Ens 1050 Help 0-02 Es-Es PDF

Guía del producto
McAfee Endpoint Security 10.5

COPYRIGHT
© 2016 Intel Corporation
ATRIBUCIONES DE MARCAS COMERCIALES

Intel y el logotipo de Intel son marcas comerciales registradas de Intel Corporation en EE. UU. y en otros países. McAfee y el logotipo de McAfee,
McAfee Active Protection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global Threat
Intelligence, McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee
TechMaster, McAfee Total Protection, TrustedSource y VirusScan son marcas comerciales o marcas comerciales registradas de McAfee, Inc. o de sus
empresas filiales en EE. UU. y en otros países. Los demás nombres y marcas pueden ser reclamados como propiedad de otros.
INFORMACIÓN DE LICENCIA
Acuerdo de licencia
AVISO A TODOS LOS USUARIOS: LEA DETENIDAMENTE EL ACUERDO LEGAL CORRESPONDIENTE A LA LICENCIA QUE HA ADQUIRIDO, QUE ESTIPULA
LOS TÉRMINOS Y CONDICIONES GENERALES PARA EL USO DEL SOFTWARE CON LICENCIA. SI NO SABE QUÉ TIPO DE LICENCIA HA ADQUIRIDO,
CONSULTE LOS DOCUMENTOS DE VENTA Y OTROS DOCUMENTOS RELACIONADOS CON LA CONCESIÓN DE LA LICENCIA O CON LA ORDEN DE COMPRA
QUE ACOMPAÑAN AL PAQUETE DE SOFTWARE, O QUE HAYA RECIBIDO POR SEPARADO COMO PARTE DE LA COMPRA (POR EJEMPLO, UN MANUAL, UN
ARCHIVO DEL CD DEL PRODUCTO O UN ARCHIVO DISPONIBLE EN EL SITIO WEB DESDE EL QUE DESCARGÓ EL PAQUETE DE SOFTWARE). SI NO
ACEPTA TODOS LOS TÉRMINOS DESCRITOS EN EL ACUERDO, NO INSTALE EL SOFTWARE. SI PROCEDE, PUEDE DEVOLVER EL PRODUCTO A MCAFEE O
AL LUGAR DONDE LO ADQUIRIÓ CON EL FIN DE OBTENER SU REEMBOLSO ÍNTEGRO.
2 McAfee Endpoint Security 10.5 Guía del producto

Contenido
McAfee Endpoint Security 7
1 Introducción 9
Módulos de Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Cómo Endpoint Security protege su equipo . . . . . . . . . . . . . . . . . . . . . . . 10
Cómo se mantiene actualizada su protección . . . . . . . . . . . . . . . . . . . 11
Interacción con Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Acceso a las tareas de Endpoint Security desde el icono de la bandeja del sistema de McAfee
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Acerca de los mensajes de notificación . . . . . . . . . . . . . . . . . . . . . . 14
Acerca de Cliente de Endpoint Security . . . . . . . . . . . . . . . . . . . . . . 15
2 Mediante Cliente de Endpoint Security 19

Abra Cliente de Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Obtener ayuda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Responder a avisos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Responder a un aviso de detección de amenaza . . . . . . . . . . . . . . . . . . 20
Responder a aviso de análisis . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Introduzca información sobre su protección . . . . . . . . . . . . . . . . . . . . . . . 21
Tipos de administración . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Actualización del contenido y el software de forma manual . . . . . . . . . . . . . . . . . 22
Qué se actualiza . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Visualización del Registro de eventos . . . . . . . . . . . . . . . . . . . . . . . . . 23
Nombres y ubicaciones de los archivos de registro de Endpoint Security . . . . . . . . . 24
Administrar Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Iniciar sesión como administrador . . . . . . . . . . . . . . . . . . . . . . . . 26
Desbloqueo de la interfaz de cliente . . . . . . . . . . . . . . . . . . . . . . . 27
Activación y desactivación de funciones . . . . . . . . . . . . . . . . . . . . . . 27
Cambio de la versión de AMCore content . . . . . . . . . . . . . . . . . . . . . 28
Utilice archivos Extra.DAT . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Configurar parámetros comunes . . . . . . . . . . . . . . . . . . . . . . . . . 29
Configurar el comportamiento de las actualizaciones . . . . . . . . . . . . . . . . 34
Referencia de la interfaz del Cliente de Endpoint Security: Ajustes generales . . . . . . . . . . 40
Página Registro de eventos . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
Ajustes generales: Opciones . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Ajustes generales: Tareas . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
3 Mediante Prevención de amenazas 55

Analizar el equipo en busca de malware . . . . . . . . . . . . . . . . . . . . . . . . 55
Tipos de análisis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
Ejecución de un Análisis completo o un Análisis rápido . . . . . . . . . . . . . . . . 56
Analizar un archivo o carpeta . . . . . . . . . . . . . . . . . . . . . . . . . . 58
Administrar detecciones de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . 59
Administrar elementos en cuarentena . . . . . . . . . . . . . . . . . . . . . . . . . 60
Nombres de detecciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
McAfee Endpoint Security 10.5 Guía del producto 3

Contenido
Repetición de análisis de elementos en cuarentena . . . . . . . . . . . . . . . . . 63

Administrar Prevención de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . 63
Configuración de exclusiones . . . . . . . . . . . . . . . . . . . . . . . . . . 64
Protección de los puntos de acceso del sistema . . . . . . . . . . . . . . . . . . . 66
Bloqueo de vulnerabilidades de desbordamiento del búfer . . . . . . . . . . . . . . 74
Detección de programas potencialmente no deseados . . . . . . . . . . . . . . . . 80
Configurar parámetros de análisis de ajustes generales . . . . . . . . . . . . . . . 82
Cómo funciona McAfee GTI . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
Configure Análisis en tiempo real . . . . . . . . . . . . . . . . . . . . . . . . 83
Configurar Análisis bajo demanda . . . . . . . . . . . . . . . . . . . . . . . . 90
Configure, planifique y ejecute tareas de análisis . . . . . . . . . . . . . . . . . . 95
Referencia de la interfaz del Cliente de Endpoint Security: Prevención de amenazas . . . . . . . 97
Página Poner en cuarentena . . . . . . . . . . . . . . . . . . . . . . . . . . 97
Prevención de amenazas: Protección de acceso . . . . . . . . . . . . . . . . . . 98
Prevención de amenazas: Prevención de exploits . . . . . . . . . . . . . . . . . 110
Prevención de amenazas: Análisis en tiempo real . . . . . . . . . . . . . . . . . 116
Prevención de amenazas: Análisis bajo demanda . . . . . . . . . . . . . . . . . 120
Ubicaciones de análisis . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
McAfee GTI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
Acciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
Agregar exclusión o Editar exclusión . . . . . . . . . . . . . . . . . . . . . . 128
Prevención de amenazas: Opciones . . . . . . . . . . . . . . . . . . . . . . 129
Revertir contenido de AMCore . . . . . . . . . . . . . . . . . . . . . . . . . 131
4 Uso de Firewall 133

Cómo funciona Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
Activación y desactivación de Firewall en el icono de la bandeja del sistema de McAfee . . . . . 133
Activación o visualización de los grupos sincronizados de Firewall mediante el icono de la bandeja del
sistema de McAfee . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
Información acerca de los grupos sincronizados . . . . . . . . . . . . . . . . . . 134
Administrar Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
Modificar opciones de Firewall . . . . . . . . . . . . . . . . . . . . . . . . . 135
Administración de directivas y grupos de Firewall . . . . . . . . . . . . . . . . . 139
Referencia de la interfaz del Cliente de Endpoint Security: Firewall . . . . . . . . . . . . . 149
Firewall: Opciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
Firewall: Reglas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152
5 Uso de Control web 161

Acerca de las funciones de Control web . . . . . . . . . . . . . . . . . . . . . . . . 161
Cómo Control web bloquea o advierte de un sitio web o descarga . . . . . . . . . . . 163
El botón de Control web identifica las amenazas durante la navegación . . . . . . . . 163
Los iconos de seguridad identifican las amenazas durante la búsqueda . . . . . . . . . 164
Los informes de sitio web proporcionan detalles . . . . . . . . . . . . . . . . . . 165
Modo de compilación de las clasificaciones de seguridad . . . . . . . . . . . . . . 166
Acceso a las funciones de Control web . . . . . . . . . . . . . . . . . . . . . . . . . 166
Activar el complemento Control web en el navegador . . . . . . . . . . . . . . . . 166
Ver información acerca de un sitio al navegar . . . . . . . . . . . . . . . . . . . 167
Ver informe de sitio web durante la búsqueda . . . . . . . . . . . . . . . . . . . 168
Administrar Control web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168
Configuración de las opciones de Control web . . . . . . . . . . . . . . . . . . . 168
Especificar acciones de calificación y bloquear el acceso al sitio web según la categoría web
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172
Referencia de la interfaz del Cliente de Endpoint Security: Control web . . . . . . . . . . . 173
Control web: Opciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173
Control web: Acciones según contenido . . . . . . . . . . . . . . . . . . . . . 176

Contenido
6 Utilización de Protección adaptable frente a amenazas 179

Acerca de Protección adaptable frente a amenazas . . . . . . . . . . . . . . . . . . . . 179
Ventajas de Protección adaptable frente a amenazas . . . . . . . . . . . . . . . . 179
Componentes de Protección adaptable frente a amenazas . . . . . . . . . . . . . . 180
Cómo funciona Protección adaptable frente a amenazas . . . . . . . . . . . . . . 182
Cómo se determina una reputación . . . . . . . . . . . . . . . . . . . . . . . 183
Respuesta a un aviso de reputación de archivos . . . . . . . . . . . . . . . . . . . . . 185
Administración de Protección adaptable frente a amenazas . . . . . . . . . . . . . . . . 186
Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186
Contención de aplicaciones de forma dinámica . . . . . . . . . . . . . . . . . . 189
Configuración de las opciones de Protección adaptable frente a amenazas . . . . . . . 195
Referencia de la interfaz del Cliente de Endpoint Security: Protección adaptable frente a amenazas
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
Protección adaptable frente a amenazas: Contención dinámica de aplicaciones . . . . . 197
Protección adaptable frente a amenazas: Opciones . . . . . . . . . . . . . . . . 199
Índice 205

Contenido

McAfee Endpoint Security
®
McAfee Endpoint Security es una exhaustiva solución de administración de la seguridad que se
ejecuta en los equipos de la red para identificar y detener amenazas automáticamente. En esta Ayuda
se explica cómo utilizar las funciones de seguridad básicas y solucionar problemas.
Para utilizar la ayuda de Endpoint Security en Internet Explorer, se debe activar Configuración de seguridad |
Automatización | Active scripting en el navegador.
Introducción
• Módulos de Endpoint Security en la página 9
• Cómo Endpoint Security protege su equipo en la página 10
• Interacción con Endpoint Security en la página 12
Tareas frecuentes
• Abra Cliente de Endpoint Security en la página 19
• Actualización del contenido y el software de forma manual en la página 22
• Analizar el equipo en busca de malware en la página 55
• Desbloqueo de la interfaz de cliente en la página 27
Información adicional
Para acceder a información adicional sobre este producto, consulte:
• Guía de instalación de McAfee Endpoint Security
• Guía de migración de McAfee Endpoint Security
• Notas de la versión de McAfee Endpoint Security
• Ayuda de Prevención de amenazas de Endpoint Security
• Ayuda de Firewall de Endpoint Security
• Ayuda de Control web de Endpoint Security
• Ayuda de Protección adaptable frente a amenazas de Endpoint Security
• Soporte de McAfee

McAfee Endpoint Security

1 Introducción
Endpoint Security es una exhaustiva solución de administración de la seguridad que se ejecuta en los
equipos de la red para identificar y detener amenazas automáticamente. En esta Ayuda se explica
cómo utilizar las funciones de seguridad básicas y solucionar problemas.
Si su equipo está gestionado, un administrador configura y ajusta Endpoint Security mediante uno de
estos servidores de administración:
• McAfee ePolicy Orchestrator (McAfee ePO )

® ® ® ™
• McAfee ePolicy Orchestrator Cloud (McAfee ePO Cloud)

® ® ™
Para obtener la información más reciente sobre la licencia de gestión y la autorización de Endpoint
Security, consulte KB87057.
Protección adaptable frente a amenazas no es compatible con sistemas gestionados por McAfee ePO
Cloud.
Si se trata de un equipo autogestionado (también denominado no gestionado), usted o su

administrador deben configurar el software mediante el Cliente de Endpoint Security.
Contenido
Módulos de Endpoint Security
Cómo Endpoint Security protege su equipo
Interacción con Endpoint Security
Módulos de Endpoint Security

El administrador configura e instala uno o más módulos de Endpoint Security en los equipos cliente.
• Prevención de amenazas : comprueba la existencia de virus, spyware, programas no deseados y
otras amenazas mediante el análisis de los elementos, bien automáticamente cuando los usuarios
acceden a ellos, bien bajo demanda en cualquier momento.
• Firewall : supervisa las comunicaciones entre el equipo y los recursos de la red o Internet.
Intercepta las comunicaciones sospechosas.

1
Introducción
• Control web : muestra calificaciones de seguridad e informes sobre sitios web durante la
navegación y la búsqueda online. Control web permite al administrador de sitios web bloquear el
acceso a los sitios web basándose en su calificación de seguridad o contenido.
• Protección adaptable frente a amenazas : Analiza el contenido de su empresa y decide qué

hacer en función de la reputación de los archivos, las reglas y los umbrales de reputación.
Protección adaptable frente a amenazas es un módulo opcional de Endpoint Security. Para disponer
de más fuentes de inteligencia de amenazas y funciones, despliegue el Servidor de Threat
Intelligence Exchange. Para obtener información, póngase en contacto con su reseller o
representante de ventas.
Cloud.
Además, el módulo Ajustes generales proporciona la configuración para las funciones comunes, tales
como la seguridad de interfaz y el registro. Este módulo se instala automáticamente si se instala
cualquier otro módulo.

Normalmente, un administrador configura Endpoint Security, instala el software en los equipos cliente,
supervisa el estado de seguridad y establece las reglas de seguridad, llamadas directivas.
Como usuario de un equipo cliente, usted interactúa con Endpoint Security a través del software
cliente instalado en su equipo. Las directivas configuradas por el administrador determinan cómo
actúan los módulos y las funciones en el equipo y si usted puede modificarlos o no.
Si Endpoint Security está autogestionado, puede especificar cómo operan los módulos y las funciones.
Para determinar el tipo de administración, consulte la página Acerca de.
Periódicamente, el software cliente del equipo se conecta a un sitio web de Internet con el fin de
actualizar sus componentes. Al mismo tiempo, envía datos acerca de las detecciones que haya
encontrado en el equipo a un sitio web administrativo. Estos datos se emplean para generar informes
para el administrador sobre las detecciones y los problemas de seguridad del equipo.
Generalmente, el software cliente funciona en segundo plano sin que sea necesaria su actuación. No
obstante, y de manera ocasional, es posible que se vea obligado a interactuar. Por ejemplo, es posible
que desee comprobar manualmente si hay actualizaciones de software o realizar análisis en busca de
malware. Dependiendo de las directivas configuradas por el administrador, es posible que usted pueda
personalizar la configuración de seguridad.
Si actúa como administrador, podrá administrar y configurar de manera centralizada el software cliente
mediante McAfee ePO o McAfee ePO Cloud.
Para obtener la información más reciente sobre la licencia de gestión y la autorización de Endpoint
Security, consulte KB87057.
Véase también
Introduzca información sobre su protección en la página 21

1
Introducción
Cómo se mantiene actualizada su protección

Las actualizaciones regulares de Endpoint Security le aseguran que su equipo siempre está protegido
contra las últimas amenazas.
Para realizar actualizaciones, el software cliente se conecta a McAfee ePO local o remotamente, o
directamente a un sitio web en Internet. Endpoint Security realiza las siguientes comprobaciones:
• Actualizaciones de los archivos de contenidos utilizados para detectar amenazas. Los archivos de
contenido incluyen definiciones de amenazas tales como virus y spyware, y estas definiciones se
actualizan a medida que se descubren nuevas amenazas.
• Ampliaciones de los componentes de software, como parches y hotfixes.
Para simplificar la terminología, esta Ayuda denomina actualizaciones tanto a actualizaciones como a
ampliaciones.
Las actualizaciones suelen funcionar en segundo plano. Puede que también tenga que comprobar si
hay actualizaciones manualmente. Dependiendo de la configuración, puede actualizar manualmente su
protección desde Cliente de Endpoint Security haciendo clic en .
Véase también
Actualización del contenido y el software de forma manual en la página 22
Cómo funcionan los archivos de contenido

Cuando el motor de análisis explora archivos en busca de amenazas, compara el contenido de esos
archivos con información sobre amenazas conocidas almacenada en los archivos de AMCore content.
Prevención de exploits utiliza sus propios archivos de contenido para protegerse contra exploits.
McAfee Labs busca y agrega información sobre amenazas conocidas (firmas) a los archivos de
contenido. Junto con las firmas, los archivos de contenido incluyen información sobre la limpieza y
reparación del daño que el malware detectado pueda causar. Surgen nuevas amenazas, y McAfee Labs
publica archivos de contenido actualizados con frecuencia.
Si la firma de una amenaza no se encuentra en los archivos de contenido instalados, el motor de

análisis no puede detectarla, lo que provoca que el sistema sea vulnerable a los ataques.
Endpoint Security almacena el archivo de contenido que se ha cargado y las dos versiones anteriores
en la carpeta Archivos de programa\Common Files\McAfee\Engine\content. Si es necesario, puede
restaurar una versión anterior.
Si se descubre nuevo malware y se necesita capacidad de detección extra aparte de la planificación

habitual de actualización de contenido, McAfee Labs publica un archivo Extra.DAT.
Paquete de contenido de AMCore

McAfee Labs publica paquetes de contenido de AMCore diariamente a las 7:00 de la tarde. (GMT/UTC).
Si la aparición de una nueva amenaza así lo requiere, es posible que los archivos de contenido de
AMCore diarios se publiquen antes y, a veces, que se retrase la publicación.
Para recibir alertas relativas a retrasos o notificaciones importantes, suscríbase al servicio de

notificaciones de soporte (SNS, por sus siglas en inglés). Véase KB67828.

1
Introducción
El paquete de contenido de AMCore incluye estos componentes:
• AMCore: motor y contenido

Contiene actualizaciones del motor de análisis y las firmas de Prevención de amenazas basadas en
los resultados de la continua investigación sobre amenazas.
• Protección adaptable frente a amenazas: analizador y reglas

Contiene reglas para calcular dinámicamente la reputación de los archivos y los procesos de los
endpoints.
McAfee publica nuevos archivos de contenido de Protección adaptable frente a amenazas cada dos
meses.
Protección adaptable frente a amenazas es un módulo opcional de Endpoint Security. Para disponer
de más fuentes de inteligencia de amenazas y funciones, despliegue el Servidor de Threat
Intelligence Exchange. Para obtener información, póngase en contacto con su reseller o
representante de ventas.
• Real Protect: motor y contenido

Contiene actualizaciones del motor de análisis y las firmas de Real Protect basadas en los
resultados de la continua investigación sobre amenazas.
Real Protect es un componente del módulo opcional Protección adaptable frente a amenazas.
Paquete de contenido de Prevención de exploit

El paquete de contenido de Prevención de exploits incluye:
• Firmas de protección de la memoria: protección genérica contra desbordamiento del búfer (GBOP),
validación del autor de la llamada, Prevención genérica de la escalación de privilegios (GPEP) y
supervisión de API dirigida.
• Lista de protección de aplicaciones: procesos protegidos por Prevención de exploits.
El contenido de Prevención de exploits es similar a los archivos de contenido de McAfee Host IPS.
Véase KB51504.
McAfee publica nuevos archivos de contenido de Prevención de exploits una vez al mes.

Endpoint Security proporciona componentes visuales para la interacción con el Cliente de Endpoint
Security.
• El icono de McAfee en la bandeja del sistema de Windows: le permite iniciar el Cliente de Endpoint
Security y ver el estado de seguridad.
• Mensajes de notificación: le alertan de las detección de intrusiones de análisis y firewall, y de

archivos con reputaciones desconocidas, y le solicitarán datos.
• Página Análisis en tiempo real: muestra la lista de detección cuando el análisis en tiempo real
detecta una amenaza.
• Cliente de Endpoint Security: muestra el estado actual de la protección y proporciona acceso a las
funciones.
Para los sistemas gestionados, el administrador configura y asigna las directivas para especificar qué
componentes aparecen.

1
Introducción
Véase también
en la página 13
Acerca de los mensajes de notificación en la página 14
Administrar detecciones de amenazas en la página 59
Acerca de Cliente de Endpoint Security en la página 15
Acceso a las tareas de Endpoint Security desde el icono de la

bandeja del sistema de McAfee
El icono de McAfee en la bandeja del sistema de Windows proporciona acceso a Cliente de Endpoint
Security y a algunas tareas básicas.
Las opciones de configuración determinan si el icono de McAfee está disponible.
Haga clic con el botón derecho en el icono de la bandeja del sistema de McAfee para:
Comprobar el estado de Seleccione Ver estado de seguridad para acceder a la página Estado de seguridad de
seguridad. McAfee.
Abrir Cliente de Seleccione McAfee Endpoint Security.
Endpoint Security.
Actualizar la protección Seleccione Actualizar seguridad.
y el software
manualmente.
Desactivar o activar el Seleccione Desactivar firewall de Endpoint Security en el menú Configuración rápida.
Firewall. Cuando el Firewall está desactivado, la opción es Activar Firewall de Endpoint
Security.
Activar, desactivar o ver Seleccione una opción del menú Configuración rápida:
grupos sincronizados de
• Activar grupos sincronizados de firewall: Activa los grupos sincronizados durante
Firewall.
un período determinado para permitir el acceso a Internet antes de que
se apliquen las reglas que restringen el acceso. Cuando los grupos
sincronizados están activados, la que se muestra es Desactivar grupos
sincronizados de firewall.
Cada vez que selecciona esta opción, se restablece el tiempo asignado a
los grupos.
Dependiendo de la configuración, es posible que se le pida que
proporcione al administrador un motivo para activar los grupos
sincronizados.
• Ver grupos sincronizados de firewall: muestra los nombres de los grupos
sincronizados y el tiempo restante de activación de cada grupo.
Estas opciones podrían no estar disponibles, dependiendo de cómo se haya

definido la configuración.
Modo en que el icono indica el estado de Endpoint Security

El aspecto del icono cambia para indicar el estado de Endpoint Security. Coloque el cursor del ratón
sobre el icono para ver un mensaje que describe el estado.

1
Introducción
Icono Indica...
Endpoint Security está protegiendo su sistema y no hay problemas.
Endpoint Security ha detectado un problema con su seguridad, como un módulo o tecnología

desactivados.
• Firewall está desactivado.
• Prevención de amenazas: Prevención de exploit, análisis en tiempo real o ScriptScan están
desactivados.
Endpoint Security informa de los problemas de forma distinta dependiendo del tipo de
administración.
• Autogestionado:
• Una o más tecnologías están desactivadas.
• Una o más tecnologías no responden.
• Gestionado:
• Una o más tecnologías se han desactivado, no como resultado de la implementación de
directivas desde el servidor de administración de Cliente de Endpoint Security.
• Una o más tecnologías no responden.
Cuando se detecta un problema, la página Estado de seguridad de McAfee indica qué tecnología o
módulo está desactivado.
Véase también
Qué se actualiza en la página 23
Acerca de los mensajes de notificación

Endpoint Security usa dos tipos de mensajes para notificarle los problemas de su protección o para
pedirle datos. Algunos mensajes podrían no aparecer, según se ajuste la configuración.
El proceso McTray.exe debe estar en ejecución para que Endpoint Security muestre los mensajes de
notificación.
Endpoint Security envía dos tipos de notificaciones:
• Las alertas emergen del icono de McAfee durante cinco segundos y, después, desaparecen.
Las alertas le notifican acerca de detecciones de amenazas, tales como eventos de intrusión de
Firewall, o cuando un análisis bajo demanda se pausa o reanuda. No requieren que realice ninguna
acción.
• Avisa y abre una página en la parte inferior de la pantalla que permanece visible hasta que
seleccione una opción.
Por ejemplo:
• Cuando un análisis bajo demanda planificado está a punto de empezar, Endpoint Security podría
pedirle que aplace el análisis.
• Cuando el analizador detecta una amenaza, Endpoint Security puede pedirle que responda a la
detección.
• Cuando Protección adaptable frente a amenazas detecta un archivo con una reputación
desconocida, Endpoint Security puede preguntarle si desea permitir o bloquear el archivo.
Windows 8 y 10 usan notificaciones de alerta: mensajes que aparecen para notificarle las alertas y
avisos. Haga clic en la notificación de alerta para mostrar la notificación en modo Escritorio.

1
Introducción
Véase también
Responder a un aviso de detección de amenaza en la página 20
Responder a aviso de análisis en la página 21
Respuesta a un aviso de reputación de archivos en la página 185
Acerca de Cliente de Endpoint Security

El Cliente de Endpoint Security le permite comprobar el estado de la protección y las funciones de
acceso de su ordenador.
• Las opciones en el menú Acción proporcionan acceso a las funciones.
Configuración Ajustar la configuración de las funciones.

Esta opción de menú está disponible si se produce alguna de las siguientes
situaciones:
• El modo de interfaz de cliente está configurado como Acceso total.
• Ha iniciado sesión como administrador.
Cargar Extra.DAT Le permite instalar un archivo descargado Extra.DAT.

Revertir AMCore Revierte AMCore content a una versión anterior.
Content Esta opción de menú está disponible si existe en el sistema una versión previa
de AMCore Content y si se produce alguna de las siguientes situaciones:
• El modo de interfaz de cliente está configurado como Acceso total.
• Ha iniciado sesión como administrador.
Ayuda Muestra la Ayuda.

Asistencia técnica Muestra una página con vínculos a páginas útiles, como el McAfee
ServicePortal y Centro de conocimiento.
Inicio de sesión de Inicia sesión como administrador del sitio web. (Requiere credenciales de
administrador administrador.)
Esta opción del menú está disponible si el Modo de interfaz de cliente no está
establecido en Acceso total. Si ya ha iniciado sesión como administrador, esta
opción es Cerrar sesión de administrador.
Acerca de Muestra información sobre Endpoint Security.

Salir Permite salir de Cliente de Endpoint Security.
• Los botones en la parte superior derecha de la página ofrecen un acceso rápido a las tareas
habituales.
Analiza en busca de malware con un Análisis completo o Análisis rápido del

sistema.
Este botón está disponible solo si el módulo Prevención de amenazas está

instalado.
Actualiza los archivos de contenidos y componentes de software en el

equipo.
Este botón podría no aparecer, según se ajuste la configuración.

1
Introducción
• Los botones en la parte izquierda de la página ofrecen información acerca de la protección.
Estado Le devuelve a la página de Estado principal.

Registro de eventos Muestra el registro de todos los eventos de protección y de amenaza en este
equipo.
Poner en cuarentena Abre Administrador de cuarentena.
Este botón está disponible solo si el módulo Prevención de amenazas está

instalado.
• El Resumen de amenazas proporciona información sobre las amenazas que Endpoint Security ha
detectado en el equipo en los últimos 30 días.
Véase también
Cargue un archivo Extra.DAT en la página 29
Iniciar sesión como administrador en la página 26
Analizar el equipo en busca de malware en la página 55
Visualización del Registro de eventos en la página 23
Administrar elementos en cuarentena en la página 60
Administrar Endpoint Security en la página 26
Acerca del Resumen de amenazas en la página 16
Acerca del Resumen de amenazas

La página Cliente de Endpoint Security Estado le proporciona un resumen en tiempo real de cualquier
amenaza detectada en su sistema en los últimos 30 días.
A medida que se detectan nuevas amenazas, la página Estado actualiza dinámicamente la información
en el área Resumen de amenazas en el panel inferior.
El Resumen de amenazas incluye:
• Fecha de la última amenaza eliminada
• Los dos principales vectores de amenazas, por categoría:
Web Amenazas procedentes de sitios web o descargas.

Dispositivo o soporte Amenazas procedentes de dispositivos externos, tales como USB, 1394
externo firewire, eSATA, cintas, CD, DVD o discos.
Red Amenazas procedentes de la red (no de recursos compartido de red).
Sistema local Amenazas procedentes de los archivos de arranque de la unidad local
(normalmente C:) o unidades distintas de las clasificadas como
Dispositivo o soporte externo.
Recurso compartido de Amenazas procedentes de los recursos compartidos de red.
archivos
Correo electrónico Amenazas procedentes de correos electrónicos.
Mensaje instantáneo Amenazas procedentes de mensajería instantánea.
Desconocido Amenazas para las cuales no se ha podido determinar el vector de ataque
(debido a una condición de error u otro caso de error).
• Número de amenazas por vector de amenaza
Si Cliente de Endpoint Security no puede llegar al Administrador de eventosCliente de Endpoint

Security, muestra un mensaje de error. En ese caso, reinicie el sistema para ver Resumen de amenazas.

1
Introducción
Cómo afecta la configuración al acceso al cliente

La configuración del Modo de interfaz de cliente asignada a su equipo determina a qué módulos y
funciones puede acceder.
Cambie el Modo de interfaz de cliente en la configuración de Ajustes generales.
En los sistemas gestionados, los cambios de directiva realizados en McAfee ePO podrían sobrescribir los
cambios de la página Configuración.
Las opciones de Modo de interfaz de cliente son:
Acceso total Permite el acceso a todas las funciones, incluidas:

• Activar o desactivar módulos y funciones individuales.
• Acceder a la página Configuración para ver o modificar la configuración de Cliente de
Endpoint Security.
(Opción predeterminada)
Acceso Muestra el estado de la protección y permite acceder a la mayoría de las funciones:

estándar
• Actualizar los archivos de contenido y componentes de software en el equipo (si el
administrador lo ha activado).
• Realizar una comprobación exhaustiva de todas las áreas de su sistema, recomendado
si sospecha que su equipo podría estar infectado.
• Ejecutar una comprobación rápida (2 minutos) de las áreas de su sistema que sean
más susceptibles de infectarse.
• Acceder al Registro de eventos.
• Administrar los elementos en cuarentena.
Desde la interfaz de Acceso estándar, puede iniciar sesión como administrador para acceder
a todas las funciones, incluidos todos los ajustes.
Bloquear Requiere una contraseña para acceder al cliente.

interfaz de Una vez desbloquee la interfaz de cliente, podrá acceder a todas las funciones.
cliente
Si no puede acceder a Cliente de Endpoint Security o a tareas y funciones específicas que necesita para
hacer su trabajo, hable con su administrador.
Véase también
Control del acceso a la interfaz de cliente en la página 32
Cómo afectan al cliente los módulos instalados

Algunos aspectos del cliente podrían no estar disponibles, dependiendo de los módulos instalados en
su equipo.
Estas funciones solo están disponibles si Prevención de amenazas está instalado:
•
Botón
• Botón Poner en cuarentena

1
Introducción
Las funciones que aparecen dependen de las funciones instaladas en el sistema:
• En la lista desplegable Filtrar por módulo del menú Registro de eventos.
• En la página Configuración.
Ajustes generales Aparece si hay algún módulo instalado.

Prevención de amenazas Aparece solo si Prevención de amenazas está instalado.
Firewall Aparece solo si Firewall está instalado.
Control web Aparece solo si Control web está instalado.
Protección adaptable frente a Solo aparece si están instalados Protección adaptable frente a amenazas
amenazas y Prevención de amenazas.
Protección adaptable frente a amenazas no es compatible con sistemas

gestionados por McAfee ePO Cloud.
Dependiendo del Modo de interfaz de cliente y de cómo haya configurado su acceso el administrador, es
posible que no estén disponibles algunas o ninguna de las funciones.
Véase también
Cómo afecta la configuración al acceso al cliente en la página 17

2 Mediante Cliente de Endpoint Security
Use el cliente en modo Acceso estándar para ejecutar la mayoría de las funciones, incluidos análisis
del sistema y administración de elemento en cuarentena.
Contenido
Abra Cliente de Endpoint Security
Obtener ayuda
Responder a avisos
Introduzca información sobre su protección
Actualización del contenido y el software de forma manual
Visualización del Registro de eventos
Administrar Endpoint Security
Referencia de la interfaz del Cliente de Endpoint Security: Ajustes generales
Abra Cliente de Endpoint Security

Abra Cliente de Endpoint Security para mostrar el estado de las funciones de protección instaladas en
el equipo.
Si el modo interfaz está configurado en Bloquear interfaz de cliente, debe introducir la contraseña de
administrador para abrir el Cliente de Endpoint Security.
Procedimiento
1 Use uno de estos métodos para mostrar Cliente de Endpoint Security:
• Haga clic con el botón derecho en el icono de la bandeja del sistema, y a continuación
seleccione McAfee Endpoint Security.
• Seleccione Inicio | Todos los programas | McAfee | McAfee Endpoint Security.
• En Windows 8 y 10, inicie la aplicación McAfee Endpoint Security.

1 Pulse la tecla Windows.
2 Introduzca McAfee Endpoint Security en el área de búsqueda y pulse o haga doble clic en
la aplicaciónMcAfee Endpoint Security.
2 Si se le pide, introduzca la contraseña de administrador en la página Inicio de sesión de administrador, y

luego haga clic en Iniciar sesión.
Cliente de Endpoint Security se abre en el modo interfaz que el administrador haya configurado.
Véase también
Desbloqueo de la interfaz de cliente en la página 27

2
Mediante Cliente de Endpoint Security
Obtener ayuda
Obtener ayuda
Los dos métodos de obtener ayuda al trabajar en el cliente son la opción Ayuda en el menú y el icono ?.
Para utilizar la ayuda de Endpoint Security en Internet Explorer, se debe activar Configuración de seguridad |
Automatización | Active scripting en el navegador.
Procedimiento
1 Abra Cliente de Endpoint Security.
2 Dependiendo de la página en la que esté:

• Páginas Estado, Registro de eventos, y Cuarentena: desde el menú Acción , seleccione Ayuda.
• Páginas Configuración, Actualizar, Analizar sistema, Revertir AMCore Content y Cargar Extra.DAT: haga clic en ?
en la interfaz.
Responder a avisos
Dependiendo de cómo se configuren las opciones, es posible que Endpoint Security solicite su
intervención cuando detecte una amenaza o cuando un análisis bajo demanda planificado esté a punto
de empezar.
Procedimientos
• Responder a un aviso de detección de amenaza en la página 20
Cuando el analizador detecta una amenaza, Endpoint Security puede pedirle que realice
una entrada antes de continuar, dependiendo de cómo se haya realizado la configuración.
• Responder a aviso de análisis en la página 21
Cuando un análisis bajo demanda planificado está a punto de empezar, Endpoint Security
podría pedirle confirmación para continuar. El aviso aparece solo si el análisis se configura
para permitirle aplazar, pausar, resumir o cancelar el análisis.
Responder a un aviso de detección de amenaza

Cuando el analizador detecta una amenaza, Endpoint Security puede pedirle que realice una entrada
antes de continuar, dependiendo de cómo se haya realizado la configuración.
Procedimiento
Para obtener más información sobre funciones, uso y prácticas recomendadas para el producto, haga
clic en ? o en Ayuda.
• En la página Análisis en tiempo real, seleccione opciones para administrar las detecciones de amenazas.
Puede volver a abrir la página de análisis para administrar las detecciones en cualquier momento.
La lista de detecciones del análisis en tiempo real se borra cuando se reinicia el servicio de
Endpoint Security o el sistema.
Véase también

2
Responder a aviso de análisis

Cuando un análisis bajo demanda planificado está a punto de empezar, Endpoint Security podría
pedirle confirmación para continuar. El aviso aparece solo si el análisis se configura para permitirle
aplazar, pausar, resumir o cancelar el análisis.
Si no selecciona una opción, el análisis empezará automáticamente.
Solo para los sistemas gestionados, si el análisis se configura para ejecutarse solo cuando el equipo
está inactivo, Endpoint Security muestra un cuadro de diálogo cuando el análisis se pausa. Si se
configura, puede reanudar análisis pausados o reiniciarlos para que se ejecuten solo cuando está
inactivo.
Procedimiento
• Cuando se le pida, seleccione una de estas opciones.
Las opciones que aparecen dependen de cómo está configurado el analizador.
Analizar ahora Iniciar el análisis inmediatamente.

Ver análisis Ver detecciones correspondientes a un análisis en curso.
Pausar análisis Pausa el análisis. Dependiendo de la configuración, si hace clic en Pausar análisis
podría reconfigurar el análisis para ejecutarse solo cuando esté inactivo. Haga clic
en Reanudar análisis para reanudar el análisis desde el punto en el que se detuvo.
Reanudar análisis Reanudar un análisis pausado.
Cancelar análisis Cancela el análisis.
Aplazar análisis Aplaza el análisis durante el número de horas especificado.
Las opciones de análisis planificado determinan cuántas veces puede aplazar el

análisis durante una hora. Es posible que no pueda aplazar el análisis más de una
vez.
Cerrar Cierra la página de análisis.
Si el analizador detecta una amenaza, Endpoint Security puede pedirle que introduzca información
antes de continuar, dependiendo de cómo se haya realizado la configuración.

Puede encontrar más información sobre su protección Endpoint Security, incluidos el tipo de gestión,
módulos de protección, funciones, estado, número de versión y licencias.
Procedimiento
2 En el menú Acción , seleccione Acerca de.

2
3 Haga clic en el nombre de un módulo o función en la izquierda para acceder a la información acerca
de dicho elemento.
4 Haga clic en el botón Cerrar en el navegador parar cerrar la página Acerca de.
Véase también
Tipos de administración en la página 22
Abra Cliente de Endpoint Security en la página 19
Tipos de administración
El tipo de administración indica cómo se administra Endpoint Security.
Tipo de administración Descripción

McAfee ePolicy Orchestrator Un administrador gestiona Endpoint Security mediante McAfee ePO
(local).
McAfee ePolicy Orchestrator Un administrador gestiona Endpoint Security mediante McAfee ePO
Cloud Cloud.
Para obtener la información más reciente sobre la licencia de gestión y
la autorización de Endpoint Security, consulte KB87057.
Autogestionado Endpoint Security se gestiona localmente mediante el Cliente de

Endpoint Security. Este modo también se llama no gestionado o
independiente.

Puede buscar y descargar de forma manual archivos de contenido y componentes de software
actualizados desde el Cliente de Endpoint Security.
Las actualizaciones manuales se denominan actualizaciones bajo demanda.
También puede ejecutar actualizaciones manuales desde el icono de la bandeja del sistema de McAfee.
Endpoint Security no es compatible con la recuperación y copia de forma manual de los archivos de
contenido actualizados en el sistema cliente. Si necesita ayuda para actualizar una versión de contenido
específica, póngase en contacto con el Soporte de McAfee .
Procedimiento
2 Haga clic en Actualizar ahora.

Si no aparece en el cliente, puede activarlo en la configuración.
Cliente de Endpoint Security comprueba si hay actualizaciones.

La página Actualización muestra información acerca de la última actualización: Nunca, Hoy o la fecha
y hora de la última actualización si no corresponde a la fecha actual.

2
Para cancelar la actualización, haga clic en Cancelar.
• Si la actualización finaliza correctamente, la página muestra el mensaje Ha finalizado la actualización y

la última actualización como Hoy.
• Si la actualización no se completa correctamente, aparece un error en el área Mensajes.

Consulte los registros PackageManager_Activity.log o PackageManager_Debug.log para obtener
más información.
3 Haga clic en Cerrar para cerrar la página Actualización.
Véase también
en la página 13
Cómo se mantiene actualizada su protección en la página 11
Nombres y ubicaciones de los archivos de registro de Endpoint Security en la página 24
Qué se actualiza en la página 23
Configure el comportamiento predeterminado de las actualizaciones en la página 36
Qué se actualiza
Endpoint Security actualiza el contenido de seguridad y el software (hotfixes y parches) de manera
diferente, dependiendo del método y la configuración de la actualización.
Es posible configurar la visibilidad y el comportamiento del botón Actualizar ahora.
Método de actualización Actualizaciones

Opción Actualizar seguridad del menú del icono de la bandeja Contenido y software.
del sistema de McAfee
Botón Actualizar ahora en el Cliente de Endpoint Security Contenido o software, o ambos,
dependiendo de la configuración.
Véase también

Los registros de actividades y depuración almacenan datos de eventos que se producen en el sistema
protegido por McAfee. Puede ver el Registro de eventos desde Cliente de Endpoint Security.
Procedimiento
Para obtener ayuda, en el menú Acción , seleccione Ayuda.
2 Haga clic en Registro de eventos en la parte izquierda de la página.
Esta página muestra todos los eventos que Endpoint Security haya registrado en el sistema durante
los últimos 30 días.
Si el Cliente de Endpoint Security no puede acceder al Administrador de eventos, muestra un
mensaje de error de comunicación. En tal caso, reinicie el sistema para ver el Registro de eventos.

2
3 Seleccione un evento en el panel superior para ver los detalles en el panel inferior.
Para cambiar los tamaños relativos de los paneles, haga clic en el widget de marco deslizante y
arrástrelo entre los paneles.
4 En la página Registro de eventos, ordene, busque, filtre o vuelva a cargar eventos.

Las opciones que aparecen dependen de cómo esté configurado el análisis.
Para... Pasos
Ordenar los eventos por Haga clic en el encabezado de columna.
fecha, funciones, acción
realizada y gravedad.
Buscar en el registro de Introduzca el texto de búsqueda en el campo Buscar y pulse Intro
eventos. o haga clic en Buscar.
En la búsqueda no se distingue entre mayúsculas y minúsculas, y
el texto buscado se comprueba en todos los campos del registro
de eventos. La lista de eventos incluye todos los elementos con
texto coincidente.
Para cancelar la búsqueda y mostrar todos los eventos, haga clic
en x en el campo Buscar.
Filtrar los eventos por En la lista desplegable de filtros, seleccione una opción.
gravedad o módulo. Para eliminar el filtro y mostrar todos los eventos, seleccione
Mostrar todos los eventos de la lista desplegable.
Actualizar el Registro de eventos Haga clic en .

con los eventos nuevos.
Abrir la carpeta que contiene Haga clic en Ver directorio de registros.
los archivos de registro.
5 Navegue por el Registro de eventos.
Para... Pasos
Mostrar la página de eventos anterior. Haga clic en Página anterior.
Mostrar la página de eventos siguiente. Haga clic en Página siguiente.
Mostrar una página concreta del registro. Introduzca un número de página y pulse Intro o haga
clic en Ir.
De manera predeterminada, el Registro de eventos muestra 20 eventos por página. Para que
aparezcan más eventos por página, seleccione una opción de la lista desplegable Eventos por página.
Véase también
Nombres y ubicaciones de los archivos de registro de Endpoint

Security
Los archivos de registro de actividades, errores y depuración reflejan los eventos que se producen en
los sistemas en los que está activado Endpoint Security. Configure el registro en las opciones de
Ajustes generales.
Los archivos de registro de actividades siempre aparecen en el idioma especificado en la configuración

regional predeterminada del sistema.
Todos los archivos de registro de actividades y depuración se almacenan aquí:

2
%ProgramData%\McAfee\Endpoint Security\Logs
Cada módulo, función o tecnología coloca el registro de actividades o depuración en un archivo

independiente. Los módulos almacenan los registros de errores en un solo archivo,
EndpointSecurityPlatform_Errors.log.
La activación del registro de depuración para cualquier módulo también lo activa para las funciones del
módulo Ajustes generales, como por ejemplo Autoprotección.
Tabla 2-1 Archivos de registro

Módulo Función o tecnología Nombre del archivo
Ajustes generales EndpointSecurityPlatform_Activity.log
EndpointSecurityPlatform_Debug.log
Autoprotección SelfProtection_Activity.log
SelfProtection_Debug.log
Actualizaciones PackageManager_Activity.log
PackageManager_Debug.log
Errores EndpointSecurityPlatform_Errors.log
Contiene registros de errores de todos los
módulos.
Cliente de Endpoint MFEConsole_Debug.log

Security
Prevención de La activación del registro de ThreatPrevention_Activity.log
amenazas depuración para cualquier
ThreatPrevention_Debug.log
tecnología de Prevención de
amenazas también lo activa
para Cliente de Endpoint
Security.
Protección de acceso AccessProtection_Activity.log

AccessProtection_Debug.log
Prevención de exploits ExploitPrevention_Activity.log
ExploitPrevention_Debug.log
Análisis en tiempo real OnAccessScan_Activity.log
OnAccessScan_Debug.log
Análisis bajo demanda OnDemandScan_Activity.log
• Análisis rápido OnDemandScan_Debug.log
• Análisis completo
• Análisis con el botón
derecho del ratón
Firewall Firewall_Activity.log
Firewall_Debug.log
FirewallEventMonitor.log
Registra eventos de tráfico bloqueado y permitido,
si así está configurado.
Control web WebControl_Activity.log

WebControl_Debug.log

2
Tabla 2-1 Archivos de registro (continuación)

Módulo Función o tecnología Nombre del archivo
Protección AdaptiveThreatProtection_Activity.log
adaptable frente a
amenazas AdaptiveThreatProtection_Debug.log
Contención dinámica de DynamicApplicationContainment_Activity.log
aplicaciones
DynamicApplicationContainment_Debug.log
De manera predeterminada, los archivos de registro de instalación se almacenan aquí:
%TEMP%\McAfeeLogs, que es la carpeta TEMP de usuario de Windows.

Como administrador, puede gestionar Endpoint Security desde Cliente de Endpoint Security, mediante
tareas como activar y desactivar funciones, administrar archivos de contenido, especificar cómo se
comporta la interfaz de cliente y ajustar la configuración común.
Véase también
Desbloqueo de la interfaz de cliente en la página 27
Activación y desactivación de funciones en la página 27
Cambio de la versión de AMCore content en la página 28
Utilice archivos Extra.DAT en la página 28
Configurar parámetros comunes en la página 29
Iniciar sesión como administrador

Inicie sesión en Cliente de Endpoint Security como administrador para activar y desactivar funciones, y
configurar opciones.
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se debe establecer en Acceso estándar.
Procedimiento
2 En el menú Acción , seleccione Inicio de sesión de administrador.
3 En el campo Contraseña, introduzca la contraseña de administrador y haga clic en Iniciar sesión.
Ahora podrá acceder a todas las funciones del Cliente de Endpoint Security.
Para cerrar sesión, seleccione Acción | Cerrar sesión de administrador. El cliente regresa al modo de interfaz
Acceso estándar.

2
Desbloqueo de la interfaz de cliente

Si la interfaz de Cliente de Endpoint Security está bloqueada, puede desbloquearla mediante la
contraseña de administrador a fin de acceder a toda la configuración.
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se debe establecer en Bloquear interfaz
de cliente.
Procedimiento
2 En la página Iniciar sesión como administrador, introduzca la contraseña del administrador en el campo
Contraseña y, a continuación, haga clic en Iniciar sesión.
Cliente de Endpoint Security se abre y se puede acceder a todas las funciones del cliente.
3 Para cerrar sesión y cliente, en el menú Acción , seleccione Cerrar sesión de administrador.
Activación y desactivación de funciones

Como administrador, puede activar y desactivar las funciones de Endpoint Security desde Cliente de
Endpoint Security.
Antes de empezar
El modo de interfaz para Cliente de Endpoint Security se establece en Acceso total o se debe
haber iniciado sesión como administrador.
La página Estado muestra el estado activado del módulo, que puede no reflejar el estado real de las
funciones. Puede ver el estado de cada función en la página Configuración. Por ejemplo, si la opción de
configuración Activar ScriptScan no se aplica correctamente, el estado puede ser (Estado: desactivado).
Procedimiento
2 Haga clic en el nombre del módulo (por ejemplo, Prevención de amenazas o Firewall) en la página de
Estado principal.
En el menú Acción, seleccione Configuración y haga clic en el nombre del módulo en la página
Configuración.
3 Seleccione o anule la selección de la opción Activar módulo o Función.
Activar cualquiera de las funciones Prevención de amenazas activa también el módulo Prevención de
amenazas.
Véase también

2
Cambio de la versión de AMCore content

Utilice Cliente de Endpoint Security para cambiar la versión de AMCore content en el sistema cliente.
Antes de empezar
Endpoint Security almacena el archivo de contenido que se ha cargado y las dos versiones anteriores
en la carpeta Archivos de programa\Common Files\McAfee\Engine\content. Si es necesario, puede
restaurar una versión anterior.
Las actualizaciones de contenido de Prevención de exploits no se pueden revertir.
Procedimiento
2 En el menú Acción , seleccione Revertir contenido de AMCore.
3 Seleccione la versión para cargar del elemento desplegable.
4 Haga clic en Aplicar.
Las detecciones en el archivo de AMCore content que se ha cargado se aplican inmediatamente.
Véase también
Cómo funcionan los archivos de contenido en la página 11
Utilice archivos Extra.DAT

Puede instalar un archivo Extra.DAT para proteger los su equipo contra un brote de malware
importante hasta que se publique la próxima actualización de AMCore content.
Procedimientos
• Descargar archivos Extra.DAT en la página 29
Para descargar un archivo Extra.DAT, haga clic en el vínculo de descarga proporcionado por
McAfee Labs.
• Cargue un archivo Extra.DAT en la página 29
Para instalar el archivo Extra.DAT descargado, utilice Cliente de Endpoint Security.
Véase también
Acerca de archivos Extra.DAT en la página 28
Acerca de archivos Extra.DAT

Si se descubre nuevo malware y se hace necesario incrementar la capacidad de detección, McAfee
Labs facilita un archivo Extra.DAT. Los archivos Extra.DAT contienen información que Prevención de
amenazas utiliza para manejar el nuevo malware.
Puede descargar archivos Extra.DAT para amenazas específicas desde la Página de solicitud de
Extra.DAT de McAfee Labs.
Prevención de amenazas solo admite el uso de un archivo Extra.DAT.

