como administrador
analizar en busca de malware 55
al abrir Endpoint Security Client 19
configurar análisis bajo demanda 90
página de Scan System 56
configurar análisis en tiempo real 83
página Revertir contenido de AMCore 28
opciones de análisis, reducción del impacto en el usuario 87
páginas
opciones de análisis, reducción del impacto sobre el usuario 93
Acerca de 10, 21
opciones de Firewall
Actualizar 22
modificación 135
Análisis en tiempo real 20, 59
opciones de utilización del sistema, descripción general 94
análisis, mostrar 56
Opciones, Ajustes generales
Analizar en busca de amenazas 58
ajustes de actualización, configurar 34
Analizar sistema 59
Autoprotección, configuración 30
Configuración 17, 30–34, 36, 90, 135
configuración de actualización, configurar 36
cuarentena 60
configuración del servidor proxy, especificación 33
estado de seguridad de McAfee 13
sitios de origen para actualizaciones de cliente, configurar
34 Registro de eventos 23
sitios de origen para las actualizaciones de cliente, Revertir contenido de AMCore 28
configurar 34 Scan System 56
Opciones, Common parámetro Windows Set Priority 94
configurar 29 phishing, informes enviados por usuarios del sitio web 166
parámetros de registro, configurar 31 PII, no enviado a la nube 196
programación de análisis bajo demanda 55 planificaciones, análisis bajo demanda, aplazamiento 93
opciones, Firewall prácticas recomendadas
ejecutables de confianza 139 utilizar redes de confianza 138
redes definidas 137 preguntas frecuentes, McAfee GTI 136
Opciones, Prevención de amenazas Prevención adaptable frente a amenazas
parámetros de análisis de ajustes generales 82 actualizaciones de archivos de contenido 11
Opciones, Threat Prevention Prevención de amenazas
programas no deseados 80 acerca de 9
análisis de archivos antes de su descarga 168
P análisis en tiempo real, acerca de 85
analizar archivos antes de su descarga 171
página Acerca de
Cliente de Endpoint Security 17
estado de la conexión de Protección adaptable frente a
amenazas 183 función Prevención de exploits 77
Página Acerca de 21 función Protección de acceso 68
registros de eventos, Cliente de Endpoint Security respuestas, configurar para detección de programas no
(continuación) deseados 81
errores de actualización 22 Resumen de amenazas, acerca de 16
ver página Registro de eventos 23
reglas S
Protección de acceso, exclusiones e inclusiones 73 Safari (Macintosh)
protección de aplicaciones, exclusiones e inclusiones 78 botones de Control web 163
reglas de contención scripts, análisis 88
Contención dinámica de aplicaciones 189 ScriptScan
reglas de contención definidas por McAfee acerca de 88
procedimientos recomendados 193 activar 83
reglas de firewall compatible solo con Internet Explorer 88
cómo funciona el Firewall 133 desactivado de manera predeterminada 88
cómo funcionan 139 exclusión de URL 64
configurar 139 procedimientos recomendados para las exclusiones 88
orden y prioridad 139 sectores de arranque, analizar 83, 90
permitir y bloquear 139 seguridad
usar caracteres comodín 146 configuración de la seguridad de la interfaz de cliente 32
reglas de Protección de acceso Servidor de Threat Intelligence Exchange, véase Servidor de
exclusiones e inclusiones 73 TIE
reglas de protección de aplicaciones 77 Servidor de TIE
configuración 77 estado de la conexión de Protección adaptable frente a
exclusiones e inclusiones 78 amenazas 183
reglas definidas por el usuario, Protección de acceso y el analizador de Real Protect 196
configurar 72 y Protección adaptable frente a amenazas 180, 182
reglas definidas por McAfee, Contención dinámica de servidor proxy
aplicaciones 193 configuración en lista de repositorios 35
reglas definidas por McAfee, Protección de acceso 69 configuración para McAfee GTI 33
reglas, Contención dinámica de aplicaciones servidores, proxy, véase servidores proxy
configuración 193 sigiloso, acerca de 62
procedimientos recomendados 193 sistemas servidor, y función de análisis durante inactividad 93
reglas, firewall, véase Firewall sitios
reglas, Prevención de amenazas protección de navegación 163
configurar 68 ver informes de sitios web de Control web 167
reglas, Prevención de exploits sitios web
reglas de protección de aplicaciones 77 clasificaciones de seguridad 166
reglas, Protección de acceso comportamiento de bloqueo y advertencia 163
tipos 67 protección de navegación 163
reglas, Threat Prevention protección durante la búsqueda 164
cómo funciona la protección de acceso 66 ver informes de sitios web de Control web 167
regulación, configurar 94 sitios web, advertencia
rendimiento, véase rendimiento del sistema según las calificaciones de seguridad 173
rendimiento del sistema sitios web, advertir
reducción del impacto de los análisis 93 según calificaciones 172
reducción del impacto del análisis 87 sitios web, bloquear
reputación de archivos según calificaciones 172
respuesta a avisos 185 según categoría web 172, 173
reputaciones según las calificaciones de seguridad 173
activación del umbral de activación de Contención de sitios web, bloqueo
aplicación dinámica 192 según las calificaciones de seguridad 173
cómo se determinan 183 sin calificar o desconocidos 168
Contención dinámica de aplicaciones 189 sitios web peligrosos en los resultados de búsqueda 168
estado de la conexión para determinarlas 183 sitios web, control de acceso
requisitos con calificaciones de seguridad 173
analizador de Real Protect 196 con categorías web 172, 173
Yahoo (continuación)
motor de búsqueda predeterminado 168