You are on page 1of 153

Gua de administracin

Revisin B

McAfee Logon Collector 2.0

COPYRIGHT

Copyright 2012 McAfee, Inc. Queda prohibida la copia sin autorizacin previa.

ATRIBUCIONES DE MARCAS COMERCIALES

McAfee, el logotipo de McAfee, McAfee Active Protection, McAfee AppPrism, McAfee Artemis, McAfee CleanBoot, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, McAfee Enterprise Mobility Management, Foundscore, Foundstone, McAfee NetPrism, McAfee Policy Enforcer, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, SecureOS, McAfee Shredder, SiteAdvisor, SmartFilter, McAfee Stinger, McAfee Total Protection, TrustedSource, VirusScan, WaveSecure y WormTraq son marcas comerciales o marcas comerciales registradas de McAfee, Inc. o de sus empresas filiales en EE. UU. y en otros pases. Los dems nombres y marcas pueden ser reclamados como propiedad de otros.

INFORMACIN DE LICENCIA Acuerdo de licencia


AVISO A TODOS LOS USUARIOS: LEA DETENIDAMENTE EL ACUERDO LEGAL CORRESPONDIENTE A LA LICENCIA QUE HA ADQUIRIDO, QUE ESTIPULA LOS TRMINOS Y CONDICIONES GENERALES PARA EL USO DEL SOFTWARE CON LICENCIA. SI NO SABE QU TIPO DE LICENCIA HA ADQUIRIDO, CONSULTE LOS DOCUMENTOS DE VENTA Y OTROS DOCUMENTOS RELACIONADOS CON LA CONCESIN DE LA LICENCIA O CON LA ORDEN DE COMPRA QUE ACOMPAAN AL PAQUETE DE SOFTWARE, O QUE HAYA RECIBIDO POR SEPARADO COMO PARTE DE LA COMPRA (POR EJEMPLO, UN MANUAL, UN ARCHIVO DEL CD DEL PRODUCTO O UN ARCHIVO DISPONIBLE EN EL SITIO WEB DESDE EL QUE DESCARG EL PAQUETE DE SOFTWARE). SI NO ACEPTA TODOS LOS TRMINOS DESCRITOS EN EL ACUERDO, NO INSTALE EL SOFTWARE. SI PROCEDE, PUEDE DEVOLVER EL PRODUCTO A MCAFEE O AL LUGAR DONDE LO ADQUIRI CON EL FIN DE OBTENER SU REEMBOLSO NTEGRO.

McAfee Logon Collector 2.0

Gua de administracin

Contenido

Introduccin a McAfee Logon Collector


Terminologa importante . . . . . . . . . . . . . . . Controladores de dominio y recopilacin de inicios de sesin . Despliegue . . . . . . . . . . . . . . . . . . . . Visualizacin de la ayuda online . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

7
7 7 8 9

Instalacin
Consideraciones clave para la instalacin . . . . . . . . . . . . . . . Requisitos previos . . . . . . . . . . . . . . . . . . . . . . . . Planificacin de la instalacin . . . . . . . . . . . . . . . . . Requisitos del sistema . . . . . . . . . . . . . . . . . . . Requisitos de resolucin DNS . . . . . . . . . . . . . . . . . Instalacin deLogon Collector . . . . . . . . . . . . . . . . . . . . Descarga del software . . . . . . . . . . . . . . . . . . . Instalacin del software en Windows Server . . . . . . . . . . . Desinstalacin del software . . . . . . . . . . . . . . . . . Desinstalacin de Microsoft SQL Server 2005 Express Edition . . . . Acceso a la interfaz web de Logon Collector . . . . . . . . . . . . . . Instalacin de Logon Collector como una extensin de McAfee ePO . . . . . Requisitos de instalacin . . . . . . . . . . . . . . . . . . . Configuracin de Logon Collector como una extensin de McAfee ePO . Limitaciones . . . . . . . . . . . . . . . . . . . . . . . Instalacin de Logon Monitor . . . . . . . . . . . . . . . . . . . . Instalacin de un monitor Logon Monitor . . . . . . . . . . . . Desinstalacin de Logon Monitor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

11
11 12 12 12 13 13 13 14 26 27 27 27 28 28 33 34 34 35

. . . . . .