2
Cada archivo Extra.DAT incluye una fecha de caducidad integrada. Cuando se carga el archivo
Extra.DAT, la fecha de caducidad se compara con la fecha de compilación de AMCore content instalado
en el sistema. Si la fecha de compilación de AMCore content es más reciente que la fecha de
caducidad del Extra.DAT, el Extra.DAT se considera caducado y el motor ya no lo carga ni utiliza. El
Extra.DAT se elimina del sistema en la siguiente actualización.
Si la siguiente actualización de AMCore content incluye la firma de Extra.DAT, se elimina el Extra.DAT.
Endpoint Security almacena archivos Extra.DAT en la carpeta c:\Program Files\Common Files\McAfee

\Engine\content\avengine\extradat.
Descargar archivos Extra.DAT

Para descargar un archivo Extra.DAT, haga clic en el vínculo de descarga proporcionado por McAfee
Labs.
Procedimiento
1 Haga clic en el vínculo de descarga, especifique una ubicación donde guardar el archivo Extra.DAT
y haga clic en Guardar.
2 Si es preciso, descomprima el archivo EXTRA.ZIP.
3 Cargue el archivo Extra.DAT con Cliente de Endpoint Security.
Cargue un archivo Extra.DAT

Para instalar el archivo Extra.DAT descargado, utilice Cliente de Endpoint Security.
Antes de empezar
Procedimiento
2 En el menú Acción, seleccione Cargar Extra.dat.
3 Haga clic en Examinar, desplácese a la ubicación donde haya descargado el archivo Extra.DAT y, a
continuación, haga clic en Abrir.
4 Haga clic en Aplicar.
Las nuevas detecciones en el Extra.DAT se aplican inmediatamente.
Véase también
Configurar parámetros comunes

Configure parámetros aplicables a todos los módulos y las funciones de Endpoint Security en el
módulo Ajustes generales. Estos parámetros incluyen seguridad de interfaz y configuración de idioma

2
para Cliente de Endpoint Security, inicio de sesión, servidor proxy para McAfee GTI y configuración de
la actualización.
Procedimientos
• Proteger recursos de Endpoint Security en la página 30
Una de las primeras cosas que intenta hacer el malware durante un ataque es desactivar el
software de seguridad de su sistema. Configure la Autoprotección en las opciones de
Ajustes generales para evitar que se detengan o modifiquen los servicios y archivos de
Endpoint Security.
• Configurar parámetros de registro en la página 31
Configure el registro Endpoint Security en los parámetros del Ajustes generales.
• Permitir autenticación mediante certificados en la página 31
Los certificados permiten que un proveedor ejecute código en los procesos de McAfee.
• Control del acceso a la interfaz de cliente en la página 32
Controle el acceso al Cliente de Endpoint Security estableciendo una contraseña en la
configuración de Ajustes generales.
• Configuración del servidor proxy para McAfee GTI en la página 33
Especifique las opciones del servidor proxy para recuperar la reputación de McAfee GTI en
la configuración de Ajustes generales.
Proteger recursos de Endpoint Security

Una de las primeras cosas que intenta hacer el malware durante un ataque es desactivar el software
de seguridad de su sistema. Configure la Autoprotección en las opciones de Ajustes generales para
evitar que se detengan o modifiquen los servicios y archivos de Endpoint Security.
Antes de empezar
Si se desactiva la Autoprotección de Endpoint Security, el sistema será vulnerable a los ataques.
Procedimiento
2 En el menú Acción , seleccione Configuración.
3 Haga clic en Mostrar avanzado.
4 Desde Autoprotección, verifique que Autoprotección está activado.
5 Especifique la acción para cada uno de los siguientes recursos de Endpoint Security:
• Archivos y carpetas: impide que los usuarios modifiquen la base de datos, los binarios, los archivos
de búsqueda segura y los archivos de configuración de McAfee.
• Registro: impide que los usuarios modifiquen el subárbol del Registro de McAfee y los
componentes COM, así como que lleven a cabo desinstalaciones mediante el valor de Registro.
• Procesos: impide que se detengan los procesos de McAfee.
6 Haga clic en Aplicar para guardar los cambios o haga clic en Cancelar.
Véase también

2
Configurar parámetros de registro

Configure el registro Endpoint Security en los parámetros del Ajustes generales.
Antes de empezar
Procedimiento
4 Configure los parámetros de Registro de cliente en la página.
Véase también
Permitir autenticación mediante certificados

Los certificados permiten que un proveedor ejecute código en los procesos de McAfee.
Cuando se detecta un proceso, se completa la tabla de certificados con el Proveedor, Asunto y Hash de
la clave pública asociada.
Esta configuración puede acarrear problemas de compatibilidad y una reducción de la seguridad.
Procedimiento
4 En la sección Certificados, seleccione Permitir.
La información de certificado se muestra en la tabla.

2
Control del acceso a la interfaz de cliente

Controle el acceso al Cliente de Endpoint Security estableciendo una contraseña en la configuración de
Ajustes generales.
Antes de empezar
Modo de interfaz de cliente está establecido como Acceso total de forma predeterminada, lo que permite a los
usuarios cambiar la configuración de seguridad, ya que los sistemas se pueden quedar sin protección
contra ataques de malware.
Procedimiento
3 Defina la configuración de Modo de interfaz de cliente en la página.
Procedimiento recomendado: Para mejorar la seguridad, cambie el Modo de interfaz de cliente a

Estándar o Bloquear interfaz de cliente. Ambas opciones requieren una contraseña de administrador para
acceder a la configuración de Cliente de Endpoint Security.
Procedimiento recomendado: Cambie las contraseñas de administrador con regularidad.
Véase también
Efectos del establecimiento de una contraseña de administrador en la página 32
Efectos del establecimiento de una contraseña de administrador

Cuando se configura el modo de interfaz como Acceso estándar o Bloquear interfaz de cliente, se debe
configurar también una contraseña de administrador. El administrador también puede generar una
contraseña temporal que pueden usar los usuarios para acceder temporalmente al Cliente de Endpoint
Security.
Si se configura el modo de interfaz como Acceso estándar o Bloquear interfaz de cliente, se verán
afectados los siguientes usuarios:

2
Todos los usuarios En el modo Bloquear interfaz de cliente, los usuarios deben introducir la
contraseña de administrador o provisional para acceder al Cliente de
Endpoint Security.
Una vez que se haya introducido, el usuario dispondrá de acceso a toda la
interfaz, incluidas las opciones de configuración de la página Configuración.
No administradores En el modo Acceso estándar, los no administradores pueden:

(usuarios sin derechos • Obtener información sobre qué módulos de Endpoint Security están
de administrador) instalados, incluyendo su versión y estado.
• Ejecutar análisis.
• Comprobar si hay actualizaciones (en caso de estar activada esta
función).
• Ver y administrar los elementos de la Cuarentena.
• Ver el Registro de eventos.
• Obtener ayuda y acceso a las páginas de Preguntas frecuentes y Soporte.
En el modo Acceso estándar, los no administradores no pueden:
• Ver o cambiar las opciones de configuración de la página Configuración.
• Revertir contenido de AMCore.
• Cargar archivos Extra.DAT.
Administradores En el modo Acceso estándar, los administradores deben introducir la

(usuarios con derechos contraseña de administrador o provisional.
de administrador) Una vez que se haya introducido, el administrador dispondrá de acceso a
toda la interfaz, incluidas las opciones de configuración de la página
Configuración.
Configuración del servidor proxy para McAfee GTI

Especifique las opciones del servidor proxy para recuperar la reputación de McAfee GTI en la
configuración de Ajustes generales.
Antes de empezar
Procedimiento
4 Establezca la configuración de Servidor proxy para McAfee GTI en la página.
Procedimiento recomendado: Excluya las direcciones de McAfee GTI del servidor proxy. Para
obtener información, consulte KB79640 y KB84374.
Véase también

2
Configurar el comportamiento de las actualizaciones

Especifique el comportamiento de las actualizaciones iniciadas desde Cliente de Endpoint Security en
la configuración de Ajustes generales.
Procedimientos
• Configurar sitios de origen para actualizaciones en la página 34
Puede configurar los sitios desde los que Cliente de Endpoint Security obtiene archivos de
seguridad actualizados en la configuración del módulo Ajustes generales.
• Configure el comportamiento predeterminado de las actualizaciones en la página 36
Especifique el comportamiento de actualizaciones iniciadas desde el Cliente de Endpoint
Security en el módulo Ajustes generales.
• Configure, planifique y actualice tareas de análisis en la página 37
Puede configurar tareas de actualización personalizadas o cambiar la planificación de la
tarea Actualización de cliente predeterminada desde Cliente de Endpoint Security en la
configuración del módulo Ajustes generales.
• Configure, planifique y ejecute tareas de duplicación en la página 38
Puede modificar o planificar tareas de duplicación desde Cliente de Endpoint Security en la
configuración del Ajustes generales .
Configurar sitios de origen para actualizaciones

Puede configurar los sitios desde los que Cliente de Endpoint Security obtiene archivos de seguridad
actualizados en la configuración del módulo Ajustes generales.
Antes de empezar
Procedimiento
4 En Ajustes generales, haga clic en Opciones.
5 Ajuste la configuración de Sitios de origen para las actualizaciones en la página.

Puede activar y desactivar el sitio de origen de copia de seguridad predeterminado, McAfeeHttp, y el
servidor de gestión (para sistemas gestionados), pero no podrá modificarlos ni eliminarlos.
El orden de los sitios determina el orden que Endpoint Security utiliza para buscar el sitio de
actualización.

2
Para... Siga estos pasos

Agregar un sitio a la lista. 1 Haga clic en Agregar.
2 Especifique la configuración del sitio y haga clic en Aceptar.

El sitio aparece al principio de la lista.
Modificar un sitio 1 Haga clic en el nombre del sitio.

existente.
2 Modifique las opciones y haga clic en Aceptar.
Eliminar un sitio. Seleccione el sitio y haga clic en Eliminar.

Importar sitios desde un 1 Haga clic en Importar.
archivo de lista de sitios
de origen. 2 Seleccione el archivo para importar y haga clic en Aceptar.
El archivo de lista de sitios reemplaza la lista de sitios de origen

actual.
Exportar la lista de sitios 1 Haga clic en Exportar todo.

de origen al archivo
SiteList.xml. 2 Seleccione la ubicación en la que guardar el archivo de lista de
sitios de origen y haga clic en Aceptar.
Cambiar el orden de los Para mover elementos:

sitios en la lista.
1 Seleccione los elementos que mover.
El control de ajuste aparece a la izquierda de los elementos que

puedan moverse.
2 Arrastre y coloque los elementos en su nueva ubicación.
Aparecerá una línea azul entre elementos en los puntos en los que
se pueden colocar los elementos arrastrados.
Véase también
Qué contiene la lista de repositorios en la página 35
Cómo funciona la tarea Actualización cliente predeterminada en la página 37
Configure, planifique y actualice tareas de análisis en la página 37
Qué contiene la lista de repositorios

La lista de repositorios especifica información acerca de los repositorios que McAfee Agent utiliza para
actualizar productos de McAfee, incluidos archivos DAT y de motor.
La lista de repositorios incluye:
• Información y ubicación de repositorios
• Orden de preferencia de repositorios
• Configuración del servidor proxy, si se requiere
• Credenciales cifradas necesarias para el acceso a cada repositorio
La tarea cliente de actualización de producto de McAfee Agent se conecta al primer repositorio

activado (sitio de actualización) en la lista de repositorios. Si este repositorio no está disponible, la
tarea establece contacto con el siguiente sitio de la lista, hasta que consigue conectarse o llega al final
de la lista.

2
Si la red utiliza un servidor proxy, puede especificar qué configuración de proxy utilizar, la dirección del
servidor proxy y si se utilizará autenticación. La información de proxy se almacena en la lista de
repositorios. La configuración de proxy especificada se aplicará a todos los repositorios de la lista.
La ubicación de la lista de repositorios depende del sistema operativo:
Sistema operativo Ubicación de lista de repositorios

Microsoft Windows 8 C:\ProgramData\McAfee\Common Framework\SiteList.xml
Microsoft Windows 7
Versiones anteriores C:\Documents and Settings\All Users\Datos de programa\McAfee\Common
Framework\SiteList.xml
Configure el comportamiento predeterminado de las actualizaciones

Especifique el comportamiento de actualizaciones iniciadas desde el Cliente de Endpoint Security en el
módulo Ajustes generales.
Antes de empezar
Utilice esta configuración para:
•
Mostrar u ocultar el botón en el cliente.
• Especificar qué actualizar cuando el usuario hace clic en el botón o ejecuta la tarea Actualización de
cliente predeterminada.
De forma predeterminada, la tarea Actualización de cliente predeterminado se ejecuta cada día a la

1:00 de la madrugada y se repite cada cuatro horas hasta las 23:59 h.
En sistemas autogestionados, la tarea Actualización de cliente predeterminado actualiza todo el

contenido y el software. En sistemas gestionados, esta tarea solo actualiza el contenido.
Procedimiento
4 Defina la configuración de Actualización de cliente predeterminado en la página.
Véase también
Configurar sitios de origen para actualizaciones en la página 34

2
Cómo funciona la tarea Actualización cliente predeterminada

La tarea Actualización cliente predeterminada descarga la protección más reciente a Cliente de
Endpoint Security.
Endpoint Security incluye la tarea Actualización de cliente predeterminada que se ejecuta cada día a la
1:00. y se repite cada cuatro horas hasta las 23:59 h.
La tarea Actualización de cliente predeterminada:
1 Conecta al primer sitio de origen activado en la lista.

Si el sitio no está disponible, la tarea contacta el siguiente sitio hasta que logra establecer una
conexión o alcanza el final de la lista.
2 Se descarga un archivo CATALOG.Z codificado desde el sitio.

El archivo contiene información necesaria para llevar a cabo la actualización, incluyendo archivos
disponibles y actualizaciones.
3 Compara las versiones de software contenidas en el archivo con las versiones existentes en el
equipo y descarga cualquier actualización de software disponible.
Si la tarea Actualización de cliente predeterminada se interrumpe durante la actualización:
Actualización desde Si se interrumpe

HTTP, UNC o un sitio local Se reanuda desde donde se interrumpió la actualización la
próxima vez que se inicie la tarea de actualización.
Sitio FTP (descarga de un solo archivo) No se reanuda si se interrumpe.
Sitio FTP (descarga de varios archivos) Se reanuda antes del archivo que se estaba descargando en
el momento de la interrupción.
Véase también
Qué contiene la lista de repositorios en la página 35
Configure, planifique y actualice tareas de análisis

Puede configurar tareas de actualización personalizadas o cambiar la planificación de la tarea
Actualización de cliente predeterminada desde Cliente de Endpoint Security en la configuración del módulo
Ajustes generales.
Antes de empezar
Utilice esta configuración para definir desde el cliente cuándo se debe ejecutar la tarea Actualización de
cliente predeterminada. También puede configurar el comportamiento predeterminado de actualizaciones de
cliente iniciadas desde Cliente de Endpoint Security.
Procedimiento

2
4 En Ajustes generales, haga clic en Tareas.
5 Configure los ajustes de la tarea de actualización en la página.

Crear una tarea de 1 Haga clic en Agregar.
actualización
personalizada. 2 Introduzca el nombre y, en la lista desplegable Seleccionar tipo de tarea,
seleccione Actualizar.
3 Configure los ajustes y haga clic en Aceptar para guardar la tarea.
Cambiar una tarea de • Haga doble clic en la tarea, efectúe los cambios y haga clic en
actualización. Aceptar para guardarla.
Eliminar una tarea de • Seleccione la tarea y haga clic en Eliminar.

actualización
personalizada.
Crear una copia de una 1 Seleccione la tarea y haga clic en Duplicar.
tarea de actualización.
2 Introduzca el nombre, configure los ajustes y haga clic en Aceptar
para guardar la tarea.
Cambiar la planificación de 1 Haga doble clic en Actualización de cliente predeterminada.

una tarea de Actualización de
cliente predeterminada. 2 Haga clic en la ficha Planificación, modifique la planificación y haga
clic en Aceptar para guardar la tarea.
También puede configurar el comportamiento predeterminado de
actualizaciones de cliente iniciadas desde Cliente de Endpoint
Security.
Ejecutar una tarea de • Seleccione la tarea y haga clic en Ejecutar ahora.

actualización.
Si la tarea ya se está ejecutando, incluyendo en pausa o aplazada, el
botón cambia a Ver.
Si ejecuta una tarea antes de aplicar los cambios, Cliente de Endpoint
Security le pide confirmación para guardar la configuración.
Véase también
Cómo funciona la tarea Actualización cliente predeterminada en la página 37
Configure, planifique y ejecute tareas de duplicación

Puede modificar o planificar tareas de duplicación desde Cliente de Endpoint Security en la
configuración del Ajustes generales .
Antes de empezar

2
Procedimiento
5 Configure los ajustes de la tarea de duplicación en la página.

duplicación.
2 Introduzca el nombre y, en la lista desplegable Seleccionar tipo de tarea,
seleccione Duplicar.
3 Configure los ajustes y haga clic en Aceptar.
Cambiar una tarea de • Haga doble clic en la tarea de duplicación, efectúe los cambios y haga
duplicación. clic en Aceptar.

duplicación.
tarea de duplicación.
2 Introduzca el nombre, configure los ajustes y haga clic en Aceptar.
Planificar una tarea de 1 Haga doble clic en la tarea.

duplicación.
2 Haga clic en la ficha Planificación, modifique la planificación y haga clic
en Aceptar para guardar la tarea.

duplicación.
Cómo funcionan las tareas de duplicación

Las tareas de duplicación replican los archivos de actualización del primer repositorio accesible,
definido en la lista de repositorios, hasta un sitio de duplicación ubicado en su red.
El uso más habitual de estas tareas es el de duplicar el contenido del sitio de descarga de McAfee en
un servidor local.
Una vez replicado el sitio de McAfee que contiene los archivos de actualización, los equipos de la red
pueden descargar los archivos del sitio de duplicación. Esto permite actualizar cualquier ordenador de
la red, tanto si tiene acceso a Internet como si no. El uso de un sitio replicado es más eficaz porque lo
sistemas se comunican con un servidor más próximo al sitio de McAfee en Internet, lo que ahorra
tiempo de acceso y descarga.
Endpoint Security depende de un directorio para actualizarse. Por lo tanto, al duplicar un sitio, es
importante replicar toda la estructura de directorios.

2
Referencia de la interfaz del Cliente de Endpoint Security:

Ajustes generales
Proporciona ayuda contextual para las páginas de la interfaz del Cliente de Endpoint Security.
Contenido
Página Registro de eventos
Ajustes generales: Opciones
Ajustes generales: Tareas
Página Registro de eventos

Muestra los eventos de actividad y depuración en el Registro de eventos.
Tabla 2-2 Opciones

Opción Definición
Número de eventos Muestra el número de eventos que Endpoint Security haya registrado en el
sistema en los últimos 30 días.
Actualiza la vista del Registro de eventos con cualquier información de evento
reciente.
Ver directorio de Abre la carpeta que contiene los archivos de instalación de registro en el
registros explorador de Windows.
Mostrar todos los Quita cualquier filtro.
eventos
Filtrar por gravedad Filtra los eventos por nivel de gravedad:
Alerta Muestra solo los eventos de nivel de gravedad 1.

Crítico y más grave Muestra solo los eventos de nivel de gravedad 1 y 2.
Advertencias y más Muestra solo los eventos de nivel de gravedad 1, 2 y
importantes 3.
Aviso y más grave Muestra los eventos de nivel de gravedad 1, 2, 3 y 4.
Filtrar por módulo Filtra los eventos por módulo:
Ajustes generales Muestra solo los eventos de Ajustes generales.

Prevención de amenazas Muestra solo los eventos de Prevención de
amenazas.
Firewall Muestra solo los eventos de Firewall.
Control web Muestra solo los eventos de Control web.
Protección adaptable frente a Muestra solo los eventos de Protección adaptable
amenazas frente a amenazas.
Las funciones que aparecen en el menú desplegable dependen de las funciones

instaladas en el sistema en el momento en que abrió el Registro de eventos.
Buscar Busca una cadena en el Registro de eventos.

Eventos por página Seleccione el número de eventos que mostrar en una página. (De forma
predeterminada, 20 eventos por página)
Página anterior Muestra la página anterior en el Registro de eventos.

2
Tabla 2-2 Opciones (continuación)

Opción Definición
Página siguiente Muestra la página siguiente en el Registro de eventos.
Página x de x Seleccione una página en el Registro de eventos a la que navegar.
Introduzca un número en el campo Página y pulse Intro o haga clic en Ir para
navegar hasta la página.
Encabezados de Ordena la lista de eventos por...

las columnas
Fecha Fecha en la que se produjo el evento.
Función Función que registró el evento.
Acción realizada Acción que Endpoint Security llevó a cabo, si realizó alguna, en respuesta al
evento.
La acción puede ajustarse en la configuración.
Acceso denegado Ha denegado el acceso al archivo.

Permitido Ha permitido el acceso al archivo.
Bloqueado Ha bloqueado el acceso al archivo.
Limpiado Ha quitado la amenaza del archivo detectado
automáticamente.
Contenido Ha ejecutado el archivo en un contenedor en función de su
reputación.
Continuar con el Ha detectado una amenaza y ha continuado con el análisis
análisis del siguiente archivo sin realizar ninguna acción, como
Limpiar o Eliminar, sobre el archivo actual.
Eliminado Ha eliminado el archivo automáticamente.
Movido Ha movido el archivo a la cuarentena.
Bloquearía Una regla habría bloqueado el acceso al archivo si la regla
hubiera estado implementada. El modo de evaluación está
activado.
Limpiaría Una regla habría limpiado el archivo si la regla hubiera
estado implementada. El modo de evaluación está activado.
Contendría Una regla habría contenido el archivo si la regla hubiera
estado implementada. El modo de evaluación está activado.
Gravedad Nivel de gravedad del evento.
Crítico 1
Grave 2
Leve 3
Advertencia 4
Informativa 5
Véase también
Visualización del Registro de eventos en la página 23

2
Ajustes generales: Opciones

Configure las opciones de interfaz, autoprotección, registro de actividades y depuración y servidor
proxy de Cliente de Endpoint Security.
Tabla 2-3 Opciones
Sección Opción Definición
Modo de interfaz de Acceso total Permite el acceso a todas las funciones. (Opción
cliente predeterminada)
Acceso estándar Muestra el estado de la protección y permite acceder a la
mayoría de las funciones, como la ejecución de actualizaciones
y análisis.
El modo Acceso estándar requiere una contraseña para ver y
modificar la configuración de directivas en la página
Configuración de Cliente de Endpoint Security.
Bloquear interfaz de Requiere una contraseña para acceder al Cliente de Endpoint

cliente Security.
Establecer contraseña En el caso de Acceso estándar y Bloquear interfaz de cliente, especifica
de administrador la contraseña de administrador con que acceder a todas las
funciones de la interfaz de Cliente de Endpoint Security.
• Contraseña: especifica la contraseña.
• Confirmar contraseña: confirma la contraseña.
Procedimiento recomendado: Cambie las contraseñas de

administrador con regularidad.
Desinstalación Requerir contraseña Solicita una contraseña para desinstalar Cliente de Endpoint
para desinstalar el Security y especifica la contraseña.
cliente La contraseña predeterminada es mcafee.
(Opción desactivada de forma predeterminada)
• Contraseña: especifica la contraseña.
• Confirmar contraseña: confirma la contraseña.
Tabla 2-4 Opciones avanzadas

Idioma de la interfaz Automático Selecciona automáticamente el idioma que usar en el texto de la
de cliente interfaz de Cliente de Endpoint Security basándose en el idioma
de la interfaz del sistema cliente.
Idioma Especifica el idioma del texto de la interfaz del Cliente de
Endpoint Security.
En lo que se refiere a los sistemas gestionados, los cambios
realizados en Cliente de Endpoint Security anulan los cambios de
directivas del servidor de administración. El cambio de idioma se
aplicará después del reinicio de Cliente de Endpoint Security.
El idioma del cliente no afecta a los archivos de registro. Los
archivos de registro siempre aparecen en el idioma especificado
en la configuración regional predeterminada del sistema.
Autoprotección Activar Protege los recursos del sistema de Endpoint Security de

autoprotección actividades maliciosas.

2
Tabla 2-4 Opciones avanzadas (continuación)

Acción Especifica la acción que se debe realizar cuando se produce
actividad maliciosa:
• Bloquear e informar: bloquea la actividad e informa a McAfee ePO.
(Opción predeterminada)
• Solo bloquear: bloquea la actividad pero no informa a McAfee ePO.
• Solo informar: informa a McAfee ePO, pero no bloquea la
actividad.
Archivos y carpetas Impide que se modifiquen o eliminen carpetas y archivos de

sistema de McAfee.
Registro Impide que se modifiquen o eliminen valores y claves de Registro
de McAfee.
Procesos Impide la detención de procesos de McAfee.
Excluir estos Permite el acceso a los procesos especificados.
procesos Se admiten caracteres comodín.
Agregar: agrega un proceso a la lista de exclusión. Haga clic en
Agregar e introduzca el nombre exacto del recurso, como por
ejemplo, avtask.exe.
Hacer doble clic en un elemento: Modifica el elemento
seleccionado.
Eliminar: Elimina el elemento seleccionado. Seleccione el recurso y
haga clic en Eliminar.
Certificados Especifica las opciones de los certificados.
Permitir Permite que un proveedor ejecute código en los procesos de

McAfee.
Esta configuración puede acarrear problemas de compatibilidad

y una reducción de la seguridad.
Proveedor Especifica el nombre común (CN) de la autoridad que firmó y

emitió el certificado.
Sujeto Especifica el nombre distintivo del firmante (SDN) que define la
entidad asociada con el certificado.
Esta información puede incluir:
• CN: nombre común
• OU: unidad organizativa
• O: organización
• L: localidad
• ST: estado o provincia
• C: código del país
Hash Especifica el hash de la clave pública asociada.

2

Registro de cliente Ubicación de Especifica la ubicación de los archivos de registro.
archivos de registro La ubicación predeterminada es:
<UNIDAD_DEL_SISTEMA>:\ProgramData\McAfee\Endpoint\Logs
Escriba la ubicación deseada o haga clic en Examinar para llegar a

ella.
Registro de Activar registro de Activa el registro de todas las actividades de Endpoint Security.
actividades actividades
Limitar tamaño (MB) Limita cada archivo de registro de actividades al tamaño máximo
de cada uno de los especificado (entre 1 MB y 999 MB). El valor predeterminado es
archivos de registro 10 MB.
de actividades Si el archivo de registro supera este tamaño, los datos nuevos
sustituyen el 25 por ciento más antiguo de las entradas en el
archivo.
Para permitir que los archivos de registro tengan cualquier
tamaño, desactive esta opción.
Registro de La activación del registro de depuración para cualquier módulo
depuración también lo activa para las funciones del módulo Ajustes
generales, como por ejemplo Autoprotección.
Procedimiento recomendado: Active el registro de depuración

durante, al menos, las primeras 24 horas durante las fases de
prueba y piloto. Si no se producen problemas durante este
tiempo, desactive el registro de depuración para evitar que el
rendimiento de los sistemas cliente se vea afectado.
Activar para Activa el registro detallado de actividades de Prevención de

Prevención de amenazas y tecnologías concretas:
amenazas Activar para protección de acceso: los registros se realizan en
AccessProtection_Debug.log.
Activar para Prevención de exploits: los registros se realizan en
ExploitPrevention_Debug.log.
Activar para análisis en tiempo real: los registros se realizan en
OnAccessScan_Debug.log.
Activar para análisis bajo demanda: los registros se realizan en
OnDemandScan_Debug.log.
La activación del registro de depuración para cualquier tecnología
de Prevención de amenazas también lo activa para Cliente de
Endpoint Security.
Activar para firewall Activa el registro detallado de actividades de Firewall.

Activar para Control Activa el registro detallado de actividades de Control web.
web
Activar para Activa el registro detallado de actividades de Protección adaptable
Protección frente a amenazas.
adaptable frente a
amenazas

2

Limitar tamaño (MB) Limita el tamaño máximo de cada archivo de registro de
de cada uno de los depuración al especificado (entre 1 MB y 999 MB). El valor
archivos de registro predeterminado es 50 MB.
de depuración Si el archivo de registro supera este tamaño, los datos nuevos
sustituyen el 25 por ciento más antiguo de las entradas en el
archivo.
Para permitir que los archivos de registro tengan cualquier
tamaño, desactive esta opción.
Registro de eventos Enviar eventos a Envía todos los eventos registrados en el Registro de eventos del
McAfee ePO Cliente de Endpoint Security a McAfee ePO.
Esta opción solo se encuentra disponible en sistemas gestionados
por McAfee ePO.
Registrar eventos en Envía todos los eventos registrados en el Registro de eventos del
el registro de la Cliente de Endpoint Security al registro de aplicaciones de
aplicación Windows Windows.
Se puede acceder al registro de aplicación de Windows en Visor de
eventos | Registros de Windows | Aplicación.
Niveles de Especifica el nivel de gravedad de los eventos que registrar en el

gravedad Registro de eventos en Cliente de Endpoint Security:
• Ninguno: no se envían alertas
• Solo alerta: se envían alertas solo de nivel 1.
• Crítico y alerta: se envían alertas de nivel 1 y 2.
• Advertencia, crítico y alerta: se envían alertas de nivel de 1 a 3.
• Todo excepto Informativo: se envían alertas de nivel de 1 a 4.
• Todo: se envían alertas de nivel de 1 a 5.
• 1: Alerta
• 2: Crítico
• 3: Advertencia
• 4: Aviso
• 5: Informativo
Eventos de Especifica el nivel de gravedad de los eventos para cada función

Prevención de de Prevención de amenazas que se debe registrar:
amenazas que Protección de acceso: los registros se realizan en
registrar AccessProtection_Activity.log.
Al activar el registro de eventos para Protección de acceso,
también se activa el registro de eventos para Autoprotección.
Prevención de exploits: los registros se realizan en
ExploitPrevention_Activity.log.
Análisis en tiempo real: los registros se realizan en
OnAccessScan_Activity.log.
Análisis bajo demanda: los registros se realizan en
OnDemandScan_Activity.log.
Eventos de Firewall Especifica el nivel de gravedad de los eventos de Firewall que

que registrar registrar.

2

Eventos de Control Especifica el nivel de gravedad de los eventos de Control web que
web que registrar registrar.
Eventos de Especifica el nivel de gravedad de los eventos de Protección
Protección adaptable frente a amenazas que registrar.
adaptable frente a
amenazas que
registrar
Servidor proxy para Sin servidor proxy Especifica que los sistemas gestionados recuperan información
McAfee GTI sobre reputación de McAfee GTI directamente a través de
Internet, en vez de a través de un servidor proxy. (Opción
predeterminada)
Utilizar Especifica el uso de la configuración de proxy en el sistema cliente
configuración de y, opcionalmente, activa la autenticación de proxy HTTP.
proxy del sistema
Configurar servidor Personaliza la configuración de proxy.
proxy
• Dirección: especifica la dirección IP o el nombre de dominio
completo del servidor proxy HTTP.
• Puerto: limita el acceso a través del puerto especificado.
• Excluir estas direcciones: no usar el servidor proxy HTTP para sitios
web o direcciones IP que empiecen con las entradas
especificadas.
Haga clic en Agregar y, a continuación, introduzca el nombre de
dirección que excluir.
Procedimiento recomendado: Excluya las direcciones de

McAfee GTI del servidor proxy. Para obtener información,
consulte KB79640 y KB84374.
Activar Especifica que el servidor proxy HTTP requiere autenticación.

autenticación de (Esta opción solo está disponible cuando selecciona un servidor
proxy HTTP proxy HTTP). Introduzca unas credenciales de proxy HTTP:
• Nombre de usuario: especifica el nombre de la cuenta de usuario
con permisos para acceder al servidor proxy HTTP especificado.
• Contraseña: especifica la contraseña para el Nombre de usuario.
• Confirmar contraseña: confirma la contraseña especificada.
Actualización de Activar el botón Muestra u oculta el botón Actualizar ahora en la página principal del
cliente Actualizar ahora en Cliente de Endpoint Security.
predeterminado el cliente Haga clic en este botón para comprobar y descargar
manualmente actualizaciones de archivos de contenido y
componentes de software en el sistema cliente.
Qué actualizar Especifica qué actualizar al hacer clic en el botón Actualizar ahora.
• Contenido de seguridad, hotfixes y parches: actualiza a las versiones
más recientes todo el contenido de seguridad (ya sea contenido
de motor, AMCore o Prevención de exploits), así como cualquier
hotfix y parche.
• Contenido de seguridad: Actualiza únicamente contenido de
seguridad. (Opción predeterminada)
• Hotfixes y parches: actualiza únicamente hotfixes y parches.

2

Sitios de origen para Configura sitios desde los que obtener actualizaciones para
las actualizaciones archivos de contenido y componentes de software.
Puede activar y desactivar el sitio de origen de copia de seguridad
predeterminado, McAfeeHttp, y el servidor de gestión (para
sistemas gestionados), pero no podrá modificarlos ni eliminarlos.
Indica elementos que pueden moverse en la lista.

Seleccione elementos y arrástrelos hasta la nueva ubicación.
Aparecerá una línea azul entre elementos en los puntos en los
que se pueden colocar los elementos arrastrados.
Agregar Agrega un sitio a la lista de sitios de origen.

Hacer doble clic Modifica el elemento seleccionado.
en un elemento
Eliminar Elimina el sitio seleccionado de la lista de sitios de origen.
Importar Importa sitios desde un archivo de lista de sitios de origen.
Seleccione el archivo para importar y haga clic en Aceptar.
El archivo de lista de sitios reemplaza la lista de sitios de origen

actual.
Exportar todo Exporta la lista de sitios de origen al archivo SiteList.xml.

Seleccione la ubicación en la que guardar el archivo de lista de
sitios de origen y haga clic en Aceptar.
Servidor proxy para Sin servidor proxy Especifica que los sistemas gestionados recuperan información
sitios de origen sobre reputación de McAfee GTI directamente a través de
Internet, en vez de a través de un servidor proxy. (Opción
predeterminada)
Utilizar Especifica el uso de la configuración de proxy para el sistema
configuración de cliente, y activa opcionalmente la autenticación de proxy HTTP o
proxy del sistema FTP.
Configurar servidor Personaliza la configuración de proxy.
proxy
• Dirección HTTP/FTP: especifica la dirección DNS, IPv4 o IPv6 del
servidor proxy HTTP o FTP.
• Puerto: limita el acceso a través del puerto especificado.
• Excluir estas direcciones: especifica las direcciones de los sistemas
del Cliente de Endpoint Security que no se desea que utilicen el
servidor proxy para obtener calificaciones de McAfee GTI.
Haga clic en Agregar e introduzca la dirección que excluir.
Activar Especifica que el servidor proxy HTTP o FTP requiere

autenticación de autenticación. (Esta opción solo está disponible cuando se ha
proxy HTTP/FTP seleccionado un servidor proxy HTTP o FTP.) Introduzca unas
credenciales de proxy:
• Nombre de usuario: especifica el nombre de la cuenta de usuario
con permisos para acceder al servidor proxy.
• Contraseña: especifica la contraseña para el Nombre de usuario
especificado.

2
Véase también
Proteger recursos de Endpoint Security en la página 30
Configurar parámetros de registro en la página 31
Control del acceso a la interfaz de cliente en la página 32
Configuración del servidor proxy para McAfee GTI en la página 33
Agregar sitio o Editar sitio en la página 48
Agregar sitio o Editar sitio

Agrega o edita un sitio en la lista de sitios de origen.
Tabla 2-5 Definiciones de opciones

Option Definición
Nombre Indica el nombre del sitio de origen que contiene los archivos de actualización.
Activar Activa o desactiva el uso del sitio de origen para descargar archivos de actualización.
Recuperar Especifica de dónde se han de recuperar los archivos.
archivos desde
Repositorio Recupera los archivos desde la ubicación del repositorio HTTP designada.
HTTP
HTTP ofrece un tipo de actualización que es independiente de la seguridad de la red,
pero admite un mayor nivel de conexiones simultáneas que FTP.
URL • Nombre DNS: indica que la URL es un nombre de dominio.

• IPv4: indica que la dirección URL es una dirección IPv4.
http:// : especifica la dirección del servidor HTTP y de la carpeta en la

que se encuentran los archivos de actualización.
Puerto: especifica el número de puerto para el servidor HTTP.
Utilizar Se selecciona para usar autenticación y especificar las credenciales de
autenticación acceso a la carpeta de archivos de actualización.
• Nombre de usuario: especifica el nombre de la cuenta de usuario con
permisos para leer la carpeta de archivos de actualización.
• Contraseña: especifica la contraseña para el Nombre de usuario
especificado.

2
Tabla 2-5 Definiciones de opciones (continuación)

Option Definición
Repositorio FTP Recupera los archivos desde la ubicación del repositorio HTTP designada.
Un sitio FTP ofrece flexibilidad de actualización sin tener que adherirse a permisos de
seguridad de red. Dado que el FTP es menos propenso a ataques de código no deseados
que HTTP, puede ofrece una mejor tolerancia.
URL • Nombre DNS: indica que la URL es un nombre de dominio.

• IPv6: indica que la dirección URL es una dirección Ipv6.
ftp:// : especifica la dirección del servidor FTP y de la carpeta en la que se

encuentran los archivos de actualización.
Puerto: especifica el número de puerto para el servidor HTTP.
Utilizar inicio Se selecciona para usar un FTP anónimo para acceder a la carpeta de
de sesión archivos de actualización.
anónimo Anule la selección de esta opción para especificar las credenciales de
acceso.
• Contraseña: especifica la contraseña para el Nombre de usuario especificado.
Ruta UNC o Recupera los archivos de la ubicación de ruta UNC o local designada.
Ruta local
Un sitio UNC es el más rápido y fácil de configurar. Las actualizaciones de UNC entre
dominios requieren permisos de seguridad para cada dominio, lo que precisa mayor
configuración para la actualización.
Ruta • Ruta UNC: especifica la ruta mediante la notación UNC (\

\nombredeservidor\ruta\).
• Ruta local: especifica la ruta de una carpeta en una unidad local o de red.
Utilizar Los accesos a los archivos actualizados mediante la cuenta en la que se

cuenta de ha iniciado sesión. Esta cuenta debe tener permisos de lectura para las
sesión carpetas que contienen los archivos de actualización.
iniciada Anule la selección de esta opción para especificar las credenciales de
acceso.
• Dominio: especifica el dominio para la cuenta de usuario.
• Contraseña: especifica la contraseña para el Nombre de usuario especificado.
Ajustes generales: Tareas

Configure y planifique tareas de Cliente de Endpoint Security.
En sistemas gestionados, no puede iniciar, detener ni eliminar tareas de Administrador.

2
Tabla 2-6 Opciones

Tareas Indica las tareas actualmente definidas y planificadas.
• Nombre: nombre de la tarea planificada.
• Función: módulo o función con los que está asociada la tarea.
• Planificación: cuándo está planificada la ejecución de la tarea y si está
desactivada.
Por ejemplo, en sistemas gestionados, la tarea Actualización de cliente
predeterminada la puede desactivar el administrador.
• Estado: estado de la última vez que se ejecutó la tarea:
• (sin estado): no se ha ejecutado
• Ejecutar: actual en ejecución o pausada
• Pausado: pausado por el usuario (como por ejemplo un análisis)
• Aplazado: aplazado por el usuario (como por ejemplo un análisis)
• Finalizado: ejecución completada sin errores
• Finalizado (con errores): ejecución completada con errores
• Error: no se pudo completar
• Última ejecución: fecha y hora en la que la tarea se ejecutó por última vez.
• Origen: origen de la tarea:
• McAfee: proporcionado por McAfee.
• Administrador: (solo en sistemas gestionados) definido por el
administrador.
• Usuario: definido en Cliente de Endpoint Security.
En función del origen, algunas tareas no se pueden modificar ni eliminar.
Por ejemplo, la tarea Actualización de cliente predeterminada solo se
puede cambiar en sistemas autogestionados. Las tareas de Administrador,
definidas por el administrador en sistemas gestionados, no se pueden
modificar ni eliminar en Cliente de Endpoint Security.
Hacer doble Modifica el elemento seleccionado.

clic en un
elemento
Agregar Crea una tarea de análisis, actualización o duplicación.
Eliminar Elimina la tarea seleccionada.

2

Duplicar Crea una copia de la tarea seleccionada.
Ejecutar ahora Ejecuta la tarea seleccionada.
Si la tarea ya se está ejecutando, incluyendo en pausa o aplazada, el botón
cambia a Ver.
• Análisis rápido: abre el cuadro de diálogo Análisis rápido e inicia el análisis.
• Análisis completo: abre el cuadro de diálogo Análisis completo e inicia el análisis.
• Análisis personalizado: abre el cuadro de diálogo Análisis personalizado e inicia el
análisis.
• Actualización de cliente predeterminada: abre el cuadro de diálogo Actualización de
cliente predeterminada e inicia la actualización.
• Actualizar: abre el cuadro de diálogo Actualización personalizada e inicia la
actualización.
• Duplicar: abre el cuadro de diálogo Duplicar e inicia la replicación del
repositorio.
Véase también
Ejecución de un Análisis completo o un Análisis rápido en la página 56
Configure, planifique y ejecute tareas de duplicación en la página 38
Agregar tarea en la página 51
Agregar tarea
Agrega tareas de actualización, duplicación o análisis personalizado.
Opción Definición
Nombre Especifica el nombre de la tarea.
Seleccionar tipo de Especifica el tipo de tarea:
tarea
• Análisis personalizado: configura y planifica análisis personalizados, como los análisis
de memoria diarios.
• Duplicación: replica en un sitio de duplicación en la red los archivos de contenido y
de motor actualizados del primer repositorio accesible.
• Actualización: configura y planifica actualizaciones de producto, del motor de
análisis o de archivos de contenido.
Véase también
Agregar tarea de análisis o Editar tarea de análisis en la página 52
Agregar tarea de duplicación o Editar tarea de duplicación en la página 53
Agregar tarea de actualización o Editar tarea de actualización en la página 52

2
Agregar tarea de análisis o Editar tarea de análisis

Planifique la tareaAnálisis completo o Análisis rápido o configure y planifique tareas de análisis
personalizado que se ejecutan en el sistema cliente.
Tabla 2-7 Opciones
Ficha Opción Definición
Configuración Configura la tarea de análisis.
Nombre Indica el nombre de la tarea.
Opciones Define la configuración del Análisis bajo demanda.
Solo puede configurar parámetros de tarea de Análisis completo y Análisis rápido en
sistemas autogestionados.
Planificación Activa y planifica las tareas para que se ejecuten a una hora determinada.
Véase también
Configure, planifique y ejecute tareas de análisis en la página 95
Configurar Análisis bajo demanda en la página 90
Prevención de amenazas: Análisis bajo demanda en la página 120
Planificación en la página 53
Agregar tarea de actualización o Editar tarea de actualización

Planifica la Actualización de cliente predeterminada o configura y planifica tareas de actualización
personalizadas que se ejecutan en el sistema cliente.
Tabla 2-8 Opciones
Configuración Configura la tarea de actualización.
Nombre Indica el nombre de la tarea.
Qué actualizar Especifica qué actualizar:
• Contenido de seguridad, hotfixes y parches
• Contenido de seguridad
• Hotfixes y parches
Solo puede configurar estos parámetros en sistemas autogestionados.
Planificación Activa y planifica las tareas para que se ejecuten a una hora determinada.
De forma predeterminada, la tarea Actualización de cliente predeterminada se
ejecuta cada día a las 00:00 y se repite cada cuatro horas hasta las 23:59.
Véase también
Ajustes generales: Opciones en la página 42

2
Agregar tarea de duplicación o Editar tarea de duplicación

Configura y planifica tareas de duplicación.
Tabla 2-9 Opciones
Configuración Nombre Indica el nombre de la tarea.
Ubicación de duplicación Especifica la carpeta en la que guardar la réplica del repositorio.
Planificación Activa y planifica las tareas para que se ejecuten a una hora
determinada.
Véase también
Configure, planifique y ejecute tareas de duplicación en la página 38
Planificación
Planifique tareas de análisis, actualización y duplicación.
Tabla 2-10 Opciones
Categoría Opción Definición
Planificación Activar planificación Planifica las tareas para que se ejecuten a una hora determinada.
(Opción activada de forma predeterminada)
Seleccione esta opción para planificar la tarea.
Tipo de planificación Especifica el intervalo para ejecutar la tarea.

• Diario: ejecuta la tarea a diario, ya sea a una hora específica, de
forma periódica entre dos horas del día o una combinación de
ambas formas.
• Semanal: ejecuta la tarea cada semana:
• Un día específico entre semana, todos los días entre semana, los
fines de semana o mediante una combinación de días
• A una hora específica en los días seleccionados o de forma
periódica entre dos horas en los días seleccionados
• Mensualmente: ejecuta la tarea cada mes, con dos opciones:
• El día del mes especificado
• Los días de la semana especificados: el primero, segundo, tercero,
cuarto o último
• Una vez: inicia la tarea a la hora y en la fecha especificadas.
• Al iniciar el sistema: ejecuta la tarea al iniciar el sistema.
• Al iniciar sesión: inicia la tarea la próxima vez que el usuario inicia
sesión en el sistema.
• Ejecutar inmediatamente: inicia la tarea de inmediato.
Frecuencia Especifica la frecuencia para las tareas que se ejecutan a Diario y de

forma Semanal.
Ejecutar los Especifica los días de la semana para tareas que se ejecutan de forma
Semanal y Mensual.
Ejecutar en Especifica los meses del año para las tareas que se ejecutan de
manera Mensual.
Ejecutar esta tarea Ejecuta la tarea una vez al día para las tareas Al iniciar el sistema yAl iniciar
solo una vez al día sesión.

2

Categoría Opción Definición
Retrasar la tarea Especifica los minutos de retraso antes de ejecutar tareas Al iniciar el
sistema y Al iniciar sesión.
Fecha de inicio Especifica la fecha de inicio para tareas que se ejecutan de manera
Semanal, Mensual, a Diario y Una vez.
Fecha de finalización Especifica la fecha de finalización de las tareas diarias, semanales y
mensuales.
Hora de inicio Especifica la hora para empezar la tarea.
• Ejecutar una vez a esa hora: ejecuta la tarea una vez a la Hora de inicio
especificada.
• Ejecutar a esa hora y repetir hasta: ejecuta la tarea a la Hora de inicio
especificada. A continuación, inicia la tarea según el intervalo de
horas/minutos especificado en Iniciar tarea cada hasta la hora de
finalización especificada.
• Ejecutar a esa hora y repetir durante: ejecuta la tarea a la Hora de inicio
especificada. A continuación, inicia la tarea según el intervalo de
horas/minutos especificado en Iniciar tarea cada hasta que se haya
ejecutado durante la duración especificada.
Opciones Ejecutar esta tarea de Especifica si la planificación de la tarea se ejecuta en función de la

acuerdo con la hora hora local del sistema gestionado o según la Hora universal
universal coordinada coordinada (UTC).
(UTC)
Detener la tarea si se Detiene la tarea una vez transcurrido el número de horas y minutos
ejecuta durante más indicado.
de Si la tarea se interrumpe antes de completarse, la siguiente vez que
comience se reanudará desde donde lo dejó.
Hacer aleatoria la Especifica que la tarea se ejecute de forma aleatoria dentro del
hora de inicio de la periodo de tiempo elegido.
tarea De lo contrario, la tarea se iniciará a la hora planificada,
independientemente de si hay o no otras tareas cliente planificadas
para ejecutarse a la misma hora.
Ejecutar tarea omitida Ejecuta la tarea una vez haya transcurrido el tiempo en minutos
especificado en Retrasar el inicio cuando se reinicia el sistema gestionado.
Cuenta Especifica las credenciales a utilizar para ejecutar la tarea.
Si no se especifican credenciales, la tarea se ejecuta como cuenta
local del administrador del sistema.
Nombre de usuario Especifica la cuenta de usuario.

Contraseña Especifica la contraseña para la cuenta de usuario especificada.
Confirmar contraseña Confirma la contraseña para la cuenta de usuario especificada.
Dominio Especifica el dominio para la cuenta de usuario especificada.
Véase también
Agregar tarea de análisis o Editar tarea de análisis en la página 52
Agregar tarea de actualización o Editar tarea de actualización en la página 52
Agregar tarea de duplicación o Editar tarea de duplicación en la página 53

3 Mediante Prevención de amenazas
Prevención de amenazas comprueba la existencia de virus, spyware, programas no deseados y otras

amenazas en el equipo.
Contenido
Analizar el equipo en busca de malware
Administrar detecciones de amenazas
Administrar elementos en cuarentena
Administrar Prevención de amenazas
Referencia de la interfaz del Cliente de Endpoint Security: Prevención de amenazas

Analice en busca de malware en el equipo seleccionando opciones en Cliente de Endpoint Security o
desde el Explorador de Windows.
Procedimientos
• Ejecución de un Análisis completo o un Análisis rápido en la página 56
Use Cliente de Endpoint Security para realizar un Análisis completo o Análisis rápido en su
equipo manualmente.
• Analizar un archivo o carpeta en la página 58
Haga clic con el botón derecho en el Explorador de Windows para analizar inmediatamente
un archivo o carpeta individual que sospeche que pueda estar infectado.
Véase también
Tipos de análisis en la página 55
Tipos de análisis
Endpoint Security proporciona dos tipos de análisis: en tiempo real y bajo demanda.
• Análisis en tiempo real: el administrador configura análisis en tiempo real para su ejecución en
los equipos gestionados. En el caso de equipos gestionados, configure el analizador en tiempo real
en la página Configuración.
Cada vez que se accede a archivos, carpetas y programas, el analizador en tiempo real intercepta
la operación y analiza el elemento según los criterios definidos en la configuración.
• Análisis bajo demanda

3
Mediante Prevención de amenazas
Manual El administrador (o el usuario, en el caso de sistemas autogestionados) configura

análisis bajo demanda predefinidos o personalizados que los usuarios pueden
ejecutar en equipos gestionados.
• Ejecute un análisis bajo demanda predefinido en cualquier momento desde
Cliente de Endpoint Security haciendo clic en y

seleccionando un tipo de análisis:
Análisis rápido ejecuta una comprobación rápida de las áreas del sistema más
susceptibles de infección.
Análisis completo realizar una comprobación exhaustiva de todas las áreas del
sistema. (Se recomienda si sospecha que el equipo está infectado.)
• Analice un archivo o una carpeta en cualquier momento desde el Explorador de
Windows haciendo clic con el botón derecho y seleccionando Analizar en busca de
amenazas en el menú emergente.
• Para configurar y ejecutar un análisis bajo demanda personalizado como
administrador desde Cliente de Endpoint Security:
1 Seleccione Configuración | Ajustes generales | Tareas.
2 Seleccione la tarea que ejecutar.
3 Haga clic en Ejecutar ahora.
Programado El administrador (o el usuario, en el caso de sistemas autogestionados) configura y

planifica análisis bajo demanda para su ejecución en los equipos.
Cuando un análisis bajo demanda planificado está a punto de iniciarse, Endpoint
Security muestra un mensaje de análisis en la parte inferior de la pantalla. Puede
iniciar el análisis inmediatamente o aplazarlo, si se ha configurado.
Para configurar y planificar los análisis bajo demanda predefinidos Análisis rápido y
Análisis completo:
1 Configuración | Análisis bajo demanda | Análisis completo o Análisis rápido: configura análisis
bajo demanda.
2 Configuración | Common | Tareas planifica análisis bajo demanda.
Véase también
Responder a aviso de análisis en la página 21
Ejecución de un Análisis completo o un Análisis rápido

Use Cliente de Endpoint Security para realizar un Análisis completo o Análisis rápido en su equipo
manualmente.
Antes de empezar
El módulo Prevención de amenazas debe estar instalado.
El comportamiento del Análisis completo y del Análisis rápido depende de cómo se haya realizado la
configuración. Con credenciales de administrador puede modificar y planificar estos análisis en la
configuración Análisis bajo demanda.

3
Procedimiento
2
Haga clic en .
3 En la página Analizar sistema, haga clic en Analizar ahora para el análisis que desee llevar a cabo.
Análisis completo Realiza una comprobación exhaustiva de todas las áreas de su sistema,
recomendado si sospecha que su equipo podría estar infectado.
Análisis rápido Ejecuta una comprobación rápida de las áreas de su sistema que sean más
susceptibles de infectarse.
Si ya se está realizando un análisis, el botón Analizar ahora cambia a Ver análisis.

Asimismo, es posible que encuentre el botón Ver detecciones en el análisis en tiempo real,
dependiendo de la configuración y de si se ha detectado una amenaza. Haga clic en este botón
para abrir la página Análisis en tiempo real y administrar las detecciones en cualquier momento.
Cliente de Endpoint Security muestra el estado del análisis en otra página.
Práctica recomendada: La Fecha de creación de AMCore Content indica la última vez que se ha
actualizado el contenido. Si el contenido tiene una antigüedad superior a dos días, actualice la
protección antes de ejecutar el análisis.
4 Haga clic en los botones de la parte superior de la página de estado para controlar el análisis.
Pausar análisis Pausa el análisis antes de que se complete.

Cancelar análisis Cancela un análisis en ejecución.
5 Una vez que se haya completado el análisis, la página muestra el número de archivos analizados, el
tiempo transcurrido y las posibles detecciones.
Nombre de detección Identifica el nombre del malware detectado.

Tipo Muestra el tipo de amenaza.
Archivo Identifica el archivo infectado.
Acción realizada Describe la última acción de seguridad emprendida en el archivo infectado:
• Acceso denegado
• Limpiado
• Eliminado
• Ninguno
La lista de detecciones de análisis bajo demanda se borra cuando empieza el siguiente análisis bajo
demanda.

3
6 Seleccione una detección en la tabla y, a continuación, haga clic en Limpiar o Eliminar para limpiar o
eliminar el archivo infectado.
Según el tipo de amenaza y los parámetros de análisis, puede que dichas acciones no estén
disponibles.
7 Haga clic en Cerrar para cerrar la página.
Véase también
Nombres de detecciones en la página 62
Analizar un archivo o carpeta

Haga clic con el botón derecho en el Explorador de Windows para analizar inmediatamente un archivo
o carpeta individual que sospeche que pueda estar infectado.
Antes de empezar
El comportamiento del Análisis con el botón derecho del ratón depende de cómo se haya realizado la
configuración. Con credenciales de administrador puede modificar estos análisis en la configuración
Análisis bajo demanda.
Procedimiento
1 En el Explorador de Windows, haga clic con el botón derecho en el archivo o carpeta que analizar y
seleccione Analizar en busca de amenazas desde el menú emergente.
Cliente de Endpoint Security muestra el estado del análisis en la página Analizar en busca de amenazas.
2 Haga clic en los botones en la parte superior de la página para controlar el análisis.
Pausar análisis Pausa el análisis antes de que se complete.

Cancelar análisis Cancela un análisis en ejecución.
3 Una vez que se haya completado el análisis, la página muestra el número de archivos analizados, el
tiempo transcurrido y las posibles detecciones.
Nombre de detección Identifica el nombre del malware detectado.

Tipo Muestra el tipo de amenaza.
Archivo Identifica el archivo infectado.
Acción realizada Describe la última acción de seguridad emprendida en el archivo infectado:
• Acceso denegado
• Limpiado
• Eliminado
• Ninguno
demanda.

3
4 Seleccione una detección en la tabla y, a continuación, haga clic en Limpiar o Eliminar para limpiar o
eliminar el archivo infectado.
Según el tipo de amenaza y los parámetros de análisis, puede que dichas acciones no estén
disponibles.
5 Haga clic en Cerrar para cerrar la página.
Véase también

Dependiendo de su configuración, puede gestionar las detecciones de amenazas desde Cliente de
Endpoint Security.
Antes de empezar
Procedimiento
2 Haga clic en Analizar ahora para abrir la página Analizar sistema.
3 Desde Análisis bajo demanda, haga clic en Ver detecciones.
Esta opción no está disponible si la lista no contiene detecciones o si la opción de mensajería de

usuario está desactivada.
4 Desde la página Análisis en tiempo real, seleccione una de estas opciones.
Limpiar Intenta limpiar el elemento (archivo, entrada de registro) y colocarlo en cuarentena.
Endpoint Security usa información de los archivos de contenido para limpiar los
archivos. Si el archivo de contenido no tiene limpiador o el archivo se ha dañado y
no se puede reparar, el analizador niega el acceso al mismo. En este caso, McAfee
recomienda eliminar el archivo de Poner en cuarentena y restaurarlo desde una copia
de seguridad limpia.
Eliminar Elimina el elemento que contiene la amenaza.

Eliminar entrada Elimina una entrada de la lista de detección.
Cerrar Cierra la página de análisis.
Si una acción no está disponible para la amenaza, la opción correspondiente no estará disponible.
Por ejemplo, Limpiar no está disponible si el archivo ya se ha eliminado.

3

Endpoint Security guarda los elementos que se detectan como amenazas en cuarentena. Puede
realizar acciones en los elementos en cuarentena.
Antes de empezar
Por ejemplo, puede restaurar un elemento después de descargar una versión posterior del contenido
con información que limpia la amenaza.
Los elementos en cuarentena pueden contener varios tipos de objetos analizados, como archivos,
registros o todo lo que Endpoint Security analice en busca de malware.
Procedimiento
2 Haga clic en Poner en cuarentena en el lado izquierdo de la página.
La página muestra todos los elementos en cuarentena.
Si Cliente de Endpoint Security no puede acceder al Administrador de cuarentena, muestra un

mensaje de error de comunicación. De ser así, reinicie el sistema para ver la página Cuarentena.

3
3 Seleccione un elemento en el panel superior para mostrar los detalles en el panel inferior.
Para... Haga lo siguiente...

Cambiar el tamaño relativo de los paneles. Haga clic y arrastre el marco deslizante entre los
paneles.
Ordenar elementos de la tabla por nombre o Haga clic en el encabezado de columna.
tipo de amenaza.
4 En la página Cuarentena, realice acciones en elementos seleccionados.

Eliminar elementos Seleccione elementos, haga clic en Eliminar y haga clic de nuevo en Eliminar
en cuarentena. para confirmar.
Los archivos eliminados no se pueden restaurar.
Restaurar Seleccione elementos, haga clic en Restaurar y, a continuación, haga clic de

elementos en nuevo en Restaurar para confirmar.
cuarentena. Endpoint Security restaura los elementos a su ubicación original y los quita
de la cuarentena.
Si un elemento aún es una amenaza válida, Endpoint Security lo devolverá

a la cuarentena la próxima vez que se acceda a dicho elemento.
Volver a analizar Seleccione elementos, luego haga clic en Volver a analizar.

elementos. Por ejemplo, puede volver a analizar un elemento tras actualizar la
protección. Si el elemento ya no es una amenaza, lo puede restaurar a su
ubicación original y quitarlo de la cuarentena.
Ver un elemento en Seleccione un elemento y haga clic en el vínculo Ver en Registro de eventos en el
el Registro de panel de detalles.
eventos. La página Registro de eventos se abre, y el evento relacionado con el elemento
seleccionado aparecerá resaltado.
Obtener más Seleccione un elemento y haga clic en el vínculo Obtenga más información sobre
información sobre esta amenaza en el panel de detalles.
una amenaza. Se abre una nueva ventana de navegador en el sitio web McAfee Labs con
más información acerca de la amenaza que provocó que el elemento se
pusiera en cuarentena.
Véase también
Repetición de análisis de elementos en cuarentena en la página 63

3
Nombres de detecciones
Los La cuarentena informa de amenazas por nombre de detección.
Nombre de Descripción
detección
Adware Genera ingresos mostrando anuncios dirigidos al usuario. El adware genera
ingresos a través del proveedor o los socios del proveedor. Algunos tipos de
adware pueden capturar o transmitir información personal.
Marcador Redirige las conexiones de Internet a otra parte distinta del proveedor de
servicios de Internet predeterminado del usuario. Los marcadores están
diseñados para agregar costes de conexión para un proveedor de contenidos, un
vendedor u otro.
Broma Afirma dañar el equipo pero no tiene carga útil ni uso maliciosos. Las bromas no
afectan a la seguridad o la privacidad, pero pueden alarmar o molestar al
usuario.
Registrador de Intercepta datos entre el usuario que los introduce y la aplicación a la que iban
pulsaciones de destinados. Un caballo troyano y un programa no deseado registrador de
teclado pulsaciones de teclado pueden funcionar de manera idéntica. El software de
McAfee detecta los dos tipos para evitar intrusiones de privacidad.
Cracker de Permite al usuario o administrador recuperar las contraseñas perdidas u
contraseñas olvidadas desde las cuentas o archivos de datos. En manos de un atacante,
permiten el acceso a información confidencial y son una amenaza para la
seguridad y la privacidad.
Programa A menudo incluye software legítimo (que no es malware) que puede alterar el
potencialmente no estado de seguridad o la política de privacidad del sistema. Este software se
deseado puede descargar con un programa que el usuario desea instalar. Puede incluir
spyware, adware, registradores de pulsaciones de teclado, crackers de
contraseñas, herramientas de hacker y aplicaciones de marcador.
Herramienta de Otorga a un administrador el control remoto de un sistema. Estas herramientas
administración pueden suponer una amenaza de seguridad grave si las controla un atacante.
remota
Spyware Transmite información personal a terceros sin el conocimiento o consentimiento
del usuario. El spyware genera exploits en los equipos infectados con finalidades
comerciales mediante:
• Envío de anuncios emergentes no solicitados
• Robo de información personal, incluida su información financiera, como puede
ser el número de las tarjetas de crédito
• Supervisión de la actividad de navegación por la Web para fines de marketing
• Enrutamiento de solicitudes HTTP a sitios de publicidad
Consulte también Programa potencialmente no deseado.
Sigiloso Es un tipo de virus que intenta evitar ser detectado por el software antivirus.
También conocido como interceptor interruptor.
Muchos virus sigilosos interceptan solicitudes de acceso a disco. Cuando una
aplicación antivirus intenta leer archivos o sectores de arranque para encontrar
virus, el virus muestra una imagen "limpia" del elemento solicitado. Otros virus
esconden el tamaño real del archivo infectado y muestran el tamaño del archivo
antes de infectarse.

3
Nombre de Descripción
detección
Troyano Es un programa dañino que se hace pasar por una aplicación benigna. Un
troyano no se replica pero causa daño o pone en peligro la seguridad del equipo.
Los equipos suelen infectarse:
• Cuando un usuario abre un troyano adjunto en un correo electrónico.
• Cuando un usuario descarga un troyano de un sitio web.
• Redes de igual a igual.
Como no se replican, los troyanos no se consideran virus.
Virus Capaz de incrustarse en discos u otros archivos y replicarse repetidamente,

normalmente sin el conocimiento o permiso del usuario.
Algunos virus se adjuntan a archivos, de forma que cuando se ejecuta el archivo,
el virus también se ejecuta. Otros virus permanecen en la memoria del equipo e
infectan más archivos a medida que ese equipo los va abriendo, modificando o
creando. Algunos virus presentan síntomas, mientras que otros dañan los
archivos y sistemas del equipo.
Repetición de análisis de elementos en cuarentena

Cuando se vuelve a analizar elementos en cuarentena, Endpoint Security utiliza la configuración de
análisis diseñada para proporcionar la máxima protección.
Práctica recomendada: Vuelva a analizar siempre los elementos en cuarentena antes de restaurarlos.
Por ejemplo, puede volver a analizar un elemento tras actualizar la protección. Si el elemento ya no es
una amenaza, lo puede restaurar a su ubicación original y quitarlo de la cuarentena.
Entre el momento en el que se detectó una amenaza originalmente y cuando se volvió a realizar el
análisis, las condiciones de análisis pueden cambiar, lo cual puede afectar a la detección de elementos
en cuarentena.
Cuando se vuelven a analizar elementos en cuarentena, Endpoint Security siempre:
• Analiza archivos codificados mediante MIME.
• Analiza archivos de almacenamiento comprimidos.
• Fuerza una búsqueda de McAfee GTI en los elementos.
• Establece el nivel de sensibilidad de McAfee GTI en Muy alto.
Incluso utilizando esta configuración de análisis, volver a analizar la cuarentena puede fallar en la
detección de una amenaza. Por ejemplo, si los metadatos de los elementos (ruta o ubicación de
Registro) cambian, volver a analizar puede producir un falso positivo incluso aunque el elemento siga
infectado.

Como administrador, puede especificar la configuración de Prevención de amenazas para prevenir el
acceso de amenazas y configurar los análisis.

3
Configuración de exclusiones
Prevención de amenazas le permite ajustar la protección especificando elementos que excluir.
Por ejemplo, quizás necesite excluir algunos tipos de archivo para impedir que el analizador bloquee
un archivo utilizado por una base de datos o un servidor. Un archivo bloqueado puede hacer que se
produzcan errores en la base de datos o el servidor.
Procedimiento recomendado: Para mejorar el rendimiento de los análisis en tiempo real y bajo
demanda, utilice las técnicas de elusión de análisis en lugar de agregar exclusiones de archivos y
carpetas.
Las exclusiones en las listas de exclusión son mutuamente exclusivas. Cada exclusión se evalúa por
separado de otras exclusiones de la lista.
Para excluir una carpeta en sistemas Windows, agregue una barra invertida (\) al final de la ruta.
Para esta función... Especificar Dónde Excluir elementos ¿Usar

elementos que configurar por comodines?
excluir
Protección de acceso Procesos (para Protección de acceso Ruta o nombre de Todos excepto
todas las reglas o archivo del proceso, hash MD5
para una regla hash MD5 o firmante
especificada)
Prevención de Procesos Prevención de Ruta o nombre de Todos excepto
exploits exploits archivo del proceso, hash MD5
hash MD5 o firmante
Módulos autores de Ruta o nombre de
llamadas archivo del módulo
autor de llamada,
hash MD5 o firmante
API Nombre de la API
Firmas ID de firma No
Todos los análisis Nombres de Opciones de Nombre de detección Sí
detección Prevención de (distingue
amenazas mayúsculas de
minúsculas)
Programas Nombre Sí
potencialmente no
deseados
Análisis en tiempo Archivos, tipos de Análisis en tiempo Nombre de archivo o Sí
real archivo y carpetas real carpeta, tipo de
archivo o antigüedad
• Predeterminado
del archivo
• Riesgo alto URL de ScriptScan Nombre de URL No
• Riesgo bajo

3
Para esta función... Especificar Dónde Excluir elementos ¿Usar

elementos que configurar por comodines?
excluir
Análisis bajo Archivos, carpetas y Análisis bajo Nombre de archivo o Sí
demanda unidades demanda carpeta, tipo de
archivo o antigüedad
• Análisis rápido
del archivo
• Análisis con el botón
derecho del ratón
Análisis bajo Archivos, carpetas y Ajustes generales | Nombre de archivo o Sí

demanda unidades Tareas | Agregar carpeta, tipo de
personalizado tarea | Análisis archivo o antigüedad
personalizado del archivo
Véase también
Caracteres comodín en exclusiones en la página 65
Caracteres comodín en exclusiones

Puede usar caracteres comodín para representar caracteres en exclusiones para archivos, carpetas,
nombres de detección y programas potencialmente no deseados.
Tabla 3-1 Caracteres comodín válidos
Carácter Nombre Representa
comodín
? Signo de Un solo carácter.
interrogación Este carácter comodín se utiliza solamente si el número de
caracteres coincide con la longitud del nombre de archivo o
carpeta. Por ejemplo: la exclusión W?? excluye WWW, pero no
WW o WWWW.
* Asterisco Varios caracteres, excepto la barra invertida (\).

No se puede usar *\ al principio de una ruta de archivo. Utilice
**\ en su lugar. Por ejemplo: **\ABC\*.
** Doble asterisco Cero o más caracteres, incluida la barra invertida (\).

Este carácter comodín corresponde a cero o más caracteres.
Por ejemplo: C:\ABC\**\XYZ corresponde a C:\ABC\DEF\XYZ y
C:\ABC\XYZ.
Los caracteres comodín pueden aparecer delante de la barra invertida (\) en una ruta. Por ejemplo, C:
\ABC\*\XYZ corresponde a C:\ABC\DEF\XYZ.
Exclusiones a nivel de raíz

Prevención de amenazas requiere una ruta de acceso absoluta para las exclusiones a nivel de raíz.
Esto significa que no puede usar los caracteres comodín \ o ?:\ iniciales para hacer coincidir nombres
de unidad en el nivel de raíz.
Este comportamiento difiere de VirusScan Enterprise. Consulte la Guía de migración de McAfee Endpoint
Security.
Con Prevención de amenazas, puede usar los caracteres comodín **\ iniciales en las exclusiones a
nivel de raíz para hacer coincidir las unidades y subcarpetas. Por ejemplo, **\test coincide con lo
siguiente:

3
C:\test
D:\test
C:\temp\test
D:\foo\test
Protección de los puntos de acceso del sistema

La primera línea de defensa contra el malware consiste en proteger los puntos de acceso de los
sistemas cliente contra el acceso de las amenazas. Protección de acceso impide que se realicen
cambios no deseados en los equipos gestionados mediante la restricción del acceso a determinados
archivos, recursos compartidos, claves y valores de Registro, procesos y servicios.
Protección de acceso utiliza tanto reglas definidas por McAfee como reglas definidas por el usuario
(también denominadas reglas personalizadas) para notificar o bloquear el acceso a elementos.
Protección de acceso compara una acción solicitada con una lista de reglas y actúa según la regla.
Se debe activar Protección de acceso para detectar intentos de acceso a archivos, recursos
compartidos, claves y valores de Registro, procesos y servicios.
Cómo obtienen acceso las amenazas

Las amenazas obtienen acceso a un sistema mediante varios puntos de acceso.
Punto de acceso Descripción

Macros Incluidas en documentos de procesamiento de textos y aplicaciones de
hojas de cálculo.
Archivos ejecutables Los programas aparentemente benignos pueden incluir virus junto con el
programa esperado. Algunas extensiones de archivo comunes
son .EXE, .COM, .VBS, .BAT, .HLP y .DLL.
Scripts Los scripts como ActiveX y JavaScript están asociados a páginas web y
correo electrónico y, si se permite su ejecución, pueden incluir virus.
Mensajes de Internet Los archivos enviados junto con estos mensajes pueden contener malware
Relay Chat (IRC) como parte del mensaje. Por ejemplo, los procesos de inicio automático
pueden incluir gusanos y troyanos.
Archivos de ayuda de La descarga de estos archivos de ayuda expone el sistema a virus
aplicaciones y incrustados y ejecutables.
navegadores
Correo electrónico Bromas, juegos e imágenes incluidos en mensajes de correo electrónico
que contienen datos adjuntos.
Combinaciones de todos Los creadores del malware más sofisticado combinan todos los métodos de
estos puntos de acceso entrega anteriores e incluso incluyen un elemento de malware dentro de
otro a fin de intentar acceder al equipo gestionado.
Cómo la Protección de acceso detiene amenazas

Protección de acceso detiene amenazas potenciales gestionando acciones basadas en reglas de
protección definidas por el usuario y por McAfee.
Prevención de amenazas sigue este proceso básico para proporcionar protección de acceso.

3
Cuando se produce una amenaza

Cuando un usuario o proceso actúa:
1 Protección de acceso analiza dicha acción conforme a las reglas definidas.
2 Si la acción incumple una regla, Protección de acceso administra la acción mediante la información
en las reglas configuradas.
3 Protección de acceso actualiza el archivo de registro, y genera y envía un evento al servidor de

administración, si está administrado.
Ejemplo de amenaza de acceso

1 Un usuario descarga un programa legítimo (no malware), MiPrograma.exe, de Internet.
2 El usuario inicia MiPrograma.exe, que aparentemente se abre según lo esperado.
3 MiPrograma.exe inicia un proceso secundario llamado Molestarme.exe.
4 Molestarme.exe intenta modificar el sistema operativo para cargarse siempre al iniciarse el equipo.
5 Protección de acceso procesa la solicitud y la compara con una regla existente de bloqueo e
informe.
6 Protección de acceso impide que Molestarme.exe modifique el sistema operativo y registra los
detalles del intento. Protección de acceso también genera y envía una alerta al servidor de
administración.
Acerca de las reglas de protección de acceso

Utilice reglas de Protección de acceso definidas por McAfee o por el usuario para proteger los puntos
de acceso a su sistema.
Las reglas definidas por McAfee siempre se aplican antes que cualquier regla definida por el usuario.
Tipo de regla Descripción

Reglas definidas • Estas reglas impiden la modificación de archivos y opciones de uso habitual.
por McAfee
• Puede activar, desactivar y cambiar la configuración de las reglas definidas por
McAfee, pero no puede eliminar estas reglas.
Reglas definidas • Estas reglas complementan la protección proporcionada por las reglas definidas
por el usuario por McAfee.
• Una tabla Ejecutables vacía indica que se aplica la regla a todos los ejecutables.
• Una tabla Nombres de usuario vacía indica que se aplica la regla a todos los
usuarios.
• Puede agregar y quitar, así como activar, desactivar y cambiar la configuración
de estas reglas.
Exclusiones
En el nivel de reglas, las exclusiones e inclusiones se aplican a la regla especificada. En el nivel de
directivas, las exclusiones se aplican a todas las reglas. Las exclusiones son opcionales.
Véase también
Excluir procesos de Protección de acceso en la página 73

3
Configuración de reglas de Protección de acceso definidas por McAfee

Las reglas definidas por McAfee impiden a los usuarios modificar los archivos y las opciones usados
comúnmente.
Antes de empezar
Es posible:
• Cambiar la configuración de bloqueo e informes para estas reglas.
• Agregar ejecutables incluidos y excluidos a estas reglas.
No es posible:
• Eliminar estas reglas.
• Modificar los archivos y la configuración protegidos por estas reglas.
• Agregar subreglas o nombres de usuario a estas reglas.
Procedimiento
2 Haga clic en Prevención de amenazas en la página principal Estado.
O bien en el menú Acción , seleccione Configuración y, a continuación, haga clic en Prevención de

amenazas en la página Configuración.
4 Haga clic en Protección de acceso.
5 Modifique la regla:
a En la sección Reglas, seleccione Bloquear, Informar o ambas opciones para la regla.
• Para bloquear o informar de todo, seleccione Bloquear o Informar en la primera fila.
• Para desactivar la regla, anule la selección tanto de Bloquear como de Informar.
b Haga doble clic en una regla definida por McAfee para editarla.
c En la página Editar regla definida por McAfee, configure las opciones.
d En la sección Ejecutables, haga clic en Agregar, configure las opciones y haga clic en Guardar dos
veces para guardar la regla.
Véase también
Reglas de Protección de acceso definidas por McAfee en la página 69

3
Reglas de Protección de acceso definidas por McAfee

Utilice las reglas de Protección de acceso definidas por McAfee para proteger el ordenador de cambios
no deseados.
Regla definida por Descripción

McAfee
Ejecución de archivos de la Impide que el software se instale a través del navegador web.
carpeta Archivos de Puesto que esta regla puede bloquear también la instalación de software
programa descargados por legítimo, instale la aplicación antes de activar esta regla o agregue el proceso
parte de navegadores de instalación como una exclusión.
Esta regla está establecida de manera predeterminada en Informar.
Esta regla impide que el adware y el spyware instalen y ejecuten ejecutables
desde esta carpeta.
Cambio de cualesquiera Protege las claves de Registro en HKEY_CLASSES_ROOT donde se registran

registros de extensiones de las extensiones de archivo.
archivo Esta regla impide que el malware modifique los registros de extensiones de
archivos y se ejecute en modo silencioso.
Práctica recomendada: Desactive la regla al instalar aplicaciones válidas

que modifican los registros de extensiones de archivos en el Registro.
Esta regla es una alternativa más restrictiva que Hijacking .EXE y otras extensiones
ejecutables.
Cambio de directivas de Protege los valores de Registro que contienen información de seguridad de
derechos de usuario Windows.
Esta regla impide que los gusanos alteren cuentas que poseen derechos de
administrador.
Creación de nuevos Impide la creación de nuevos archivos ejecutables en la carpeta Archivos de

archivos ejecutables en la programa.
carpeta Archivos de Esta regla impide que el adware y el spyware creen nuevos archivos .EXE
programa y .DLL o que instalen nuevos archivos ejecutables en la carpeta Archivos de
programa.
Práctica recomendada: Instale las aplicaciones antes de activar esta regla

o añada los procesos bloqueados a la lista de exclusión.
Creación de nuevos Impide la creación de archivos desde cualquier proceso, no solo a través de la
archivos ejecutables en la red.
carpeta Windows Esta regla impide la creación de archivos .EXE y .DLL en la carpeta de
Windows.
Práctica recomendada: Agregue a la lista de exclusión los procesos que

deban colocar archivos en la carpeta de Windows.
Desactivación del Editor del Protege las entradas del Registro de Windows, con lo que evita la
Registro y del desactivación del Editor del Registro y el Administrador de tareas.
Administrador de tareas
En caso de un brote, desactive esta regla para poder cambiar el Registro o
abra el Administrador de tareas para detener los procesos activos.

3

McAfee
Ejecución de scripts de Impide que el host de scripts en Windows ejecute scripts VBScript y
Windows Script Host JavaScript en cualquier carpeta cuyo nombre contenga la palabra "temp".
(CScript.exe o Wscript.exe) Esta regla protege contra muchos troyanos y mecanismos de instalación web
de carpetas de usuario cuestionables, utilizados por aplicaciones de adware y spyware.
comunes
Esta regla podría bloquear la ejecución o instalación de scripts y aplicaciones
de terceros legítimas.
Hijacking .EXE u otras Protege, entre otras, las claves de Registro ejecutables .EXE y .BAT en
extensiones ejecutables HKEY_CLASSES_ROOT.
Esta regla impide que el malware modifique las claves de Registro y se
ejecute el virus junto con otro ejecutable.
La regla es una alternativa menos restrictiva a Cambio de cualesquiera registros de
extensiones de archivo.
Instalación de objetos Impide que el adware, el spyware y los troyanos que se instalan como
auxiliares del explorador o objetos auxiliares del explorador se instalen en el equipo host.
extensiones de shell Esta regla impide que el adware y el spyware se instalen en los sistemas.
Práctica recomendada: Agregue a la lista de exclusión las aplicaciones

personalizadas o de terceros que sean legítimas para permitirles que instalen
estos objetos. Tras la instalación, puede volver a activar la regla porque no
impide el funcionamiento de los objetos auxiliares del explorador.
Instalación de nuevos Impide la instalación o el registro de nuevos servidores COM.

CLSID, APPID y TYPELIB Esta regla protege contra los programas de adware y spyware que se instalan
como complementos COM en Internet Explorer o en aplicaciones de Microsoft
Office.
Procedimiento recomendado: Concesión de permiso a las aplicaciones

legítimas que registran complementos COM, incluidas algunas aplicaciones
comunes como Adobe Flash, agregándolas a la lista de exclusión.
Modificación de procesos Impide que se creen o ejecuten archivos con los nombres que más se
centrales de Windows falsifican.
Esta regla impide que los virus y troyanos se ejecuten con el nombre de un
proceso de Windows. Esta regla excluye archivos auténticos de Windows.
Modificación de Bloquea los procesos para que no modifiquen la configuración de Internet

configuraciones de Internet Explorer.
Explorer Esta página impide que los troyanos, el adware y el spyware de páginas de
inicio modifiquen la configuración del explorador, como la página de inicio o
los favoritos.
Modificar configuración de Impide que los procesos que no se encuentren en la lista de exclusión puedan
red modificar las opciones de red del sistema.
Esta regla captura el tráfico de red y lo envía a sitios de terceros para
proteger de los proveedores de servicios por niveles que transmiten datos,
como su comportamiento de navegación.
Práctica recomendada: Agregue los procesos que deben cambiar la

configuración de la red a la lista de exclusión o desactive la regla mientras se
realizan los cambios.

3

McAfee
Registro de programas para Bloquea adware, spyware, troyanos y virus cuando intentan registrarse para
su ejecución automática cargarse cada vez que se reinicia el sistema.
Esta regla impide que los procesos que no están en la lista de exclusión
registren procesos que se ejecutan cada vez que se reinicia el sistema.
Práctica recomendada: Agregue aplicaciones legítimas a la lista de

exclusión o instálelas antes de activar esta regla.
Acceso remoto a archivos o Impide el acceso de lectura y escritura al equipo desde equipos remotos.
carpetas locales Esta regla impide que se extienda un gusano entre los recursos compartidos.
En un entorno típico, esta regla es útil para estaciones de trabajo, pero no
para servidores, y solo cuando los equipos están activamente bajo ataque.
Si un equipo se gestiona insertando archivos en el mismo, esta regla impide
la instalación de actualizaciones o parches. Esta regla no afecta a las
funciones gestionadas de McAfee ePO.
Creación remota de Impide que otros equipos realicen una conexión y creen o modifiquen
archivos de ejecución archivos de ejecución automática (autorun.inf).
automática Los archivos de ejecución automática se utilizan para iniciar automáticamente
archivos de programa, generalmente archivos de configuración de CD.
Esta regla impide que se ejecuten el spyware y el adware distribuidos en CD.
Esta regla está configurada de manera predeterminada para Bloquear e Informar.
Creación o modificación Bloquea el acceso de escritura a todos los recursos compartidos.

remota de archivos o Esta regla resulta útil en un brote al prevenir el acceso de escritura y limitar
carpetas que se extienda la infección. La regla bloquea malware que de otro modo
limitaría seriamente el uso del equipo o la red.
En un entorno típico, esta regla es útil para estaciones de trabajo, pero no
para servidores, y solo cuando los equipos están activamente bajo ataque.
Si un equipo se gestiona insertando archivos en el mismo, esta regla impide
la instalación de actualizaciones o parches. Esta regla no afecta a las
funciones gestionadas de McAfee ePO.
Creación o modificación Impide que otros equipos realicen conexiones y modifiquen ejecutables, como
remota de archivos de tipo los archivos en la carpeta Windows. Esta regla afecta solo a los tipos de
portable ejecutable archivo normalmente infectados por los virus.
(PE), .INI, .PIF y ubicaciones Esta regla protege contra los gusanos o virus que se extienden rápidamente y
de núcleo del sistema atraviesan una red mediante los recursos compartidos abiertos o
administrativos.
Ejecución de archivos Bloquea el inicio de cualquier ejecutable desde cualquier carpeta cuyo nombre
desde las carpetas de contenga la palabra "temp".
usuario común Esta regla protege contra el malware que se guarda y ejecuta desde la
carpeta temp del usuario o del sistema. Este malware puede incluir datos
adjuntos ejecutables en correos electrónicos y programas descargados.
Aunque esta regla proporciona la mayor protección, podría bloquear la
instalación de aplicaciones legítimas.
Ejecución de archivos de Impide que las aplicaciones instalen software desde el navegador o el cliente
carpetas de usuario de correo electrónico.
comunes por parte de Esta regla impide que los ejecutables y los datos adjuntos de correos
programas comunes electrónicos se ejecuten en páginas web.
Procedimiento recomendado: Para instalar una aplicación que utilice la

carpeta Temp, agregue el proceso a la lista de exclusión.

3
Véase también
Configuración de reglas de Protección de acceso definidas por McAfee en la página 68
Configuración de las reglas de Protección de acceso definidas por el

usuario
Las reglas definidas por el usuario complementan la protección proporcionada por las reglas definidas
por McAfee. Puede agregar y quitar, así como activar, desactivar y cambiar la configuración de estas
reglas.
Antes de empezar
Procedimiento recomendado: Para obtener más información sobre la creación de reglas de

Protección de acceso para protegerse frente a ransomware, consulte PD25203.
Procedimiento

5 Cree la regla: en la sección Reglas, haga clic en Agregar.

En la página Agregar regla, configure las opciones.
a En la sección Ejecutables, haga clic en Agregar, configure las propiedades del ejecutable y haga clic
en Guardar.
Una tabla Ejecutables vacía indica que se aplica la regla a todos los ejecutables.
b En la sección Nombres de usuario, haga clic en Agregar y configure las propiedades del nombre de
usuario.
Una tabla Nombres de usuario vacía indica que se aplica la regla a todos los usuarios.
c En la sección Subreglas, haga clic en Agregar y configure las propiedades de la subregla.
Procedimiento recomendado: Para evitar que el rendimiento se vea afectado, no seleccione la

operación Leer.
En la sección Destinos, haga clic en Agregar, configure la información del destino y haga clic en
Guardar dos veces.
6 En la sección Reglas, seleccione Bloquear, Informar o ambas opciones en la regla pertinente.


3
Véase también
Cómo se evalúan los destinos de subreglas de Protección de acceso

Cada destino se agrega con una directiva Incluir o Excluir.
Al evaluar un evento de sistema comprobando una subregla, la subregla produce un valor de

evaluación verdadero si:
• Al menos una inclusión se evalúa como verdadero.
y
• Todas las exclusiones se evalúan como falso.
Excluir tiene prioridad sobre Incluir. Por ejemplo:

• Si una misma subregla incluye un archivo C:\marketing\jjaime y excluye el mismo archivo, la
subregla no se activa para dicho archivo.
• Si una subregla incluye todos los archivos, pero excluye el archivo C:\marketing\jjaime, la subregla
se activa si el archivo no es C:\marketing\jjaime.
• Si una subregla incluye el archivo C:\marketing\*, pero excluye el archivo C:\marketing\jjaime, la

subregla se activa para C:\marketing\cualquiera, pero no se activa para C:\marketing\jjaime.
Excluir procesos de Protección de acceso

Si un programa de confianza está bloqueado, excluya el proceso creando una exclusión basada en
directivas o basada en reglas.

3
Procedimiento

5 Compruebe que la opción Protección de acceso está activada.
6 Realice una de las siguientes acciones:
Para... Haga esto...

Excluir procesos de 1 En la sección Exclusiones, haga clic en Agregar para añadir procesos que
todas las reglas. excluir de todas las reglas.
2 En la página Agregar ejecutable, configure las propiedades del ejecutable.
3 Haga clic en Guardar y luego en Aplicar para guardar la configuración.
Especificar procesos 1 Editar una regla definida por el usuario existente o agregar una nueva
para inclusión o regla.
exclusión en una
regla definida por el 2 En la página Agregar regla o Editar regla, en la sección Ejecutables, haga clic en
usuario. Agregar para agregar un ejecutable que excluir o incluir.
3 En la página Agregar ejecutable, configure las propiedades del ejecutable, y
también si desea incluir o excluir el ejecutable.
4 Haga clic en Guardar dos veces y luego en Aplicar para guardar la
configuración.
Bloqueo de vulnerabilidades de desbordamiento del búfer

Prevención de vulnerabilidades impide que el desbordamiento del búfer ejecute código arbitrario. Esta
función supervisa las llamadas de modo usuario de API y reconoce cuándo son el resultado de un
desbordamiento del búfer.
Cuando se produce una detección, la información se incluye en el registro de actividades y se muestra
en el sistema cliente, y se envía al servidor de administración, si se ha configurado.
Prevención de amenazas utiliza el archivo de contenido de Prevención de exploit para proteger

aplicaciones como Microsoft Internet Explorer, Microsoft Outlook, Outlook Express, Microsoft Word y
MSN Messenger.
Host Intrusion Prevention 8.0 se puede instalar en el mismo sistema que Endpoint Security versión
10.5. Si McAfee Host IPS está activado, se desactiva Prevención de exploits aunque esté activada en la
configuración de la directiva.

3
Cómo se producen los exploits de desbordamiento del búfer

Los atacantes utilizan exploits de desbordamiento del búfer para ejecutar código ejecutable que
desborda el búfer de memoria de tamaño fijo reservado para un proceso de entrada. Este código
permite al atacante tomar el control del equipo de destino o poner en peligro sus datos.
Un gran porcentaje de los ataques de malware son ataques de desbordamiento del búfer que intentan
sobrescribir la memoria adyacente en el marco de pila.
Los dos tipos de vulnerabilidades de desbordamiento del búfer son:
• Los ataques basados en pila utilizan los objetos de la memoria de la pila para almacenar entradas
de usuario (más comunes).
• Los ataques basados en montón saturan el espacio de memoria reservado a un programa (raros).
El objeto de memoria en pila de tamaño fijo se encuentra vacío a la espera de que el usuario realice
una entrada. Cuando un programa recibe una entrada por parte del usuario, los datos se almacenan
en la parte superior de la pila y se les asigna una dirección de memoria de retorno. Cuando se procesa
la pila, la entrada del usuario se envía a la dirección de retorno especificada por el programa.
A continuación se describe un ataque por desbordamiento del búfer basado en pila:
1 Desbordar la pila.
Cuando se escribe el programa, se reserva una cantidad específica de espacio de memoria para los
datos. La pila se desborda si los datos escritos tienen un tamaño superior al espacio reservado para
ellos en la pila. Esta situación solo supone un problema si se combina con una entrada maliciosa.
2 Vulnerar el desbordamiento.
El programa espera por información del usuario. Si el atacante introduce un comando ejecutable
que excede el tamaño de la pila, dicho comando se almacenará fuera del espacio reservado.
3 Ejecutar el malware.
El comando no se ejecuta automáticamente cuando excede el espacio de búfer de la pila. En un
principio, el programa se bloquea debido al desbordamiento del búfer. Si el atacante proporcionó
una dirección de memoria de retorno que hace referencia al comando malicioso, el programa
intenta recuperarse utilizando la dirección de retorno. Si la dirección de retorno es válida, el
comando malicioso se ejecuta.
4 Vulnerar los permisos.

El malware se ejecuta ahora con los mismos permisos que la aplicación que ha sido puesta en
peligro. Debido a que los programas se ejecutan normalmente en modo kernel o con permisos
heredados de una cuenta de servicio, el código atacante puede ahora adquirir un control total del
sistema operativo.
Las firmas y cómo funcionan

Las firmas de Prevención de exploit son conjuntos de reglas que comparan el comportamiento con
ataques conocidos y llevan a cabo una acción cuando se detecta una coincidencia. McAfee proporciona
firmas en las actualizaciones de contenido de Prevención de exploit.
Las firmas protegen aplicaciones específicas, las cuales están definidas en la lista Reglas de protección
de aplicaciones. Cuando se detecta un ataque, Prevención de exploits puede detener el
comportamiento iniciado por dicho ataque.
Cuando se actualiza el archivo de contenido de Prevención de exploits, se actualiza la lista de firmas si

es necesario.

3
Puede cambiar la configuración relativa a las acciones de estas firmas, pero no puede agregar o
eliminar firmas, ni tampoco modificarlas. Para proteger determinados archivos, recursos compartidos,
claves o valores de Registro, procesos y servicios, cree reglas de Protección de acceso personalizadas.
Acciones
Una acción es aquello que lleva acabo Prevención de exploit cuando se activa una firma.
• Bloquear: impide la operación.
• Informar: permite la operación e informa del evento.
Si no se selecciona ninguna, la firma se desactiva; Prevención de exploit permite la operación y no

informa del evento.
El archivo de contenido de Prevención de exploit establece automáticamente la acción de las firmas

dependiendo del nivel de gravedad. Puede modificar la acción de una firma determinada en la sección
Firmas de la configuración de Prevención de exploit. Los cambios que realice en las acciones de las
firmas se conservarán tras las actualizaciones del contenido.
Reglas de comportamiento
Las reglas de comportamiento bloquean los ataques de tipo zero-day e implementan el
comportamiento apropiado del sistema operativo y las aplicaciones. Las reglas de comportamiento
heurísticas definen un perfil de actividad legítima. La actividad que no coincide con estas reglas se
considera sospechosa y desencadena una respuesta. Por ejemplo, una regla de comportamiento puede
establecer que solo un proceso de servidor web puede acceder a los archivos HTML. Si cualquier otro
proceso intenta acceder a los archivos HTML, Prevención de exploits realiza la acción especificada.
Este tipo de protección, denominada "blindaje y envoltura de aplicaciones", impide que se pongan en
peligro las aplicaciones y los datos de estas, así como que se utilicen las aplicaciones para atacar otras
aplicaciones.
Las reglas de comportamiento también bloquean los exploits de desbordamiento del búfer y evitan la
ejecución de código derivada de un ataque de desbordamiento del búfer, uno de los métodos de
ataque más habituales.
Niveles de gravedad
Cada firma tiene un nivel de gravedad predeterminado, que describe el peligro potencial de un ataque.
• Alto: firmas que protegen frente a amenazas de seguridad o acciones maliciosas identificables. La
mayoría de estas firmas son específicas para exploits bien identificados y, por lo general, no tienen
que ver con el comportamiento.
Para impedir que los sistemas queden expuestos a ataques de exploits, configure las firmas cuyo
nivel de gravedad sea Alto en Bloquear en todos los hosts.
• Media: firmas relacionadas con el comportamiento y que evitan que las aplicaciones actúen fuera de
su entorno (adecuado para clientes que protegen servidores web y Microsoft SQL Server 2000).
Procedimiento recomendado: En los servidores críticos, configure las firmas cuyo nivel de
gravedad sea Medio en Bloquear tras afinar su ajuste.
• Baja: firmas relacionadas con el comportamiento y que blindan las aplicaciones. El blindaje consiste
en bloquear los recursos de las aplicaciones y del sistema para que no se puedan modificar.
Configurar las firmas cuyo nivel de gravedad sea Bajo en Bloquear incrementa la seguridad el
sistema, pero requiere ajustes adicionales.

3
• Informativa: indica un cambio de la configuración del sistema que puede crear un riesgo benigno para
la seguridad o bien un intento de acceder a información del sistema de carácter confidencial. Los
eventos de este nivel se producen durante la actividad normal del sistema y, por lo general, no
constituyen un indicio de ataque.
• Desactivado: indica las firmas que están desactivadas en el archivo de contenido de Prevención de
exploits.
No puede activar firmas cuya gravedad sea Desactivado.
Las reglas de protección de aplicaciones y su funcionamiento

Las Reglas de protección de aplicaciones definen los ejecutables que se supervisan en busca de firmas
de Prevención de exploits. Si un ejecutable no está incluido en esta lista, no se supervisa.
Las firmas de Prevención de exploits pertenecen a dos clases:
• Las firmas Desbordamiento del búfer ofrecen protección de la memoria mediante la supervisión
del espacio de memoria que utilizan los procesos.
• Las firmas API supervisan las llamadas de la API entre los procesos que se ejecutan en el modo
de usuario y el kernel.
El contenido de Prevención de exploits proporcionado por McAfee incluye una lista de aplicaciones que
están protegidas. Prevención de amenazas muestras estas aplicaciones en la sección Reglas de
protección de aplicaciones de la configuración de Prevención de exploits.
Para mantener la protección al día, las actualizaciones del contenido de Prevención de exploits
reemplazan las reglas de protección de aplicaciones definidas por McAfee en la configuración de
Prevención de exploits con las reglas de protección de aplicaciones más recientes.
Puede activar, desactivar, eliminar y cambiar el estado de inclusión de las reglas de protección de
aplicaciones definidas por McAfee. Además, puede crear y duplicar sus propias reglas de protección de
aplicaciones. Los cambios que realice en estas reglas se conservarán tras las actualizaciones del
contenido.
Si la lista incluye reglas de protección de aplicaciones contradictorias, las reglas cuyo Estado de
inclusión sea Excluir tienen prioridad sobre las configuradas con Incluir.
Cliente de Endpoint Security muestra la lista completa de aplicaciones protegidas, no solo aquellas
aplicaciones que se estén ejecutando actualmente en el sistema cliente. Este comportamiento es
distinto del de McAfee Host IPS.
En los sistemas gestionados, las reglas de protección de aplicaciones creadas en el Cliente de Endpoint
Security no se envían a McAfee ePO, y se pueden sobrescribir cuando el administrador despliega una
directiva actualizada.
Configuración de las opciones de Prevención de exploits

Para impedir que las aplicaciones ejecuten código arbitrario en el sistema cliente, configure las
exclusiones, las firmas definidas por McAfee y las reglas de protección de aplicaciones de Prevención
de exploits.
Antes de empezar

3
Puede configurar la acción de las firmas definidas por McAfee. Puede activar, desactivar, eliminar y
cambiar el estado de inclusión de las reglas de protección de aplicaciones definidas por McAfee.
También puede crear y duplicar sus propias reglas de protección de aplicaciones. Los cambios que
realice en estas reglas se conservarán tras las actualizaciones del contenido.
Para acceder a la lista de procesos protegidos por Prevención de exploits, consulte KB58007.
Procedimiento

4 Haga clic en Prevención de exploits.
5 Configure los parámetros en la página y, a continuación, haga clic en Aplicar para guardar los
cambios o en Cancelar.
Véase también
Exclusión de procesos de Prevención de exploits

Si un programa de confianza está bloqueado, cree una exclusión para excluirlo de Prevención de
exploits. Puede excluir el proceso por el nombre del proceso, el módulo autor de la llamada, la API o el
ID de firma. También puede crear reglas de protección de aplicaciones para incluir o excluir procesos
en la protección.
Procedimiento

4 Haga clic en Prevención de exploits.
5 Verifique que Prevención de exploits está activada.
6 Realice una de las siguientes acciones:

3
Para... Haga esto...

Excluir procesos de 1 En la sección Exclusiones, haga clic en Agregar.
todas las reglas.
2 En la página Agregar exclusión, configure las propiedades de la exclusión.
Especificar procesos 1 Editar una regla definida por el usuario existente o agregar una regla
para inclusión o de protección de aplicaciones.
exclusión en una regla
de protección de 2 En la página Agregar regla o Editar regla, en la sección Ejecutables, haga clic
aplicaciones definida en Agregar para agregar ejecutables que excluir o incluir.
por el usuario.
4 Haga clic en Guardar dos veces y luego en Aplicar para guardar la

configuración.
Exclusiones de Prevención de exploits y cómo funcionan

Un falso positivo se produce cuando un comportamiento que es una parte normal de la rutina de
trabajo de un usuario se interpreta como un ataque. Para evitar los falsos positivos, cree una
exclusión para dicho comportamiento.
Las exclusiones permiten reducir alertas de falsos positivos, minimizan el flujo de datos innecesarios y
garantizan que las alertas sean amenazas de seguridad reales.
Por ejemplo, al realizar pruebas de los clientes, un cliente reconoce la firma "Java - Creation of
suspicious files in Temp folder". La firma indica que la aplicación Java está intentando crear un archivo
en la carpeta Temp de Windows. Un evento activado por esta firma es motivo de alarma, puesto que
se podría utilizar una aplicación Java para descargar malware en la carpeta Temp de Windows. En este
ejemplo, podría tener sospechas razonables de que se ha instalado un troyano. No obstante, si el
proceso crea normalmente archivos en la carpeta Temp, por ejemplo, guardar un archivo con la
aplicación Java, cree una exclusión que permita esta acción.
Cuando se produce un evento de infracción de Prevención de exploits, el evento incluye un proceso

asociado y un módulo autor de llamada, una API o una firma posibles. Si cree que el evento de
infracción es un falso positivo, puede agregar una exclusión que permita uno o varios de estos
identificadores.
En los sistemas gestionados, las exclusiones de Prevención de exploits creadas en el Cliente de

Endpoint Security no se envían a McAfee ePO, y se pueden sobrescribir cuando el administrador
despliega una directiva actualizada. Configurar exclusiones globales en la directiva Prevención de
exploits en McAfee ePO.
Al especificar exclusiones, tenga en cuenta lo siguiente:
• Cada exclusión es independiente: si hay varias exclusiones, estas se conectan mediante un

conector lógico OR de manera que, si una exclusión coincide, el evento de infracción no se produce.
• Debe especificar al menos un Proceso, un Módulo autor de llamada, una API o una Firma.
• Las exclusiones con Módulo autor de llamada o API no se aplican a DEP.
• Para exclusiones relacionadas con un Proceso, debe especificar al menos un identificador: Nombre
de archivo o ruta, Hash MD5 o Firmante.
• Si especifica más de un identificador, se aplicarán todos los identificadores.
• Si especifica más de un identificador y no coinciden (por ejemplo, el nombre de archivo y el hash

MD5 no se aplican al mismo archivo), la exclusión no es válida.

3
• Las exclusiones no distinguen mayúsculas de minúsculas.
• Se aceptan caracteres comodín para todo excepto para hash MD5.
• Si incluye ID de firma en una exclusión, esta solo se aplica al proceso de las firmas especificadas.
Si no se especifica ningún ID de firma, la exclusión se aplica al proceso en todas las firmas.
Detección de programas potencialmente no deseados

Para proteger el equipo gestionado contra programas potencialmente no deseados, especifique
archivos y programas que detectar en el entorno y luego active la detección.
Los programas potencialmente no deseados son programas de software que molestan o que pueden
alterar el estado de seguridad o la política de privacidad del sistema. Los programas potencialmente
no deseados pueden ir incrustados en programas que los usuarios descargan intencionalmente. Los
programas no deseados pueden incluir spyware, adware y marcadores.
1 Especifique programas no deseados personalizados para que los analizadores en tiempo real y bajo
demanda los detecten en la configuración de la Opciones.
2 Active la detección de programas no deseados y especifique acciones que emprender cuando se

producen detecciones en estas configuraciones:
• Configuración de Análisis en tiempo real
• Configuración de Análisis bajo demanda
Véase también
Especificar programas potencialmente no deseados a detectar en la página 80
Activar y configurar la detección de programas potencialmente no deseados y respuestas en la
página 81
Configure Análisis en tiempo real en la página 83
Especificar programas potencialmente no deseados a detectar

Especifique programas adicionales para que los analizadores en tiempo real y bajo demanda los traten
como programas no deseados en la configuración de Opciones.
Antes de empezar
Los analizadores detectan tanto los programas que especifique como los especificados en los archivos
de AMCore content.
Procedimiento


3
4 Haga clic en Opciones.
5 Desde Detecciones de programas potencialmente no deseados:

• Haga clic en Agregar para especificar el nombre y la descripción opcional de un archivo o
programa que tratar como programa potencialmente no deseado.
La Descripción aparece como nombre de detección cuando se produce una detección.
• Haga doble clic en el nombre o descripción de un programa potencialmente no deseado ya

existente para modificarlo.
• Seleccione un programa potencialmente no deseado existente y, a continuación, haga clic en

Eliminar para quitarlo de la lista.
Véase también
Activar y configurar la detección de programas potencialmente no

deseados y respuestas
Active que los analizadores en tiempo real o bajo demanda detecten programas potencialmente no
deseados, y especifique respuestas cuando se encuentre alguno.
Antes de empezar
Procedimiento
1 Configure la Análisis en tiempo real.

a Abra Cliente de Endpoint Security.
b Haga clic en Prevención de amenazas en la página principal Estado.

c Haga clic en Mostrar avanzado.
d Haga clic en Análisis en tiempo real.
e En Configuración de procesos, para cada tipo de Análisis en tiempo real, seleccione Detectar programas no
deseados.
f En Acciones, configure respuestas a los programas no deseados.
2 Configure la Análisis bajo demanda.

a Abra Cliente de Endpoint Security.
b Haga clic en Prevención de amenazas en la página principal Estado.

c Haga clic en Mostrar avanzado.

3
d Haga clic en Análisis bajo demanda.
e Para cada tipo de análisis (análisis completo, análisis rápido y análisis con el botón derecho):
• Seleccione Detectar programas no deseados.
• En Acciones, configure respuestas a los programas no deseados.
Véase también
Configurar parámetros de análisis de ajustes generales

Para especificar parámetros que se apliquen a los análisis en tiempo real y bajo demanda, configure
los parámetros de la Opciones de Prevención de amenazas.
Antes de empezar
Esta configuración se aplicará a todos los análisis:
• Ubicación de la cuarentena y el número de días que se guardan los elementos en cuarentena antes
de eliminarlos automáticamente
• Nombres de detecciones que excluir de los análisis
• Programas potencialmente no deseados que detectar, como spyware y adware
• Comentarios de telemetría basados en McAfee GTI
Procedimiento
2 Haga clic en Prevención de amenazas en la página Estado principal.
O, en el menú Acción , seleccione Configuración y, a continuación, haga clic en Prevención de amenazas

3 Haga clic en Mostrar configuración avanzada.
Véase también

3
Cómo funciona McAfee GTI

Si activa McAfee GTI para el analizador en tiempo real o bajo demanda, el analizador utiliza heurística
para buscar archivos sospechosos.
El analizador envía huellas digitales de muestras, o hashes, a un servidor de base de datos central
alojado por McAfee Labs a fin de determinar si son malware. Al enviar hashes, es posible que la
detección esté disponible antes que la próxima actualización de archivos de contenido, cuando McAfee
Labs publique la actualización.
Puede configurar el nivel de sensibilidad que utiliza McAfee GTI cuando determina si una muestra
detectada es malware. Cuanto mayor sea el nivel de sensibilidad, mayor será el número de
detecciones de malware. Sin embargo, al permitirse más detecciones también puede que se obtengan
más resultados de falsos positivos. El nivel de sensibilidad de McAfee GTI se encuentra establecido en
Media de manera predeterminada. Defina el nivel de sensibilidad de cada analizador en la
configuración de Análisis en tiempo real y Análisis bajo demanda.
Puede configurar Endpoint Security para utilizar un servidor proxy con el fin de recuperar información
de reputación de McAfee GTI en la configuración de Ajustes generales.
Para ver preguntas frecuentes acerca de McAfee GTI, consulte KB53735.
Configure Análisis en tiempo real

Estos parámetros activan y configuran el análisis en tiempo real, que incluye la especificación de
mensajes que enviar al detectarse una amenaza y opciones distintas según el tipo de proceso.
Antes de empezar
Consulte la ayuda sobre la configuración de Opciones de Prevención de amenazas para disponer de más
opciones de configuración de análisis.
Procedimiento

4 Haga clic en Análisis en tiempo real.
5 Seleccione Activar análisis en tiempo real para activar el analizador en tiempo real y modificar opciones.
6 Especifique si se utilizará la configuración Estándar para todos los procesos, o parámetros distintos
para procesos de riesgo alto o bajo.
• Configuración estándar: configure los parámetros de análisis en la ficha Estándar.
• Opciones distintas según el tipo de proceso: seleccione la ficha (Estándar, Riesgo alto o Riesgo
bajo) y configure los parámetros de análisis para cada tipo de proceso.

3
Véase también
Configurar parámetros de análisis de ajustes generales en la página 82
Elección del momento en que analizar archivos con el analizador en tiempo

real
Puede especificar cuándo debe examinar archivos el analizador en tiempo real: al escribir en el disco,
al leer el disco o cuando lo decida McAfee.
Al escribir en el disco ("análisis de escritura")
La opción de análisis de escritura no impide el acceso a los archivos, ni antes ni después del análisis, de
modo que puede provocar que su sistema sea vulnerable a los ataques.
Cuando se selecciona el análisis de escritura, el analizador examina el archivo solo después de que se
haya escrito en el disco y cerrado. Un proceso puede llevar a cabo una operación de lectura, apertura
o ejecución en el archivo antes de que el analizador realice un análisis de escritura, lo que podría
acarrear una infección. Las aplicaciones también podrían encontrarse con errores de tipo
SHARING_VIOLATION si acceden al archivo tras escribirlo mientras se está realizando un análisis de
escritura.
El analizador en tiempo real examina los archivos cuando:
• Se crean o modifican en la unidad de disco duro local.
• Se copian o mueven desde una unidad asignada a la unidad de disco duro local (si también está
activada la opción En unidades de red).
• Se copian o mueven desde la unidad de disco duro local a una unidad asignada (si también está
activada la opción En unidades de red).
Al leer el disco ("análisis de lectura")
Procedimiento recomendado: Active la opción de análisis de escritura para proporcionar seguridad

contra brotes.
Cuando se selecciona el análisis de lectura, el analizador impide el acceso a los archivos a menos que
se determine que están limpios.
El analizador en tiempo real examina los archivos cuando:
• Se leen, abren o ejecutan desde la unidad de disco duro local.
• Se leen, abren o ejecuta desde unidades de red asignadas (si también está activada la opción En
unidades de red).
Dejar que McAfee decida
Procedimiento recomendado: Active esta opción para obtener la mejor protección y el mejor
rendimiento.
Cuando se selecciona esta opción, el analizador en tiempo real emplea la lógica de confianza para
optimizar el análisis. La lógica de confianza mejora la seguridad y aumenta el rendimiento mediante la
elusión de análisis, lo que evita análisis innecesarios. Por ejemplo, McAfee analiza algunos programas
y considera que son de confianza. Si McAfee verifica que no se han manipulado estos programas, el
analizador podría llevar a cabo un análisis reducido u optimizado.

3
Cómo funcionan los análisis en tiempo real

El analizador en tiempo real se integra con el sistema en los niveles inferiores (Archivo-Controlador de
filtro del sistema) y analiza los archivos en la ubicación por donde entran al sistema por primera vez.
Cuando se producen detecciones, el analizador en tiempo real envía notificaciones a la interfaz del
servicio.
Si configura McAfee GTI, el analizador utiliza heurística para buscar archivos sospechosos.
Windows 8 y 10: si el analizador detecta una amenaza en la ruta de una aplicación de la Tienda
Windows instalada, la marca como manipulada. Windows agrega la marca de manipulación al icono de
la aplicación. Cuando intenta ejecutarla, Windows notifica el problema y remite a la Tienda Windows
para una reinstalación.
El analizador utiliza estos criterios para determinar si se debe analizar un elemento:
• La extensión del archivo coincide con la configuración.
• La información del archivo no está en la caché de análisis global.
• El archivo no se ha excluido, ni tampoco analizado previamente.
Análisis de lectura
Cuando se selecciona el análisis de lectura y se intenta leer, abrir o ejecutar un archivo:
1 El analizador bloquea la solicitud.
2 El analizador determina si el elemento se debe analizar o no.

• Si no es necesario analizar el archivo, el analizador lo desbloquea, almacena en caché su
información y autoriza la operación.
• Si es necesario analizar el archivo, el motor de análisis lo analiza, comparándolo con las firmas
presentes en el archivo de contenido de AMCore cargado actualmente.
• Si el archivo está limpio, el analizador lo desbloquea y almacena en caché el resultado.
• Si el archivo contiene una amenaza, el analizador deniega el acceso a él y realiza la acción

configurada.
Por ejemplo, si la acción es limpiar el archivo, el analizador:
1 Utiliza la información en el archivo de AMCore Content cargado en ese momento para

limpiar el archivo.
2 Registra los resultados en el registro de actividades.
3 Notifica al usuario que ha detectado una amenaza en el archivo y solicita la acción que se
debe realizar (limpiar o eliminar el archivo).
Análisis de escritura
El analizador examina el archivo solo después de que se haya escrito en el disco y cerrado.

3
Cuando se selecciona el análisis de escritura y se escribe un archivo en el disco:
1 El analizador determina si el elemento se debe analizar o no.

a Si no es necesario analizar el archivo, el analizador almacena en caché su información y
autoriza la operación.
b Si es necesario analizar el archivo, el motor de análisis lo analiza, comparándolo con las firmas
presentes en el archivo de contenido de AMCore cargado actualmente.
• Si el archivo está limpio, el analizador almacena en caché el resultado.
• Si el archivo contiene una amenaza, el analizador realiza la acción configurada.

El analizador no deniega el acceso al archivo.
¿Cuándo se vacía la caché de análisis global?

La lista de detecciones del análisis en tiempo real se borra cuando se reinicia el servicio de Endpoint
Security o el sistema.

3
Prevención de amenazas vacía la caché de análisis global y vuelve a analizar todos los archivos
cuando:
• La configuración de Análisis en tiempo real cambia.
• Se agrega un archivo Extra.DAT.
• El sistema se reinicia en modo seguro.
Si el proceso está firmado por un certificado de confianza, el certificado firmante se almacena en

caché y se conserva allí tras el reinicio del sistema. Es menos probable que el analizador analice
archivos a los que accedan procesos que estén firmados por un certificado de confianza almacenado
en caché, lo que permite evitar el análisis y mejorar el rendimiento.
Procedimientos recomendados: Reducción del impacto de los análisis en

tiempo real en los usuarios
Para minimizar el impacto que tienen los análisis en tiempo real sobre un sistema, seleccione opciones
que eviten que el rendimiento del sistema se vea afectado y analice solo aquello que necesite.
Elección de las opciones de rendimiento

Algunas opciones de análisis pueden afectar negativamente al rendimiento del sistema. Por este
motivo, seleccione estas opciones únicamente si necesita analizar determinados elementos. Seleccione
o anule la selección de estas opciones en la configuración del Análisis en tiempo real.
• Analizar los procesos al iniciar servicios y actualizar contenido: vuelve a analizar todos los procesos que se
encuentren actualmente en la memoria cada vez que:
• Se vuelven a activar los análisis en tiempo real.
• Los archivos de contenido se actualizan.
• El sistema se inicia.
• Se inicia el proceso McShield.exe.
Dado que algunos programas o ejecutables se inician automáticamente al iniciar el sistema, anule
la selección de esta opción para reducir el tiempo de inicio del sistema.
• Analizar instaladores de confianza analiza los archivos MSI (instalados por msiexec.exe y firmados por
McAfee o Microsoft) o los archivos del servicio Instalador de confianza de Windows.
Anule la selección de esta opción para mejorar el rendimiento de los instaladores de aplicaciones de
Microsoft de gran tamaño.
Analice únicamente aquello que necesite

El análisis de ciertos tipos de archivos puede afectar negativamente al rendimiento del sistema. Por
este motivo, seleccione estas opciones solo si necesita analizar tipos específicos de archivos.
Seleccione o anule la selección de estas opciones en la sección Qué analizar de la configuración de
Análisis en tiempo real.

3
• En unidades de red: analiza los recursos de las unidades de red asignadas.

Anule la selección de esta opción para mejorar el rendimiento.
• Abierto para copia de seguridad: Analiza los archivos al acceder mediante el software de copia de
seguridad.
En la mayoría de los entornos no es necesario seleccionar esta configuración.
• Archivos de almacenamiento comprimidos: Examina el contenido de archivos de almacenamiento

(comprimidos), incluidos los archivos .jar.
Aunque un archivo de almacenamiento contenga archivos infectados, estos no pueden infectar el
sistema hasta que se extraiga el archivo de almacenamiento. Una vez que se haya extraído el
archivo de almacenamiento, el análisis en tiempo real examina los archivos y detecta cualquier
malware.
Acerca de ScriptScan
ScriptScan es un objeto auxiliar de explorador que examina código de JavaScript y VBScript en busca
de scripts maliciosos antes de que se ejecuten. Si el script está limpio, lo pasa a JavaScript o VBScript
para su procesamiento. Si ScriptScan detecta un script malicioso, lo bloquea para que no se ejecute.
ScriptScan solo examina scripts de Internet Explorer. No examina scripts de todo el sistema ni scripts
ejecutados por wscript.exe o cscript.exe.
Con Prevención de amenazas instalada, la primera vez que se inicia Internet Explorer se ofrece la
posibilidad de activar uno o más complementos de McAfee. Para que ScriptScan analice scripts:
• Debe estar seleccionada la opción Activar ScriptScan. ScriptScan está desactivado de manera
predeterminada.
• El complemento debe estar activado en el navegador.
Si ScriptScan está desactivado al iniciar Internet Explorer y, a continuación, se activa, no detectará

scripts maliciosos en esa instancia de Internet Explorer. Deberá reiniciar Internet Explorer tras activar
ScriptScan para que pueda detectar scripts maliciosos.

3
• Si el script está limpio, el analizador de scripts lo pasa al Windows Script Host nativo.
• Si el script contiene una posible amenaza, el analizador de scripts impide que se ejecute.
Procedimientos recomendados: Exclusiones de ScriptScan

Los sitios web y las aplicaciones basadas en web que utilizan muchos scripts podrían experimentar un
rendimiento deficiente cuando ScriptScan está activado. En lugar de desactivar ScriptScan, le
recomendamos especificar exclusiones de URL para los sitios web de confianza, tales como los de una
intranet, o las aplicaciones web que se sabe que son seguras.
Puede especificar subcadenas o URL parciales para las exclusiones de ScriptScan. Si una cadena de
exclusión coincide con cualquier parte de la URL, entonces se excluye la URL.
Al crear exclusiones de URL:
• No se admiten caracteres comodín.
• Unas URL más completas tienen un mejor rendimiento.
• No incluya números de puerto.
• Utilice solo nombres de dominio completos (FQDN, por sus siglas en inglés) y nombres de NetBIOS.
Cómo determinar la configuración de análisis para procesos

Siga este procedimiento para determinar si debe configurar opciones distintas basadas en un tipo de
proceso.

3
Configurar Análisis bajo demanda

Estos parámetros configuran el comportamiento de tres análisis bajo demanda predefinidos: Análisis
completo, Análisis rápido y Análisis con el botón derecho.
Antes de empezar
Consulte la ayuda sobre la configuración de Opciones de Prevención de amenazas para disponer de más
opciones de configuración de análisis.

3
Procedimiento
2 Haga clic en Prevención de amenazas en la página Estado principal.
O, en el menú Acción , seleccione Configuración y, a continuación, haga clic en Prevención de amenazas

4 Haga clic en Análisis bajo demanda.
5 Haga clic en una ficha para configurar ajustes para el análisis especificado.
• Análisis rápido
• Análisis con el botón derecho del ratón
Véase también
Cómo funciona el análisis bajo demanda

El analizador bajo demanda explora los archivos, las carpetas, la memoria, el registro y otros
elementos en busca de malware que pueda haber infectado el equipo.
Usted decide cuándo y con qué frecuencia se realizan los análisis bajo demanda. Puede analizar
sistemas manualmente, a una hora programada o cuando el sistema arranca.
1 El analizador bajo demanda usa los criterios siguientes para determinar si el elemento se debe
analizar:
• La extensión del archivo coincide con la configuración.
• El archivo no se ha guardado en caché, excluido o analizado anteriormente (si el analizador

utiliza la caché de análisis).
Si configura McAfee GTI, el analizador utiliza heurística para buscar archivos sospechosos.
2 Si el archivo cumple los criterios de análisis, el analizador compara su información con las firmas de
malware conocido que se encuentran en ese momento en los archivos de AMCore content.
• Si el archivo está limpio, el resultado se almacena en la caché y el analizador comprueba el
siguiente elemento.
• Si el archivo contiene una amenaza, el analizador lleva a cabo la acción configurada.

3
Por ejemplo, si la acción es limpiar el archivo, el analizador:
1 Utiliza la información en el archivo de AMCore content cargado en ese momento para limpiar
el archivo.
2 Registra los resultados en el registro de actividades.
3 Notifica al usuario que ha detectado una amenaza en el archivo, e incluye el nombre del
elemento y la acción que se ha realizado.
Windows 8 y 10: si el analizador detecta una amenaza en la ruta de una aplicación de la

Tienda Windows instalada, la marca como manipulada. Windows agrega la marca de
manipulación al icono de la aplicación. Cuando intenta ejecutarla, Windows notifica el problema
y remite a la Tienda Windows para una reinstalación.
3 Si el elemento no cumple los requisitos del análisis, el analizador no lo comprueba. En su lugar, el

analizador continúa hasta que se han analizado todos los datos.
demanda.
Prevención de amenazas vacía la caché de análisis global y vuelve a analizar todos los archivos cuando
se carga un Extra.DAT.

3
Procedimientos recomendados: Reducción del impacto de los análisis bajo

demanda en los usuarios
Para minimizar el impacto que tienen los análisis bajo demanda sobre un sistema, seleccione opciones
que eviten que el rendimiento del sistema se vea afectado y analice solo aquello que necesite.
Analizar solo cuando el sistema está inactivo

La forma más fácil de asegurarse de que el análisis no tenga un impacto sobre los usuarios es ejecutar
el análisis bajo demanda solo cuando el equipo esté inactivo.
Cuando se activa esta opción, Prevención de amenazas pausa el análisis cuando detecta actividad del
disco o del usuario (por ejemplo, acceso mediante el teclado o el ratón). Prevención de amenazas
reanuda el análisis si el usuario no accede al sistema durante tres minutos.
Como opción, puede:
• Permitir a los usuarios reanudar análisis que se hayan puesto en pausa debido a actividad del
usuario.
• Volver a configurar el análisis para que se ejecute solo cuando el sistema esté inactivo.
Desactive esta opción solo en los sistemas servidor y en los sistemas a los que los usuarios acceden
mediante una conexión de Escritorio remoto (RDP). Prevención de amenazas depende de McTray para
determinar si el sistema está inactivo. En sistemas a los que solo se accede mediante el escritorio
remoto, McTray no se inicia y el analizador bajo demanda no se ejecuta nunca. Para evitar este
problema, los usuarios pueden iniciar McTray (de manera predeterminada en C:\Archivos de programa
\McAfee\Agent\mctray.exe) manualmente cuando inicien sesión en el escritorio remoto.
Seleccione Analizar solo cuando el sistema está inactivo en la sección Rendimiento de la ficha Configuración de
la Tarea de análisis.
Pausar análisis automáticamente

Para mejorar el rendimiento, puede pausar análisis bajo demanda cuando el sistema se alimente de la
batería. También puede pausar el análisis cuando se está ejecutando en modo de pantalla completa
una aplicación (por ejemplo, un navegador, un reproductor multimedia o una presentación). El análisis
se reanuda inmediatamente cuando el sistema se conecta a una fuente de energía o ya no se está
ejecutando en modo de pantalla completa.
• No analizar si el sistema funciona mediante la batería
• No analizar si el sistema está en modo de presentación (disponible cuando se ha activado Analizar en cualquier
momento)
Seleccione estas opciones en la sección Rendimiento de la ficha Configuración de la Tarea de análisis.
Permitir que los usuarios aplacen los análisis

Si selecciona Analizar en cualquier momento, puede permitir a los usuarios que aplacen los análisis
planificados en incrementos de una hora, hasta 24 horas, o para siempre. El aplazamiento de cada
usuario puede durar una hora. Por ejemplo, si la opción Aplazar como máximo se ha establecido en 2, el
usuario puede aplazar el análisis dos veces (dos horas). Cuando se supera el número de horas
máximo especificado, el análisis continúa. Si permite aplazamientos ilimitados ajustando la opción a 0,
el usuario puede seguir aplazando el análisis para siempre.
Seleccione Los usuarios pueden aplazar el análisis en la sección Rendimiento de la ficha Configuración de la
Tarea de análisis.

3
Limitar la actividad de análisis con análisis incrementales

Utilice análisis incrementales, o reanudables, para limitar cuándo se produce la actividad del análisis
bajo demanda pero analizar igualmente todo el sistema en varias sesiones. Para usar el análisis
incremental, agregue un límite temporal al análisis planificado. El análisis se detiene cuando se
alcanza el límite de tiempo. La siguiente vez que se inicie esta tarea, continuará a partir del punto de
la estructura de archivos y carpetas en el que se haya detenido el análisis anterior.
Seleccione Detener la tarea si se ejecuta durante más de en la sección Opciones de la ficha Planificación de la
Tarea de análisis.
Configuración de la utilización del sistema

La utilización del sistema especifica la cantidad de tiempo de CPU que el analizador recibe durante el
análisis. En los sistemas con actividad por parte del usuario final, establezca el valor de utilización del
sistema en Baja.
Seleccione Utilización del sistema en la sección Rendimiento de la ficha Configuración de la Tarea de

análisis.
Analice únicamente aquello que necesite

El análisis de ciertos tipos de archivos puede afectar negativamente al rendimiento del sistema. Por
este motivo, seleccione estas opciones solo si necesita analizar tipos específicos de archivos.
Seleccione o anule la selección de estas opciones en la sección Qué analizar de la ficha Configuración
de la Tarea de análisis.
• Archivos que se han migrado al almacenamiento

Algunas soluciones de almacenamiento de datos sin conexión sustituyen los archivos con un
archivo stub. Cuando el analizador se encuentra con un archivo stub, que indica que se ha migrado
el archivo, el analizador restaura el archivo al sistema local antes de proceder con el análisis. El
proceso de restauración puede afectar negativamente al rendimiento del sistema.
Anule la selección de esta opción a menos que necesite específicamente analizar los archivos del
almacenamiento.
• Archivos de almacenamiento comprimidos

Aunque un archivo de almacenamiento contenga archivos infectados, estos no pueden infectar el
sistema hasta que se extraiga el archivo de almacenamiento. Una vez que se haya extraído el
archivo de almacenamiento, el análisis en tiempo real examina los archivos y detecta cualquier
malware.
Procedimiento recomendado: Dado que el análisis de archivos de almacenamiento comprimidos

puede afectar negativamente al rendimiento del sistema, anule la selección de esta opción para
mejorar dicho rendimiento.
Véase también
Funcionamiento de la utilización del sistema

El analizador bajo demanda utiliza la configuración de Windows Set Priority para el proceso de análisis
y la prioridad de los subprocesos. El parámetro de utilización del sistema (regulación) permite al

3
sistema operativo especificar la cantidad de tiempo de CPU que el analizador bajo demanda recibe
durante el proceso de análisis.
Si el valor para la utilización del sistema se establece en Bajo, se mejora el rendimiento del resto de
aplicaciones que están en ejecución. El valor bajo resulta útil en sistemas con actividad del usuario
final. Por el contrario, si se establece el valor de utilización del sistema en Normal, el análisis finaliza
más rápido. La configuración normal es útil en sistemas que tienen grandes volúmenes y poca
actividad del usuario final.
Cada tarea se ejecuta independientemente, sin tener en cuenta los límites de otras tareas.
Tabla 3-2 Configuración de procesos predeterminada

Configuración de Esta opción... parámetro
procesos de Prevención Windows Set
de amenazas Priority
Bajo Proporciona un rendimiento mejorado del resto Bajo
de las aplicaciones en ejecución. Seleccione
esta opción para sistemas con actividad del
usuario final.
Por debajo de lo normal Establece la utilización del sistema para el Por debajo de lo
análisis en el valor predeterminado de McAfee normal
ePO.
Normal (predeterminado) Permite que el análisis finalice más rápido. Normal
Seleccione esta opción para sistemas que tienen
grandes volúmenes y poca actividad del usuario
final.
Cómo funciona el análisis de Almacenamiento remoto

Puede configurar el analizador bajo demanda para que analice el contenido de los archivos
gestionados por Almacenamiento remoto.
El Almacenamiento remoto supervisa la cantidad de espacio disponible en el sistema local. Cuando
resulta necesario, Almacenamiento remoto migra automáticamente el contenido (datos) de archivos
pertinentes del sistema cliente a un dispositivo de almacenamiento, como una biblioteca en cinta.
Cuando un usuario abre un archivo cuyos datos se han migrado, Almacenamiento remoto recupera
automáticamente los datos del dispositivo de almacenamiento.
Seleccione los Archivos que se han migrado a la opción de almacenamiento para configurar el analizador bajo
demanda de modo que analice los archivos gestionados por Almacenamiento remoto. Cuando el
analizador encuentra un archivo con contenido migrado, restaura el archivo al sistema local antes del
análisis.
Para obtener más información, consulte Qué es el Almacenamiento remoto.
Configure, planifique y ejecute tareas de análisis

Puede planificar las tareas Análisis completo y Análisis rápido, o crear tareas de análisis personalizadas
desde Cliente de Endpoint Security en la configuración de Ajustes generales.
Antes de empezar

3
Procedimiento
5 Configure los ajustes de la tarea de análisis en la página.

análisis personalizada.
2 Introduzca el nombre, seleccione Análisis personalizado en la lista
desplegable y haga clic en Siguiente.
3 Configure los ajustes de la tarea de análisis y haga clic en Aceptar para
guardar la tarea.
Cambiar una tarea de • Haga doble clic en la tarea, efectúe los cambios y haga clic en Aceptar
análisis. para guardarla.

análisis personalizada.
tarea de análisis.
2 Introduzca el nombre, configure los ajustes y haga clic en Aceptar para
guardar la tarea.
Cambiar la planificación 1 Haga doble clic en Análisis completo o Análisis rápido.

de una tarea de Análisis
completo o Análisis rápido. 2 Haga clic en la ficha Planificación, modifique la planificación y haga clic
en Aceptar para guardar la tarea.
Solo puede configurar parámetros de tarea de Análisis completo y Análisis
rápido en sistemas autogestionados.
De forma predeterminada, la ejecución del Análisis completo está
planificada el miércoles a las 12 de la noche. La ejecución del Análisis
rápido está planificada cada día a las 19 horas. Las planificaciones están
activadas.

análisis.
Véase también

3

Prevención de amenazas
Contenido
Página Poner en cuarentena
Prevención de amenazas: Protección de acceso
Prevención de amenazas: Prevención de exploits
Prevención de amenazas: Análisis en tiempo real
Prevención de amenazas: Análisis bajo demanda
Ubicaciones de análisis
McAfee GTI
Acciones
Agregar exclusión o Editar exclusión
Prevención de amenazas: Opciones
Revertir contenido de AMCore
Página Poner en cuarentena

Administre los elementos en cuarentena.
Tabla 3-3 Opciones
Opción Definición
Eliminar Elimina los eventos seleccionados de la cuarentena.
Los archivos eliminados no se pueden restaurar.
Restaurar Restaura elementos de la cuarentena.

Endpoint Security restaura los elementos a su ubicación original y los quita de la
cuarentena.
Si un elemento aún es una amenaza válida, Endpoint Security lo devolverá a la
cuarentena inmediatamente.
Volver a analizar Vuelve a analizar elementos en la cuarentena.

Si el elemento ya no es una amenaza, Endpoint Security lo restaura a su ubicación
original y lo quita de la cuarentena.
Encabezados de las Ordena la lista de cuarentena por...

columnas
Nombre de detección Nombre de la detección.
Tipo Tipo de amenaza; por ejemplo, Troyano o Adware.
Hora de cuarentena La cantidad de tiempo que el elemento ha estado en cuarentena.
Número de objetos El número de objetos en la detección.
Versión de AMCore Content El número de versión de AMCore Content que identifica la amenaza.
Volver a analizar estado El estado del nuevo análisis, si el elemento se ha vuelto a analizar:
• Limpio: el nuevo análisis no ha detectado amenazas.
• Infectado: Endpoint Security ha detectado una amenaza al volver a
analizar.
Véase también
Administrar elementos en cuarentena en la página 60
Repetición de análisis de elementos en cuarentena en la página 63

3
Prevención de amenazas: Protección de acceso

Proteja los puntos de acceso de su sistema de acuerdo con las reglas configuradas. Protección de
acceso compara una acción solicitada con una lista de reglas configuradas y actúa conforme a la regla.
Procedimiento recomendado: Para obtener más información sobre la creación de reglas de

Protección de acceso para protegerse frente a ransomware, consulte PD25203.
Tabla 3-4 Opciones

PROTECCIÓN DE ACCESO Activar protección de acceso Activa la función Protección de acceso.

Sección Opción Descripción
Exclusiones Permite el acceso a los procesos especificados, también llamados ejecutables,
para todas las reglas.
• Agregar: agrega un proceso a la lista de exclusión.
• Hacer doble clic en un elemento: Modifica el elemento seleccionado.
• Eliminar: Elimina el elemento seleccionado.
• Duplicar: Crea una copia del elemento seleccionado.
Reglas Configura reglas de Protección de acceso.

Puede activar, desactivar y cambiar las reglas definidas por McAfee, pero no
puede eliminar estas reglas.
• Agregar: crea una regla personalizada y la agrega a la lista.
• (Solo) Bloquear: bloquea los intentos de acceso sin registro.
• (Solo) Informar: registra los intentos de acceso sin bloquearlos.
• Bloquear e Informar: bloquea y registra los intentos de acceso.
Procedimiento recomendado: Si no se conoce la repercusión total de una

regla, seleccione Informar y no Bloquear para recibir una advertencia sin bloquear los
intentos de acceso. Para determinar si se debe bloquear el acceso, supervise los
registros e informes.
Para bloquear o informar de todo, seleccione Bloquear o Informar en la primera fila.

Para desactivar la regla, anule la selección tanto de Bloquear como de Informar.
Véase también
Configuración de reglas de Protección de acceso definidas por McAfee en la página 68
Configuración de las reglas de Protección de acceso definidas por el usuario en la página 72
Agregar exclusión o Editar exclusión en la página 108
Agregar regla o Editar regla en la página 98
Reglas de Protección de acceso definidas por McAfee en la página 69
Agregar regla o Editar regla

Agregue o edite reglas de protección de acceso definidas por el usuario.

3
Tabla 3-6 Opciones

Opciones Nombre Especifica o indica el nombre de la regla. (Obligatorio)
Acción Especifica acciones para la regla.
• (Solo) Bloquear: bloquea los intentos de acceso sin registro.
• (Solo) Informar: advierte sobre los intentos de acceso sin bloquear.
• Bloquear e informar: Bloquea y registra los intentos de acceso.

regla, seleccione Informar y no Bloquear para recibir una advertencia sin bloquear
los intentos de acceso. Para determinar si se debe bloquear el acceso, supervise
los registros e informes.
Para bloquear o informar de todo, seleccione Bloquear o Informar en la primera

fila.
Ejecutables Especifica ejecutables para la regla.

• Agregar: crea un nuevo ejecutable y lo agrega a la lista.
• Alternar estado de inclusión: Cambia el estado de inclusión del elemento entre
Incluir y Excluir.
Nombres de Especifica los nombres de usuario a los que se aplica la regla (solo para reglas
usuario definidas por el usuario).
• Agregar: Selecciona un nombre de usuario y lo añade a la lista.
• Alternar estado de inclusión: Cambia el estado de inclusión del elemento entre
Incluir y Excluir.
Subreglas Configura subreglas (solo para reglas definidas por el usuario).

• Agregar: Crea una subregla y la agrega a la lista.
Notas Proporciona más información sobre el elemento.
Véase también
Agregar Nombre de usuario o Editar Nombre de usuario en la página 100
Agregar subregla o Editar subregla en la página 100

3
Agregar Nombre de usuario o Editar Nombre de usuario

Agregue o edite el usuario al que se aplica la regla (solo para reglas definidas por el usuario).
Tabla 3-7 Opciones

Opción Definición
Nombre Especifica el nombre de usuario al que se aplica la regla.
Utilice el siguiente formato para especificar el usuario:
• Usuario local. Entre las entradas válidas se incluyen:
<nombre_máquina>\<nombre_usuario_local>
.\<nombre_usuario_local>
.\administrator (para el administrador local)
• Usuario del dominio: <nombre dominio>\<nombre_usuario dominio>
• Sistema local: Local\Sistema especifica la cuenta de NT AUTHORITY\System del
sistema.
Estado de Determina el estado de inclusión para el usuario.

inclusión
• Incluir: Activa la regla si el usuario especificado ejecuta el ejecutable que infringe una
subregla.
• Excluir: No activa la regla si el usuario especificado ejecuta el ejecutable que infringe
una subregla.
Véase también
Agregar subregla o Editar subregla

Agregue o edite subreglas de Protección de acceso definidas por el usuario.
Tabla 3-8 Opciones
Opción Definición
Nombre Especifica el nombre de la subregla.
Tipo de Especifica el tipo de subregla.
subregla Al cambiar el tipo de subregla, se eliminan las entradas definidas con anterioridad en la
tabla de destinos.
• Archivos: protege un archivo o directorio. Por ejemplo, cree una regla personalizada
para bloquear o informar si se intenta eliminar una hoja de Excel con información
confidencial.
• Clave de Registro: protege la clave especificada. La clave de Registro es el contenedor
del valor de Registro. Por ejemplo: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run.
• Valor de Registro: Protege el valor especificado. Los valores de registro se almacenan en
las claves de registro y se hace referencia a ellos por separado de las claves de
registro. Por ejemplo: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\Autorun.
• Procesos: protege los procesos especificados. Por ejemplo, cree una regla
personalizada para bloquear intentos de operaciones de un proceso o para informar
sobre ello.
• Servicios: protege el servicio especificado. Por ejemplo, cree una regla personalizada
para impedir que se pueda detener o iniciar un servicio.

3

Opción Definición
Operaciones Indica las operaciones permitidas con el tipo de subregla. Debe seleccionar como
mínimo una operación para aplicar a la subregla.
Procedimiento recomendado: Para evitar que el rendimiento se vea afectado, no

seleccione la operación Leer.
Archivos:
• Cambiar atributos ocultos o de solo lectura: bloquea o informa de los cambios de estos
atributos de los archivos en la carpeta especificada.
• Crear: bloquea o informa de la creación de archivos en la carpeta especificada.
• Eliminar: bloquea o informa de la eliminación de archivos en la carpeta especificada.
• Ejecutar: bloquea o informa de la ejecución de archivos en la carpeta especificada.
• Cambiar permisos: bloquea o informa de los cambios de la configuración de permisos de
los archivos en la carpeta especificada.
• Lectura: bloquea o informa del acceso de lectura a los archivos especificados.
• Cambiar nombre: bloquea el acceso destinado a cambiar el nombre a los archivos
especificados o informa de él.

3

Opción Definición
Si se especifica el destino del Archivo de destino, Cambiar nombre es la única operación
válida.
• Escritura: Bloquea o informa del acceso de escritura a los archivos especificados.
Clave de Registro:
• Escritura: bloquea o informa del acceso de escritura a la clave especificada.
• Crear: bloquea o informa de la creación de la clave especificada.
• Eliminar: bloquea o informa de la eliminación de la clave especificada.
• Lectura: bloquea o informa del acceso de lectura a la clave especificada.
• Enumerar: bloquea o informa de la enumeración de las subclaves de la clave de
Registro especificada.
• Cargar: bloquea o informa de la posibilidad de descargar la clave de Registro
especificada y sus subclaves del Registro.
• Sustituir: bloquea o informa de la posibilidad de reemplazar la clave de Registro
especificada y sus subclaves con otro archivo.
• Restaurar: bloquea o informa de la posibilidad de guardar información de Registro en
un archivo especificado y copia la clave especificada.
• Cambiar permisos: bloquea o informa de los cambios de la configuración de permisos de
la clave de Registro especificada y de sus subclaves.
Valor de Registro:
• Escritura: bloquea o informa del acceso de escritura al valor especificado.
• Crear: bloquea o informa de la creación del valor especificado.
• Eliminar: bloquea o informa de la eliminación del valor especificado.
• Lectura: bloquea o informa del acceso de lectura al valor especificado.
Procesos:
• Cualquier acceso: Bloquea o informa del inicio de un proceso con cualquier acceso.
• Crear subproceso: Bloquea o informa del inicio de un proceso con acceso para crear un
subproceso.
• Modificar: Bloquea o informa del inicio de un proceso con acceso para modificar.
• Finalizar: Bloquea o informa del inicio de un proceso con acceso para terminar.
• Ejecutar: bloquea la ejecución del ejecutable de destino especificado o informa de ella.
Debe agregar, al menos, un archivo ejecutable de destino a la subregla.

3

Opción Definición
En el caso de la operación Ejecutar, se genera un evento cuando se intenta ejecutar el
proceso de destino. En el caso de las demás operaciones, se genera un evento
cuando el destino está abierto.
Servicios:
• Iniciar: bloquea el inicio del servicio o informa de él.
• Detener: bloquea la detención del servicio o informa de ella.
• Pausar: bloquea la puesta en pausa del servicio o informa de ella.
• Continuar: bloquea la continuación del servicio tras una pausa o informa de ella.
• Crear: bloquea la creación del servicio o informa de ella.
• Eliminar: bloquea la eliminación del servicio o informa de ella.
• Activar perfil de hardware: bloquea la activación del perfil de hardware del servicio o
informa de ella.
• Desactivar perfil de hardware: bloquea la desactivación del perfil de hardware del servicio o
informa de ella.
• Modificar modo de inicio: bloquea la modificación del modo de inicio (Arranque, Sistema,
Automático, Manual, Desactivado) del servicio o informa de ella.
• Modificar información de inicio de sesión: bloquea la modificación de la información de inicio
de sesión del servicio o informa de ella.
Destinos • Agregar: especifica los destinos de la regla. Los destinos varían según la selección de
tipo de regla. Debe añadir, al menos, un destino a la subregla.
Haga clic en Agregar, seleccione el estado de inclusión e introduzca o seleccione el
destino que va a incluir o excluir.
Véase también
Destinos en la página 104

3
Destinos
Especifican la definición y el estado de inclusión para un destino.
Tabla 3-9 Opciones
Destinos Determina si el destino es una coincidencia positiva para la subregla.
También especifica el estado de inclusión para el destino.
• Incluir: indica que la subregla puede coincidir con el destino especificado.
• Excluir: indica que la subregla no debe coincidir con el destino
especificado.
Agregue un destino mediante las directivas Incluir o Excluir.
Si ha Especifica el nombre del archivo, el nombre de la carpeta, la ruta o el tipo

seleccionado el de unidad de destino para una subregla de Archivos.
tipo de subregla
• Ruta de archivo: Busque y seleccione el archivo seleccionado.
de Archivos...
• Archivo de destino: Busque y seleccione el nombre o la ruta del archivo de
destino para realizar la operación Renombrar.
Si se ha seleccionado el destino del archivo de destino, (solo) la opción
Renombrar debe estar seleccionada.
• Tipo de unidad: seleccione el tipo de unidad de destino en la lista
desplegable:
• Extraíble: Archivos de una unidad USB o de otra unidad extraíble
conectada al puerto USB, incluidas las que disponen de Windows To

3

Go. En este tipo de unidad, no se incluyen los archivos de un CD,
DVD o disquete.
Al bloquear este tipo de unidad, también se bloquean las unidades

con Windows To Go.
• Red: Archivos de la red compartida

• Fija: archivos del disco duro local o de otro disco duro fijo
• CD/DVD: archivos de un CD o DVD
• Disquete: archivos de una unidad de disquete
Puede utilizar ?, * y ** como caracteres comodín.
Prácticas recomendadas de destino de subregla de archivos
Por ejemplo, para proteger:
• Un archivo o carpeta llamado c:\testap, utilice un destino c:\testap o c:
\testap\
• El contenido de una carpeta, utilice el asterisco como carácter comodín
(c:\testap\*)
• El contenido de una carpeta y de sus subcarpetas, utilice dos asteriscos
(c:\testap\**)
Se admiten las variables de entorno del sistema. Las variables de entorno
se pueden especificar en uno de estos formatos:
• $(EnvVar) - $(SystemDrive), $(SystemRoot)
• %EnvVar% - %SystemRoot%, %SystemDrive%
No todas las variables de entorno definidas por el sistema son accesibles
mediante la sintaxis $(var), específicamente las que contienen los
caracteres or. Para evitar este problema, puede usar la sintaxis %var%.
No se admiten variables de entorno del usuario.

3

Si ha Define las claves de registro mediante claves raíz. Se admiten estas
seleccionado el claves raíz:
tipo de subregla
• HKLM o HKEY_LOCAL_MACHINE
Clave de Registro...
• HKCU o HKEY_CURRENT_USER
• HKCR o HKEY_CLASSES_ROOT
• HKCCS corresponde a HKLM/SYSTEM/CurrentControlSet y HKLM/
SYSTEM/ControlSet00X
• HKLMS corresponde a HKLM/Software en sistemas de 32 y 64 bits, y a
HKLM/Software/Wow6432Node solo en sistemas de 64 bits
• HKCUS corresponde a HKCU/Software en sistemas de 32 y 64 bits, y a
HKCU/Software/Wow6432Node solo en sistemas de 64 bits
• HKULM tratada como HKLM y HKCU
• HKULMS tratada como HKLMS y HKCUS
• HKALL tratada como HKLM y HKU
Puede utilizar ?, * y ** como caracteres comodín, y | (barra vertical)
como carácter de escape.
Prácticas recomendadas de destino de subregla de clave de
registro
• Una clave del registro denominada HKLM\SOFTWARE\testap, utilice un
destino HKLM\SOFTWARE\testap o HKLM\SOFTWARE\testap\
• El contenido de una clave de registro, utilice el asterisco como carácter
comodín (HKLM\SOFTWARE\testap\*)
• El contenido de una clave de registro y de sus subclaves, utilice dos
asteriscos (HKLM\SOFTWARE\testap\**)
• Las claves de registro y los valores de una clave de registro, permiten
la operación Escribir

3

Si ha Define los valores de registro mediante claves raíz. Se admiten estas
seleccionado el claves raíz:
tipo de subregla
• HKLM o HKEY_LOCAL_MACHINE
Valor de Registro...
• HKCU o HKEY_CURRENT_USER
• HKCR o HKEY_CLASSES_ROOT
• HKCCS corresponde a HKLM/SYSTEM/CurrentControlSet y HKLM/
SYSTEM/ControlSet00X
• HKLMS corresponde a HKLM/Software en sistemas de 32 y 64 bits, y a
HKLM/Software/Wow6432Node solo en sistemas de 64 bits
• HKCUS corresponde a HKCU/Software en sistemas de 32 y 64 bits, y a
HKCU/Software/Wow6432Node solo en sistemas de 64 bits
• HKULM tratada como HKLM y HKCU
• HKULMS tratada como HKLMS y HKCUS
• HKALL tratada como HKLM y HKU
Puede utilizar ?, * y ** como caracteres comodín, y | (barra vertical)
como carácter de escape.
Prácticas recomendadas de destino de subregla de valor de
registro
• Un valor de registro llamado HKLM\SOFTWARE\testap, utilice un destino
HKLM\SOFTWARE\testap
• Los valores de registro de una clave de registro, utilice un asterisco
como carácter comodín (HKLM\SOFTWARE\testap\*)
• Los valores de registro de una clave de registro y de sus subclaves,
utilice dos asteriscos (HKLM\SOFTWARE\testap\**)

3

Si ha Especifica el nombre del archivo o la ruta del proceso, el hash MD5 o el
seleccionado el firmante de destino para una subregla de Procesos.
tipo de subregla Puede utilizar ?, *, y ** como caracteres comodín para todos excepto
de Procesos...
para hash MD5.
Prácticas recomendadas de destino de subregla de procesos
• Un proceso denominado c:\testap.exe, utilice una ruta o un nombre de
archivo de destino c:\testap.exe
• Todos los procesos de una carpeta, utilice el asterisco como carácter
comodín (c:\testap\*)
• Todos los procesos de una carpeta y de sus subcarpetas, utilice dos
asteriscos (c:\testap\**)
Si ha Especifica el nombre del servicio o el nombre para mostrar de una regla

seleccionado el de Servicios.
tipo de subregla
• Nombre registrado del servicio: contiene el nombre del servicio de la clave de
Servicios...
Registro correspondiente situada en HKLM_LOCAL_MACHINE\SYSTEM
\CurrentControlSet\Services\.
• Nombre para mostrar del servicio: contiene el nombre para mostrar del servicio
del valor de Registro DisplayName situado en HKLM_LOCAL_MACHINE
\SYSTEM\CurrentControlSet\Services\<nombre_del_servicio>\. Se
trata del nombre que aparece en el Administrador de servicios.
Por ejemplo, "Adobe Acrobat Update Service" es el nombre para mostrar
correspondiente al nombre del servicio "AdobeARMservice".
Puede utilizar ? y * como caracteres comodín.
Procedimientos recomendados para destinos de subreglas de
Servicios
Por ejemplo, para proteger todos los servicios de Adobe por nombre para
mostrar, utilice el carácter comodín asterisco: Adobe*
Véase también
Agregar subregla o Editar subregla en la página 100

Agregue o edite un ejecutable que se deba excluir en el nivel de la directiva, o bien incluir o excluir en
el nivel de la regla.
Al especificar exclusiones e inclusiones, tenga en cuenta lo siguiente:
• Debe especificar, al menos, un identificador: Nombre de archivo o ruta, Hash MD5 o Firmante.

MD5 no se aplican al mismo archivo), la exclusión o inclusión no es válida.
• Las exclusiones e inclusiones no distinguen mayúsculas de minúsculas.

3
Tabla 3-10 Opciones

Opción Definición
Nombre Especifica el nombre que le da al ejecutable.
Este campo es obligatorio junto con, al menos, otro campo: Nombre de archivo o ruta, Hash
MD5 o Firmante.
Estado de Determina el estado de inclusión del ejecutable.

inclusión
• Incluir: Activa la regla si el ejecutable infringe una subregla.
• Excluir: No activa la regla si el ejecutable infringe una subregla.
Estado de inclusión solo aparece cuando se agrega un ejecutable a una regla o al destino
de la subregla de Procesos.
Nombre de Especifica la ruta o nombre de archivo del ejecutable que se va a agregar o editar.
archivo o ruta Haga clic en Examinar para seleccionar el ejecutable.
La ruta del archivo puede incluir caracteres comodín.
Hash MD5 Indica el hash MD5 del proceso (un número hexadecimal de 32 dígitos).
Firmante Activar comprobación de firma digital : Garantiza que el código no se ha alterado o dañado
desde que se firmó con un hash criptográfico.
Si esta opción está activada, especifique:
• Permitir cualquier firma: permite los archivos firmados por cualquier firmante de proceso.
• Firmado por: permite solo los archivos firmados por el firmante de proceso
especificado.
Se requiere un nombre distintivo del firmante (SDN) que debe coincidir exactamente
con las entradas en el campo adjunto, incluidos comas y espacios.
El firmante del proceso aparece en el formato correcto en los eventos del Registro
de eventos de Cliente de Endpoint Security y en el Registro de eventos de amenazas
de McAfee ePO. Por ejemplo:
C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR,
CN=MICROSOFT WINDOWS
Para obtener el nombre distintivo del firmante de un ejecutable:
1 Haga clic con el botón derecho en un ejecutable y seleccione Propiedades.
2 En la ficha Firmas digitales seleccione un firmante y haga clic en Detalles.
3 En la ficha General haga clic en Ver certificado.
4 En la ficha Detalles seleccione el campo Sujeto. El nombre distintivo del firmante

aparece a continuación. Firefox, por ejemplo, tiene este nombre distintivo del
firmante:
• CN = Mozilla Corporation
• OU = Release Engineering
• O = Mozilla Corporation
• L = Mountain View
• S = California
• C = US
Véase también

3
Prevención de amenazas: Prevención de exploits

Active y configure Prevención de exploits para impedir que los exploits de desbordamiento del búfer
ejecuten código arbitrario en el equipo.
Para acceder a la lista de procesos protegidos por Prevención de exploits, consulte KB58007.
10.5. Si McAfee Host IPS está activado, se desactiva Prevención de exploits aunque esté activada en la
configuración de la directiva.
Tabla 3-11 Opciones

PREVENCIÓN DE EXPLOITS Activar Prevención de exploits Activa la función Prevención de exploits.
Si no se activa esta opción, el sistema quedará

desprotegido ante los ataques de malware.

Prevención Activar Activa la compatibilidad con la prevención genérica de la escalación de
genérica de la prevención privilegios (GPEP, por sus siglas en inglés). (Opción desactivada de manera
escalación de genérica de la predeterminada)
privilegios escalación de GPEP usa firmas GPEP en el contenido de Prevención de exploits para
privilegios ofrecer cobertura a los exploits de la escalación de privilegios en el modo
kernel y el modo de usuario.
Al activar esta opción se eleva la gravedad de la firma de desbordamiento
del búfer GPEP 6052 a Alta, de modo que se bloquee o informe,
dependiendo de la acción especificada.
Debido a que GPEP podría generar informes de falsos positivos, esta opción
está desactivada de forma predeterminada.
Prevención de Activar la Activa la integración de la Prevención de ejecución de datos (DEP, por sus
ejecución de Prevención siglas en inglés) de Windows. (Opción desactivada de manera
datos de de ejecución predeterminada)
Windows de datos de Seleccione esta opción para:
Windows
• Activar DEP para aplicaciones de 32 bits en la lista de protección de
aplicaciones de McAfee, si aún no está activada, y utilizarla en lugar de
protección genérica contra desbordamiento del búfer (GBOP).
La validación del autor de la llamada y la supervisión de API dirigida
siguen implementadas.
• Supervisar las detecciones de DEP en aplicaciones de 32 bits con DEP
activado.
• Supervisar las detecciones de DEP en aplicaciones de 64 bits de la lista de
protección de aplicaciones de McAfee.
• Registrar las detecciones de DEP y enviar un evento a McAfee ePO.
La desactivación de esta opción no afecta a ningún proceso que tenga la
Prevención de ejecución de datos activada como resultado de esta directiva
de Windows.

3

Exclusiones Especifica el proceso, el módulo autor de llamada, la API o la firma que se
deben excluir.
Las exclusiones con Módulo autor de llamada o API no se aplican a DEP.
• Agregar: crea una exclusión y la agrega a la lista.
Firmas Cambia la acción (Bloquear o Informar) de las firmas de Prevención de exploits

definidas por McAfee.
No se puede cambiar la gravedad ni crear firmas.
Para desactivar la firma, anule la selección de Bloquear e Informar.
Mostrar Filtra la lista de Firmas por gravedad o estado de desactivación:

firmas cuya
• Alta
gravedad sea
• Media
• Baja
• Informativa
• Desactivado
No puede activar firmas cuya gravedad sea Desactivado.
(Solo) Bloquea el comportamiento que coincida con la firma sin registrarlo.

Bloquear
(Solo) Registra el comportamiento que coincida con la firma sin bloquearlo.
Informar
No se permite la selección de solo Informar para el ID de firma 9990.
Bloquear e Bloquea y registra el comportamiento que coincida con la firma.

Informar
Reglas de Configura reglas de protección de aplicaciones.
protección de
• Agregar: crea una regla de protección de aplicaciones y la agrega a la lista.
aplicaciones
• Eliminar: Elimina el elemento seleccionado. (Solo reglas definidas por el
usuario)
• Duplicar: Crea una copia del elemento seleccionado. (Solo reglas definidas
por el usuario)
Véase también
Configuración de las opciones de Prevención de exploits en la página 77

3

Agregue o edite exclusiones de Prevención de exploits.
• Debe especificar al menos un Proceso, un Módulo autor de llamada, una API o una Firma.
• Las exclusiones con Módulo autor de llamada o API no se aplican a DEP.
• Para exclusiones relacionadas con un Proceso, debe especificar al menos un identificador: Nombre
de archivo o ruta, Hash MD5 o Firmante.

• Se aceptan caracteres comodín para todo excepto para hash MD5 e ID de firma.
• Si incluye ID de firma en una exclusión, esta solo se aplica al proceso de las firmas especificadas.
Si no se especifica ningún ID de firma, la exclusión se aplica al proceso en todas las firmas.
Tabla 3-13 Opciones

Proceso Nombre Especifica el nombre del proceso que se debe excluir. Prevención de
exploits excluye el proceso, sea cual sea su ubicación.
Este campo es obligatorio junto con al menos otro campo: Nombre de archivo o
ruta, Hash MD5 o Firmante.
Nombre de Especifica la ruta o nombre de archivo del ejecutable que se va a agregar o

archivo o ruta editar.
Haga clic en Examinar para seleccionar el ejecutable.

3

Firmante Activar comprobación de firma digital : Garantiza que el código no se ha alterado o
dañado desde que se firmó con un hash criptográfico.
• Permitir cualquier firma: permite los archivos firmados por cualquier firmante
de proceso.
especificado.
Se requiere un nombre distintivo del firmante (SDN) que debe coincidir
exactamente con las entradas en el campo adjunto, incluidos comas y
espacios.
El firmante del proceso aparece en el formato correcto en los eventos del
Registro de eventos de Cliente de Endpoint Security y en el Registro de
eventos de amenazas de McAfee ePO. Por ejemplo:
C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION,
OU=MOPR, CN=MICROSOFT WINDOWS
4 En la ficha Detalles seleccione el campo Sujeto. El nombre distintivo del

firmante aparece a continuación. Firefox, por ejemplo, tiene este nombre
distintivo del firmante:
• S = California
• C = US
Módulo autor Nombre Especifica el nombre del módulo (archivo DLL) que carga un ejecutable que
de llamada es propietario de la memoria grabable que realiza la llamada.


3

de proceso.
especificado.
espacios.
C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION,
OU=MOPR, CN=MICROSOFT WINDOWS

• S = California
• C = US
API Nombre Especifica el nombre de la API (interfaz de programación de aplicaciones) a

la que se llama.
Firmas ID de firma Especifica identificadores de firmas de Prevención de exploits (separados
por comas).
Véase también
Exclusión de procesos de Prevención de exploits en la página 78
Agregar regla o Editar regla

Agregue o edite reglas de protección de aplicaciones definidas por el usuario.
Tabla 3-14 Opciones

Nombre Especifica o indica el nombre de la regla. (Obligatorio)
Estado Activa o desactiva el elemento.

3

Estado de Especifica el estado de inclusión del ejecutable.
inclusión
• Incluir: activa la regla si se ejecuta un ejecutable de la lista Ejecutables.
• Excluir: no activa la regla si se ejecuta un ejecutable de la lista Ejecutables.
Ejecutables Especifica ejecutables para la regla.

• Agregar: agrega un ejecutable a la lista.

Para las reglas de Protección de aplicaciones definidas por McAfee, este campo
contiene el nombre del ejecutable que se está protegiendo.
Agregar ejecutable o Editar ejecutable

Agregue o edite un ejecutable en una regla de Protección de aplicaciones.
Al configurar ejecutables, tenga en cuenta lo siguiente:

MD5 no se aplican al mismo archivo), la definición del ejecutable no es válida.
Tabla 3-15 Opciones

Propiedades Nombre Especifica el nombre del proceso.


3

de proceso.
especificado.
espacios.

• S = California
• C = US
Prevención de amenazas: Análisis en tiempo real

Active y configure el análisis en tiempo real.
Tabla 3-16 Opciones
ANÁLISIS EN Activar análisis en Activa la función Análisis en tiempo real.
TIEMPO REAL tiempo real (Opción activada de forma predeterminada)
Activar análisis en Activa la función Análisis en tiempo real cada vez que se inicia el
tiempo real al iniciar equipo.
el sistema (Opción activada de forma predeterminada)

3

Especificar el número Limita el análisis de cada archivo al número especificado de
máximo de segundos segundos.
para el análisis de los (Opción activada de forma predeterminada)
archivos
El valor predeterminado es 45 segundos.
Si un análisis excede el límite de tiempo, se detiene sin problemas y
se registra un mensaje.
Analizar sectores de Analiza el sector de arranque del disco.

arranque (Opción activada de forma predeterminada)
Procedimiento recomendado: Anule la selección del análisis del

sector de arranque cuando un disco contenga un sector de
arranque único o anómalo que no se pueda analizar.
Analizar los procesos Vuelve a analizar todos los procesos que se encuentren en la
al iniciar servicios y memoria cada vez que:
actualizar contenido
• Se vuelven a activar los análisis en tiempo real.
• Los archivos de contenido se actualizan.
• El sistema se inicia.
• Se inicia el proceso McShield.exe.
Procedimiento recomendado: Dado que algunos programas o

ejecutables se inician automáticamente al iniciar el sistema, anule
la selección de esta opción para reducir el tiempo de inicio del
sistema.
Cuando se activa el analizador en tiempo real, este analiza siempre

todos los procesos cuando se ejecutan.
Analizar instaladores Analiza los archivos MSI (instalados por msiexec.exe y firmados por
de confianza McAfee o Microsoft) o los archivos del servicio Instalador de
confianza de Windows.
Procedimiento recomendado: Anule la selección de esta opción

para mejorar el rendimiento de los instaladores de aplicaciones de
Microsoft de gran tamaño.
Analizar al copiar Analiza los archivos cuando el usuario copia de una carpeta local a
entre carpetas locales otra.
Si esta opción está:
• Desactivada: solo se analizan los elementos de la carpeta de
destino.
• Desactivada: se analizan los elementos tanto en la carpeta de
origen (lectura) como en la de destino (escritura).

3

Analizar al copiar Analiza los archivos cuando el usuario los copia desde una carpeta
desde carpetas de red de red o una unidad USB extraíble.
y unidades extraíbles
Si no se selecciona esta opción, el sistema será vulnerable a los
ataques de malware.
McAfee GTI Activa y define la configuración de McAfee GTI.

ScriptScan Activar ScriptScan Activa el análisis de scripts JavaScript y VBScript en Internet
Explorer para impedir que se ejecuten scripts no deseados.
Si ScriptScan está desactivado al iniciar Internet Explorer y, a

continuación, se activa, no detectará scripts maliciosos en esa
instancia de Internet Explorer. Deberá reiniciar Internet Explorer
tras activar ScriptScan para que pueda detectar scripts maliciosos.
Excluir estas URL o Especifica exclusiones de ScriptScan por URL.

las URL parciales Agregar: agrega una URL a la lista de exclusiones.
Eliminar : quita una URL de la lista de exclusiones.
Las URL no pueden incluir caracteres comodín. No obstante, se
excluirá también cualquier URL que contenga una cadena de una
URL excluida. Por ejemplo, si se excluye la URL msn.com, también
se excluirán las siguientes URL:
• http://weather.msn.com
• http://music.msn.com

Mensajería de Mostrar la ventana de Muestra la página de Análisis en tiempo real con el mensaje
usuario de análisis en tiempo real a los especificado a los usuarios de los clientes cuando se produce
detección de usuarios cuando se detecta una detección.
amenazas una amenaza (Opción activada de forma predeterminada)
Cuando se selecciona esta opción, los usuarios pueden abrir
esta página desde la página Analizar ahora en cualquier
momento en que la lista de detecciones incluya al menos
una amenaza.
La lista de detecciones del análisis en tiempo real se borra
cuando se reinicia el servicio de Endpoint Security o el
sistema.
Mensaje Especifica el mensaje que se debe mostrar a los usuarios de

los clientes cuando se produce una detección.
El mensaje predeterminado es: McAfee Endpoint Security ha
detectado una amenaza.
Configuración de Usar la configuración Aplica la misma configuración a todos los procesos cuando
procesos Estándar para todos los se realiza un análisis en tiempo real.
procesos
Configurar opciones Configura diferentes opciones de análisis para cada tipo de
distintas para procesos de proceso que se identifique.
riesgo alto y de riesgo bajo

3

Estándar Configura opciones para los procesos que no están
identificados como de riesgo alto o bajo.
Riesgo alto Configura opciones de procesos que son de riesgo alto.

Riesgo bajo Configura opciones de procesos que son de riesgo bajo.
Agregar Agrega un proceso a la lista Riesgo alto o Riesgo bajo.
Eliminar Quita un proceso de la lista Riesgo alto o Riesgo bajo.
Análisis Cuándo analizar
Al escribir en el disco Intenta analizar todos los archivos a medida que se escriban
o se cambien en el equipo o en otro dispositivo de
almacenamiento de datos.
Al leer el disco Analiza todos los archivos a medida que se leen en el equipo
o en otro dispositivo de almacenamiento de datos.
Dejar que McAfee decida Permite que McAfee decida si se debe analizar un archivo
mediante la lógica de confianza para optimizar el análisis. La
lógica de confianza mejora la seguridad y aumenta el
rendimiento al evitar análisis innecesarios.
Procedimiento recomendado: Active esta opción para

obtener la mejor protección y el mejor rendimiento.
No analizar al leer o escribir Especifica que no se analicen procesos de Riesgo bajo.

desde el disco
Qué analizar
Todos los archivos Analiza todos los archivos, independientemente de su
extensión.
Si no se selecciona esta opción, el sistema será vulnerable

a los ataques de malware.
Tipos de archivo Análisis:

predeterminados y
• La lista predeterminada de extensiones de archivos
especificados
definida en el archivo de AMCore Content actual, incluidos
los archivos sin extensión
• Las extensiones de archivos adicionales que especifique
Separe las extensiones con una coma.
• (Opcional) Amenazas de macros conocidas en la lista de
extensiones de archivo predeterminadas y especificadas
Solo tipos de archivos Analiza una de las opciones siguientes o ambas:

especificados
• Solo los archivos con las extensiones (separadas por
comas) que especifique
• Todos los archivos sin extensión
En unidades de red Analiza recursos en unidades de red asignadas.
Procedimiento recomendado: Anule la selección de

esta opción para mejorar el rendimiento.

3

Abierto para copia de Analiza los archivos al acceder mediante el software de
seguridad copia de seguridad.
Procedimiento recomendado: En la mayoría de los

entornos no es necesario seleccionar esta configuración.
Archivos de Examina el contenido de archivos de almacenamiento

almacenamiento (comprimidos), incluidos los archivos .jar.
comprimidos
Procedimiento recomendado: Dado que el análisis de
archivos de almacenamiento comprimidos puede afectar
negativamente al rendimiento del sistema, anule la
selección de esta opción para mejorar dicho rendimiento.
Archivos comprimidos Detecta, descodifica y analiza archivos cifrados con

codificados mediante MIME extensiones Multipurpose Internet Mail Extensions (MIME).
Opciones de análisis adicionales
Detectar programas no Permite que el analizador detecte programas potencialmente
deseados no deseados.
El analizador utiliza la información que ha configurado en los
parámetros de Prevención de amenazas de Prevención de
amenazas para detectar programas potencialmente no
deseados.
Detectar amenazas de Utiliza McAfee GTI para detectar archivos ejecutables que
programas desconocidos tengan código similar al malware.
Detectar amenazas de Utiliza McAfee GTI para detectar virus de macros
macros desconocidas desconocidos.
Acciones Especifica cómo responde el analizador cuando detecta una
amenaza.
Exclusiones Especifica archivos, carpetas y unidades que excluir del
análisis.
Agregar Agrega un elemento a la lista de exclusión.
Eliminar Quita un elemento de la lista de exclusión.
Véase también
McAfee GTI en la página 126
Acciones en la página 127
Prevención de amenazas: Análisis bajo demanda

Defina la configuración de Análisis bajo demanda para los análisis personalizados y preconfigurados
que se ejecutan en el sistema.
Consulte la configuración en el módulo Ajustes generales para configurar el registro.

3
Estos parámetros especifican el comportamiento del analizador al:
• Seleccionar Análisis completo o Análisis rápido en la página Analizar ahora en Cliente de Endpoint Security.
• Como administrador, ejecutar una tarea de análisis bajo demanda desde Configuración | Ajustes
generales | Tareas desde Cliente de Endpoint Security.
• Hacer clic con el botón derecho del ratón en un archivo o carpeta y seleccionar Analizar en busca de
amenazas en el menú emergente.
Tabla 3-18 Opciones

Qué analizar Sectores de arranque Analiza el sector de arranque del disco.
Procedimiento recomendado: Anule la selección del análisis

del sector de arranque cuando un disco contenga un sector de
arranque único o anómalo que no se pueda analizar.
Archivos que se han Analiza archivos que gestiona el Almacenamiento remoto.

migrado al Algunas soluciones de almacenamiento de datos sin conexión
almacenamiento sustituyen los archivos con un archivo stub. Cuando el analizador
se encuentra con un archivo stub, que indica que se ha migrado el
archivo, el analizador restaura el archivo al sistema local antes de
proceder con el análisis. El proceso de restauración puede afectar
negativamente al rendimiento del sistema.
Procedimiento recomendado: Anule la selección de esta

opción a menos que necesite específicamente analizar los
archivos del almacenamiento.
Archivos comprimidos Detecta, descodifica y analiza archivos cifrados con extensiones

codificados mediante Multipurpose Internet Mail Extensions (MIME).
MIME
Archivos de Examina el contenido de archivos de almacenamiento
almacenamiento (comprimidos), incluidos los archivos .jar.
comprimidos
Procedimiento recomendado: Seleccione esta opción solo en
análisis planificados en horas de inactividad, cuando el sistema
no se esté utilizando, ya que el análisis de archivos de
almacenamiento comprimidos puede afectar negativamente al
rendimiento del sistema.
Subcarpetas (solo Examina todas las subcarpetas de la carpeta especificada.

Análisis con el botón
derecho del ratón)
Opciones de Detectar programas no Permite que el analizador detecte programas potencialmente no
análisis deseados deseados.
adicionales El analizador utiliza la información que ha configurado en los
parámetros de Prevención de amenazas de Prevención de
amenazas para detectar programas potencialmente no deseados.
Detectar amenazas de Utiliza McAfee GTI para detectar archivos ejecutables que tengan
programas código similar al malware.
desconocidos
Detectar amenazas de Utiliza McAfee GTI para detectar virus de macros desconocidos.
macros desconocidas
Ubicaciones de (solo Análisis Especifica las ubicaciones que analizar.
análisis completo y Análisis Estas opciones solo se aplican a Análisis completo, Análisis rápido y
rápido) análisis personalizados.

3

Tipos de Todos los archivos Analiza todos los archivos, independientemente de su extensión.
archivos que McAfee recomienda encarecidamente la activación de Todos los
analizar archivos.
Si no se selecciona esta opción, el sistema será vulnerable a los

ataques de malware.
Tipos de archivo Análisis:

predeterminados y
• La lista predeterminada de extensiones de archivos definida en
especificados
el archivo de AMCore Content actual, incluidos los archivos sin
extensión
• Las extensiones de archivos adicionales que especifique
Separe las extensiones con una coma.
• (Opcional) Amenazas de macros conocidas en la lista de
extensiones de archivo predeterminadas y especificadas
Solo tipos de archivos Analiza una de las opciones siguientes o ambas:

especificados
• Solo los archivos con las extensiones (separadas por comas)
que especifique
• Todos los archivos sin extensión
McAfee GTI Activa y define la configuración de McAfee GTI.

Exclusiones Especifica archivos, carpetas y unidades que excluir del análisis.
Agregar Agrega un elemento a la lista de exclusión.
Eliminar Quita un elemento de la lista de exclusión.
Acciones Especifica cómo responde el analizador cuando detecta una
amenaza.
Rendimiento Usar caché de análisis Permite que el analizador utilice los resultados de análisis
existentes.
Procedimiento recomendado: Seleccione esta opción para

reducir la duplicación de los análisis y mejorar el rendimiento.

3

Utilización del sistema Permite al sistema operativo especificar la cantidad de tiempo de
CPU que el analizador recibe durante el análisis.
Cada tarea se ejecuta independientemente, sin tener en cuenta
los límites de otras tareas.
• Baja: el rendimiento del resto de las aplicaciones en ejecución es
superior.
Práctica recomendada: Seleccione esta opción para

sistemas con actividad del usuario final.
• Por debajo de lo normal: establece los valores predeterminados de

McAfee ePO en cuanto a la utilización del sistema para el
análisis.
• Normal (predeterminado): permite que el análisis finalice más
rápido.
Práctica recomendada: Seleccione esta opción para

sistemas que tienen grandes volúmenes y poca actividad del
usuario final.
Opciones del Estas opciones solo se aplican a Análisis completo, Análisis rápido y
análisis análisis personalizados.
planificado
Analizar solo cuando el Ejecuta el análisis solo cuando el sistema está inactivo.
sistema está inactivo Prevención de amenazas pausa el análisis cuando el usuario
accede al sistema mediante el teclado o ratón. Prevención de
amenazas reanuda el análisis cuando el usuario (y la CPU) está
inactivo durante cinco minutos.
Desactive esta opción solo en los sistemas servidor y en los
sistemas a los que los usuarios acceden mediante una conexión de
Escritorio remoto (RDP). Prevención de amenazas depende de
McTray para determinar si el sistema está inactivo. En sistemas a
los que solo se accede mediante el escritorio remoto, McTray no se
inicia y el analizador bajo demanda no se ejecuta nunca. Para
evitar este problema, los usuarios pueden iniciar McTray (de
manera predeterminada en C:\Archivos de programa\McAfee
\Agent\mctray.exe) manualmente cuando inicien sesión en el
escritorio remoto.
Analizar en cualquier Ejecuta el análisis incluso si el usuario está activo y especifica

momento opciones para el análisis.
Los usuarios pueden aplazar el análisis: Permite al usuario aplazar análisis
planificados y especificar opciones de aplazamiento de análisis.
• Máximo número de veces que el usuario puede aplazar el análisis una hora:
especifica el número de veces (de 1 a 23) que el usuario puede
aplazar el análisis a una hora más tarde.
• Mensaje de usuario: especifica el mensaje que aparecerá cuando un
análisis esté a punto de comenzar.
El mensaje predeterminado es: McAfee Endpoint Security va a
analizar el sistema.
• Duración del mensaje (segundos): especifica cuánto tiempo (en
segundos) aparece el mensaje de usuario cuando un análisis
está a punto de comenzar. El intervalo válido de duración es de
30 a 300; la duración predeterminada es de 45 segundos.

3

No analizar si el sistema está en modo de presentación: pospone el análisis
mientras el sistema está en modo de presentación.
No analizar si el Pospone el análisis cuando el sistema está alimentándose con
sistema funciona batería.
mediante la batería
Véase también
Analizar un archivo o carpeta en la página 58
Ubicaciones de análisis en la página 124
Acciones en la página 127
Ubicaciones de análisis
Especifique las ubicaciones que analizar.
Estas opciones solo se aplican a Análisis completo, Análisis rápido y análisis personalizados.
Tabla 3-19 Opciones

Ubicaciones de Analizar subcarpetas Examina todas las subcarpetas de los volúmenes especificados
análisis cuando está seleccionada alguna de estas opciones:
• Carpeta de inicio • Carpeta Temp
• Carpeta de perfil del usuario • Archivo o carpeta
• Carpeta Archivos de programa
Cancele la selección de esta opción para analizar solo el nivel

raíz de los volúmenes.
Especificar Especifica las ubicaciones que se deben analizar.

ubicaciones
• Agregar: Agrega una ubicación al análisis.
Haga clic en Agregar y seleccione la ubicación en el menú
desplegable.
• Hacer doble clic en un elemento: Modifica el elemento
seleccionado.
• Eliminar: Quita una ubicación del análisis.
Seleccione la ubicación y haga clic en Eliminar.
Memoria para rootkits Analiza la memoria del sistema para buscar rootkits instalados,
procesos ocultos y otros comportamientos que puedan sugerir
que un malware está intentando ocultarse. Este análisis se
produce antes que los demás análisis.
Si no se activa esta opción, el sistema quedará desprotegido

ante los ataques de malware.

3

Procesos en ejecución Analiza la memoria de todos los procesos en ejecución.
Las acciones que no sean Limpiar archivos se tratan como Continuar
analizando.
Si no se activa esta opción, el sistema quedará desprotegido

ante los ataques de malware.
Archivos registrados Analiza los archivos a los que hace referencia el Registro de
Windows.
El analizador busca nombres de archivo en el registro,
determina si el archivo existe, crea una lista de archivos para
analizar y analiza los archivos.
Mi equipo Analiza todas las unidades conectadas físicamente al equipo o

asignadas de forma lógica a una letra de unidad en el equipo.
Todas las unidades analiza todas las unidades del equipo, así como sus
locales subcarpetas.
Todas las unidades de Analiza todas las unidades conectadas físicamente al equipo.
disco duro
Todas las unidades Analiza todas las unidades extraíbles o cualquier otro
extraíbles dispositivo de almacenamiento conectado al ordenador,
excepto las incluyen Windows To Go.
Todas las unidades Analiza las unidades de red asignadas lógicamente a una
asignadas unidad de red del equipo.
Carpeta de inicio Analiza la carpeta de inicio del usuario que inicie el análisis.
Carpeta de perfil del Analiza el perfil del usuario que empieza el análisis, incluida la
usuario carpeta Mis documentos del usuario.
Carpeta Windows Analiza el contenido de la carpeta Windows.
Carpeta Archivos de Analiza el contenido de la carpeta Archivos de programa.
programa
Carpeta Temp Analiza el contenido de la carpeta Temp.
Papelera de reciclaje Analiza el contenido de la papelera de reciclaje.
Archivo o carpeta analiza el archivo o la carpeta especificados.
Registro Analiza las claves y los valores de Registro.
Véase también

3
McAfee GTI
Activa y configura los ajustes de McAfee GTI (Global Threat Intelligence).
Tabla 3-20 Opciones
Activar Activa y desactiva las comprobaciones heurísticas.
McAfee GTI
• Cuando se ha activado, se envían huellas digitales de muestras, o hashes, a
McAfee Labs para determinar si se trata de malware. Al enviar hashes, la
detección podría estar disponible antes que la próxima publicación de
archivos de AMCore content, cuando McAfee Labs publique la actualización.
• Cuando se desactiva, no se envían huellas digitales ni datos a McAfee Labs.
Nivel de Configura el nivel de sensibilidad que se debe utilizar para determinar si una
sensibilidad muestra detectada es malware.
Cuanto mayor sea el nivel de sensibilidad, mayor será el número de
detecciones de malware. Sin embargo, al permitirse más detecciones también
puede que se obtengan más resultados de falsos positivos.
Muy bajo Las detecciones y el riesgo de falsos positivos son los mismos que con archivos
de contenido de AMCore normales. Puede disponer de una detección para
Prevención de amenazas cuando McAfee Labs la publique en lugar en la
siguiente actualización de archivos de AMCore Content.
Utilice esta configuración para los equipos de sobremesa y servidores con
derechos de usuario restringidos y fuertes configuraciones de seguridad.
Esta configuración da lugar a una media de entre 10 y 15 consultas al día por
equipo.
Baja Esta configuración es la recomendación mínima para portátiles o equipos de

escritorio y servidores con fuertes configuraciones de seguridad.
equipo.
Media Utilice esta configuración cuando el riesgo normal de exposición a malware sea
superior al riesgo de un falso positivo. Las comprobaciones heurísticas
propietarias de McAfee Labs generan detecciones que probablemente son
malware. No obstante, algunas detecciones podrían producir un falso positivo.
Con esta configuración, McAfee Labs comprueba que las aplicaciones y los
archivos del sistema operativo conocidos no produzcan falsos positivos.
Esta configuración es la recomendación mínima para portátiles, equipos de
sobremesa y servidores.
equipo.
Alta Utilice esta configuración para el despliegue en sistemas o áreas que se

infectan con frecuencia.
equipo.
Muy alto Utilice esta configuración en volúmenes que no contengan sistemas operativos.
Las detecciones que se encuentran con este nivel son supuestamente
maliciosas, pero no se han comprobado completamente para determinar si son
falsos positivos.
Utilice esta configuración únicamente para analizar volúmenes y directorios que
no admitan la ejecución de programas ni sistemas operativos.
equipo.

3
Véase también
Prevención de amenazas: Análisis en tiempo real en la página 116
Control web: Opciones en la página 173
Acciones
Especifica cómo responde el analizador cuando detecta una amenaza.
Tabla 3-21 Opciones

Sección Opción Definición Tipo de análisis
Análisis en Análisis bajo
tiempo real demanda
Primera respuesta Especifica la primera acción que debe realizar el analizador al detectar
al detectar una una amenaza.
amenaza
Negar el Impide que los usuarios accedan
acceso a los a archivos con amenazas
archivos potenciales.
Continuar con Continúa con el análisis de
el análisis archivos cuando se detecta una
amenaza. El analizador no pone
elementos en cuarentena.
Limpiar Quita la amenaza del archivo
archivos detectado, si es posible.
Eliminar Elimina los archivos con
archivos amenazas potenciales.
Si la primera Especifica la acción que desea que realice el analizador al detectarse
respuesta falla una amenaza si la primera acción no resuelve el problema.
Eliminar Elimina los archivos con
archivos amenazas potenciales.
Primera respuesta Especifica la primera acción que el analizador debe realizar al
al detectar detectarse un programa potencialmente no deseado.
programa no Esta opción solo está disponible si se ha seleccionado Detectar programas
deseado no deseados.

Permitir el Permite que los usuarios accedan

3

Análisis en Análisis bajo
tiempo real demanda
Limpiar Quita la amenaza del archivo de
archivos programa potencialmente no
deseado, si es posible.
Eliminar Quita archivos de programas
archivos potencialmente no deseados.
Si la primera Especifica la acción que el analizador debe realizar al detectarse un
respuesta falla programa potencialmente no deseado si la primera acción no resuelve
el problema.
Esta opción solo está disponible si se ha seleccionado Detectar programas
no deseados.

Permitir el Permite que los usuarios accedan
Eliminar Elimina automáticamente
archivos archivos de programas
potencialmente no deseados.
Véase también

Agregue o edite una definición de exclusión.
Tabla 3-22 Opciones
En tiempo Bajo
real demanda
Qué excluir Especifica el tipo de exclusión y los detalles de la misma.
Ruta o nombre de Especifica el nombre de archivo o la ruta
archivo que se debe excluir.
La ruta del archivo puede incluir
caracteres comodín.
Para excluir una carpeta en

sistemas Windows, agregue una
barra invertida (\) al final de la
ruta.
Seleccione Excluir también subcarpetas si es

necesario.

3

En tiempo Bajo
real demanda
Tipo de archivo Especifica tipos de archivo (extensiones
de archivo) que excluir.
Antigüedad del Especifica el tipo de acceso (Modificación,
archivo Con acceso [solo Análisis bajo demanda] o
Creación) de los archivos que excluir y la
Antigüedad mínima en días.
Cuándo Especifica cuándo excluir el elemento seleccionado.
excluir
Al escribir o leer Excluye del análisis cuando los archivos
del disco se escriban o lean en el disco u otro
dispositivo de almacenamiento de datos.
Al leer el disco Excluye del análisis cuando los archivos
se lean en el equipo u otro dispositivo
de almacenamiento de datos.
Al escribir en el Excluye del análisis cuando los archivos
disco se escriban o modifiquen en el disco u
otro dispositivo de almacenamiento de
datos.
Véase también
Caracteres comodín en exclusiones en la página 65
Configuración de exclusiones en la página 64
Prevención de amenazas: Opciones

Configure los parámetros que se aplican a la función Prevención de amenazas, como cuarentena,
programas potencialmente no deseados y exclusiones.
Esta sección solo incluye opciones avanzadas.

Administrador de Carpeta de Especifica la ubicación de la carpeta de cuarentena o acepta la
cuarentena cuarentena ubicación predeterminada:
c:\Quarantine
La carpeta de cuarentena tiene un límite de 190 caracteres.
Especificar el Especifica el número de días (entre 1 y 999) que se guardan los

número máximo de elementos en cuarentena antes de eliminarlos automáticamente.
días que se El valor predeterminado es 30 días.
guardarán los datos
en cuarentena

3

Exclusiones por Excluir estos Especifica exclusiones de detección por nombre de detección.
nombre de nombres de Por ejemplo, para especificar que los analizadores en tiempo real
detección detección y bajo demanda no detecten amenazas de Comprobación de
instalación, introduzca Comprobación de instalación.
Agregar : agrega un nombre de detección a la lista de exclusiones.
Haga clic en Agregar; a continuación, introduzca el nombre de
detección.
Hacer doble clic en un elemento: Modifica el elemento
seleccionado.
Eliminar : quita un nombre de detección de la lista de exclusión.
Seleccione el nombre y, después, haga clic en Eliminar.
Detecciones de Excluir los Especifica los archivos o programas individuales que se

programas programas no consideran programas potencialmente no deseados.
potencialmente no deseados
deseados personalizados Los analizadores detectan tanto los programas que especifique
como los especificados en los archivos de AMCore content.
El analizador no detecta un programa no deseado de cero bytes

definido por el usuario.
• Agregar: define un programa no deseado personalizado.
Haga clic en Agregar, introduzca el nombre y pulse la tecla Tab
para introducir la descripción.
• Nombre: especifica el nombre de archivo del programa
potencialmente no deseado.
• Descripción: especifica la información que se mostrará como
nombre de detección cuando se produzca una detección.
seleccionado.
• Eliminar: quita de la lista un programa potencialmente no
deseado.
Seleccione el programa de la lista y haga clic en Eliminar.
Análisis proactivo Envía datos de uso y diagnóstico anónimos a McAfee.

de datos
Comentarios sobre Permite los comentarios de telemetría relacionados con McAfee
McAfee GTI GTI para recopilar datos anónimos de archivos y procesos que se
ejecutan en el sistema cliente.

3

Comprobación Efectúa una comprobación de la salud del sistema cliente antes y
regular de la después de las actualizaciones de archivos de AMCore Content,
seguridad así como a intervalos regulares, y envía los resultados a McAfee.
Los resultados se cifran y se envían a McAfee mediante SSL. A
continuación, McAfee agrega y analiza los datos de estos informes
para identificar anomalías que pudieran suponer problemas
potenciales relativos al contenido. La identificación precoz de
dichos problemas es fundamental para proporcionar la contención
y la corrección oportunas.
Comprobación regular de la seguridad recopila los tipos de datos
siguientes:
• Versión del sistema operativo y configuración regional
• Versión del producto de McAfee
• Versión del motor y de AMCore Content
• Información de procesos de ejecución de McAfee y Microsoft
Reputación de Efectúa una búsqueda de reputación de McAfee GTI en el archivo

AMCore Content de AMCore Content antes de actualizar el sistema cliente.
• Si McAfee GTI permite el acceso al archivo, Endpoint Security
actualiza AMCore Content.
• Si McAfee GTI no permite el acceso al archivo, Endpoint
Security no actualiza AMCore Content.
Véase también
Revertir contenido de AMCore

Cambia AMCore content a una versión anterior.
Las actualizaciones de contenido de Prevención de exploits no se pueden revertir.
Opción Definición
Seleccione la versión Especifica el número de versión de un archivo de AMCore content anterior que
que cargar hay que cargar.
Endpoint Security conserva las dos versiones previas en el sistema cliente.
Cuando cambia a una versión anterior, Endpoint Security elimina la versión actual
de AMCore content del sistema.
Véase también
Cambio de la versión de AMCore content en la página 28

3

4 Uso de Firewall
Firewall actúa como filtro entre su equipo y la red o Internet.
Contenido
Cómo funciona Firewall
Activación y desactivación de Firewall en el icono de la bandeja del sistema de McAfee
Activación o visualización de los grupos sincronizados de Firewall mediante el icono de la bandeja
Administrar Firewall
Referencia de la interfaz del Cliente de Endpoint Security: Firewall
Cómo funciona Firewall

El Firewall analiza todo el tráfico entrante y saliente.
A medida que revisa el tráfico entrante o saliente, el Firewall comprueba su lista de reglas, que es un
conjunto de criterios con acciones asociadas. Si el tráfico coincide con todos los criterios de una regla,
el Firewall actúa de acuerdo con dicha regla, bloqueando o permitiendo el tráfico a través de Firewall.
La información sobre detecciones de amenazas se guarda para crear informes que notifican al
administrador sobre cualquier problema de seguridad relativo al equipo.
Las opciones y reglas de Firewall definen cómo funciona el Firewall. Los grupos de reglas organizan las
reglas de firewall para una administración más fácil.
Si el Modo de interfaz cliente se establece en Acceso total o ha iniciado sesión como administrador,
puede configurar las reglas y grupos mediante Cliente de Endpoint Security. Para los sistemas
gestionados, las reglas o grupos que cree podrían sobrescribirse cuando el administrador despliegue
una directiva actualizada.
Véase también
Configurar opciones deFirewall en la página 135
Cómo funcionan las reglas de firewall en la página 139
Cómo funcionan los grupos de reglas de firewall en la página 141
Activación y desactivación de Firewall en el icono de la bandeja

Según la configuración definida, puede activar o desactivar el Firewall en el icono de la bandeja del
sistema de McAfee.
Estas opciones podrían no estar disponibles, dependiendo de cómo se haya definido la configuración.

4
Uso de Firewall
Activación o visualización de los grupos sincronizados de Firewall mediante el icono de la bandeja del sistema de McAfee
Procedimiento
• Haga clic con el botón derecho en el icono de la bandeja del sistema de McAfee y seleccione
Desactivar Firewall de Endpoint Security una opción del menú Configuración rápida.
Si el Firewall está activado, la opción es Desactivar Firewall de Endpoint Security.
Dependiendo de la configuración, es posible que deba proporcionar un motivo al administrador para
desactivar el Firewall.
Activación o visualización de los grupos sincronizados de

Firewall mediante el icono de la bandeja del sistema de McAfee
Active, desactive o visualice los grupos sincronizados de Firewall mediante el icono de la bandeja del
sistema de McAfee.
Estas opciones podrían no estar disponibles, dependiendo de cómo se haya definido la configuración.
Procedimiento
• Haga clic con el botón derecho en el icono de la bandeja del sistema de McAfee y seleccione una
opción del menú Configuración rápida.
• Activar grupos sincronizados de firewall: Activa los grupos sincronizados durante un período
determinado para permitir el acceso a Internet antes de que se apliquen las reglas que
restringen el acceso. Cuando los grupos sincronizados están activados, la que se muestra es
Desactivar grupos sincronizados de firewall.
Cada vez que selecciona esta opción, se restablece el tiempo asignado a los grupos.
Dependiendo de la configuración, es posible que se le pida que proporcione al administrador un

motivo para activar los grupos sincronizados.
• Ver grupos sincronizados de firewall: muestra los nombres de los grupos sincronizados y el tiempo
restante de activación de cada grupo.
Información acerca de los grupos sincronizados

Los grupos sincronizados son grupos de reglas de Firewall que se activan por un periodo de tiempo
establecido.
Por ejemplo, se puede activar un grupo sincronizado para permitir que un sistema cliente se conecte a
una red pública y establezca una conexión VPN.
Dependiendo de la configuración de la , se pueden activar los grupos:
• En una planificación específica.
• De forma manual, seleccionando las opciones del icono de la bandeja del sistema de McAfee.
Como administrador, puede configurar las opciones de Firewall y crear reglas y grupos en Cliente de
Endpoint Security.

4
Uso de Firewall
Modificar opciones de Firewall

Como administrador, puede modificar las opciones de Firewall desde el Cliente de Endpoint Security.
Procedimientos
• Configurar opciones deFirewall en la página 135
Configure los parámetros en Opciones active o desactive la protección por firewall, active el
modo de adaptación y configure otras opciones de Firewall.
• Bloqueo del tráfico DNS en la página 136
Para ajustar la protección por firewall, puede crear una lista de nombres de dominio
completos que desee bloquear. Firewall bloquea las conexiones a las direcciones IP que se
resuelven en los nombres de dominio.
• Definir redes para usar en reglas y grupos en la página 137
Establezca las direcciones de red, las subredes o los intervalos que usar en las reglas y los
grupos. También puede especificar las redes que son de confianza.
• Configuración de ejecutables de confianza en la página 138
Defina o edite la lista de ejecutables de confianza que se consideren seguros para su
entorno.
Véase también
Preguntas frecuentes: McAfee GTI y Firewall en la página 136
Configurar opciones deFirewall

Configure los parámetros en Opciones active o desactive la protección por firewall, active el modo de
adaptación y configure otras opciones de Firewall.
Antes de empezar
Procedimiento
2 Haga clic en Firewall en la página Estado principal.
O, en el menú Acción , seleccione Configuración y, a continuación, haga clic en Firewall en la página

Configuración.
3 Seleccione Activar Firewall para activarlo y modificar sus opciones.
10.5. Si el Firewall de McAfee Host IPS está instalado y activado, se desactiva el Firewall de
Endpoint Security aunque esté activado en la configuración de la directiva.
Véase también

4
Uso de Firewall
Bloqueo del tráfico DNS

Para ajustar la protección por firewall, puede crear una lista de nombres de dominio completos que
desee bloquear. Firewall bloquea las conexiones a las direcciones IP que se resuelven en los nombres
de dominio.
Antes de empezar
Procedimiento
O bien en el menú Acción , seleccione Configuración y, a continuación, haga clic en Firewall en la

página Configuración.
3 En Bloqueo de DNS, haga clic en Agregar.
4 Introduzca los nombres de dominio completos que desea bloquear y haga clic en Guardar.
Puede usar los caracteres comodín * y ?. Por ejemplo, *dominio.com.
Las entradas duplicadas se eliminan automáticamente.
5 Haga clic en Guardar.
Preguntas frecuentes: McAfee GTI y Firewall

A continuación se incluyen las respuestas a las preguntas más frecuentes.
La configuración de las Opciones de Firewall le permite bloquear el tráfico entrante y saliente de una
conexión de red que McAfee GTI haya clasificado como de alto riesgo. Estas preguntas frecuentes
explican qué hace McAfee GTI y cómo afecta al firewall.
¿Qué es McAfee GTI?

McAfee GTI es un sistema global de información sobre reputación de Internet que determina qué
es un buen comportamiento y un mal comportamiento en Internet. McAfee GTI usa análisis en
tiempo real de patrones mundiales de comportamiento y envío con respecto al correo
electrónico, la actividad web, el malware y el comportamiento de sistema a sistema. Mediante
los datos obtenidos del análisis, McAfee GTI calcula de forma dinámica las puntuaciones de
reputación que representan el nivel de riesgo para su red cuando visita una página web. El
resultado es una base de datos de puntuaciones de reputación para direcciones IP, dominios,
mensajes específicos, URL e imágenes.
¿Cómo funciona McAfee GTI con Firewall?

Al seleccionar las opciones de McAfee GTI, se crean dos reglas de firewall: McAfee GTI : Permitir
servicio Endpoint Security Firewall y McAfee GTI : Obtener calificación. La primera regla permite una conexión
a McAfee GTI, y la segunda bloquea o permite el tráfico según la reputación de la conexión y el
umbral de bloqueo configurado.
¿Qué quiere decir "reputación"?

4
Uso de Firewall
Por cada dirección IP de Internet, McAfee GTI calcula un valor de reputación. McAfee GTI basa
este valor en el comportamiento de alojamiento o envío y en diversos datos de entorno
recopilados de los clientes y partners en relación con el estado del panorama de amenazas en
Internet. La reputación se expresa con cuatro clases que se basan en nuestro análisis:
• No bloquear (riesgo mínimo): se trata de un origen o destino legítimos de contenido/tráfico.
• Riesgo alto: este origen/destino envía o alberga contenido/tráfico potencialmente malicioso que
McAfee considera de riesgo.
• Riesgo medio: este origen/destino muestra un comportamiento que McAfee considera

sospechoso. Cualquier contenido/tráfico procedente del sitio web requiere un escrutinio
especial.
• Sin verificar: este sitio web parece ser una fuente o un destino legítimo de contenido/tráfico,
pero también muestra algunas propiedades que sugieren la necesidad de una inspección
adicional.
¿McAfee GTI provoca alguna latencia? ¿Cuánta?

Cuando se contacta con McAfee GTI para que realice una búsqueda de reputación, algo de
latencia es inevitable. McAfee ha hecho todo lo posible para minimizarla. McAfee GTI:
• Comprueba las reputaciones solo cuando se seleccionan las opciones.
• Utiliza una arquitectura de almacenamiento en caché inteligente. Con los patrones de uso
normal de la red, la mayoría de las conexiones más importantes se resuelven mediante la
caché, sin una consulta de reputación activa.
Si el firewall no puede conectar con los servidores de McAfee GTI, ¿el tráfico se detiene?
Si el firewall no puede conectar con ninguno de los servidores de McAfee GTI, asigna
automáticamente a todas las conexiones aplicables una reputación predeterminada para
permitirlas. A continuación, el firewall sigue con un análisis de las reglas posteriores.
Definir redes para usar en reglas y grupos

Establezca las direcciones de red, las subredes o los intervalos que usar en las reglas y los grupos.
También puede especificar las redes que son de confianza.
Antes de empezar
Procedimiento


4
Uso de Firewall
4 En Redes definidas, realice cualquiera de las siguientes acciones:
Para... Pasos
Definir una nueva Haga clic en Agregar e introduzca la información de la red de confianza.
red. Para definir la red como de confianza, seleccione Sí en el menú desplegable
De confianza.
Si selecciona No, la red se define para su uso en reglas y grupos, pero el
tráfico entrante y saliente de la red no se considera de confianza
automáticamente.
Cambiar una En cada columna, haga doble clic en el elemento y, a continuación,

definición de red. introduzca la nueva información.
Eliminar una red. Seleccione una fila y haga clic en Eliminar.
Acerca de las redes de confianza

Las redes de confianza son las direcciones IP, intervalos de direcciones IP y subredes que su
organización considera seguras.
Al definir una red como de confianza, se crea una regla bidireccional Permitir para dicha red remota en
la primera posición de la lista de reglas de Firewall.
Una vez definidas, puede crear reglas de firewall que se aplicarán a estas redes de confianza. Las
redes de confianza también funcionan como excepciones a McAfee GTI en el firewall.
Práctica recomendada: Al añadir redes a las reglas o grupos de Firewall, seleccione Redes definidas en
el Tipo de red al que quiere aplicar esta función.
Configuración de ejecutables de confianza

Defina o edite la lista de ejecutables de confianza que se consideren seguros para su entorno.
Antes de empezar
Procedimiento


4
Uso de Firewall
4 En Ejecutables de confianza, realice cualquiera de las siguientes acciones:

Para... Pasos
Definir un ejecutable de Haga clic en Agregar y, a continuación, introduzca la información
confianza nuevo. del ejecutable.
Cambiar una definición de En cada columna, haga doble clic en el elemento y, a
ejecutable. continuación, introduzca la nueva información.
Eliminar un ejecutable. Seleccione una fila y haga clic en Eliminar.
A cerca de aplicaciones y ejecutables de confianza

Los ejecutables de confianza son archivos ejecutables que no tienen vulnerabilidades conocidas y se
consideran seguros.
Al configurar un ejecutable de confianza, se crea una regla bidireccional Permitir para dicho ejecutable
en la primera posición de la lista de reglas de Firewall.
Mantener una lista de ejecutables seguros en un sistema reduce o elimina la mayoría de los falsos
positivos. Por ejemplo, cuando se ejecuta una aplicación de copias de seguridad, pueden darse
muchos eventos de falsos positivos. Para evitar que se produzcan falsos positivos, convierta la
aplicación de copias de seguridad en un ejecutable de confianza.
Un ejecutable de confianza puede sufrir vulnerabilidades comunes como desbordamiento del búfer y uso
ilegal. Por lo tanto, Firewall supervisa los ejecutables de confianza y puede desencadenar eventos para
prevenir exploits.
El Catálogo de Firewall contiene tanto ejecutables como aplicaciones. Los ejecutables del catálogo se
pueden asociar a una aplicación contenedora. Puede agregar ejecutables y aplicaciones del catálogo a
la lista de ejecutables de confianza. Una vez definidos, puede hacer referencia a los ejecutables en
reglas y grupos.
Administración de directivas y grupos de Firewall

Como administrador, puede configurar las reglas y grupos de Firewall desde Cliente de Endpoint
Security.
Procedimientos
• Creación y administración de directivas y grupos de Firewall en la página 145
Para los sistemas gestionados, las reglas o grupos que configure desde Cliente de Endpoint
Security podrían sobrescribirse cuando el administrador despliegue una directiva
actualizada.
• Creación de grupos de aislamiento de conexión en la página 147
Cree un grupo de reglas de firewall de aislamiento de conexión para establecer un conjunto
de reglas que se apliquen solo cuando se conecta a una red con unos parámetros
determinados.
• Creación de grupos sincronizados en la página 148
Cree grupos sincronizados de Firewall para restringir el acceso a Internet hasta que un
sistema cliente se conecte a través de una conexión VPN.
Cómo funcionan las reglas de firewall

Las reglas de Firewall determinan cómo se debe gestionar el tráfico de red. Cada regla ofrece un
conjunto de condiciones que el tráfico debe cumplir así como una acción para permitir o bloquear el
tráfico.
Cuando Firewall encuentra tráfico que coincide con las condiciones de una regla, realiza la acción
asociada.

4
Uso de Firewall
Puede definir las reglas de manera amplia (por ejemplo, todo el tráfico IP) o de manera estricta (por
ejemplo, mediante la identificación de una aplicación o servicio concretos) y especificar opciones.
Puede agrupar reglas de acuerdo con una función de trabajo, un servicio o una aplicación, para así
facilitar la gestión. Al igual que las reglas, los grupos de reglas pueden definirse por opciones de red,
transporte, aplicación, programa y localización.
Firewall usa la prioridad para aplicar reglas:
1 Firewall aplica la regla situada en primera posición en la lista de reglas de firewall.

Si el tráfico cumple con las condiciones de la regla, Firewall permite o bloquea el tráfico. No intenta
aplicar ninguna otra regla de la lista.
2 No obstante, si el tráfico no cumple las condiciones de la primera regla, Firewall pasa a la siguiente
regla de la lista hasta que encuentre una regla que coincida con el tráfico.
3 Si no se da ninguna coincidencia de regla, el firewall bloquea el tráfico automáticamente.
Si se ha activado el modo de adaptación, se crea una regla de permiso para el tráfico. A veces, el
tráfico interceptado coincide con más de una regla de la lista. Si es así, la prioridad hace que Firewall
aplique solo la primera regla coincidente de la lista.
Recomendaciones
Coloque las reglas más específicas al principio de la lista y las reglas más generales al final. Este orden
asegura que Firewall filtra el tráfico adecuadamente.

4
Uso de Firewall
Por ejemplo, para permitir las solicitudes HTTP, excepto de una dirección específica (por ejemplo, la
dirección IP 10.10.10.1), cree dos reglas:
• Regla de bloqueo: bloquea el tráfico HTTP desde la dirección IP 10.10.10.1. Esta regla es
específica.
• Regla de permiso: permite todo el tráfico que utiliza el servicio HTTP. Esta regla es más general.
Coloque la regla de bloqueo, más específica, en una posición más alta en la lista de reglas de firewall
que la regla de permiso, más general. Así, cuando el firewall intercepta una solicitud de HTTP desde la
dirección 10.10.10.1, la primera regla coincidente que encuentra es la que bloquea este tráfico a
través del firewall.
Si colocó la regla de permiso en una posición superior a la de la regla de bloqueo, Firewall encontraría
una coincidencia de la solicitud HTTP con la regla de permiso antes de poder encontrar la regla de
bloqueo. Permitiría el tráfico, aunque lo que el usuario deseara fuera bloquear las solicitudes HTTP
provenientes de una dirección específica.
Cómo funcionan los grupos de reglas de firewall

Utilice los grupos de reglas de Firewall para organizar las reglas de firewall y facilitar así la
administración. Los grupos de reglas de Firewall no afectan a la forma en que Firewall trata las reglas
incluidas en ellos; Firewall sigue procesando las reglas de arriba a abajo.
Firewall procesa la configuración para el grupo antes de procesar la configuración para las reglas que
contiene. Si existe un conflicto entre estas configuraciones, la del grupo tiene prioridad.
Hacer que los grupos detecten la ubicación

Firewall permite hacer que las reglas de un grupo detecten la ubicación y crear aislamiento de
conexión. Las opciones del grupo Ubicación y Opciones de red permiten hacer que los grupos detecten
el adaptador de red. Use grupos de adaptador de red para aplicar reglas específicas de adaptador para
equipos con múltiples interfaces de red. Tras activar el estado de la localización y ponerle un nombre,
los parámetros para las conexiones permitidas pueden incluir cualquiera de las opciones siguientes
para cada adaptador de red:
Ubicación:
• Requerir el acceso a McAfee ePO • Dirección IP de Servidor WINS principal
• Sufijo DNS específico de conexión • Dirección IP de Servidor WINS secundario
• Dirección IP de Gateway predeterminada • Posibilidad de alcance del dominio (HTTPS)
• Dirección IP de Servidor DHCP • Clave de Registro
• Servidor DNS consultado para resolver las

URL
Redes:
• Dirección IP de Red local
• Tipos de conexión
Si dos grupos que detectan la ubicación se aplican a una conexión, Firewall utiliza la prioridad normal
y procesa el primer grupo aplicable de su lista de reglas. Si no hay ninguna regla que coincida en el
primer grupo, prosigue con el procesamiento de la regla.

4
Uso de Firewall
Cuando Firewall encuentra una coincidencia entre los parámetros de un grupo para localización y una
conexión activa, aplica las reglas incluidas en el grupo. Tratará las reglas como un conjunto pequeño
de reglas y usará la prioridad normal. Si algunas de las reglas no coinciden con el tráfico interceptado,
el firewall las omite.
Si esta opción está Entonces...

seleccionada...
Activar detección de ubicación Se requiere un nombre de localización.
Requerir el acceso a McAfee El servidor de McAfee ePO es accesible y se ha resuelto el nombre de
ePO dominio completo del servidor.
Red local La dirección IP del adaptador debe coincidir con una de las entradas
de la lista.
Sufijo DNS específico de El sufijo DNS del adaptador debe coincidir con una de las entradas
conexión de la lista.
Gateway predeterminada La dirección IP de gateway predeterminada del adaptador debe
coincidir al menos con una de las entradas de la lista.
Servidor DHCP La dirección IP del servidor DHCP del adaptador debe coincidir al
menos con una de las entradas de la lista.
Servidor DNS La dirección IP del servidor DNS del adaptador debe coincidir con
cualquiera de las entradas de la lista.
Servidor WINS principal La dirección IP del servidor WINS principal del adaptador debe
Servidor WINS secundario La dirección IP del servidor WINS secundario del adaptador debe
Posibilidad de alcance del El dominio especificado debe ser accesible mediante HTTPS.
dominio (HTTPS)
Grupos de reglas y aislamiento de conexión de Firewall

Use el aislamiento de conexión para grupos para evitar que el tráfico no deseado acceda a una red
designada.
Cuando se activa el aislamiento de conexión para un grupo, y una tarjeta de interfaz de red (NIC)
activa coincide con los criterios del grupo, Firewall solo procesará el tráfico que coincida con:
• Permitir reglas anteriores al grupo en la lista de reglas de firewall
• Criterios de grupo
El resto del tráfico se bloquea.
Los grupos con el aislamiento de conexión activado no pueden tener asociadas opciones de transporte
ni ejecutables.

4
Uso de Firewall
Como ejemplos de uso de la opción de aislamiento de conexión, considere dos configuraciones: un

entorno corporativo y un hotel. La lista de reglas activas del firewall incluye reglas y grupos en este
orden:
1 Reglas para una conexión básica
2 Reglas para una conexión VPN
3 Grupo con reglas de conexión de LAN corporativa
4 Grupo con reglas de conexión VPN

4
Uso de Firewall
Ejemplo: aislamiento de conexión en la red corporativa

Las reglas de conexión se procesan hasta que se encuentra el grupo con reglas de conexión de LAN
corporativa. Este grupo contiene esta configuración:
• Tipo de conexión = con cable
• Sufijo DNS específico de conexión: mycompany.com
• Gateway predeterminada
• Aislamiento de conexión = Activado
El equipo tiene adaptadores de red LAN e inalámbrica. El equipo se conecta a la red corporativa con
una conexión con cable. Sin embargo, la interfaz inalámbrica sigue estando activa, de modo que se
conecta a otro hotspot fuera de la oficina. El equipo se conecta a ambas redes porque las reglas de
acceso básico están entre las primeras de la lista de reglas de firewall. La conexión LAN con cable está
activa y cumple los criterios del grupo de la LAN corporativa. El firewall procesa el tráfico a través de
LAN, pero debido a que la opción de aislamiento de conexión está activada, el resto del tráfico que no
pasa por la LAN queda bloqueado.
Ejemplo: aislamiento de conexión en un hotel

Las reglas de conexión se procesan hasta que se encuentra el grupo con reglas de conexión VPN. Este
grupo contiene esta configuración:
• Tipo de conexión = virtual
• Sufijo DNS específico de conexión: vpn.mycompany.com
• Dirección IP: una dirección en un intervalo específico para el concentrador VPN
• Aislamiento de conexión = Activado
Las reglas de conexión general permiten configurar una cuenta basada en tiempos en el hotel para
poder acceder a Internet. Las reglas de conexión de VPN permiten la conexión y el uso del túnel VPN.
Después de establecer el túnel, el cliente VPN crea un adaptador virtual que coincide con los criterios
del grupo de VPN. El único tráfico que el firewall permite es el del interior del túnel VPN y el tráfico
básico del adaptador actual. Se bloquean los intentos de otros huéspedes del hotel de acceder al
equipo a través de la red, ya sea por cable o de forma inalámbrica.
Grupos de reglas de firewall predefinidos

Firewall incluye varios grupos de reglas predefinidos.
Grupo de Firewall Descripción

Redes principales de Contiene las reglas de redes principales proporcionadas por McAfee e incluye
McAfee reglas para admitir DNS y aplicaciones de McAfee.
Estas reglas no se pueden modificar ni eliminar. Se puede desactivar el grupo

en las Firewall de firewall, pero hacerlo podría deteriorar las comunicaciones de
red en el cliente.
Agregado por Contiene reglas definidas por el administrador en el servidor de administración.

administrador
Estas reglas no se pueden modificar ni eliminar en Cliente de Endpoint Security.
Agregado por usuario Contiene reglas definidas en Cliente de Endpoint Security.
Dependiendo de la configuración de directiva, estas reglas podrían

sobrescribirse al implementarse la directiva.

4
Uso de Firewall
Grupo de Firewall Descripción

Adaptación Contiene reglas de excepciones de cliente que se crean automáticamente
cuando el sistema está en modo de adaptación.
Dependiendo de la configuración de directiva, estas reglas podrían

sobrescribirse al implementarse la directiva.
Predeterminado Contiene reglas predeterminadas proporcionadas por McAfee.
Estas reglas no se pueden modificar ni eliminar.
Creación y administración de directivas y grupos de Firewall

Para los sistemas gestionados, las reglas o grupos que configure desde Cliente de Endpoint Security
podrían sobrescribirse cuando el administrador despliegue una directiva actualizada.
Antes de empezar
Los grupos y reglas aparecen en orden de prioridad en la tabla Reglas de Firewall. No puede ordenar las
reglas por columna.
Procedimiento

3 Use estas tareas para gestionar reglas y grupos de firewall.
Para hacer esto... Siga estos pasos

Vea las reglas en un grupo del Haga clic en .
firewall.
Contraiga un grupo de firewall. Haga clic en .
Modificar una regla existente. 1 Expandir el grupo Agregado por usuario.
Puede modificar las reglas 2 Haga doble clic en la regla.

solo en el grupo Agregado por
el usuario. 3 Cambie la configuración de reglas.
4 Haga clic en Aceptar para guardar los cambios.
Ver una regla existente en 1 Expanda el grupo.

cualquier grupo.
2 Seleccione la regla para ver sus detalles en el panel inferior.

4
Uso de Firewall
Para hacer esto... Siga estos pasos

Crear una regla. 1 Haga clic en Agregar regla.
2 Especifique la configuración de reglas.

La regla aparece al final del grupo Agregado por el usuario.
Crear copias de reglas. 1 Seleccione la regla o reglas y haga clic en Duplicar.

Las reglas copiadas aparecen con el mismo nombre al final
del grupo Agregado por el usuario.
2 Modificar las reglas para cambiar el nombre y la
configuración.
Eliminar reglas. 1 Expanda el grupo.
Puede eliminar reglas solo 2 Seleccione la regla o reglas y haga clic en Eliminar.
desde los grupos Agregado por
el usuario y Adaptación.
Crear un grupo. 1 Haga clic en Agregar grupo.
2 Especifique la configuración del grupo.

El grupo aparece en el grupo Agregado por el usuario.
Mover reglas y grupos dentro y Para mover elementos:

entre grupos.
1 Seleccione los elementos que mover.
Puede modificar las reglas y
El control de ajuste aparece a la izquierda de los
grupos solo en el grupo
elementos que puedan moverse.
Agregado por el usuario.
2 Arrastre y coloque los elementos en su nueva ubicación.
Una línea azul aparece entre elementos allí donde pueda
colocar los elementos arrastrados.
Véase también
Caracteres comodín en reglas de firewall en la página 146
Creación de grupos de aislamiento de conexión en la página 147
Caracteres comodín en reglas de firewall

Puede usar caracteres comodín para representar caracteres para algunos valores en las reglas de
firewall.
Caracteres comodín en valores de ruta y dirección

Para las rutas de archivos, las claves de Registro, los ejecutables y las URL, use los siguientes
Las rutas de las claves de Registro para las localizaciones de los grupos de firewall no reconocen los
valores de los comodines.

4
Uso de Firewall
? Signo de interrogación Un solo carácter.

* Asterisco Múltiples caracteres, incluyendo barras (/) y barras invertidas (\). Utilice
este carácter para hacer coincidir los contenidos del nivel raíz de una
carpeta sin subcarpetas.
** Doble asterisco Múltiples caracteres, incluyendo barras (/) y barras invertidas (\).
| canalización Escape de caracteres comodín.
Para el asterisco doble (**), el escape es |*|*.
Caracteres comodín en todos los demás valores

Para los valores que normalmente no contienen información de ruta con barras, use los siguientes
? Signo de interrogación Un solo carácter.

* Asterisco Múltiples caracteres, incluyendo barras (/) y barras invertidas (\).
| canalización Escape de caracteres comodín.
Creación de grupos de aislamiento de conexión

Cree un grupo de reglas de firewall de aislamiento de conexión para establecer un conjunto de reglas
que se apliquen solo cuando se conecta a una red con unos parámetros determinados.
Antes de empezar
Procedimiento

3 En REGLAS, haga clic en Agregar grupo.
4 En Descripción, especifique las opciones para el grupo.
5 En Ubicación, seleccione Activar detección de ubicación y Activar aislamiento de conexión. A continuación,

seleccione los criterios de ubicación para la búsqueda de coincidencias.
6 Bajo Redes, para Tipos de conexión, seleccione el tipo de conexión (Con cable, Inalámbrica o Virtual) para
aplicar a las reglas de este grupo.
La configuración de Transporte y Ejecutables no está disponible para grupos de aislamiento de conexión.
7 Haga clic en Aceptar.

4
Uso de Firewall
8 Cree reglas nuevas dentro de este grupo, o mueva las reglas existentes a él desde la lista de reglas
de firewall.
Véase también
Grupos de reglas y aislamiento de conexión de Firewall en la página 142
Cómo funcionan los grupos de reglas de firewall en la página 141
Creación de grupos sincronizados

Cree grupos sincronizados de Firewall para restringir el acceso a Internet hasta que un sistema cliente
se conecte a través de una conexión VPN.
Procedimiento

3 Cree un grupo deFirewall con una configuración predeterminada que permita la conexión a
Internet.
Por ejemplo, puede permitir el tráfico HTTP en el puerto 80.
4 En la sección Planificación, seleccione la forma de activar el grupo.

• Activar planificación: especifica la hora de inicio y de finalización del grupo que se va a activar.
• Desactivar la planificación y activar el grupo desde el icono de la bandeja del sistema de McAfee: permite que los
usuarios activen el grupo en la bandeja del sistema de McAfee y mantiene el grupo activado
durante un periodo de minutos concreto.
Si permite que los usuarios administren los grupos sincronizados, puede, de manera opcional,
solicitar que proporcionen una justificación antes de activar el grupo.
6 Cree un grupo de aislamiento de conexión correspondiente a la red VPN para permitir el tráfico
necesario.
Práctica recomendada: Para dejar tráfico saliente únicamente del grupo de aislamiento de la
conexión en el sistema cliente, no coloque reglas de Firewall bajo este grupo.
Véase también
Creación de grupos de aislamiento de conexión en la página 147

4
Uso de Firewall

Firewall
Contenido
Firewall: Opciones
Firewall: Reglas
Firewall: Opciones
Activa y desactiva el módulo de Firewall, establece las opciones de protección y defines las redes y los
ejecutables de confianza.
Para restablecer la configuración predeterminada de McAfee y cancelar los cambios, haga clic en
Restablecer a predeterminado.
10.5. Si el Firewall de McAfee Host IPS está instalado y activado, se desactiva el Firewall de Endpoint
Security aunque esté activado en la configuración de la directiva.
Tabla 4-1 Opciones

Activar Firewall Activa y desactiva el módulo Firewall.
Opciones de Permitir tráfico de Permite el tráfico que usa protocolos no admitidos. Si esta opción
protección protocolos está desactivada, todo el tráfico que use protocolos no admitidos se
incompatibles bloqueará.
Permitir tráfico saliente Permite el tráfico saliente, pero no el tráfico entrante, hasta que el
hasta que los servicios servicio Firewall se haya iniciado.
de firewall se hayan
iniciado Si se desactiva esta opción, Firewall permite todo el tráfico antes
de iniciar los servicios, lo que podría volver el sistema vulnerable.
Permitir tráfico Permite:

mediante puentes
• Paquetes entrantes si la dirección MAC de destino se encuentra
en el intervalo de dirección MAC de VM admitido y no en una
dirección MAC local del sistema.
• Paquetes salientes si la dirección MAC de origen se encuentra
en el intervalo de dirección MAC admitido y no en una dirección
MAC local del sistema.

4
Uso de Firewall

Activar alertas de Muestra las alertas automáticamente cuando Firewall detecta un
intrusión de firewall posible ataque.
Bloqueo de Nombre de dominio Define nombres de dominio a bloquear.
DNS Cuando se aplica, esta opción agrega una regla cerca de la parte
superior de las reglas de firewall que bloquea las conexiones a las
direcciones IP que se resuelven en los nombres de dominio.
• Agregar: agrega un nombre de dominio a la lista de bloqueados.
Separe los dominios entre sí con una coma (,) o un retorno de
carro.
Puede usar los caracteres comodín * y ?. Por ejemplo,
*dominio.com.
Las entradas duplicadas se eliminan automáticamente.
seleccionado.
• Eliminar: elimina el nombre de dominio seleccionado de la lista de
bloqueados.

Opciones de Activar el modo de Crea reglas automáticamente para permitir el tráfico.
ajuste adaptación
Procedimiento recomendado: Active el modo de adaptación
temporalmente solo en algunos sistemas mientras configura el
Firewall. La activación de este modo puede generar varias reglas de
cliente, que el servidor de McAfee ePO debe procesar, lo que afecta de
forma negativa al rendimiento.
Desactivar las reglas Desactiva las reglas de red integradas de McAfee (en el grupo de
de redes principales reglas Redes principales de McAfee).
de McAfee (Opción desactivada de forma predeterminada)
Activar esta opción podría deteriorar las comunicaciones de red en el

cliente.
Registrar todo el Registra todo el tráfico bloqueado en el registro de eventos de Firewall

tráfico bloqueado (FirewallEventMonitor.log) en el Cliente de Endpoint Security.
Registrar todo el Registra todo el tráfico permitido en el registro de eventos de Firewall

tráfico permitido (FirewallEventMonitor.log) en el Cliente de Endpoint Security.
Activar esta opción puede tener un efecto negativo en el rendimiento.

4
Uso de Firewall

Reputación de Tratar coincidencia El tráfico que coincide con la configuración del umbral de bloqueo de
red McAfee de McAfee GTI como McAfee GTI se trata como una intrusión. Al activar esta opción, se
GTI intrusión muestra una alerta, se envía un evento al servidor de administración y
se agrega el elemento al archivo de registro de Cliente de Endpoint
Security.
Todas las direcciones IP de una red de confianza quedan excluidas de
la búsqueda de McAfee GTI.
Registrar tráfico El tráfico que coincide con la configuración del umbral de bloqueo de
coincidente McAfee GTI se trata como una detección. Al activar esta opción, se
envía un evento al servidor de administración y se agrega el elemento
al archivo de registro de Cliente de Endpoint Security.
Todas las direcciones IP de una red de confianza quedan excluidas de
la búsqueda de McAfee GTI.
Bloquear todos los Bloquea todos los ejecutables que no están firmados o cuya
ejecutables no reputación de McAfee GTI es desconocida.
fiables
Umbral de Especifica el umbral de riesgo de McAfee GTI a partir del cual debe
reputación de red bloquearse el tráfico entrante o saliente desde una conexión de red.
entrante
• No bloquear: este sitio web es una fuente o un destino legítimo de
Umbral de contenido/tráfico.
reputación de red
saliente • Riesgo alto: este origen/destino envía o alberga contenido/tráfico
potencialmente malicioso que McAfee considera de riesgo.
• Riesgo medio: este origen/destino muestra un comportamiento que
McAfeeMcAfee considera sospechoso. Cualquier contenido/tráfico
procedente del sitio web requiere un escrutinio especial.
• Sin verificar: este sitio web parece ser una fuente o un destino legítimo
de contenido/tráfico, pero también muestra algunas propiedades
que sugieren la necesidad de una inspección adicional.
Firewall con Usar inspección de Permite rastrear conexiones FTP, de modo que solo se requiera una
seguimiento protocolo FTP regla de Firewall para el tráfico FTP de cliente saliente y el tráfico FTP
de estado de servidor entrante.
Si esta opción no está seleccionada, las conexiones FTP requerirán una
regla adicional para el tráfico FTP de cliente entrante y otra para el
tráfico FTP de servidor saliente.
Número de Especifica el tiempo en segundos durante el cual sigue activa una

segundos (1 a 240) conexión TCP no establecida si no se envían ni reciben más paquetes
antes de que la que coincidan con la conexión. El intervalo válido es de 1 a 240.
conexión TCP agote
el tiempo de espera
Número de Especifica el tiempo en segundos durante el cual sigue activa una
segundos (1 a 300) conexión virtual de eco UDP o ICMP si no se envían ni reciben más
antes de que las paquetes que coincidan con la conexión. Esta opción restablece el
conexiones virtuales valor configurado cada vez que se envía o recibe un paquete que
de eco UDP e ICMP coincide con la conexión virtual. El intervalo válido es de 1 a 300.
agoten el tiempo de
espera

4
Uso de Firewall

Redes Establece las direcciones de red, las subredes o los intervalos que usar
definidas en reglas y grupos.
• Agregar: Agrega una dirección de red, subred o intervalo a la lista de
redes definidas.
Haga clic en Agregar y rellene los campos de la fila para definir la red.
• Eliminar: elimina la dirección seleccionada de la lista de redes
definidas.
Tipo de dirección Especifica el tipo de dirección de la red por definir.

De confianza • Sí: Permite todo el tráfico de la red.
Al definir una red como de confianza, se crea una regla bidireccional
Permitir para dicha red remota en la primera posición de la lista de
reglas de Firewall.
• No: agrega la red a la lista de redes definidas para crear reglas.
Propietario
Ejecutables de Especifica ejecutables que son seguros en cualquier entorno y que no
confianza tienen vulnerabilidades conocidas. Estos ejecutables tienen permiso
para realizar todas las operaciones excepto aquellas que indiquen que
los ejecutables están en peligro.
Al configurar un ejecutable de confianza, se crea una regla
bidireccional Permitir para dicho ejecutable en la primera posición de
la lista de reglas de Firewall.
• Agregar: agrega un ejecutable de confianza.
• Eliminar: Elimina el ejecutable de la lista de confianza.
Véase también
Configurar opciones deFirewall en la página 135
Definir redes para usar en reglas y grupos en la página 137
Configuración de ejecutables de confianza en la página 138
Agregar ejecutable o Editar ejecutable en la página 158
Firewall: Reglas
Administre grupos y reglas de firewall.
Solo puede agregar y eliminar reglas y grupos en el grupo Agregado por usuario. Firewall mueve de
manera automática a este grupo las reglas que se acaban de agregar.
Para restablecer la configuración a la configuración predeterminada de fábrica y cancelar los cambios,

haga clic en Restablecer a predeterminado.
Tabla 4-3 Opciones

Sección Opción Definición Regla Grupo
REGLAS Agregar regla Crea una regla de firewall.
Agregar grupo Crea un grupo de firewall.

4
Uso de Firewall

Hacer doble clic en Modifica el elemento seleccionado.
un elemento
Duplicar Crea una copia del elemento seleccionado.
Eliminar Elimina un elemento de firewall seleccionado.
Indica elementos que pueden moverse en la lista.

Seleccione elementos y arrástrelos hasta la nueva
ubicación. Aparecerá una línea azul entre elementos
en los puntos en los que se pueden colocar los
elementos arrastrados.
Véase también
Creación y administración de directivas y grupos de Firewall en la página 145
Agregar regla o Editar regla, Agregar grupo o Editar grupo en la página 153
Agregar regla o Editar regla, Agregar grupo o Editar grupo

Agregue o edite grupos y reglas de firewall.
Tabla 4-4 Opciones
Descripción Nombre Especifica el nombre descriptivo del elemento (obligatorio).
Estado Activa o desactiva el elemento.
Especificar Permitir: permite el tráfico a través del firewall si el elemento

acciones coincide.
Bloquear: impide el tráfico a través del firewall si el elemento
coincide.
Tratar coincidencia como intrusión: trata el tráfico que coincida con
la regla como una intrusión. Al activar esta opción, se
muestra una alerta, se envía un evento al servidor de
administración y se agrega el elemento al archivo de
registro de Cliente de Endpoint Security.
Práctica recomendada: No active esta opción en una

regla Permitir porque da lugar a numerosos eventos.
Registrar tráfico coincidente: el tráfico que coincide con la regla

se trata como una detección. Al activar esta opción, se
envía un evento al servidor de administración y se agrega el
elemento al archivo de registro de Cliente de Endpoint
Security.
Dirección Especifica la dirección:
• Cualquiera: supervisa tanto el tráfico entrante como el
saliente.
• En: supervisa el tráfico entrante.
• Salida: supervisa el tráfico saliente.

4
Uso de Firewall

Ubicación Activar Activa o desactiva la información de ubicación para el
detección de grupo.
ubicación
Nombre Especifica el nombre de la ubicación (obligatorio).
Activar Bloquea el tráfico de los adaptadores de red que no

aislamiento de coincidan con el grupo cuando haya un adaptador que sí
conexión coincida con el grupo.
La configuración de Transporte y Ejecutables no está

disponible para grupos de aislamiento de conexión.
Uno de los usos de esta opción consiste en bloquear el

tráfico generado por fuentes potencialmente no deseadas
fuera de la red corporativa y evitar que acceda a ella. Solo
se puede bloquear el tráfico de esta manera si no hay una
regla anterior al grupo en el firewall que sí le permita el
acceso.
Cuando el aislamiento de conexión se activa y una tarjeta
de interfaz de red coincide con el grupo, el tráfico se
permite únicamente en estos casos:
• El tráfico coincide con una regla Permitir anterior al grupo.
• El tráfico que se mueve por una tarjeta de interfaz de red
coincide con el grupo y hay una regla en dicho grupo (o
posterior a este) que permite el tráfico.
Si no hay ninguna tarjeta de interfaz de red que coincida
con el grupo, este se omitirá y se proseguirá con la
coincidencia de reglas.
Requerir el Permite al grupo que coincida solamente si hay

acceso a comunicación con el servidor McAfee ePO y se ha resuelto el
McAfee ePO nombre de dominio completo del servidor.

4
Uso de Firewall

Criterios de • Sufijo DNS específico de conexión: especifica un sufijo DNS
ubicación específico de la conexión en el formato: ejemplo.com.
• Gateway predeterminada: especifica una dirección IP única
para una gateway predeterminada en formato IPv4 o
IPv6.
• Servidor DHCP: especifica una dirección IP única para un
servidor DHCP en formato IPv4 o IPv6.
• Servidor DNS: especifica una dirección IP única para un
servidor de nombre de dominio en formato IPv4 o IPv6.
• Servidor WINS principal: especifica una dirección IP única para
un servidor WINS principal en formato IPv4 o IPv6.
• Servidor WINS secundario: especifica una dirección IP única
para un servidor WINS secundario en formato IPv4 o
IPv6.
• Posibilidad de alcance del dominio (HTTPS): exige que el dominio
especificado sea accesible mediante HTTPS.
• Clave de Registro: especifica la clave de Registro y el valor de
la clave.
1 Haga clic en Agregar.
2 En la columna Valor, especifique la clave de Registro con

el siguiente formato:
<ROOT>\<KEY>\[VALUE_NAME]
• En <ROOT>, debe utilizar el nombre completo de la
raíz, como por ejemplo HKEY_LOCAL_MACHINE y no
la abreviación HKLM.
• <KEY> es el nombre de clave bajo la raíz.
• [VALUE_NAME] es el nombre del valor de clave. Si
no se incluye el nombre del valor, se presupone que
tiene el valor predeterminado.
Formatos de ejemplo:
• IPv4: 123.123.123.123
• IPv6: 2001:db8:c0fa:f340:9219: bd20:9832:0ac7
Redes Especifica las opciones de host de red que corresponden al

elemento.
Protocolo de red Especifica el protocolo de red que se aplica al elemento.
Cualquier Permite tanto el protocolo IP como protocolos distintos de

protocolo IP.
Si se especifica un protocolo de transporte o una aplicación,
solo se permiten protocolos IP.

4
Uso de Firewall

Protocolo IP Excluye los protocolos distintos de IP.
• Protocolo IPv4
• Protocolo IPv6
Si no se activa ninguna casilla, se aplica cualquier protocolo
IP. Se puede seleccionar tanto IPv4 como IPv6.
Protocolo Solo incluye protocolos distintos de IP.

distinto de IP
• Seleccionar EtherType de la lista: especifica un EtherType.
• Especificar EtherType personalizado: especifica los cuatro
caracteres de valor hexadecimal EtherType del protocolo
distinto de IP. Consulte los números de Ethernet para ver
los valores EtherType. Por ejemplo, escriba 809B para
AppleTalk, 8191 para NetBEUI u 8037 para IPX.
Tipos de Indica si se aplican uno o todos los tipos de conexión:

conexión
• Con cable
• Inalámbrico
• Virtual
Una conexión de tipo Virtual es un adaptador presentado
por un VPN o una aplicación de máquina virtual, como
VMware, en lugar de un adaptador físico.
Especificar Especifica las redes que se aplican al elemento.

redes
• Agregar: crea y agrega una red.
seleccionado.
• Eliminar: elimina la red de la lista.
Transporte Especifica las opciones de transporte que se aplican al

elemento.

4
Uso de Firewall

Protocolo de Especifica el protocolo de transporte asociado al elemento.
transporte Seleccione el protocolo, haga clic en Agregar para agregar
puertos.
• Todos los protocolos: permite protocolos IP, distintos de IP y
no admitidos.
• TCP y UDP: Seleccione una opción del menú desplegable:
• Puerto local: especifica el puerto o servicio de tráfico local
que corresponde al elemento.
• Puerto remoto: especifica el puerto o servicio de tráfico en
otro equipo al que se aplica el elemento.
Puerto local y Puerto remoto pueden ser:
• Un único servicio. Por ejemplo, 23.
• Un intervalo. Por ejemplo, 1–1024.
• Una lista separada por comas con los puertos
individuales y los intervalos de puertos. Por ejemplo:
80, 8080, 1–10, 8443 (hasta 4 elementos).
De manera predeterminada, las reglas se aplican a todos
los servicios y puertos.
• ICMP: en el elemento desplegable Tipo de mensaje,
especifique un tipo de mensaje ICMP. Consulte ICMP.
• ICMPv6: en el elemento desplegable Tipo de mensaje,
especifique un tipo de mensaje ICMP. Consulte ICMPv6.
• Otros: ofrece una lista de protocolos menos comunes.
Ejecutables Especifica los ejecutables que se aplican a la regla.

• Agregar: crea y agrega un ejecutable.
seleccionado.
• Eliminar: elimina un ejecutable de la lista.
Planificación Especifica la configuración de la planificación

correspondiente a la regla o al grupo.
Planificación Activa la planificación de la regla o el grupo sincronizado.
activada Cuando la planificación está desactivada, la regla o las
reglas del grupo no se aplican.
• Hora de inicio: especifica la hora de inicio para la activación
de la planificación.
• Hora de finalización:: especifica la hora para la desactivación
de la planificación.
• Días de la semana: especifica los días de la semana para
la activación de la planificación.
Para las horas de inicio y finalización, utilice el formato de
24 horas. Por ejemplo, 13:00 = 1:00 p.m.
Puede planificar grupos sincronizados de Firewall o permitir
al usuario activarlos desde el icono de la bandeja del
sistema de McAfee.

4
Uso de Firewall

Desactivar la Especifica que el usuario puede activar el grupo
planificación y sincronizado durante un número de minutos determinado
activar el grupo mediante el icono de la bandeja del sistema de McAfee en
desde el icono lugar de usar la planificación.
de la bandeja
del sistema de Procedimiento recomendado: Utilice esta opción a fin
McAfee de permitir un amplio acceso a la red (por ejemplo, en un
hotel) para que se pueda establecer una conexión VPN.
Al seleccionar esta opción se muestran más opciones de

menú en Configuración rápida mediante el icono de la bandeja
del sistema de McAfee:
• Activar grupos sincronizados de firewall: Activa los grupos
sincronizados durante un período determinado para
permitir el acceso a Internet antes de que se apliquen las
reglas que restringen el acceso. Cuando los grupos
sincronizados están activados, la que se muestra es
Desactivar grupos sincronizados de firewall.
Cada vez que selecciona esta opción, se restablece el
tiempo asignado a los grupos.
Dependiendo de la configuración, es posible que se le
pida que proporcione al administrador un motivo para
activar los grupos sincronizados.
• Ver grupos sincronizados de firewall: muestra los nombres de los
grupos sincronizados y el tiempo restante de activación
de cada grupo.
Número de Especifica el número de minutos (de 1 a 60) que debe estar

minutos (1 - 60) activado el grupo sincronizado después de seleccionar Activar
para activar el grupos sincronizados de firewall en el icono de la bandeja del
grupo sistema de McAfee.
Véase también
Creación y administración de directivas y grupos de Firewall en la página 145
Creación de grupos sincronizados en la página 148
Activación o visualización de los grupos sincronizados de Firewall mediante el icono de la
bandeja del sistema de McAfee en la página 134
Agregar red o Editar red en la página 159
Agregar ejecutable o Editar ejecutable en la página 158
Agregar ejecutable o Editar ejecutable

Agregue o edite un ejecutable asociado a una regla o un grupo.
Tabla 4-5 Opciones
Opción Definición
Este campo es obligatorio junto con, al menos, otro campo: Ruta o nombre de archivo,
Descripción del archivo, Hash MD5 o firmante.
Nombre de archivo Especifica la ruta o nombre de archivo del ejecutable que se va a agregar o editar.
o ruta Haga clic en Examinar para seleccionar el ejecutable.

4
Uso de Firewall

Opción Definición
Descripción del Indica la descripción del archivo.
archivo
• Permitir cualquier firma: permite los archivos firmados por cualquier firmante de
proceso.
especificado.
exactamente con las entradas en el campo adjunto, incluidos comas y espacios.
de eventos de Cliente de Endpoint Security y en el Registro de eventos de
amenazas de McAfee ePO. Por ejemplo:

firmante:
• S = California
• C = US
Agregar red o Editar red

Agrega o edita una red asociada a una regla o un grupo.
Tabla 4-6 Opciones
Opción Definición Regla Grupo
Nombre Especifica el nombre de la dirección de la red (obligatorio).
Tipo Selecciona una de esta opciones:

• Red local: crea y agrega una red local.
• Red remota: crea y agrega una red remota.
Agregar Agrega un tipo de red a la lista de redes.

4
Uso de Firewall

Opción Definición Regla Grupo
Hacer doble clic en Modifica el elemento seleccionado.
un elemento
Eliminar Elimina el elemento seleccionado.
Tipo de dirección Especifica el origen o el destino del tráfico. Seleccione un

elemento de la lista desplegable Tipo de dirección.
Dirección Especifica la dirección IP que agregar a la red.
Se aceptan caracteres comodín.
Véase también
Tipo de dirección en la página 160
Tipo de dirección
Especifique el tipo de dirección de una red definida.
Tabla 4-7 Opciones
Opción Definición
Dirección IP única Especifica una dirección IP concreta. Por ejemplo:
• IPv4: 123.123.123.123
• IPv6: 2001:db8::c0fa:f340:9219:bd20:9832:0ac7*
Subred Especifica la dirección de subred de cualquier adaptador de la red. Por ejemplo:

• IPv4: 123.123.123.0/24
• IPv6: 2001:db8::0/32
Subred local Especifica la dirección de subred del adaptador local.

Intervalo Especifica un intervalo de direcciones IP. Introduzca el punto inicial y final del
intervalo. Por ejemplo:
• IPv4: 123.123.1.0 – 123.123.255.255
• IPv6: 2001:db8::0000:0000:0000:0000 – 2001:db8::ffff:ffff:ffff:ffff
Nombre de dominio Especifica el FQDN. Por ejemplo, www.ejemplo.com.

completo
Cualquier dirección IP Especifica cualquier dirección IP local.
local
Cualquier dirección Especifica cualquier dirección IPv4.
IPv4
Cualquier dirección Especifica cualquier dirección IPv6.
IPv6

5 Uso de Control web
Las funciones de Control web se muestran en el navegador mientras navega o busca.
Contenido
Acerca de las funciones de Control web
Acceso a las funciones de Control web
Administrar Control web
Referencia de la interfaz del Cliente de Endpoint Security: Control web

Dado que Control web se ejecuta en cada sistema gestionado, notifica a los usuarios si hay amenazas
mientras navegan o hacen búsquedas en sitios web.
Un equipo de McAfee analiza todos los sitios web y les asigna calificaciones de seguridad codificadas
con colores en función de los resultados de las pruebas. El color indica el nivel de seguridad del sitio.
El software utiliza los resultados de las pruebas para notificar a los usuarios sobre posibles amenazas
basadas en web.
En las páginas de resultados de búsqueda: aparece un icono junto a cada sitio de la lista. El color
del icono indica la calificación de seguridad del sitio web. Los usuarios pueden acceder a información
adicional a través de los iconos.
En la ventana del navegador: aparece un botón en el navegador. El color del botón indica la
calificación de seguridad del sitio web. Los usuarios pueden acceder a información adicional haciendo
clic en el botón.
El botón también notifica a los usuarios cuando se producen problemas de comunicación y proporciona
acceso rápido a pruebas que ayudan a identificar problemas comunes.
En los informes de seguridad: los detalles muestran cómo se ha calculado la calificación de

seguridad en función de los tipos de amenazas detectadas, los resultados de las pruebas y otros
datos.
En los sistemas gestionados, los administradores crean directivas para:
• Activar y desactivar Control web en el sistema, y permitir o impedir la desactivación del

complemento de navegador.
• Controlar el acceso a sitios web, páginas y descargas, según su calificación de seguridad o tipo de
contenido.
Por ejemplo, bloquear los sitios web rojos y advertir a los usuarios que intentan acceder a los sitios
web amarillos.
• Identificar sitios web como bloqueados o permitidos, en función de las direcciones URL y los
dominios.

5
Uso de Control web
• Impedir que los usuarios desinstalen o cambien archivos de Control web, claves y valores de
Registro, servicios y procesos.
• Personalizar la notificación que aparece cuando los usuarios intentan acceder a un sitio web
bloqueado.
• Supervisar y regular la actividad del navegador en los equipos de red y crear informes detallados
acerca de sitios web.
En los sistemas autogestionados, puede establecer la configuración para:
• Activar y desactivar Control web en el sistema.
• Controlar el acceso a sitios web, páginas y descargas, según su calificación de seguridad o tipo de
contenido.
Por ejemplo, bloquear los sitios web rojos y advertir a los usuarios que intentan acceder a los sitios
web amarillos.
Navegadores compatibles o no compatibles

Control web es compatible con estos navegadores:
• Microsoft Internet Explorer 11
• Google Chrome: versión actual
Chrome no admite la opción Mostrar globo.
• Mozilla Firefox: versión actual
• Mozilla Firefox ESR (Extended Support Release): versión actual y versión anterior
Como Google y Mozilla publican frecuentemente versiones nuevas, es posible que Control web no
funcione con una actualización nueva. Se publicará un parche de Control web tan pronto como sea
posible para que sea compatible con los cambios realizados en Google o Mozilla.
Control web no es compatible con Microsoft Edge.
Para obtener la información más reciente sobre los navegadores compatibles con Control web,
consulte KB82761.
En los sistemas autogestionados se permiten todos los navegadores de forma predeterminada, tanto los
compatibles como los no compatibles.
Véase también
El botón de Control web identifica las amenazas durante la navegación en la página 163
Los iconos de seguridad identifican las amenazas durante la búsqueda en la página 164
Los informes de sitio web proporcionan detalles en la página 165
Modo de compilación de las clasificaciones de seguridad en la página 166

5
Uso de Control web
Cómo Control web bloquea o advierte de un sitio web o

descarga
Cuando un usuario visita un recurso, o bien accede a él, de un sitio web que se ha bloqueado o que
tiene una advertencia, Control web muestra una página o mensaje emergente que indica el motivo.
Si las acciones de calificación para un sitio web están establecidas en:
• Advertir: Control web muestra una advertencia para notificar a los usuarios de daños potenciales
asociados con el sitio web.
Cancelar vuelve al sitio web al que se ha navegado previamente.
Si en el navegador no se había visitado ningún sitio, la opción Cancelar no está disponible.
Continuar: continúa con el acceso al sitio web.
• Bloquear: Control web muestra un mensaje de que el sitio web está bloqueado e impide a los
usuarios acceder al sitio web.
Aceptar vuelve al sitio web al que se ha navegado previamente.
Si en el navegador no se había visitado ningún sitio, la opción Aceptar no está disponible.
Si las acciones de calificación para las descargas de un sitio web están establecidas en:
• Advertir: Control web muestra una advertencia para notificar a los usuarios de daños potenciales
asociados con el archivo descargado.
Bloquear: impide la descarga y vuelve al sitio web.
Continuar: continúa con la descarga.
• Bloquear: Control web muestra un mensaje que indica que el sitio web está bloqueado e impide la
descarga.
Aceptar: vuelve al sitio web.
El botón de Control web identifica las amenazas durante la

navegación
Al navegar a un sitio web, aparece en el navegador un botón codificado por colores . El
color del botón corresponde a la calificación de seguridad del sitio web.
La calificación de seguridad es aplicable a URL de protocolos HTTP y HTTPS únicamente.
Internet Explorer Firefox y Descripción

y Safari Chrome
(Macintosh)
McAfee SECURE prueba y certifica la seguridad de este sitio
™
web a diario. (Solo Windows)

El sitio web es seguro.
Puede que este sitio web presente algunos problemas.
Este sitio tiene algunos problemas graves.
No hay calificación disponible para este sitio web.

Este botón aparece para URL de protocolo FILE (file://).
Se ha producido un error de comunicación con el servidor de

McAfee GTI que contiene información de calificación.

5
Uso de Control web
Internet Explorer Firefox y Descripción

y Safari Chrome
(Macintosh)
Control web no ha enviado ninguna consulta a McAfee GTI
acerca de este sitio, lo que indica que el sitio web es interno o
corresponde a un intervalo de direcciones IP privadas.
El sitio web es un sitio de phishing.
El phishing es un intento de adquirir información confidencial,

por ejemplo, nombres de usuario, contraseñas o datos de
tarjetas de crédito. Los sitios web de phishing se hacen pasar
por entidades de confianza en las comunicaciones
electrónicas.
Este sitio está autorizado por una opción de configuración.
Una opción de configuración ha desactivado Control web.
La ubicación del botón depende del navegador:
• Internet Explorer: barra de herramientas de Control web
• Firefox: esquina derecha de la barra de herramientas de Firefox
• Chrome: barra de dirección
Véase también
Ver información acerca de un sitio al navegar en la página 167
Los iconos de seguridad identifican las amenazas durante la

búsqueda
Cuando los o usted escriben palabras clave en motores de búsqueda populares como Google, Yahoo!,
Bing o Ask, aparecen iconos de seguridad al lado de los sitios web que se enumeran en la página de
resultados de la búsqueda: El color del botón corresponde a la calificación de seguridad del sitio web.
Las pruebas no detectaron problemas importantes.
Las pruebas detectaron algunos problemas que usted debe conocer. Por ejemplo, el sitio ha
intentado cambiar los valores predeterminados de los analizadores para el navegador, ha
mostrado ventanas emergentes o ha enviado una cantidad significativa de mensajes de correo
electrónico no considerados spam.
Las pruebas detectaron algunos problemas graves que usted debe tener en cuenta antes de
acceder a este sitio web. Por ejemplo, el sitio web ha enviado a los analizadores correo
electrónico spam o adware incluido en las descargas.
Este sitio está bloqueado por una .
Este sitio web no tiene clasificación.
Véase también
Ver informe de sitio web durante la búsqueda en la página 168

5
Uso de Control web
Los informes de sitio web proporcionan detalles

Usted puede ver el informe de seguridad de un sitio web a fin de conocer detalles sobre amenazas
concretas.
Los informes de los sitios web se envían desde un servidor de calificaciones de McAfee GTI y contienen
la información indicada a continuación.
Este Indica...
elemento...
Descripción La calificación global del sitio web, determinada por estas pruebas:
general
• Evaluación de las prácticas de correo electrónico y descarga del sitio web usando
nuestras técnicas patentadas de recopilación y análisis de datos.
• Examen del propio sitio web en busca de prácticas molestas como, por ejemplo,
un exceso de ventanas emergentes o solicitudes para cambiar la página de inicio
del usuario.
• Análisis de sus afiliaciones online para ver si el sitio está asociado a otros sitios
sospechosos.
• Combinación de la revisión de sitios sospechosos de McAfee con los comentarios
de los servicios Threat Intelligence.
Afiliaciones Con qué nivel de agresividad actúa el sitio web en su intento de persuadir a los
online usuarios para que vayan a otros sitios web marcados con una calificación roja de
McAfee.
Los sitios web sospechosos a menudo se asocian con otros sitios sospechosos. La
finalidad primaria de un sitio web "alimentador" es conseguir que el usuario visite el
sitio sospechoso. Un sitio web puede recibir una calificación roja si, por ejemplo,
cuenta con numerosos vínculos a otros sitios web rojos. En este caso, Control web
considera el sitio web rojo por asociación.
Pruebas de La calificación global de las prácticas relacionadas con el correo electrónico de un

spam a través sitio web en función de los resultados de las pruebas.
de la Web McAfee califica los sitios tanto por la cantidad de correo electrónico que se recibe
tras introducir una dirección en el sitio, como por si este tiene aspecto de ser spam.
Si alguna de estas medidas está por encima de lo que consideramos aceptable,
McAfee califica el sitio como amarillo. Si ambas medidas son altas o una de ellas
parece especialmente notoria, McAfee le otorga una calificación roja.
Pruebas de La calificación global del impacto que tiene el software descargable de un sitio web
descarga en el equipo de pruebas, en función de sus resultados.
McAfee asigna marcas rojas a los sitios web que cuentan con descargas infectadas
con virus o que agregan software no relacionado que podría considerarse adware o
spyware. La calificación también considera los servidores de red con los que
contacta un programa descargado durante su funcionamiento, además de cualquier
modificación realizada a la configuración del navegador o los archivos de Registro
de un equipo.
Véase también
Ver informe de sitio web durante la búsqueda en la página 168
Ver información acerca de un sitio al navegar en la página 167

5
Uso de Control web
Modo de compilación de las clasificaciones de seguridad

Un equipo de McAfee desarrolla las calificaciones de seguridad mediante la comprobación de criterios
para cada sitio web y mediante la evaluación de los resultados a fin de detectar amenazas comunes.
Las pruebas automatizadas compilan las calificaciones de seguridad de un sitio web mediante las
siguientes acciones:
• Descarga de archivos para verificar si hay virus o programas potencialmente no deseados incluidos
en la descarga.
• Introducción de información de contacto en formularios de registro y comprobación del spam

resultante o de un volumen alto de correos electrónicos que no son spam enviados por el sitio o
sus asociados.
• Comprobación del exceso de ventanas emergentes.
• Comprobación de intentos del sitio web de aprovecharse de las vulnerabilidades del navegador.
• Comprobación de prácticas intencionadas o engañosas empleadas por un sitio web.
El equipo compila los resultados de la prueba en un informe de seguridad que puede incluir, además,
lo siguiente:
• Comentarios enviados por los propietarios del sitio web, que pueden incluir descripciones de las
medidas de seguridad que emplea el sitio o las respuestas a los comentarios de los usuarios.
• Comentarios enviados por los usuarios del sitio web, que pueden incluir informes de fraudes de
phishing o experiencias negativas de compra.
• Más análisis de los expertos de McAfee.
El servidor de McAfee GTI almacena las calificaciones de sitio web y los informes.

Puede acceder a las funciones de Control web desde el navegador.
Procedimientos
• Activar el complemento Control web en el navegador en la página 166
Dependiendo de la configuración, deberá activar manualmente el complemento Control web
para recibir notificaciones sobre amenazas basadas en web al navegar y hacer búsquedas.
• Ver información acerca de un sitio al navegar en la página 167
Utilice el botón Control web del navegador para ver información acerca de un sitio. Este
botón funciona de forma distinta según el navegador.
• Ver informe de sitio web durante la búsqueda en la página 168
Use el icono de seguridad en la página de resultados de búsqueda para ver más
información acerca del sitio web.
Activar el complemento Control web en el navegador

Dependiendo de la configuración, deberá activar manualmente el complemento Control web para
recibir notificaciones sobre amenazas basadas en web al navegar y hacer búsquedas.
Antes de empezar
El módulo Control web debe estar activado.
Los complementos de Internet Explorer no se denominan complementos en Firefox y Chrome, sino

extensiones.

5
Uso de Control web
Cuando se inicia Internet Explorer o Chrome por primera vez, es posible que se le solicite que active
los complementos. Para obtener la información más reciente, véase el artículo KB87568 de la base de
conocimiento.
Procedimiento
• Dependiendo del navegador, active el complemento.
Internet • Haga clic en Activar.

Explorer
• Si hay más de un complemento disponible, haga clic en Elegir complementos y luego
en Activar para la barra de herramientas de Control web.
Chrome Haga clic en Activar extensión.

Si no se le solicita que active el complemento Control web, puede hacerlo
manualmente.
1 Haga clic en Configuración | Extensiones.
2 Haga clic en Activar para activar Control web de Endpoint Security.
3 Reinicie Firefox.
Firefox 1 En la Página de inicio de Mozilla Firefox, Complementos | Extensiones.
2 Seleccione Activar para activar Control web de Endpoint Security.
En Internet Explorer, si desactiva la barra de herramientas de Control web, se le solicitará que

desactive también el complemento Control web. En los sistemas gestionados, si la configuración de
directiva impide desinstalar o desactivar el complemento, Control web permanece activado aunque
la barra de herramientas no sea visible.
Ver información acerca de un sitio al navegar

Utilice el botón Control web del navegador para ver información acerca de un sitio. Este botón
funciona de forma distinta según el navegador.
Antes de empezar
• El módulo Control web debe estar activado.
• El complemento de Control web debe estar activado en el navegador.
• La opción Ocultar la barra de herramientas en el navegador del cliente en la configuración de Opciones

debe estar desactivada.
Si Internet Explorer se encuentra en modo de pantalla completa, no aparece la barra de herramientas

de Control web.
Para mostrar el menú de Control web:
Internet Explorer y Firefox

Haga clic en el botón de la barra de herramientas.
Chrome Haga clic en el botón de la barra de dirección.

5
Uso de Control web
Procedimiento
1 Mostrar un globo con un resumen de la calificación de seguridad del sitio: mantenga el cursor sobre
el botón en la barra de herramientas de Control web.
(Solo Internet Explorer y Firefox)
2 Mostrar el informe de sitio web detallado, con más información sobre la calificación de seguridad
del sitio:
• Haga clic en el botón Control web.
• Seleccione Ver informe de sitio web en el menú Control web.
• Haga clic en el vínculo Leer informe de sitio web en el globo del sitio web. (Solo Internet Explorer y
Firefox)
Véase también
El botón de Control web identifica las amenazas durante la navegación en la página 163
Ver informe de sitio web durante la búsqueda

Use el icono de seguridad en la página de resultados de búsqueda para ver más información acerca
del sitio web.
Procedimiento
1 Mantenga el cursor sobre el icono de seguridad. Un globo de texto muestra un resumen del informe
de seguridad para el sitio web.
2 Haga clic en Leer informe de sitio web (en el globo) para abrir un informe de seguridad detallado en otra
ventana del navegador.
Véase también
Los iconos de seguridad identifican las amenazas durante la búsqueda en la página 164

Como administrador, puede especificar la configuración de Control web para activar y personalizar la
protección, bloquear basándose en las categorías web y configurar el registro.
Configuración de las opciones de Control web

Puede activar y configurar las opciones de Control web desde Cliente de Endpoint Security.
Antes de empezar

5
Uso de Control web
Procedimiento
2 Haga clic en Control web en la página principal Estado.
O bien en el menú Acción , seleccione Configuración y, a continuación, haga clic en Control web en la

5
Uso de Control web
5 Seleccione Activar Control web para activar Control web y modificar sus opciones.
Para... Haga esto... Notas

Ocultar la barra de Seleccione Ocultar la barra de
herramientas de herramientas en el navegador del cliente.
Control web en el
navegador sin
desactivar la
protección.
Rastrear eventos de Ajuste la configuración en la Configure los eventos de Control web
navegador para usar sección Registro de eventos. enviados desde los sistemas cliente al
en los informes. servidor de administración para usar
en consultas e informes.
Bloquear o avisar de En Implementación de acciones,
direcciones URL seleccione la acción (Bloquear,
desconocidas. Permitir o Advertir) para los sitios
web que aún no hayan sido
verificados por McAfee GTI.
Analizar archivos antes En Implementación de acciones,
de su descarga. seleccione Permitir análisis de archivos
para las descargas de archivos y luego
seleccione el nivel de riesgo de
McAfee GTI que bloquear.
Agregar sitios externos En Implementación de acciones, en
a la red privada local. Especificar direcciones IP e intervalos
adicionales a los que conceder permiso,
haga clic en Agregar e introduzca
la dirección IP externa o el
intervalo.
Bloquear vínculos a En Búsqueda segura, seleccione Búsqueda segura filtra
sitios peligrosos en los Activar búsqueda segura, seleccione el automáticamente los sitios maliciosos
resultados de la motor de búsqueda, y luego de los resultados de búsqueda
búsqueda. especifique si se deben bloquear basándose en su calificación de
los vínculos a los sitios web seguridad. Control web usa Yahoo
peligrosos. como motor de búsqueda
predeterminado y es compatible con
Búsqueda segura únicamente en
Internet Explorer.
Si cambia el motor de búsqueda
predeterminado, reinicie el navegador
para que los cambios surtan efecto.
La próxima vez que el usuario abra
Internet Explorer, Control web
mostrará un aviso emergente que
insta al usuario a cambiar a la
Búsqueda segura de McAfee con el
motor de búsqueda especificado. Para
versiones de Internet Explorer en las
que el motor de búsqueda está
bloqueado, no aparece la ventana
emergente Búsqueda segura.
6 Seleccione otras opciones según sea necesario.
Véase también
Cómo se analizan las descargas de archivos en la página 171

5
Uso de Control web
Cómo se analizan las descargas de archivos

Control web envía solicitudes de descarga de archivos a Prevención de amenazas para su análisis
antes de la descarga.

5
Uso de Control web
Cómo funciona McAfee GTI

El servidor de McAfee GTI almacena las calificaciones de sitios web y los informes de Control web. Si
configura Control web para analizar los archivos descargados, el analizador utiliza la reputación de
archivos proporcionada por McAfee GTI para buscar archivos sospechosos.
El analizador envía huellas digitales de muestras, o hashes, a un servidor de base de datos central
alojado por McAfee Labs a fin de determinar si son malware. Al enviar hashes, es posible que la
detección esté disponible antes que la próxima actualización de archivos de contenido, cuando McAfee
Labs publique la actualización.
Puede configurar el nivel de sensibilidad que utiliza McAfee GTI cuando determina si una muestra
detectada es malware. Cuanto mayor sea el nivel de sensibilidad, mayor será el número de
detecciones de malware. Sin embargo, al permitirse más detecciones también puede que se obtengan
más resultados de falsos positivos. El nivel de sensibilidad de McAfee GTI se encuentra establecido en
Muy alto de manera predeterminada. Establezca el nivel de sensibilidad para analizar descargas de
archivos en la configuración de directiva Opciones de Control web.
Puede configurar Endpoint Security para usar un servidor proxy con el fin de recuperar la información
de reputación de McAfee GTI en la configuración de Ajustes generales.
Especificar acciones de calificación y bloquear el acceso al sitio

web según la categoría web
Configure las opciones de Acciones según contenido para especificar las acciones que desea aplicar a los
sitios web y las descargas de archivos según las calificaciones de seguridad. También tiene la opción
de bloquear o permitir sitios web en cada categoría web.
Antes de empezar
Procedimiento
2 Haga clic en Control web en la página principal Estado.
O bien en el menú Acción , seleccione Configuración y, a continuación, haga clic en Control web en la
4 Haga clic en Acciones según contenido.
5 En la sección Bloqueo de categorías web, para cada una de las Categorías web, active o desactive la opción
Bloquear.
Para los sitios web en las categorías no bloqueadas, Control web aplica las acciones de calificación.

5
Uso de Control web
6 En la sección Acciones de calificación, especifique las acciones que desea aplicar a los sitios web y las
descargas de archivos según las calificaciones de seguridad definidas por McAfee.
Estas acciones se aplican también a sitios web que no están bloqueados por bloqueo de categoría
web.
Véase también
Uso de categorías web para el control de acceso en la página 173
Uso de calificaciones de seguridad para controlar el acceso en la página 173
Uso de categorías web para el control de acceso

Las categorías web le permiten controlar el acceso a los sitios web según las categorías definidas por
McAfee. Puede especificar opciones para permitir o bloquear el acceso a sitios según la categoría de su
contenido.
Cuando activa el bloqueo de categorías web en la configuración de Acciones según contenido, el
software bloquea o permite las categorías de sitios web. Estas categorías web incluyen Apuestas,
Juegos y Mensajería instantánea. McAfee define y mantiene una lista de aproximadamente 105
categorías web.
Cuando un cliente accede a un sitio web, el software comprueba la categoría web del sitio. Si el sitio
web pertenece a una de las categorías definidas, el acceso se bloquea o se permite según la
configuración de la Acciones según contenido. A los sitios web y las descargas de archivos de las
categorías no bloqueadas se les aplican las Acciones de calificación especificadas.
Uso de calificaciones de seguridad para controlar el acceso

Configure las acciones según las calificaciones de seguridad para determinar si los usuarios pueden
acceder a un sitio o a recursos de un sitio web.
En la configuración de Acciones según contenido, especifique si los sitios web y las descargas de
archivos se deben permitir, advertir o bloquear en función de la calificación de seguridad. Esto permite
un mayor nivel de granularidad para proteger a los usuarios contra archivos que pueden presentar una
amenaza para los sitios web con calificación global verde.

Control web
Contenido
Control web: Opciones
Control web: Acciones según contenido
Control web: Opciones

Configure las opciones de Control web, entre las que se incluyen la implementación de acciones, la
Búsqueda segura y las anotaciones de correo electrónico.

5
Uso de Control web
Tabla 5-1 Opciones

OPCIONES Activar Control web Desactiva o activa Control web. (Opción activada de manera
predeterminada)
Ocultar la barra de Oculta la barra de herramientas de Control web en el
herramientas en el navegador sin desactivar su funcionalidad. (Opción desactivada
navegador del cliente de manera predeterminada)
Registro de Registrar categorías web Registra categorías de contenido para todos los sitios web con
eventos para sitios web con calificación verde.
calificación verde Activar esta función podría afectar negativamente al
rendimiento del servidor de McAfee ePO.
Registrar eventos de Registra cuando se bloquean los sitios web maliciosos (Rojo) y
iFrame de Control web de advertencia (Amarillo) que aparecen en un iFrame de HTML.
Implementación Aplicar esta acción a Especifica la acción predeterminada que aplicar a sitios web
de acciones sitios aún no verificados que McAfee GTI todavía no ha calificado.
por McAfee GTI
• Permitir (opción predeterminada): permite que los usuarios
tengan acceso al sitio web.
• Advertir: muestra una advertencia que informa a los usuarios
sobre los peligros potenciales asociados con el sitio web. Los
usuarios deben descartar la advertencia antes de continuar.
• Bloquear: evita que los usuarios tengan acceso al sitio web y
muestra un mensaje que indica que el sitio de descargas está
bloqueado.
Permitir compatibilidad Bloquea el acceso a sitios web maliciosos (color Rojo) y con
con iFrame de HTML advertencias (color Amarillo) que aparecen en un iFrame HTML.
(Opción activada de manera predeterminada)
Bloquear sitios Bloquea el acceso a sitios web de forma predeterminada si
predeterminados si el Control web no puede acceder al servidor de McAfee GTI.
servidor de calificaciones
McAfee GTI no está
accesible
Bloquear páginas de Bloquea todas las páginas de phishing, con independencia de
phishing para todos los las acciones de calificaciones de contenido. (Opción activada de
sitios manera predeterminada)
Permitir análisis de Analiza todos los archivos (.zip, .exe, .ecx, .cab, .msi, .rar, .scr
archivos para las y .com) antes de descargarlos. (Opción activada de manera
descargas de archivos predeterminada)
Esta opción impide que los usuarios accedan a un archivo
descargado hasta que Control web y Prevención de amenazas
lo marquen como limpio.
Control web realiza una búsqueda de McAfee GTI del archivo.
Si McAfee GTI permite el archivo, Control web envía el archivo
a Prevención de amenazas para su análisis. Si un archivo
descargado se identifica como una amenaza, Endpoint Security
realiza una acción en el archivo y alerta al usuario.
Nivel de sensibilidad de Especifica el nivel de sensibilidad de McAfee GTI que Control

McAfee GTI web utiliza para descargar archivos.

5
Uso de Control web

Exclusiones Especificar direcciones IP Agrega direcciones IP e intervalos concretos a la red privada
o intervalos que excluir de local y los excluye de la calificación o bloqueo.
la calificación o bloqueo Las direcciones IP privadas se excluyen de forma
de Control web predeterminada.
Procedimiento recomendado: Utilice esta opción para

tratar los sitios web externos como si perteneciesen a la red
local.
• Agregar: agregue una dirección IP a la lista de direcciones

privadas de la red local.
seleccionado.
• Eliminar: elimina una dirección IP de la lista de direcciones
privadas de la red local.
Búsqueda segura Activar Búsqueda segura Activa la Búsqueda segura, y así bloquea automáticamente los
sitios web maliciosos de los resultados de búsqueda según su
calificación de seguridad.
Establezca el motor de Especifica el motor de búsqueda predeterminado en los
búsqueda predeterminado navegadores compatibles:
en los navegadores
• Yahoo
compatibles
• Google
• Bing
• Ask
Bloquear vínculos a sitios Evita que los usuarios hagan clic en vínculos a sitios web
peligrosos en los peligrosos en los resultados de la búsqueda.
resultados de la búsqueda

Anotaciones de Activar anotaciones en correo electrónico basado Anota direcciones URL en clientes de
correo electrónico en navegador correo electrónico basados en el
navegador (p. ej. Yahoo Mail y Gmail).
Activar anotaciones en clientes de correo Anota las URL de las herramientas de
electrónico no basados en Web administración de correo electrónico de
32 bits, tales como Microsoft Outlook u
Outlook Express.
Véase también
Configuración de las opciones de Control web en la página 168
Cómo se analizan las descargas de archivos en la página 171

5
Uso de Control web
McAfee GTI
Active y configure las opciones de McAfee GTI (Global Threat Intelligence).
Tabla 5-4 Opciones
Nivel de Configura el nivel de sensibilidad que se debe utilizar para determinar si una
sensibilidad muestra detectada es malware.
Cuanto mayor sea el nivel de sensibilidad, mayor será el número de
detecciones de malware. Sin embargo, al permitirse más detecciones también
puede que se obtengan más resultados de falsos positivos.
Muy bajo Las detecciones y el riesgo de falsos positivos son los mismos que con
archivos de contenido de AMCore normales. Puede disponer de una detección
para Prevención de amenazas cuando McAfee Labs la publique en lugar en la
siguiente actualización de archivos de AMCore Content.
Utilice esta configuración para los equipos de sobremesa y servidores con
derechos de usuario restringidos y fuertes configuraciones de seguridad.
Baja Esta configuración es la recomendación mínima para portátiles o equipos de

escritorio y servidores con fuertes configuraciones de seguridad.
Media Utilice esta configuración cuando el riesgo normal de exposición a malware sea
superior al riesgo de un falso positivo. Las comprobaciones heurísticas
propietarias de McAfee Labs generan detecciones que probablemente son
malware. No obstante, algunas detecciones podrían producir un falso positivo.
Con esta configuración, McAfee Labs comprueba que las aplicaciones y los
archivos del sistema operativo conocidos no produzcan falsos positivos.
Esta configuración es la recomendación mínima para portátiles, equipos de
sobremesa y servidores.
Alta Utilice esta configuración para el despliegue en sistemas o áreas que se

infectan con frecuencia.
Muy alto Utilice esta configuración en volúmenes que no contengan sistemas
operativos.
Las detecciones que se encuentran con este nivel son supuestamente
maliciosas, pero no se han comprobado completamente para determinar si son
falsos positivos.
Utilice esta configuración únicamente para analizar volúmenes y directorios
que no admitan la ejecución de programas ni sistemas operativos.
Véase también
Control web: Opciones en la página 173
Control web: Acciones según contenido

Define las acciones que debe realizar Control web para los sitios web calificados, las categorías de
contenido web y los complementos.
Para los sitios web y las descargas de archivos, Control web aplica las acciones de calificación.

5
Uso de Control web
Tabla 5-5 Opciones

Acciones de Acciones de Especifica acciones para los sitios web cuyo valor de calificación es Rojo o
calificación calificación Amarillo, o bien que no tienen calificación.
para sitios Los sitios web y las descargas con calificación verde se permiten
automáticamente.
• Permitir: permite que los usuarios tengan acceso al sitio web.
(Opción predeterminada para los sitios web Sin calificar)
• Advertir: muestra una advertencia que informa a los usuarios sobre los
peligros potenciales asociados con el sitio web.
Los usuarios deben hacer clic en Cancelar para volver al sitio que habían
visitado antes o en Continuar para acceder al sitio.
Si en el navegador no se había visitado ningún sitio, la opción Cancelar no
está disponible.
(Opción predeterminada para los sitios web Amarillo)
• Bloquear: evita que los usuarios tengan acceso al sitio web y muestra un
mensaje que indica que el sitio web está bloqueado.
Los usuarios deben hacer clic en Aceptar para volver al sitio que habían
visitado antes.
Si en el navegador no se había visitado ningún sitio, la opción Aceptar no
está disponible.
(Opción predeterminada para los sitios web Rojo)
Acciones de Especifica acciones para las descargas de archivos cuyo valor de

calificación calificación es Rojo o Amarillo, o bien que no tienen calificación.
para descargas Estas Acciones de calificación solo se aplican si la opción Permitir análisis de
de archivos archivos para las descargas de archivos está activada en la configuración de
Opciones.
• Permitir: permite que los usuarios continúen con la descarga.
(Opción predeterminada para los sitios web Sin calificar)
• Advertir: muestra una advertencia que informa a los usuarios sobre los
peligros potenciales asociados con la descarga del archivo. Los usuarios
deben descartar la advertencia para finalizar o continuar la descarga.
(Opción predeterminada para los sitios web Amarillo)
• Bloquear: muestra un mensaje que indica que la descarga se ha
bloqueado y que evita que los usuarios descarguen el archivo.
(Opción predeterminada para los sitios web Rojo)

Bloqueo de categorías web Activar bloqueo de Activa el bloqueo de sitios web basado en la categoría
categorías web de contenido.
Bloquear Evita que los usuarios tengan acceso a cualquier sitio
web en esta categoría y muestra un mensaje que
indica que el sitio web está bloqueado.
Categorías web Lista las categorías web.

5
Uso de Control web
Véase también
Especificar acciones de calificación y bloquear el acceso al sitio web según la categoría web en
la página 172
Uso de calificaciones de seguridad para controlar el acceso en la página 173
Uso de categorías web para el control de acceso en la página 173

6 Utilización de Protección adaptable
frente a amenazas
Protección adaptable frente a amenazas es un módulo opcional de Endpoint Security que analiza el
contenido de su empresa y decide qué hacer en función de la reputación de los archivos, las reglas y
los umbrales de reputación.
Cloud.
Contenido
Acerca de Protección adaptable frente a amenazas
Respuesta a un aviso de reputación de archivos
Administración de Protección adaptable frente a amenazas

Protección adaptable frente a amenazas analiza el contenido de su empresa y decide qué hacer en
función de la reputación de los archivos, las reglas y los umbrales de reputación.
Protección adaptable frente a amenazas dispone de la capacidad de contener, bloquear o limpiar los
archivos en función de la reputación. Protección adaptable frente a amenazas se integra con el análisis
de Real Protect para llevar a cabo análisis de reputación automatizados en la nube y en los sistemas
cliente.
Protección adaptable frente a amenazas es un módulo opcional de Endpoint Security. Para disponer de
más fuentes de inteligencia de amenazas y funciones, despliegue el Servidor de Threat Intelligence
Exchange. Para obtener información, póngase en contacto con su reseller o representante de ventas.
Cloud.
Ventajas de Protección adaptable frente a amenazas

Protección adaptable frente a amenazas le permite determinar qué ocurre cuando en su entorno se
detecta un archivo con una reputación maliciosa o desconocida. También puede ver información sobre
el historial de amenazas y las acciones realizadas.
Protección adaptable frente a amenazas ofrece estas ventajas:
• Detección rápida y protección frente a las amenazas de seguridad y el malware.
• La capacidad de saber qué sistemas o dispositivos están comprometidos, y cómo se ha propagado

la amenaza por el entorno.

6
Utilización de Protección adaptable frente a amenazas
• La capacidad de contener, bloquear o limpiar inmediatamente determinados archivos y certificados

en función de sus reputaciones de amenaza y los criterios de riesgo.
• Integración con el análisis de Real Protect para llevar a cabo análisis de reputación automatizados
en la nube y en los sistemas cliente.
• Integración en tiempo real con McAfee Advanced Threat Defense y McAfee GTI a fin de
®
proporcionar evaluaciones y datos detallados sobre la clasificación del malware. Esta integración
permite responder a las amenazas y compartir la información en todo el entorno.
Componentes de Protección adaptable frente a amenazas

Protección adaptable frente a amenazas puede incluir estos componentes adicionales: Servidor de TIE
y Data Exchange Layer.
Protección adaptable frente a amenazas es un módulo opcional de Endpoint Security que le permite
crear directivas para contener, bloquear o limpiar archivos o certificados en función de la reputación.
Además, Protección adaptable frente a amenazas se integra con el análisis de Real Protect para llevar
a cabo análisis de reputación automatizados en la nube y en los sistemas cliente.
Protección adaptable frente a amenazas también se integra con:
• Servidor de TIE: servidor que almacena información sobre reputaciones de archivos y

certificados, información que después transmite a otros sistemas.
El Servidor de TIE es opcional. Para obtener información sobre el servidor, véase la Guía del
producto de Threat Intelligence Exchange.
• Data Exchange Layer: clientes y brókers que permiten la comunicación bidireccional entre el
módulo Protección adaptable frente a amenazas del sistema gestionado y el servidor de TIE.
Data Exchange Layer es opcional, pero es necesario para la comunicación con el servidor de TIE.
Para obtener detalles al respecto, véase la Guía del producto de McAfee Data Exchange Layer.
Estos componentes incluyen extensiones de McAfee ePO que incorporan diversos informes y funciones
nuevos.

6
Si Servidor de TIE y Data Exchange Layer están presentes, Protección adaptable frente a amenazas y
el servidor se comunican información sobre reputación de archivos. El marco de Data Exchange Layer
transmite inmediatamente esa información a los endpoints gestionados. Asimismo, comparte
®
información con otros productos de McAfee que acceden a Data Exchange Layer, tales como McAfee
®
Enterprise Security Manager (McAfee ESM) y McAfee Network Security Platform.
Figura 6-1 Protección adaptable frente a amenazas con Servidor de TIE y Data Exchange Layer

6
Si Servidor de TIE y Data Exchange Layer no están presentes, Protección adaptable frente a amenazas
se comunica con McAfee GTI para transmitir información sobre reputación de archivos.
Figura 6-2 Protección adaptable frente a amenazas con McAfee GTI
Cómo funciona Protección adaptable frente a amenazas

Protección adaptable frente a amenazas utiliza reglas para determinar qué acciones se llevan a cabo
en función de diversos puntos de datos, tales como reputaciones, inteligencia local e información
contextual. Las reglas se pueden gestionar de forma independiente.
Protección adaptable frente a amenazas funciona de manera diferente dependiendo de si se comunica
con TIE o no:
• Si el Servidor de TIE está disponible, Protección adaptable frente a amenazas utiliza el marco de
Data Exchange Layer para compartir la información sobre los archivos y las amenazas
instantáneamente en toda la empresa. Puede ver el sistema concreto donde se ha detectado una
amenaza por primera vez, a qué ubicaciones se ha dirigido desde allí y detenerla inmediatamente.
Protección adaptable frente a amenazas con el Servidor de TIE le permite controlar la reputación
de los archivos en un nivel local, en su entorno. Usted decide qué archivos se pueden ejecutar y
cuáles se bloquean, y Data Exchange Layer comparte la información de manera inmediata en todo
el entorno.
• Si el Servidor de TIE no está disponible y el sistema está conectado a Internet, Protección

adaptable frente a amenazas utiliza McAfee GTI para las decisiones relacionadas con la reputación.
• Si Si el Servidor de TIE no está disponible y el sistema no está conectado a Internet, Protección

adaptable frente a amenazas determina la reputación de los archivos sirviéndose de la información
sobre el sistema local.

6
Escenarios de uso de Protección adaptable frente a amenazas

• Bloquear un archivo inmediatamente: Protección adaptable frente a amenazas alerta al
administrador de la red sobre un archivo desconocido en el entorno. En lugar de enviar la
información del archivo a McAfee para su análisis, el administrador bloquea el archivo de
inmediato. El administrador puede utilizar entonces el Servidor de TIE, si está disponible, para
averiguar cuántos sistemas han ejecutado el archivo y Advanced Threat Defense para determinar si
el archivo constituye una amenaza.
• Permitir que un archivo personalizado se ejecute: una empresa utiliza habitualmente un

archivo cuya reputación predeterminada es sospechosa o maliciosa; por ejemplo, un archivo
personalizado creado para la empresa. Dado que este archivo está permitido, en lugar de enviar la
información del archivo a McAfee y recibir un archivo DAT actualizado, el administrador puede
asignar al archivo una reputación de confianza y permitir que se ejecute sin advertencias ni avisos.
• Permitir que un archivo se ejecute en un contenedor: cuando una empresa utiliza por
primera vez un archivo cuya reputación se desconoce, el administrador puede decidir permitir que
se ejecute en un contenedor. En este caso, el administrador configura las reglas de contención en
la configuración de Contención dinámica de aplicaciones. Las reglas de contención definen las
acciones que la aplicación contenida no puede realizar.
Comprobación del estado de la conexión

Para determinar si Protección adaptable frente a amenazas en el sistema cliente obtiene las
reputaciones de archivo desde Servidor de TIE o McAfee GTI, consulte la página Cliente de Endpoint
Security: Acerca de.
Procedimiento
2 En el menú Acción , seleccione Acerca de.
3 Haga clic en Protección adaptable frente a amenazas, en la parte izquierda.

El campo Estado de la conexión indica uno de los siguientes estados para Protección adaptable frente a
amenazas:
• Conectividad de Inteligencia de amenazas: está conectado a Servidor de TIE para transmitir información
de reputación en el nivel de la empresa.
• Solo conectividad de McAfee GTI: está conectado a McAfee GTI para transmitir información de
reputación en un nivel global.
• Desconectado: no está conectado a Servidor de TIE o McAfee GTI. Protección adaptable frente a
amenazas determina la reputación de los archivos sirviéndose de la información del sistema
local.
Cómo se determina una reputación

La reputación de archivos y certificados se determina cuando un archivo intenta ejecutarse en un
sistema gestionado.
A la hora de determinar la reputación de un archivo o certificado, se realizan los pasos siguientes.
1 Un usuario o un sistema intentan ejecutar un archivo.
2 Endpoint Security comprueba las exclusiones para determinar si debe inspeccionar o no el archivo.

6
3 Endpoint Security inspecciona el archivo y no puede determinar su validez ni su reputación.
4 El módulo Protección adaptable frente a amenazas inspecciona el archivo y recopila las propiedades
de interés del archivo y del sistema local.
5 El módulo busca el hash del archivo en la caché de reputación local. Si se encuentra el hash del
archivo, el módulo obtiene de la caché los datos de reputación y la prevalencia de Enterprise
correspondientes al archivo.
• Si no se encuentra el hash del archivo en la caché de reputación local, el módulo envía una
consulta al servidor de TIE. Si se encuentra el hash, el módulo obtiene los datos de prevalencia
de Enterprise (y las reputaciones disponibles) correspondientes a ese hash del archivo.
• Si no se encuentra el hash del archivo en la base de datos o el Servidor de TIE, el servidor envía
una consulta a McAfee GTI sobre la reputación del hash del archivo. McAfee GTI envía la
información disponible, por ejemplo, "desconocido" o "malicioso", y el servidor almacena esa
información.
El servidor envía el archivo para su análisis si se dan estas dos circunstancias:
• Advanced Threat Defense está disponible o activado como proveedor de reputaciones, el

servidor busca localmente si la reputación de Advanced Threat Defense está presente; si no
lo está, marca el archivo como candidato para el envío.
• La directiva del endpoint está configurada para enviar el archivo a Advanced Threat Defense.
Puede consultar los pasos adicionales en Si Advanced Threat Defense está presente.
6 El servidor devuelve al módulo la antigüedad, los datos de prevalencia y la reputación de empresa

correspondientes al hash del archivo en función de los datos encontrados. Si el archivo es nuevo en
el entorno, el servidor también envía un indicador de primera instancia al módulo Protección
adaptable frente a amenazas. Si McAfee Web Gateway está presente y envía una calificación de
reputación, el Servidor de TIE devuelve la reputación del archivo.
7 El módulo evalúa estos metadatos a fin de determinar la reputación del archivo:

• Propiedades del archivo y del sistema
• Datos de prevalencia y antigüedad de Enterprise
• Reputación
8 El módulo actúa de acuerdo con la directiva asignada al sistema que ejecuta el archivo.
9 El módulo actualiza el servidor con la información de reputación, además de indicar si el archivo se

permite, se bloquea o contiene. Además, envía los eventos de amenaza a McAfee ePO mediante
McAfee Agent.
10 El servidor publica el evento de cambio de reputación para el hash del archivo.

6
Si Advanced Threat Defense está presente

Si Advanced Threat Defense está presente, se producen los procesos siguientes.
1 Si el sistema se ha configurado para enviar archivos a Advanced Threat Defense y el archivo es

nuevo en el entorno, el sistema envía el archivo al Servidor de TIE. A continuación, el Servidor de
TIE lo envía a Advanced Threat Defense para su análisis.
2 Advanced Threat Defense analiza el archivo y envía los resultados relativos a la reputación del
archivo al Servidor de TIE mediante Data Exchange Layer. El servidor también actualiza la base de
datos y envía la información de reputación actualizada a todos los sistemas con Protección
adaptable frente a amenazas activado a fin de proteger su entorno de forma inmediata. Protección
adaptable frente a amenazas o cualquier otro producto de McAfee pueden iniciar este proceso. En
cualquier caso, Protección adaptable frente a amenazas procesa la reputación y la guarda en la
base de datos.
Para obtener información sobre cómo se integra Advanced Threat Defense con Protección adaptable
frente a amenazas, consulte la Guía del producto de McAfee Advanced Threat Defense.
Si McAfee Web Gateway está presente

Si McAfee Web Gateway está presente, ocurre lo siguiente.
• Cuando se descargan archivos, McAfee Web Gateway envía un informe al Servidor de TIE, el cual
guarda la calificación de reputación en la base de datos. Cuando el servidor recibe una solicitud de
reputación de archivos del módulo, devuelve la reputación recibida de McAfee Web Gateway y otros
proveedores de reputación.
Para obtener información sobre cómo McAfee Web Gateway intercambia información mediante un
Servidor de TIE, consulte el capítulo sobre los servidores proxy de la Guía del producto de McAfee
Web Gateway.
¿Cuándo se vacía la caché?

• Toda la caché de Protección adaptable frente a amenazas se vacía cuando cambia la configuración
de las reglas:
• El estado de una o varias reglas ha cambiado; por ejemplo, de activada a desactivada.
• La asignación del conjunto de reglas ha cambiado; por ejemplo, de Equilibrio a Seguridad.
• Se vacía la caché de un archivo o certificado individual cuando:

• La caché tiene más de 30 días de antigüedad.
• El archivo ha cambiado en el disco.
• El Servidor de TIE publica un evento de cambio de reputación.
La siguiente vez que Protección adaptable frente a amenazas recibe un aviso sobre el archivo, se
vuelve a calcular la reputación.

Cuando un archivo con un nivel de reputación determinado intente ejecutarse en su sistema, es
posible que Protección adaptable frente a amenazas solicite su intervención para continuar. Tal

6
solicitud solo aparece si Protección adaptable frente a amenazas está instalada y configurada para
ello.
El administrador configura el umbral de reputación, momento en el que se muestra una confirmación.
Por ejemplo, si el umbral de reputación es Desconocido, Endpoint Security le pide confirmación para
todos los archivos con una reputación desconocida e inferior.
Si no selecciona una opción, Protección adaptable frente a amenazas realiza la acción predeterminada
configurada por el administrador.
La solicitud, el tiempo de espera y la acción predeterminada dependen de cómo esté configurada

Protección adaptable frente a amenazas.
Procedimiento
1 (Opcional) Cuando se le solicite, introduzca un mensaje para enviar al administrador.

Por ejemplo, utilice el mensaje para describir el archivo o para explicar su decisión de permitir o
bloquear el archivo en el sistema.
2 Haga clic en Permitir o Bloquear.
Permitir Permitir el archivo.

Bloquear Bloquear el archivo en el sistema.
Para que Protección adaptable frente a amenazas no vuelva a preguntar en relación con el archivo,
seleccione Recordar esta decisión.
Protección adaptable frente a amenazas actúa, bien según su elección o bien conforme a la acción
predeterminada, y cierra la ventana de la solicitud.

En tanto que administrador, puede especificar la configuración de Protección adaptable frente a
amenazas; por ejemplo, seleccionando grupos de reglas, estableciendo umbrales de reputación,
activando Real Protect y configurando Contención dinámica de aplicaciones.
Protección adaptable frente a amenazas es un módulo opcional de Endpoint Security. Para disponer de
más fuentes de inteligencia de amenazas y funciones, despliegue el Servidor de Threat Intelligence
Exchange. Para obtener información, póngase en contacto con su reseller o representante de ventas.
Cloud.
Introducción
Después de instalar Protección adaptable frente a amenazas, ¿qué hay que hacer?
Para empezar a utilizar Protección adaptable frente a amenazas, haga lo siguiente:

6
1 Cree directivas de Protección adaptable frente a amenazas para determinar lo que se permite, se
bloquea o se contiene.
2 Ejecute Protección adaptable frente a amenazas en el modo de evaluación para crear la prevalencia
de archivos y observar lo que Protección adaptable frente a amenazas detecta en el entorno.
Protección adaptable frente a amenazas genera eventos Bloquearía, Limpiaría y Contendría para
mostrar qué acciones realizaría. La prevalencia de un archivo indica la frecuencia con la que se
detecta en su entorno.
3 Supervise y ajuste las directivas, o bien las reputaciones de archivos o certificados individuales,
para controlar lo que se permite en su entorno.
Creación de la prevalencia de archivos y observación

Tras la instalación y el despliegue, empiece a crear la prevalancia de archivos y la información sobre
amenazas actual.
Puede ver qué se está ejecutando en su entorno y agregar información de reputación de archivos y
certificados a la base de datos del Servidor de TIE. Esta información también rellena los gráficos y
paneles disponibles en el módulo donde se visualiza la información de reputación detallada sobre los
archivos y los certificados.
Para empezar, cree una o varias directivas de Protección adaptable frente a amenazas a fin de
ejecutarlas en unos pocos sistemas de su entorno. Las directivas determinan lo siguiente:
• Cuándo se permite que un archivo o certificado con una reputación concreta se ejecuten en un
sistema
• Cuándo se bloquea un archivo o certificado
• Cuándo se contiene una aplicación
• Cuándo se solicita confirmación al usuario sobre qué hacer
• Cuándo se envía un archivo a Advanced Threat Defense para continuar con su análisis
Mientras crea la prevalencia de los archivos, puede ejecutar las directivas en el modo de evaluación.
Se agregan las reputaciones de archivos y certificados a la base de datos, y se generan eventos
Bloquearía, Limpiaría y Podría contener, pero no se lleva a cabo ninguna acción. Puede ver lo que
Protección adaptable frente a amenazas bloquea, permite o contiene si se implementa la directiva.
Supervisión y realización de ajustes

A medida que las directivas se ejecutan en su entorno, se agregan datos de reputación a la base de
datos.
Utilice los paneles y las vistas de eventos de McAfee ePO para ver los archivos y certificados
bloqueados, permitidos o contenidos en función de las directivas.
Puede visualizar información detallada por endpoint, archivo, regla o certificado, además de ver con
rapidez el número de elementos identificados y las acciones realizadas. Puede acceder a información
detallada haciendo clic en un elemento, así como ajustar la configuración de reputación para archivos
o certificados concretos de manera que se realice la acción adecuada.

6
Por ejemplo, si un archivo de reputación predeterminada es sospechosa o desconocida, pero sabe que
es un archivo de confianza, puede cambiar la reputación a de confianza. A partir de ese momento, la
aplicación tiene permiso para ejecutarse en su entorno sin que se bloquee o se solicite confirmación al
usuario para llevar a cabo la acción. Puede cambiar la reputación de los archivos internos o
personalizados utilizados en su entorno.
• Utilice la función Reputaciones de TIE para buscar el nombre de un archivo o certificado

específicos. Puede ver detalles sobre el archivo o certificado, como el nombre de la empresa,
valores de hash SHA-1 y SHA-256, MD5, descripción e información de McAfee GTI. En el caso de
los archivos, también puede acceder a los datos de VirusTotal directamente desde la página de
detalles de Reputaciones de TIE para ver más información.
• Utilice la página Informes - Paneles para ver diversos tipos de información sobre reputación a la
vez. Puede ver el número de archivos nuevos detectados en su entorno en la última semana, los
archivos por reputación, los archivos cuya reputación ha cambiado recientemente, los sistemas que
han ejecutado recientemente archivos nuevos, etc. Al hacer clic en un elemento en el panel,
aparece información detallada.
• Si ha identificado un archivo perjudicial o sospechoso, puede ver con rapidez qué sistemas lo han
ejecutado y podrían estar comprometidos.
• Cambie la reputación de un archivo o certificado según proceda en su entorno. La información se

actualiza de inmediato en la base de datos y se envía a todos los dispositivos gestionados por
McAfee ePO. Los archivos y los certificados se bloquean, se permiten o se contienen en función de
su reputación.
Si no está seguro de qué hacer con un archivo o certificado concreto, puede:
• Bloquear la ejecución mientras obtiene más información sobre este.

Al contrario que una acción de limpieza de Prevención de amenazas que podría eliminar el
archivo, al bloquearlo se conserva el archivo, pero no se permite su ejecución. El archivo
permanece intacto mientras lo investiga y decide qué hacer.
• Permitir la ejecución de los elementos contenidos.

La contención de aplicación dinámica ejecuta aplicaciones con reputaciones específicas en un
contenedor, lo que bloquea acciones según las reglas de contención. La aplicación tiene permiso
para ejecutarse; sin embargo, algunas de las acciones podrían provocar un error, según las
reglas.
• Importe las reputaciones de archivos o certificados a la base de datos para permitir o bloquear
archivos o certificados concretos en función de otros orígenes de reputación. Esto permite utilizar la
configuración importada para archivos y certificados concretos sin tener que establecerla
individualmente en el servidor.
• La columna Reputación compuesta de la página Reputaciones de TIE muestra la reputación con

mayor prevalencia y su proveedor. (Servidor de TIE 2.0 y posterior)
• La columna Regla aplicada más reciente de la página Reputaciones de TIE muestra y rastrea la
información de reputación basándose en la regla de detección más reciente aplicada para cada
archivo del endpoint.
Puede personalizar esta página seleccionando Acciones | Elegir columnas.
Envío de archivos para un análisis más detallado

Si la reputación de un archivo es desconocida, puede enviarlo a Advanced Threat Defense para que se
realice un análisis más detenido. Especifique en la directiva del Servidor de TIE qué archivos se deben
enviar.

6
Advanced Threat Defense detecta malware de tipo zero-day y combina firmas antivirus, reputación y
defensas de emulación en tiempo real.Puede enviar automáticamente archivos desde Protección
adaptable frente a amenazas a Advanced Threat Defense en función de su nivel de reputación y
tamaño de archivo. La información de reputación de archivos enviada desde Advanced Threat Defense
se agrega a la base de datos del Servidor de TIE.
Información de telemetría de McAfee GTI

La información sobre archivos y certificados que se envía a McAfee GTI se utiliza para comprender y
mejorar la información sobre reputación. Consulte la tabla para obtener detalles sobre la información
que proporciona McAfee GTI para los archivos y certificados, solo para los archivos o solo para los
certificados.
Categoría Descripción
Archivos y • Versiones del módulo y del servidor de TIE
certificados
• Configuración de omisión de reputación realizada con el servidor de TIE
• Información de reputación externa, por ejemplo, de Advanced Threat Defense
Solo archivos • Nombre, tipo, ruta, tamaño, producto, publicador y prevalencia del archivo
• Información sobre SHA-1, SHA-256 y MD5
• Versión del sistema operativo del equipo que ha informado del archivo
• Reputación máxima, mínima y promedio del archivo
• Si el módulo de generación de informes está en el modo de evaluación
• Si el archivo se ha permitido, bloqueado, contenido o limpiado
• Producto que ha detectado el archivo; por ejemplo, Advanced Threat Defense o
Prevención de amenazas
Solo • Información sobre SHA-1

certificados
• El nombre del emisor del certificado y el sujeto
• La fecha en el que certificado era válido y su fecha de caducidad
McAfee no recopila información de identificación personal y no comparte la información fuera de

McAfee.
Contención de aplicaciones de forma dinámica

Contención de aplicación dinámica le permite especificar las aplicaciones con una reputación concreta
que se ejecutan en un contenedor.
Según el umbral de reputación, Protección adaptable frente a amenazas solicita que Contención
dinámica de aplicaciones ejecute la aplicación en un contenedor. Las aplicaciones contenidas no
pueden ejecutar determinadas acciones, según se especifique en las reglas de contención.
Esta tecnología posibilita evaluar las aplicaciones desconocidas y potencialmente no seguras

permitiendo su ejecución en el entorno, pero limitando a la vez las acciones que pueden realizar. Los
usuarios pueden utilizar las aplicaciones, pero su funcionamiento podría no ser el esperado si
Contención dinámica de aplicaciones bloquea determinadas acciones. Una vez haya determinado que
la aplicación es segura, puede configurar Protección adaptable frente a amenazas de Endpoint Security
o Servidor de TIE para permitir su ejecución con normalidad.

6
Para utilizar Contención dinámica de aplicaciones:
1 Active Protección adaptable frente a amenazas y especifique el umbral de reputación para activar
Contención dinámica de aplicaciones en Opciones.
2 Configure las reglas y las exclusiones de contención definidas por McAfee en Contención dinámica de
aplicaciones.
Véase también
Concesión de permiso a las aplicaciones contenidas para que se ejecuten con normalidad en la
página 192
Configuración de reglas de contención definidas por McAfee en la página 193
Activación del umbral de activación de Contención de aplicación dinámica en la página 192
Cómo funciona la Contención dinámica de aplicaciones

Protección adaptable frente a amenazas utiliza la reputación de una aplicación para determinar si se
debe solicitar que Contención dinámica de aplicaciones ejecute la aplicación con restricciones. Cuando
en su entorno se ejecuta un archivo con la reputación especificada, Contención dinámica de
aplicaciones bloquea o registra las acciones no seguras, en función de las reglas de contención.
Cuando las aplicaciones activan reglas de bloqueo de contención, Contención dinámica de aplicaciones
utiliza esta información para contribuir a la reputación general de las aplicaciones contenidas.
Otras tecnologías, tales como McAfee Active Response, pueden solicitar la contención. Si varias
tecnologías registradas con Contención dinámica de aplicaciones solicitan que se contenga una
aplicación, cada solicitud es acumulativa. La aplicación continúa como contenida hasta que todas las
tecnologías la liberen. Si se desactiva o quita una tecnología que ha solicitado la contención,
Contención dinámica de aplicaciones libera esas aplicaciones.
Flujo de trabajo de Contención de aplicación dinámica

1 Se inicia el proceso.
2 Protección adaptable frente a amenazas comprueba la reputación del archivo.

Protección adaptable frente a amenazas utiliza el servidor de TIE, si está disponible, para
comprobar la reputación de la aplicación. Si el servidor de TIE no está disponible, Protección
adaptable frente a amenazas utiliza McAfee GTI para obtener la información de reputación.
Si no se conoce la reputación y los analizadores de Real Protect basado en la nube y basado en el

cliente están activados, Protección adaptable frente a amenazas consulta la reputación a Real
Protect.
3 Si la reputación de la aplicación coincide con el umbral de reputación de contención o se encuentra

por debajo de él, Protección adaptable frente a amenazas notifica a Contención dinámica de
aplicaciones que el proceso se ha iniciado y solicita la contención.
4 Contención dinámica de aplicaciones contiene el proceso.

Puede ver Contención de aplicación dinámica en el Registro de eventos de amenazas de McAfee
ePO.
5 Si considera que la aplicación contenida es segura, puede permitir que se ejecute con normalidad
(no como si estuviese calificada como contenida).

6
Véase también
Concesión de permiso a las aplicaciones contenidas para que se ejecuten con normalidad en la
página 192

6
Concesión de permiso a las aplicaciones contenidas para que se ejecuten

con normalidad
Una vez que determine que una aplicación contenida es segura, puede permitir que se ejecute en el
entorno con normalidad.
• Agregue la aplicación a la lista de Exclusiones globales de la configuración de Contención dinámica
de aplicaciones.
En este caso, se libera la aplicación de la contención y se ejecuta con normalidad,
independientemente del número de tecnologías que solicitaron su contención.
• Configure Protección adaptable frente a amenazas para aumentar el umbral de reputación y

liberarla de la contención.
En este caso, se libera la aplicación de la contención y se ejecuta con normalidad, a menos que
otra tecnología haya solicitado la contención de esta aplicación.
• Si el servidor de TIE está disponible, cambie la reputación del archivo a un nivel que permita su
ejecución, como Conocido de confianza.
En este caso, se libera la aplicación de la contención y se ejecuta con normalidad, a menos que
otra tecnología haya solicitado la contención de esta aplicación.
Consulte la Guía del producto de McAfee Threat Intelligence Exchange.
Véase también
Exclusión de los procesos de Contención de aplicación dinámica en la página 194
Activación del umbral de activación de Contención de aplicación dinámica

Con la tecnología Contención dinámica de aplicaciones, puede especificar que las aplicaciones con
reputaciones específicas se ejecuten en un contenedor, lo que limita las acciones que pueden llevar a
cabo. Active la implementación de acciones de Contención dinámica de aplicaciones y especifique el
umbral de reputación al que se deben las aplicaciones se deben ejecutar en un contenedor.
Antes de empezar
Procedimiento
2 Haga clic en Protección adaptable frente a amenazas en la página principal Estado.
O bien, en el menú Acción , seleccione Configuración y, a continuación, haga clic en Protección adaptable
frente a amenazas en la página Configuración.
5 Verifique que Protección adaptable frente a amenazas está activada.
6 Seleccione Activar Contención dinámica de aplicaciones cuando se alcance umbral de reputación alcance.

6
7 Especifica el umbral de reputación en el que se deben contener las aplicaciones.

• Posiblemente de confianza
• Desconocido (valor predeterminado para el grupo de reglas Seguridad)
• Posiblemente malicioso (valor predeterminado para el grupo de reglas Equilibrado)
• Probablemente malicioso (valor predeterminado para el grupo de reglas Productividad)
• Conocido malicioso
El umbral de reputación de la contención de aplicación dinámica debe ser mayor que el de Bloquear
y Limpiar. Por ejemplo, si el umbral de bloqueo configurado es Conocido malicioso, el umbral de la
contención de aplicación dinámica debe ser Probablemente malicioso o superior.
Configuración de reglas de contención definidas por McAfee

Las reglas de contención definidas por McAfee bloquean o registran las acciones que las aplicaciones
contenidas pueden ejecutar. Puede modificar la configuración de bloqueo e información, pero por lo
demás no es posible modificar ni eliminar estas reglas.
Antes de empezar
Para obtener información sobre las reglas de Contención dinámica de aplicaciones, incluidos los
procedimientos recomendados para saber cuándo configurar una regla de informe o bloqueo, véase
KB87843.
Procedimiento
4 Haga clic en Contención dinámica de aplicaciones.
5 En la sección Reglas de contención, seleccione Bloquear, Informar o ambas opciones para la regla.
6 En la sección Exclusiones, configure los ejecutables que excluir de Contención de aplicación dinámica.
Los procesos en la lista de Exclusiones se ejecutan con normalidad (no como los contenidos).
Véase también

6
Administración de aplicaciones contenidas

Cuando en la Contención dinámica de aplicaciones se incluye la aplicación de confianza, puede
excluirla de la contención en el Cliente de Endpoint Security. Al excluir la aplicación, se libera, se quita
de las Aplicaciones contenidas y se añade a Exclusiones, lo que impide que se contenga en un futuro.
Antes de empezar
Procedimiento
4 Haga clic en Contención dinámica de aplicaciones.
5 En la sección Aplicaciones contenidas, seleccione la aplicación y, a continuación, haga clic en Excluir.
6 En la página Agregar ejecutable, configure las propiedades del ejecutable y, a continuación, haga clic
en Guardar.
La aplicación aparecerá en la lista Exclusiones. La aplicación permanece en la lista Aplicaciones contenidas
hasta que haga clic en Aplicar. Cuando vuelva a la página Configuración, la aplicación solo aparece en
la lista Exclusiones.
Exclusión de los procesos de Contención de aplicación dinámica

Si un programa de confianza está contenido, exclúyalo creando una exclusión de Contención de
aplicación dinámica.
Las exclusiones creadas mediante el Cliente de Endpoint Security solo son de aplicación al sistema
cliente. Estas exclusiones no se envían a McAfee ePO ni aparecen en la sección Exclusiones de la
configuración de Contención dinámica de aplicaciones.
En los sistemas gestionados, cree exclusiones globales en la configuración de Contención dinámica de

aplicaciones en McAfee ePO.
Procedimiento

6
4 Haga clic en Contención de aplicación dinámica.
5 En la sección Exclusiones, haga clic en Agregar para añadir procesos que excluir de todas las reglas.
Configuración de las opciones de Protección adaptable frente a

amenazas
La configuración de Protección adaptable frente a amenazas determina cuándo se permite ejecutar, se
contiene, se limpia o se bloquea un archivo o certificado, o bien si se pregunta qué hacer a los
usuarios.
Antes de empezar
Los cambios de directiva realizados desde McAfee ePO sobrescriben los cambios efectuados en la página
Configuración.
Procedimiento
Archivos y certificados bloqueados o permitidos

Los archivos y los certificados tienen reputaciones de amenaza basadas en su contenido y sus
propiedades. Las directivas de Protección adaptable frente a amenazas determinan si se bloquean o

6
permiten los archivos y los certificados en los sistemas de su entorno en función de los niveles de
reputación.
Existen tres niveles de seguridad en función de cómo se desee equilibrar las reglas correspondientes a
tipos concretos de sistemas. Cada nivel está asociado con reglas determinadas que identifican los
archivos y certificados sospechosos y maliciosos.
• Productividad: sistemas que cambian con frecuencia, a menudo con instalaciones y desinstalaciones
de programas de confianza, y que reciben actualizaciones frecuentes. Ejemplos de este tipo de
sistemas son los equipos que se utilizan en los entornos de desarrollo. Para esta configuración se
emplean menos reglas con las directivas. Los usuarios ven escasos bloqueos y solicitudes de
confirmación cuando se detectan nuevos archivos.
• Equilibrados: sistemas empresariales típicos en los que se instalan programas nuevos y se realizan
cambios con poca frecuencia. Para esta configuración se emplean más reglas con las directivas. Los
usuarios experimentan más bloqueos y solicitudes de confirmación.
• Seguridad: sistemas gestionados por el departamento de TI, con un control estricto y pocos cambios.
Algunos ejemplos son los sistemas que acceden a información crítica o confidencial en un entorno
financiero o gubernamental. Esta configuración también se usa para los servidores. Para esta
configuración se emplea el número máximo de reglas con las directivas. Los usuarios experimentan
aún más bloqueos y solicitudes de confirmación.
Para ver las reglas específicas asociadas con cada nivel de seguridad, seleccione Menú | Configuración del
servidor. En la lista Categorías de configuración, seleccione Protección adaptable frente a amenazas.
A la hora de determinar qué nivel de seguridad asignar a una directiva, tenga en cuenta el tipo de
sistema donde se emplea la directiva y qué cantidad de bloqueos y solicitudes quiere que experimente
el usuario. Tras crear una directiva, asígnela a los equipos o dispositivos a fin de determinar qué
cantidad de bloqueos y solicitudes de confirmación se producen.
Utilización del análisis de Real Protect

El analizador de Real Protect inspeccione los archivos y las actividades sospechosos de un endpoint
para detectar patrones maliciosos mediante técnicas de aprendizaje automático. Sirviéndose de esta
información, el analizador puede detectar malware de tipo zero-day.
La tecnología Real Protect no es compatible con algunos sistemas operativos Windows. Véase
KB82761 para obtener información.
El analizador de Real Protect ofrece dos opciones para realizar análisis automatizados:
• En la nube
Real Protect basado en la nube recopila y envía los atributos y la información relacionada con el
comportamiento del archivo al sistema de aprendizaje automático de la nube para realizar un
análisis en busca de malware.
Esta opción necesita conectividad a Internet para mitigar los falsos positivos utilizando la
reputación de McAfee GTI.
Procedimiento recomendado: Desactive Real Protect basado en nube en los sistemas que no
están conectados a Internet.

6
• En el sistema cliente
Real Protect basado en cliente utiliza el aprendizaje automático en el sistema cliente para
determinar si el archivo coincide con malware conocido. Si el sistema cliente está conectado a
Internet, Real Protect envía información de telemetría a la nube, pero no utiliza la nube para el
análisis.
Si el sistema cliente utiliza TIE para las reputaciones, no necesita conectividad a Internet para
mitigar los falsos positivos.
Procedimiento recomendado: Active ambas opciones de Real Protect a menos que el servicio de
soporte le recomiende anular la selección de una de ellas o de ambas para reducir los falsos positivos.
No se envía información de identificación personal a la nube.

Protección adaptable frente a amenazas
Contenido
Protección adaptable frente a amenazas: Contención dinámica de aplicaciones
Protección adaptable frente a amenazas: Opciones
Protección adaptable frente a amenazas: Contención dinámica

de aplicaciones
Limite las acciones que las aplicaciones contenidas pueden ejecutar según las reglas configuradas para
proteger el sistema.
Tabla 6-1 Opciones

Reglas de Configura reglas de Contención dinámica de aplicaciones.
contención Puede modificar si las reglas de contención definidas por McAfee bloquean o
informan; sin embargo, no podrá cambiar o eliminar estas reglas.
• (Solo) Bloquear: bloquea, pero no registra, aplicaciones contenidas para que
no ejecuten las acciones específicas de la regla.
• (Solo) Informar: registra las aplicaciones que intentan ejecutar acciones
recogidas en la regla, pero no evita que las realicen.
• Bloquear e informar: Bloquea y registra los intentos de acceso.

regla, seleccione Informar y no Bloquear para recibir una advertencia sin
bloquear los intentos de acceso. Para determinar si se debe bloquear el
acceso, supervise los registros e informes.
Para bloquear o informar de todo, seleccione Bloquear o Informar en la primera

fila.
Aplicaciones Muestra la lista de aplicaciones que están contenidas actualmente.

contenidas
• Excluir: mueve la aplicación contenida a la lista de exclusiones, lo que las
libera de la contención y permite que se ejecuten con normalidad.

6

Exclusiones Excluye procesos de la contención.
• Agregar: agrega un proceso a la lista de exclusión.
Véase también
Cómo funciona la Contención dinámica de aplicaciones en la página 190
Configuración de reglas de contención definidas por McAfee en la página 193

Agregue o edite un ejecutable que se deba excluir de Contención dinámica de aplicaciones.

Tabla 6-3 Opciones

Opción Definición
Este campo es obligatorio junto con al menos otro campo: Nombre de archivo o ruta, Hash
MD5 o Firmante.
Nombre de Especifica la ruta o nombre de archivo del ejecutable que se va a agregar o editar.
archivo o ruta Haga clic en Examinar para seleccionar el ejecutable.

6

Opción Definición
• Permitir cualquier firma: permite los archivos firmados por cualquier firmante de proceso.
especificado.
exactamente con las entradas en el campo adjunto, incluidos comas y espacios.
de eventos de Cliente de Endpoint Security y en el Registro de eventos de amenazas
de McAfee ePO. Por ejemplo:

firmante:
• S = California
• C = US
Protección adaptable frente a amenazas: Opciones

Configure las opciones del módulo Protección adaptable frente a amenazas.
Tabla 6-4 Opciones
Opciones Activar Protección Activa el módulo Protección adaptable frente a amenazas.
adaptable frente a (Opción activada de forma predeterminada)
amenazas
Permitir a Threat Permite que el Servidor de TIE envíe información anónima sobre
Intelligence archivos a McAfee.
Exchange Server
recopilar datos
anónimos de
diagnóstico y de uso

6

Usar la reputación de Obtiene información de reputación de archivos del proxy de Global
archivos de McAfee Threat Intelligence si el Servidor de TIE no está disponible.
GTI si Threat
Intelligence
Exchange Server no
está disponible
Impedir que los Impide que los usuarios de los sistemas gestionados cambien la
usuarios cambien la configuración de Threat Intelligence Exchange 1.0.
configuración (solo
clientes de Threat
Intelligence
Exchange 1.0)
Asignación de Productividad Asigna el grupo de reglas Productividad.
regla Utilice este grupo para sistemas con muchos cambios e
instalaciones y actualizaciones frecuentes de software de
confianza.
Este grupo es el que emplea menos reglas. El usuario recibe un
mínimo de solicitudes y experimenta el menor número de
bloqueos cuando se detectan nuevos archivos.
Equilibrio Asigna el grupo de reglas Equilibrio.

Utilice este grupo para sistemas empresariales típicos en los que
los cambios y el software nuevo son poco frecuentes.
Este grupo emplea más reglas (y los usuarios reciben más
solicitudes y experimentan bloqueos) que el grupo Productividad.
Seguridad Asigna el grupo de reglas Seguridad.

Utilice este grupo para sistemas con pocos cambios, tales como
servidores y sistemas administrados por el departamento de TI
con un elevado nivel de control.
El usuario recibe más solicitudes y experimenta más bloqueos que
con el grupo Equilibrio.
Análisis de Real Activar análisis Activa el análisis de Real Protect basado en cliente, que utiliza el
Protect basado en el cliente aprendizaje automático en el sistema cliente para determinar si el
archivo coincide con malware conocido. Si el sistema cliente está
conectado a Internet, Real Protect envía información de telemetría
a la nube, pero no utiliza la nube para el análisis.
Si el sistema cliente utiliza TIE para las reputaciones, no necesita
conectividad a Internet para mitigar los falsos positivos.
Procedimiento recomendado: Seleccione esta opción a menos

que el servicio de soporte le recomiende anular su selección para
reducir los falsos positivos.
La tecnología Real Protect no es compatible con algunos sistemas

operativos Windows. Véase KB82761 para obtener información.

6

Activar análisis Activa el análisis de Real Protect basado en nube, que recopila y
basado en la nube envía los atributos y la información relacionada con el
comportamiento del archivo al sistema de aprendizaje automático
de la nube para su análisis.
Esta opción necesita conectividad a Internet para mitigar los falsos
positivos utilizando la reputación de McAfee GTI.
Procedimiento recomendado: Desactive Real Protect basado

en nube en los sistemas que no están conectados a Internet.
La tecnología Real Protect no es compatible con algunos sistemas

operativos Windows. Véase KB82761 para obtener información.
Implementación de Activar el modo de Genera eventos de Protección adaptable frente a amenazas —

acciones evaluación Bloquearía, Limpiaría o Contendría— y los envía al servidor, pero no
implementa ninguna acción.
Active el modo de evaluación temporalmente en unos pocos
sistemas solo mientras ajusta Protección adaptable frente a
amenazas.
Dado que activar este modo hace que Protección adaptable

frente a amenazas genere eventos, pero no que implemente
acciones, es posible que sus sistemas sean vulnerables a las
amenazas.
Activar Contención Incluye las aplicaciones cuando la reputación alcanza un umbral

dinámica de concreto:
aplicaciones cuando
el umbral de
reputación alcance • Desconocido (valor predeterminado para el grupo de reglas
Seguridad)
• Posiblemente malicioso (valor predeterminado para el grupo de
reglas Equilibrado)
• Probablemente malicioso (valor predeterminado para el grupo de
reglas Productividad)
• Conocido malicioso
El umbral de reputación de la contención de aplicación dinámica
debe ser mayor que el de Bloquear y Limpiar. Por ejemplo, si el
umbral de bloqueo configurado es Conocido malicioso, el umbral de la
contención de aplicación dinámica debe ser Probablemente malicioso o
superior.
Si una aplicación con un umbral de reputación específico intenta
ejecutarse en su entorno, la contención de aplicación dinámica
permite que se ejecute en un contenedor y bloquea o registra
acciones no seguras, según las reglas de contención.

6

Bloquear cuando el Bloquea los archivos cuando la reputación de archivos alcanza un
umbral de reputación umbral determinado, y especifica el umbral:
alcance
• Desconocido
• Posiblemente malicioso (valor predeterminado para el grupo de
reglas Seguridad)
• Probablemente malicioso (valor predeterminado para el grupo de
reglas Equilibrio)
• Conocido malicioso (valor predeterminado para el grupo de reglas
Productividad)
Cuando un archivo con el umbral de reputación especificado
intenta ejecutarse en su entorno, se le impedirá la ejecución, pero
se conservará en su lugar. Si un archivo es seguro y desea que se
ejecute, cambie su reputación a un nivel que permita su ejecución,
como Posiblemente de confianza.
Limpiar cuando el Limpia los archivos cuando la reputación de archivos alcanza un

umbral de reputación umbral determinado, y especifica el umbral:
alcance
• Posiblemente malicioso
• Probablemente malicioso
• Conocido malicioso (valor predeterminado para los grupos de reglas
Equilibrado y Seguridad)
El valor predeterminado del grupo de reglas Productividad está sin
seleccionar.
Procedimiento recomendado: Utilice esta opción con las

reputaciones de archivo de tipo Conocido malicioso, porque es
posible que se elimine un archivo al limpiarlo.

6

Advanced Enviar archivos que Envía los archivos ejecutables a McAfee Advanced Threat Defense
Threat Defense todavía no se han para su análisis.
verificado a McAfee Cuando esta opción está activada, Protección adaptable frente a
Advanced Threat amenazas envía los archivos de manera segura a través de HTTPS
Defense para mediante el puerto 443 a Advanced Threat Defense si:
analizarlos
• El Servidor de TIE no tiene información de Advanced Threat
Defense sobre el archivo.
• El archivo está al nivel de reputación indicado o por debajo.
• El archivo alcanza el límite de tamaño indicado o está por debajo.
Si no se consigue a través de HTTPS, Protección adaptable frente a
amenazas envía los archivos a través de HTTP.
Especifique la información del servidor de Advanced Threat Defense
en la directiva de administración del Servidor de TIE.
Enviar archivos Envía archivos a Advanced Threat Defense cuando la reputación de

cuando el umbral de archivos alcanza un umbral determinado:
reputación alcance
• Probablemente de confianza
• Desconocido
• Probablemente malicioso
El valor predeterminado de todos los grupos de reglas es
Desconocido.
Limitar tamaño (MB) a Limita el tamaño de los archivos enviados a Advanced Threat
Defense, entre 1 y 10 MB.
El valor predeterminado es 5 MB.
Véase también
Configuración de las opciones de Protección adaptable frente a amenazas en la página 195
Activación del umbral de activación de Contención de aplicación dinámica en la página 192
Archivos y certificados bloqueados o permitidos en la página 195
Utilización del análisis de Real Protect en la página 196

6

Índice
A administradores (continuación)
definición 10
acciones, Prevención de amenazas
iniciar sesión en el Cliente de Endpoint Security 26
realizar en elementos en cuarentena 60
Advanced Threat Defense 188
acciones, Threat Prevention
enviar archivos 195
especificar qué sucede cuando se descubre una amenaza
83, 90 uso para determinar reputaciones 183
permitir que los usuarios limpien y eliminen archivos adware, acerca de 62
infectados 83, 90 ajustes
programas no deseados 81 actualizaciones, configurar 34
Acerca de, página 10 Ajustes generales, Cliente de Endpoint Security 9
actualizaciones Ajustes generales, configurar módulo
botón Actualizar ahora, Cliente de Endpoint Security 22 ajustes de actualización 34
cancelar 22 alertas, Firewall 14
Opción Actualizar seguridad 13 alertas, Threat Prevention
qué se actualiza 23 descripción general de análisis bajo demanda 91
actualizaciones bajo demanda, véase actualizaciones manuales, amenazas
ejecución
administrar detecciones 59
actualizaciones de contenido 11
aplicaciones de la Tienda Windows 85, 91
actualizaciones de productos
archivos de AMCore content 11
comprobar si hay actualizaciones de forma manual 13, 22
Carpeta de cuarentena 60
planificar desde el cliente 37
detecciones durante el análisis 58
actualizaciones de software
infracciones de puntos de acceso 66
obtener información adicional de McAfee Labs 60
planificar desde el cliente 37
proceso de Protección de acceso 66
actualizaciones manuales, ejecución 22
responder a detecciones 20
actualizaciones, Endpoint Security
tipos 62
Actualización de cliente predeterminada, configurar 36
volver a analizar elementos en cuarentena 63
configurar comportamiento 34
y calificaciones de seguridad 166
configurar sitios de origen para actualizaciones 34
ampliaciones, componentes de software cliente 11
configurar y planificar desde el cliente 37
análisis
tarea Actualización de cliente predeterminada, acerca de 37
análisis con el botón derecho del ratón 58
actualizaciones, Firewall
aplazar, pausar, reanudar y cancelar 21
comprobación de actualizaciones de forma manual 22
Control web 171
actualizaciones, Prevención de amenazas
ejecutar en Cliente de Endpoint Security 56
comprobación de actualizaciones de forma manual 22
lectura y escritura 85
comprobar 13
parámetros de ajustes generales para análisis en tiempo
comprobar si hay actualizaciones de forma manual 22 real y bajo demanda 82
descripción general 11 personalizados, crear y planificar en el cliente 95
actualizaciones, Threat Prevention planificación con Cliente de Endpoint Security 95
archivos de contenido 11 responder a avisos 21
archivos Extra.DAT 29 tipos 55
adaptadores de red, permitir conexiones 141 usar caracteres comodín en exclusiones 65
administradores análisis bajo demanda
contraseña 27 acerca de 55

Índice
análisis bajo demanda (continuación) análisis reanudables, véase análisis incrementales

análisis con el botón derecho del ratón 58 análisis, bajo demanda
análisis de Almacenamiento remoto 95 configurar 90
analizar archivos o carpetas 58 detección de amenazas en las aplicaciones de la Tienda
archivos de registro 24 Windows 91
configurar 82 exclusión de elementos 64
descripción general 91 reducción del impacto sobre los usuarios 93
ejecutar Análisis completo o Análisis rápido 56 utilización del sistema 94
exclusión de elementos 64 análisis, en tiempo real
planificación en el cliente 95 configurar 83
programas potencialmente no deseados, activar detección descripción general 85
81 detección de amenazas en aplicaciones de la Tienda
responder a avisos 21 Windows 85
utilización del sistema 94 detecciones de tareas, responder a 20
Análisis completo exclusión de elementos 64
acerca de 55 número de directivas 89
configurar 90 optimización con lógica de confianza 84
ejecutar en Cliente de Endpoint Security 56 reducción del impacto en los usuarios 87
planificación en el cliente 95 ScriptScan 88
Análisis con el botón derecho del ratón análisis, personalizados, véase análisis, bajo demanda
acerca de 55 analizador de Real Protect 190, 196
analizar desde el Explorador de Windows 58 actualizaciones de archivos de contenido 11
configurar 90 Analizador de Real Protect
análisis con impacto cero 93 administrar 186
análisis de Almacenamiento remoto, descripción general 95 analizadores
análisis de escritura 84 Real Protect 190
flujo de trabajo 85 analizadores, Real Protect 196
análisis de lectura 84 analizar página, mostrar 20
flujo de trabajo 85 aplazamiento de análisis, descripción general 93
análisis del sistema, tipos 55 aplicaciones contenidas, Contención de aplicación dinámica
análisis en tiempo real gestión en el Cliente de Endpoint Security 194
acerca de 55 aplicaciones de la Tienda Windows, detección de amenazas 85,
91
análisis de scripts 88
aplicaciones, acerca de 139
archivos de registro 24
aplicaciones, contenidas
configurar 82, 83
concesión de permiso para que se ejecuten con normalidad
descripción general 85 192
detecciones de tareas 20 gestión en el Cliente de Endpoint Security 194
escritura o lectura del disco 84 aplicaciones, Tienda Windows 85, 91
exclusión de elementos 64 aprendizaje automático, analizador de Real Protect 196
número de directivas de análisis 89 archivos
optimización con lógica de confianza 84 administración en la cuarentena 60
programas potencialmente no deseados, activar detección archivos de registro 24
81
caracteres comodín en exclusiones 65
ScriptScan 88
cómo se determinan las reputaciones 183
análisis incrementales 93
configurar archivos de registro 31
análisis manual
configurar para cuarentena 82
ejecución de análisis 58
análisis manuales
exclusión de tipos específicos de los análisis 64
acerca de tipos de análisis 55
prevención de modificaciones 30
ejecución desde Endpoint Security Client 58
registros de Cliente de Endpoint Security 23
análisis personalizados, véase análisis bajo demanda
tipos en los que evitar el análisis 93
Análisis rápido
tipos para evitar el análisis 87
configurar 90
volver a analizar en la Cuarentena 63
archivos de almacenamiento comprimidos, elusión de análisis
planificación en el cliente 95 93
tipos de análisis 55

Índice
archivos de almacenamiento comprimidos, elusión del análisis ataques basados en pila, exploits de desbordamiento del búfer
87 75
archivos de almacenamiento, elusión de análisis 93 ataques, exploits de desbordamiento del búfer 75
archivos de almacenamiento, elusión del análisis 87 autogestionado, acerca de 22
archivos de AMCore content Autoprotección, configuración 30
analizador y reglas de Protección adaptable frente a avisos, Endpoint Security
amenazas 11 acerca de 14
archivos Extra.DAT 28, 29 responder a análisis 21
cambio de la versión 28 respuestas a la reputación de archivos 185
descripción general de análisis bajo demanda 91 Windows 8 y 10 20
descripción general del análisis en tiempo real 85 Ayuda, visualización 15, 20
firmas y actualizaciones de motores 11
motor de Real Protect y contenido 11 B
Archivos de AMCore content
bajo demanda, análisis
acerca de 11
análisis de Almacenamiento remoto 95
archivos de contenido
Bloquear interfaz de cliente
acerca de 11
al abrir Endpoint Security Client 19
actualizaciones para Prevención de exploits 75
Bloquear modo de interfaz de cliente
archivos Extra.DAT 28, 29
desbloqueo de la interfaz 27
cambio de la versión de AMCore 28
y configuración de directivas 17
comprobación manual de actualizaciones 22
botón
Ver detecciones 59
descripción general de análisis bajo demanda 91
botón Actualizar ahora 23
planificar actualizaciones desde el cliente 37
botón analizar ahora 56
y detecciones 20
Botón Ver análisis 56
archivos de definiciones de detección, véase archivos de
contenido Botón Ver detecciones 59
archivos de registro botones
configurar 31 Analizar ahora 56
errores de actualización 22 Ver análisis 56
ubicaciones 24 botones, Control web 163
ver 23 bromas, acerca de 62
archivos Extra.DAT Búsqueda segura, configuración de Control web 168
acerca de 28 búsquedas
archivos de AMCore Content 11 bloqueo de sitios peligrosos en resultados 168
cargar 29 iconos de seguridad 164
descargar 29
descripción general de análisis bajo demanda 91 C
descripción general del análisis en tiempo real 85 caché de análisis
usar 28 análisis bajo demanda 91
archivos y certificados, bloquear 195 análisis en tiempo real 85
archivos y certificados, enviar 195 caché de análisis global
archivos, contenido análisis bajo demanda 91
archivos Extra.DAT 28, 29 análisis en tiempo real 85
cambio de la versión de AMCore content 28 caché, análisis global
cargar archivos Extra.DAT 29 análisis bajo demanda 91
descripción general de análisis bajo demanda 91 análisis en tiempo real 85
Extra.DAT y AMCore 11 calificación, Web Control, véase calificaciones de seguridad
firmas y actualizaciones 11 calificaciones de seguridad
Prevención de exploits 11 configurar acciones para sitios web y descargas 172
Protección adaptable frente a amenazas 11 control de acceso a los sitios web 173
uso de archivos Extra.DAT 28 Control web y 161
archivos, especificar opciones de análisis 83, 90 iconos de seguridad 164
ataques basados en montón, exploits de desbordamiento del calificaciones, seguridad, véase calificaciones de seguridad
búfer 75

Índice
caracteres comodín complementos del navegador, véase complementos

en exclusiones 65 complementos, navegador, véase complementos
en exclusiones a nivel de raíz 65 conectividad, McAfee GTI o Servidor de TIE 183
usar en exclusiones 65 configuración
usar en reglas de firewall 146 actualizaciones, configurar para 36
carpetas sitios de origen para actualizaciones de cliente, configurar
administración en la cuarentena 60 34
caracteres comodín en exclusiones 65 sitios de origen, configurar para 34

configurar para cuarentena 82 configuración de acción según contenido
ejecución de análisis 58 Control web 173
volver a analizar en la Cuarentena 63 configuración de acciones según contenido, Control web 172
categorías de contenido, véase categorías web configuración de Firewall
categorías web, bloquear o advertir en función de 172, 173 Opciones 138
certificados configuración de procesos, análisis bajo demanda 94
cómo se determinan las reputaciones 183 configuración, Control web
certificados de confianza, y elusión de análisis 85 control de acceso a sitios web 172
certificados, y elusión de análisis 85 configuración, Firewall
Chrome Opciones 138
activación del complemento Control web 166 Configuración, página
botones de Control web 163 ajustes de actualización, configurar 34
navegadores compatibles 161, 167 y Modo de interfaz de cliente 17
ver información acerca de un sitio 167 configuración, Prevención de amenazas
clasificaciones de seguridad función Protección de acceso 68
cómo se obtienen las clasificaciones de sitios web 166 configuración, Protección adaptable frente a amenazas
cliente, véase Cliente de Endpoint Security Contención dinámica de aplicaciones, tecnología 193
Cliente de Endpoint Security configuración, Threat Prevention
abrir 13 análisis bajo demanda 81
acerca de 15 análisis en tiempo real 81
actualización de la protección 22 configurar programas potencialmente no deseados 80
Análisis completo y Análisis rápido, planificación 95 Contención de aplicación dinámica
configuración de directivas 17 activación del umbral de activación 192
configuración de la seguridad 32 gestión de aplicaciones contenidas 194
configurar sitios de origen para actualizaciones 34 procesos, inclusión y exclusión 194
desbloqueo de la interfaz 27 Contención dinámica de aplicaciones
ejecutar análisis 56 acerca de 189
iniciar sesión como administrador 26 administrar 186
interactuar con 12 archivos de registro 24
módulos 17 cómo funciona 190
protección con una contraseña 32 concesión de permiso a las aplicaciones contenidas para
que se ejecuten con normalidad 192
registros, acerca de 24
procedimientos recomendados 193
tarea Actualización de cliente predeterminada, acerca de 37
Protección adaptable frente a amenazas 182
tarea de Actualización de cliente predeterminada,
configurar 36 reglas definidas por McAfee, configuración 193
tarea de Actualización de cliente predeterminada, planificar contenido, actualización desde el cliente 22
37 contraseñas
tareas de actualización personalizadas, crear 37 administrador 26, 27
tareas de duplicación, acerca de 39 configuración de la seguridad del cliente 32
tareas de duplicación, configurar y planificar 38 control del acceso al cliente 32
tipos de administración 10 contraseñas de administrador
ver el Registro de eventos 23 efectos 32
visualización de la ayuda 20 Control web
cliente de McAfee, véase Cliente de Endpoint Security acerca de 9
cliente de protección de McAfee, véase Endpoint Security Client activación 168
colores, botones de Control web 163 activar el complemento 166
complementos archivos de registro 24
activación 166 botones, descripción 163

Índice
Control web (continuación) directivas, Common

Cliente de Endpoint Security 17 configurar 29
cómo se cómo se analizan las descargas de archivos 171 directivas, Control web
comportamiento, sitios web bloqueados, y descargas 163 control de acceso con calificaciones de seguridad 173
comportamiento, sitios web y descargas con advertencia control de acceso con categorías web 173
163 directivas, Prevención de amenazas
configuración 168 análisis bajo demanda, aplazamiento 93
funciones 161 parámetros de análisis de ajustes generales 82
menú 163 directivas, Threat Prevention
registro de actividades 24 análisis en tiempo real 89
registro de depuración 24 dominios, bloqueo 136
ver información acerca de un sitio 167
ver informes de sitios 167 E
copias de seguridad, especificar opciones de análisis 83, 90
ejecutables
crackers de contraseñas, acerca de 62
configuración de confianza 138
credenciales, lista de repositorios 35
de confianza, véase ejecutables de confianza
Cuarentena, Prevención de amenazas
exclusión de Prevención de exploits 78
configurar parámetros de ubicación y retención 82
exclusión de Protección de acceso 73
volver a analizar elementos en cuarentena 63
ejecutables de confianza
cuentas de usuario, control del acceso al cliente 32
configuración 138
definición 139
D
ejemplos de flujo de trabajo 186
Data Exchange Layer, y Protección adaptable frente a amenazas crear prevalencia de archivos y observar 187
180, 182
enviar archivos para análisis más detallado 188
definición de redes 137
supervisión y ajuste 187
descargas
elusión de análisis
comportamiento de bloqueo y advertencia 163
certificados de confianza 85
descargas de archivos
opción de análisis Dejar que McAfee decida 84
análisis con Prevención de amenazas 171
procedimientos recomendados para análisis 64
bloqueo de sitios web desconocidos 168
procedimientos recomendados para análisis bajo demanda
bloqueo o advertencia de acceso según calificaciones 172 93
destinos, Protección de acceso procedimientos recomendados para análisis en tiempo real
ejemplos 73 87
evaluar con subreglas 73 Endpoint Security Client
detecciones abrir 19
administrar 56, 59 administrar detecciones de amenazas 59
excluir por nombre 82 análisis del sistema 55
informar al servidor de administración 10 analizar en busca de malware 55
mostrar mensajes a usuarios 83, 90 mostrar información de protección 21
nombres 62 Resumen de amenazas 16
responder a 20 tipo de administración 21
tipos 56, 58 Endpoint Security, administrar 26
direcciones IP 137 Endpoint Security, cómo protege su equipo 10
grupos con reconocimiento de ubicación 141 enviar archivos para análisis más detallado
grupos de reglas 141 Advanced Threat Defense 188
Direcciones IP Product Improvement Program 188
de confianza 138 errores, actualización 22
direcciones URL Escritorio remoto, y función de análisis durante inactividad 93
excluir del análisis de secuencia de comandos 83 estado
directivas conexión, comprobación 183
acceso al Cliente de Endpoint Security 17 estado de la conexión, comprobación 183
definición 10 estado, Endpoint Security, estado, Endpoint Security, mostrar
funciones de cliente 12 con icono de McAfee de la bandeja del sistema 13
directivas de acción según contenido eventos
Control web 173 modo de evaluación 186, 187

Índice
eventos Bloquearía 186, 187 Firewall (continuación)

eventos Contendría 186 actualización del contenido desde el cliente 22
eventos Limpiaría 186, 187 administración de directivas y grupos 145
eventos Podría contener 187 administrar 134
eventos, rastreo de eventos del navegador de Control web 168 alertas de intrusos 14
excepciones archivos de registro 24
McAfee GTI 138 bloqueo del tráfico DNS 136
excepciones, Prevención de exploits, véase exclusiones Cliente de Endpoint Security 17
Prevención de exploits cómo funciona 133
exclusiones cómo funcionan las reglas de firewall 139
análisis bajo demanda, especificar 90 creación de grupos sincronizados 148
análisis en tiempo real, especificar archivos, carpetas y ejecutables de confianza 139
unidades 83
grupos con reconocimiento de ubicación, acerca de 141
configuración 64
grupos con reconocimiento de ubicación, crear 147
Contención de aplicación dinámica 194
grupos sincronizados, acerca de 134
especificar URL para ScriptScan 83
modificar opciones 135
globales, Prevención de exploits 79
preguntas frecuentes de McAfee GTI 136
nivel de raíz 65
registro de actividades 24
nombre de detección 82
registro de depuración 24
Prevención de exploits 79
reglas, véase reglas de firewall
Prevención de exploits, todas las reglas 78
firewall, grupos de reglas
procedimientos recomendados de ScriptScan 88
configurar 139
Protección de acceso, todas las reglas 73
predefinidos 144
usar caracteres comodín 65
firmas
exclusiones a nivel de raíz, véase exclusiones
información sobre amenazas conocidas 11
exclusiones globales, Prevención de exploits 79
firmas de GBOP, véase Firmas de protección genérica contra
exploits desbordamiento del búfer
bloqueo de desbordamientos del búfer 77 Firmas de GPEP, véase Firmas de Prevención genérica de la
cómo se producen los exploits de desbordamiento del búfer escalación de privilegios
75 firmas de protección genérica contra desbordamiento del búfer
exploits de desbordamiento del búfer, acerca de 75 11
Extended Support Release, véase Firefox ESR, navegadores firmas de supervisión de API dirigida 11
compatibles firmas, Prevención de exploits
extensiones del navegador, véase complementos acerca de 75
extensiones, navegador, véase complementos configuración 77
exclusión por el ID de firma 79
F función de análisis durante inactividad 21, 93
falsos positivos funciones
Firewall, reducir 139 acceso al Cliente de Endpoint Security basado en directivas
reducción mediante la creación de exclusiones de 17
Prevención de exploits 79 activación y desactivación 27
Firefox
activación del complemento Control web 166 G
botones de Control web 163
globos, Web Control 164, 168
ESR, navegadores compatibles 161
Google
navegadores compatibles 161, 167
Chrome 161
iconos de seguridad 164
firewall
motores de búsqueda compatibles 164
acerca de grupos sincronizados 13
grupo de reglas agregado por administrador, Firewall 144
activar en el icono de la bandeja del sistema de McAfee 13
grupo de reglas agregado por el usuario, Firewall 145
Firewall
grupo de reglas agregado por usuario, Firewall 144
acerca de 9
grupo de reglas de adaptación, Firewall 144, 145
activación y visualización de grupos sincronizados 134
grupo de reglas de redes principales de McAfee, Firewall 144
activar y desactivar en el icono de la bandeja del sistema
133 grupo de reglas predeterminado, Firewall 144
activar y desactivar protección 135 grupo de reglas, Firewall, véase grupos de reglas de firewall

Índice
grupos con reconocimiento de ubicación información, mostrar protección 21

acerca de 141 informes de seguridad, véase informes, Web Control
aislamiento de conexión 142 informes del sitio, véase informes, Web Control
crear 147 informes, Control web
grupos de firewall, véase grupos de reglas de firewall seguridad 161
grupos de reglas de firewall ver 167
administrar grupos sincronizados desde el icono de la informes, Web Control 165, 166
bandeja del sistema 13 seguridad de sitios web 165
cómo funciona el Firewall 133 visualización 168
creación de grupos sincronizados 148 instaladores de confianza, analizar 83
gestión de grupos sincronizados mediante el icono de la instaladores, analizar de confianza 83
bandeja del sistema 134
Internet
grupos con reconocimiento de ubicación, acerca de 141
y el analizador de Real Protect 196
grupos sincronizados, acerca de 134
y Protección adaptable frente a amenazas 182
prioridad 141
Internet Explorer
reconocimiento de ubicación, crear 147
activación del complemento Control web 166
y aislamiento de conexión 142
compatibilidad de ScriptScan 88
grupos de reglas predefinidos 144
navegadores compatibles 161, 167
grupos sincronizados
administrar desde el icono de la bandeja del sistema de
McAfee 13 visualización de la ayuda de Endpoint Security 20
grupos sincronizados, Firewall intrusiones, activar alertas de Firewall 135
acerca de 134
creación 148 L
gestión mediante el icono de la bandeja del sistema 134 las reglas personalizadas, véase reglas definidas por usuario,
grupos, firewall, véase grupos de reglas de firewall Protección de acceso
Lista de aplicaciones contenidas, gestión 194
H lista de repositorios
descripción general 35
hashes, acerca de 83, 172
orden de preferencia, lista de repositorios 35
herramientas de administración remota, acerca de 62
ubicación en cliente 35
Host Intrusion Prevention, y Prevención de exploit 74
lógica de confianza, optimización de análisis en tiempo real 84
Host IPS, y Prevención de exploit 74
M
I
malware
icono de la bandeja del sistema
analizar en busca de 55
opción Actualizar seguridad 23
detecciones durante el análisis 56, 58
icono de la bandeja del sistema, definido por
responder a detecciones 20
McAfee 13
marcadores, acerca de 62
icono de la bandeja del sistema, McAfee 12
McAfee Active Response y Contención dinámica de aplicaciones
abrir Endpoint Security Client 19 190
activación y visualización de grupos sincronizados 134 McAfee Agent
activar y desactivar Firewall 133 tarea de actualización de producto y lista de repositorios 35
actualizar seguridad 13 McAfee Endpoint Security Client, véase Endpoint Security Client
configuración del acceso a Endpoint Security 32
grupos sincronizados de Firewall 13 McAfee ePO
icono de McAfee, véase icono de la bandeja del sistema de actualizar protección 11
McAfee y tipos de administración 22
iconos, McAfee, véase icono de la bandeja del sistema de McAfee GTI
McAfee
análisis bajo demanda, cómo funcionan 91
iconos, Web Control 164
análisis bajo demanda, configurar 90
inclusiones
análisis de archivos antes de su descarga 168
Prevención de exploits, reglas de protección de aplicaciones
78 análisis en tiempo real, cómo funcionan 85
subreglas de Protección de acceso 73 análisis en tiempo real, configurar 83
independiente, véase autogestionado, acerca de analizar archivos antes de su descarga 171
información de identificación personal, véase PII calificaciones de seguridad de Web Control 166

Índice
McAfee GTI (continuación) Modo de acceso estándar (continuación)

comentarios de telemetría 82 y configuración de directivas 17
configurar nivel de sensibilidad 82 Modo de acceso total
descripción general, Control web 172 configuración de directivas 17
descripción general, Prevención de amenazas 83 Modo de adaptación
enviar eventos de bloqueo al servidor 135 configurar en Firewall 135
especificación de la configuración del servidor proxy 33 prioridad de reglas 139
estado de la conexión de Protección adaptable frente a modo de evaluación
amenazas 183 eventos de Advanced Threat Protection 187
excepciones 138 eventos de Protección adaptable frente a amenazas 186
informes de sitio web de Web Control 165 Modo de interfaz de cliente, opciones 17
opciones de firewall, configurar 135 modo Escritorio, Windows 8 y 10
preguntas frecuentes, Firewall 136 mensajes de notificación 14
problema de comunicación de Control web 163 respuesta a los avisos de detección de amenazas 20
reputación de red para firewall, configurar 135 modos de acceso, Cliente de Endpoint Security 17
y categorías web 173 modos de interfaz
y el analizador de Real Protect 196 Acceso estándar 26, 32
y Protección adaptable frente a amenazas 180, 182 Bloquear interfaz de cliente 32
McAfee Labs configuración de la seguridad del cliente 32
actualizaciones de archivos de AMCore Content 11 módulo Ajustes generales, Cliente de Endpoint Security 17
descarga de Extra.DAT 28 módulo Ajustes generales, configuración
Extra.DAT 29 Autoprotección 30
obtener más información sobre amenazas 60 configuración del servidor proxy de McAfee GTI 33
y McAfee GTI 83, 136, 172 seguridad de la interfaz de cliente 32
McAfee SECURE, botón de Control web 163 módulo Ajustes generales, configurar
McTray, inicio 93 configuración de actualización 36
Mensajes de error, mensajes de error, estados del icono de la sitios de origen para actualizaciones de cliente 34
bandeja del sistema 13
sitios de origen para actualizaciones de cliente, configurar
mensajes de notificación 34
acerca de 14 módulo Common, configurar
interactuar con el Cliente de Endpoint Security 12 configuración 29
Windows 8 y 10 14 registro 31
mensajes emergentes, y calificaciones de seguridad 166 módulos
mensajes, Endpoint Security acceso al Cliente de Endpoint Security basado en directivas
acerca de 14 17
mostrar al detectar amenaza 83, 90 acerca de Endpoint Security 9
Menú Acción, acerca de 15 instalados en Cliente de Endpoint Security 17
Menú Inicio, abrir Endpoint Security Client 19 muestra información acerca de 21
menús módulos, Ajustes generales
Acción 15, 27 ajustes de actualización, configurar 34
Acerca de 21 Autoprotección, configuración 30
Ayuda 15, 20 configuración de actualización, configurar 36
Configuración 15, 17, 135, 145 configuración del servidor proxy de McAfee GTI,
Control web 167 especificación 33
Microsoft Internet Explorer, véase Internet Explorer configurar sitios de origen para actualizaciones de cliente
34
modo Acceso estándar
efectos de establecer una contraseña 32 34
Modo Acceso estándar módulos, Common
administrar reglas y grupos de firewall 145 registro, configurar 31
configuración de la seguridad del cliente 32 módulos, Control web
modo Acceso total cómo funciona McAfee GTI 172
modificar opciones de firewall 135 módulos, Prevención de amenazas
modo de acceso Bloquear interfaz de cliente cómo funciona McAfee GTI 83
efectos de establecer una contraseña 32 motores de análisis, descripción general de archivos de AMCore
Modo de acceso estándar content 11
iniciar sesión como administrador 26 Motores de búsqueda Ask, e iconos de seguridad 164

Índice
Motores de búsquedas Bing, e iconos de seguridad 164 Página Análisis en tiempo real 59
Mozilla Firefox, véase Firefox Página Analizar en busca de amenazas 58
Página Analizar sistema 59
N página Configuración
navegador Edge, no compatible con Control web 161 Autoprotección, configuración 30
navegadores configuración de actualización, configurar 36
activación del complemento Control web 166 configuración del servidor proxy, especificación 33
compatibles 161, 167 modificar opciones de firewall 135
comportamiento, sitios web y descargas bloqueados 163 registro, configurar 31
desactivación del complemento de Control web 168 seguridad de la interfaz de cliente, configuración 32
no compatibles 161 Página Configuración
ver información acerca de un sitio 167 administrar reglas y grupos de firewall 145
nivel de sensibilidad, McAfee GTI 83, 172 parámetros de análisis bajo demanda, configurar 90
niveles de seguridad parámetros de análisis en tiempo real, configurar 83
ejemplos 195 página de actualización 22
no gestionado, véase autogestionado, acerca de página de análisis, mostrar 56
notificaciones de alerta, Windows 8 y 10 14, 20 página de cuarentena 60
Página de estado de seguridad de McAfee, mostrar 13
O Página de estado, ver Resumen de amenazas 16
página de iniciar sesión como administrador
opción de la bandeja del sistema Actualizar seguridad 23
desbloqueo de la interfaz del cliente 27
opciones
Página de iniciar sesión como administrador
analizar en busca de malware 55
al abrir Endpoint Security Client 19
configurar análisis bajo demanda 90
página de Scan System 56
configurar análisis en tiempo real 83
página Revertir contenido de AMCore 28
opciones de análisis, reducción del impacto en el usuario 87
páginas
opciones de análisis, reducción del impacto sobre el usuario 93
Acerca de 10, 21
opciones de Firewall
Actualizar 22
modificación 135
Análisis en tiempo real 20, 59
opciones de utilización del sistema, descripción general 94
análisis, mostrar 56
Opciones, Ajustes generales
Analizar en busca de amenazas 58
ajustes de actualización, configurar 34
Analizar sistema 59
Autoprotección, configuración 30
Configuración 17, 30–34, 36, 90, 135
configuración de actualización, configurar 36
cuarentena 60
configuración del servidor proxy, especificación 33
estado de seguridad de McAfee 13
34 Registro de eventos 23
sitios de origen para las actualizaciones de cliente, Revertir contenido de AMCore 28
configurar 34 Scan System 56
Opciones, Common parámetro Windows Set Priority 94
configurar 29 phishing, informes enviados por usuarios del sitio web 166
parámetros de registro, configurar 31 PII, no enviado a la nube 196
programación de análisis bajo demanda 55 planificaciones, análisis bajo demanda, aplazamiento 93
opciones, Firewall prácticas recomendadas
ejecutables de confianza 139 utilizar redes de confianza 138
redes definidas 137 preguntas frecuentes, McAfee GTI 136
Opciones, Prevención de amenazas Prevención adaptable frente a amenazas
parámetros de análisis de ajustes generales 82 actualizaciones de archivos de contenido 11
Opciones, Threat Prevention Prevención de amenazas
programas no deseados 80 acerca de 9
análisis de archivos antes de su descarga 168
P análisis en tiempo real, acerca de 85
analizar archivos antes de su descarga 171
página Acerca de
Cliente de Endpoint Security 17
estado de la conexión de Protección adaptable frente a
amenazas 183 función Prevención de exploits 77
Página Acerca de 21 función Protección de acceso 68

Índice
Prevención de exploit programas potencialmente no deseados (continuación)

y Host IPS 74 especificar programas que detectar 82
Prevención de exploits exclusión de elementos 64
acerca de las firmas 75 programas, activar detección de potencialmente no deseados
actualizaciones de archivos de contenido 11 83, 90
archivos de contenido 75 protección

archivos de registro 24 configuración de autoprotección 30
configuración 77 interactuar con 12
exclusión de procesos 64 mantener actualizado 11
procesos, exclusiones 79 muestra información acerca de 21
procesos, inclusión y exclusión 78 Protección adaptable frente a amenazas
reglas de protección de aplicaciones 77 acerca de 9, 179
Prevención de vulnerabilidades acerca de Real Protect 196
acerca de 74 administrar 186
Prevención genérica de la escalación de privilegios 11 analizador de Real Protect 196
prioridad archivos de registro 24
grupos de firewall 141 Cliente de Endpoint Security 17
reglas de firewall 139 componentes 180
prioridades, análisis en tiempo real 94 configuración 195
procedimientos recomendados configuración del umbral de activación de Contención de
aplicación dinámica 192
analizador de Real Protect 196
ejemplos de flujo de trabajo 186
configuración de la seguridad del cliente 32
escenarios 182
Contención dinámica de aplicaciones 193
registro de actividades 24
contraseñas 32
registro de depuración 24
exclusión de McAfee GTI del servidor proxy 33
tecnología Contención dinámica de aplicaciones 193
exclusiones de ScriptScan 88
ventajas 179
mejora del rendimiento de los análisis 64
Protección de acceso
reducción del impacto de los análisis bajo demanda 93
acerca de 66
reducción del impacto del análisis en tiempo real 87
archivos de registro 24
reglas de contención definidas por McAfee 193
ejemplos 66
procesos
exclusión de procesos 64
exclusión de Prevención de exploits 78, 79
procesos, incluir y excluir 68
inclusión y exclusión en Protección de acceso 73
procesos, inclusión y exclusión 73
procesos de alto riesgo, especificar 83
reglas definidas por el usuario, configurar 72
procesos de bajo riesgo, especificar 83
reglas definidas por McAfee, acerca de 69
procesos, Contención de aplicación dinámica
reglas definidas por McAfee, configurar 68
exclusiones 194
reglas, acerca de 67
procesos, Prevención de amenazas
análisis 85
exclusión 64 R
incluir y excluir en Protección de acceso 68 ransomware
procesos, Protección adaptable frente a amenazas creación de reglas de Protección de acceso para proteger
inclusión y exclusión en Contención de aplicación dinámica contra 72
194 red privada, inclusión de sitios externos 168
procesos, Threat Prevention redes
análisis 83 de confianza 138
especificar alto y bajo riesgo 83 definición 137
Product Improvement Program 188 redes de confianza, véase redes
programas potencialmente no deseados registradores de pulsaciones de teclado, acerca de 62
acerca de 62 registro de cliente 31
activar detección 81, 83, 90 registros de actividades, Cliente de Endpoint Security 24
caracteres comodín en exclusiones 65 registros de depuración, Cliente de Endpoint Security 24
configurar detección 80 registros de errores, Cliente de Endpoint Security 24
detecciones durante el análisis 56, 58 registros de eventos, Cliente de Endpoint Security
especificar 80 acerca de 24

Índice
registros de eventos, Cliente de Endpoint Security respuestas, configurar para detección de programas no
(continuación) deseados 81
errores de actualización 22 Resumen de amenazas, acerca de 16
ver página Registro de eventos 23
reglas S
Protección de acceso, exclusiones e inclusiones 73 Safari (Macintosh)
protección de aplicaciones, exclusiones e inclusiones 78 botones de Control web 163
reglas de contención scripts, análisis 88
Contención dinámica de aplicaciones 189 ScriptScan
reglas de contención definidas por McAfee acerca de 88
procedimientos recomendados 193 activar 83
reglas de firewall compatible solo con Internet Explorer 88
cómo funciona el Firewall 133 desactivado de manera predeterminada 88
cómo funcionan 139 exclusión de URL 64
configurar 139 procedimientos recomendados para las exclusiones 88
orden y prioridad 139 sectores de arranque, analizar 83, 90
permitir y bloquear 139 seguridad
usar caracteres comodín 146 configuración de la seguridad de la interfaz de cliente 32
reglas de Protección de acceso Servidor de Threat Intelligence Exchange, véase Servidor de
exclusiones e inclusiones 73 TIE
reglas de protección de aplicaciones 77 Servidor de TIE
configuración 77 estado de la conexión de Protección adaptable frente a
exclusiones e inclusiones 78 amenazas 183
reglas definidas por el usuario, Protección de acceso y el analizador de Real Protect 196
configurar 72 y Protección adaptable frente a amenazas 180, 182
reglas definidas por McAfee, Contención dinámica de servidor proxy
aplicaciones 193 configuración en lista de repositorios 35
reglas definidas por McAfee, Protección de acceso 69 configuración para McAfee GTI 33
reglas, Contención dinámica de aplicaciones servidores, proxy, véase servidores proxy
configuración 193 sigiloso, acerca de 62
procedimientos recomendados 193 sistemas servidor, y función de análisis durante inactividad 93
reglas, firewall, véase Firewall sitios
reglas, Prevención de amenazas protección de navegación 163
configurar 68 ver informes de sitios web de Control web 167
reglas, Prevención de exploits sitios web
reglas de protección de aplicaciones 77 clasificaciones de seguridad 166
reglas, Protección de acceso comportamiento de bloqueo y advertencia 163
tipos 67 protección de navegación 163
reglas, Threat Prevention protección durante la búsqueda 164
cómo funciona la protección de acceso 66 ver informes de sitios web de Control web 167
regulación, configurar 94 sitios web, advertencia
rendimiento, véase rendimiento del sistema según las calificaciones de seguridad 173
rendimiento del sistema sitios web, advertir
reducción del impacto de los análisis 93 según calificaciones 172
reducción del impacto del análisis 87 sitios web, bloquear
reputación de archivos según calificaciones 172
respuesta a avisos 185 según categoría web 172, 173
reputaciones según las calificaciones de seguridad 173
activación del umbral de activación de Contención de sitios web, bloqueo
aplicación dinámica 192 según las calificaciones de seguridad 173
cómo se determinan 183 sin calificar o desconocidos 168
Contención dinámica de aplicaciones 189 sitios web peligrosos en los resultados de búsqueda 168
estado de la conexión para determinarlas 183 sitios web, control de acceso
requisitos con calificaciones de seguridad 173
analizador de Real Protect 196 con categorías web 172, 173

Índice
sitios web, controlar acceso Threat Prevention (continuación)

con calificaciones de seguridad 173 análisis en tiempo real, configurar 83
sitios, advertir Opciones, programas no deseados 80
según calificaciones 172 programas potencialmente no deseados, detecciones 80
sitios, bloquear tiempo de CPU, análisis bajo demanda 94
según calificaciones 172 tipo de administración
según categoría web 172, 173 visualización 21
sitios, control de acceso tipo de administración de McAfee ePO Cloud 22
con categorías web 172, 173 tipos de administración
software cliente, definición 10 acerca de 22
solicitudes de descarga, véase descargas de archivos tráfico
solicitudes, Endpoint Security analizados por Firewall 133
respuesta ante 20 permitir saliente hasta inicio de servicios de firewall 135
respuesta ante detección de amenaza 20 Tráfico DNS, bloqueo 136
spyware, acerca de 62 troyanos
subprocesos, prioridad 94 acerca de 62
subreglas, Protección de acceso detecciones durante el análisis 56, 58
evaluar con destinos 73
exclusión e inclusión 73 U
umbrales
T activación del umbral de activación de Contención de
tarea Actualización de cliente predeterminada aplicación dinámica 192
acerca de 37 unidades de red, especificar opciones de análisis 83
tarea de Actualización de cliente predeterminada URL
configurar 36 exclusión de los análisis de scripts 64
configurar sitios de origen para actualizaciones 34
planificación con Cliente de Endpoint Security 37 V
tareas cliente de actualización de producto virus
lista de repositorios 35 acerca de 62
tareas de actualización de producto detecciones durante el análisis 56, 58
acerca de 35 firmas 11
tareas de actualización personalizadas, véase tareas, Cliente de responder a detecciones 20
Endpoint Security
vulnerabilidades
tareas de duplicación Véase también amenazas
acerca de 39
configurar y planificar 38 bloquear desbordamientos del búfer 74
tareas iniciales de Protección adaptable frente a amenazas 186
tareas, Cliente de Endpoint Security
W
Actualización de cliente predeterminada, configurar 36
actualización personalizada, configurar y planificar 37 Web Control
configurar y planificar tareas de duplicación 38 administrar 168
tarea de Actualización de cliente predeterminada, planificar globos e iconos 168
37 iconos, descripción 164
tareas de duplicación, acerca de 39 informes del sitio 165
tareas, Endpoint Security motores de búsqueda e iconos de seguridad 164
Actualización de cliente predeterminada, acerca de 37 Windows 8 y 10
tareas, Prevención de amenazas abrir Endpoint Security Client 19
Análisis completo y Análisis rápido, planificación 95 acerca de los mensajes de notificación 14
análisis personalizados, planificación 95 respuesta a los avisos de detección de amenazas 20
tareas, Threat Prevention
Análisis completos y rápidos, acerca de 55 Y
Threat Prevention
Yahoo
administrar 63
iconos de seguridad 164
análisis bajo demanda, acerca de 91
motor de búsqueda compatible 164
análisis bajo demanda, configurar 90

Índice
Yahoo (continuación)
motor de búsqueda predeterminado 168

0-02

Ens 1050 Help 0-02 Es-Es PDF

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Ens 1050 Help 0-02 Es-Es PDF

Încărcat de

Drepturi de autor:

Formate disponibile

Guía del producto

McAfee Endpoint Security 10.5

ATRIBUCIONES DE MARCAS COMERCIALES

2 McAfee Endpoint Security 10.5 Guía del producto

McAfee Endpoint Security 7

2 Mediante Cliente de Endpoint Security 19

3 Mediante Prevención de amenazas 55

McAfee Endpoint Security 10.5 Guía del producto 3

Repetición de análisis de elementos en cuarentena . . . . . . . . . . . . . . . . . 63

4 Uso de Firewall 133

5 Uso de Control web 161

4 McAfee Endpoint Security 10.5 Guía del producto

6 Utilización de Protección adaptable frente a amenazas 179

McAfee Endpoint Security 10.5 Guía del producto 5

6 McAfee Endpoint Security 10.5 Guía del producto

• Cómo Endpoint Security protege su equipo en la página 10

• Interacción con Endpoint Security en la página 12

• Actualización del contenido y el software de forma manual en la página 22

• Analizar el equipo en busca de malware en la página 55

• Desbloqueo de la interfaz de cliente en la página 27

• Guía de instalación de McAfee Endpoint Security

• Guía de migración de McAfee Endpoint Security

• Notas de la versión de McAfee Endpoint Security

• Ayuda de Prevención de amenazas de Endpoint Security

• Ayuda de Firewall de Endpoint Security

• Ayuda de Control web de Endpoint Security

• Ayuda de Protección adaptable frente a amenazas de Endpoint Security

McAfee Endpoint Security 10.5 Guía del producto 7

8 McAfee Endpoint Security 10.5 Guía del producto

• McAfee ePolicy Orchestrator (McAfee ePO )

• McAfee ePolicy Orchestrator Cloud (McAfee ePO Cloud)

Si se trata de un equipo autogestionado (también denominado no gestionado), usted o su

Módulos de Endpoint Security

McAfee Endpoint Security 10.5 Guía del producto 9

• Protección adaptable frente a amenazas : Analiza el contenido de su empresa y decide qué

Cómo Endpoint Security protege su equipo

10 McAfee Endpoint Security 10.5 Guía del producto

Cómo se mantiene actualizada su protección

• Ampliaciones de los componentes de software, como parches y hotfixes.

protección desde Cliente de Endpoint Security haciendo clic en .

Cómo funcionan los archivos de contenido

Si la firma de una amenaza no se encuentra en los archivos de contenido instalados, el motor de

Si se descubre nuevo malware y se necesita capacidad de detección extra aparte de la planificación

Paquete de contenido de AMCore

Para recibir alertas relativas a retrasos o notificaciones importantes, suscríbase al servicio de

McAfee Endpoint Security 10.5 Guía del producto 11

El paquete de contenido de AMCore incluye estos componentes:

• AMCore: motor y contenido

• Protección adaptable frente a amenazas: analizador y reglas

• Real Protect: motor y contenido

Paquete de contenido de Prevención de exploit

• Lista de protección de aplicaciones: procesos protegidos por Prevención de exploits.

Interacción con Endpoint Security

• Mensajes de notificación: le alertan de las detección de intrusiones de análisis y firewall, y de

12 McAfee Endpoint Security 10.5 Guía del producto

Acceso a las tareas de Endpoint Security desde el icono de la

Estas opciones podrían no estar disponibles, dependiendo de cómo se haya

Modo en que el icono indica el estado de Endpoint Security

McAfee Endpoint Security 10.5 Guía del producto 13

Endpoint Security ha detectado un problema con su seguridad, como un módulo o tecnología

Acerca de los mensajes de notificación

Endpoint Security envía dos tipos de notificaciones:

14 McAfee Endpoint Security 10.5 Guía del producto