. . . .

Ampliacin

37

Consideraciones clave para una ampliacin de versin . . . . . . . . . . . . . . . . . . 37 Ampliacin del software en Windows Server . . . . . . . . . . . . . . . . . . . . . . . 37 Verificacin de la ampliacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

Recopilacin de identidades
Acerca de la recopilacin de identidades . . . . . . . . . . . . . . . . . . . Adicin de un dominio al monitor . . . . . . . . . . . . . . . . . . . . . . Adicin de Logon Monitor . . . . . . . . . . . . . . . . . . . . . . . . . Adicin de un certificado de Logon Collector a un monitor Logon Monitor . . . Adicin de un monitor Logon Monitor . . . . . . . . . . . . . . . . . . Eliminacin de un monitor Logon Monitor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

43
43 43 44 45 45 . 46

Configuracin del servidor


Acerca de la configuracin del servidor . . . . . . . Inicio de sesin de usuario de Active Directory . Paneles . . . . . . . . . . . . . . . . Servidor de correo electrnico . . . . . . . Certificado de replicacin de identidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

47
. 47 47 . 47 . 48 . 48

McAfee Logon Collector 2.0

Gua de administracin

Contenido

Parmetros de Logon Monitor local . . . . . . . . . . . . . . . . . . . . . Configuracin de direcciones IP para la comunicacin cliente servidor de Logon Collector . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . MLC User Login Timeout (Tiempo de espera de inicio de sesin de usuario en MLC) . . Impresin y exportacin . . . . . . . . . . . . . . . . . . . . . . . . . . Certificado del servidor . . . . . . . . . . . . . . . . . . . . . . . . . . Acerca de la configuracin personal . . . . . . . . . . . . . . . . . . . . . . . . Configuracin de Logon Monitor . . . . . . . . . . . . . . . . . . . . . . . . . . Ficha Configuration (Configuracin) . . . . . . . . . . . . . . . . . . . . . Ficha Remote (Remoto) . . . . . . . . . . . . . . . . . . . . . . . . . . Uso de MMC para administrar certificados de Logon Monitor . . . . . . . . . . . . Uso de NTLMv2 con monitores Logon Monitor . . . . . . . . . . . . . . . . .

. . 48 . . . . . . . . . . . 50 . 53 54 . 55 . 55 55 . 56 . 56 57 . 58

Alta disponibilidad (clsteres)


Descripcin general . . . . . . . . . . . . . . . . . . . . . . . . . . Conceptos bsicos de configuracin . . . . . . . . . . . . . . . . . . . Requisitos para la alta disponibilidad . . . . . . . . . . . . . . . . Configuracin de alta disponibilidad . . . . . . . . . . . . . . . . Configuracin de alta disponibilidad en la instalacin de la infraestructura de . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Comprobacin del estado de formacin del clster . . . . . . . . . . Replicacin de datos de configuracin . . . . . . . . . . . . . . . . . . Replicacin de eventos de inicio de sesin . . . . . . . . . . . . . . . . . Limitaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . Desactivacin de un clster . . . . . . . . . . . . . . . . . . . . . . Reconfiguracin de un clster . . . . . . . . . . . . . . . . . . . . . .

61
. . . . . . . 61 . . . . . . . 61 . . . . . . . 62 . . . . . . . 63 clave pblica (PKI) . . . . . . . 67 . . . . . . . 68 . . . . . . . 70 . . . . . . . 70 . . . . . . . 71 . . . . . . . 71 . . . . . . 72

Actualizacin bajo demanda de grupos y usuarios


MFS Scheduler 2.5 . . . . . . . . . . . . . . . . . . . . Actualizacin de grupos bajo demanda . . . . . . . . . . . . Opciones para actualizacin de grupos . . . . . . . . . Actualizacin de usuarios bajo demanda . . . . . . . . . . . Opciones de la actualizacin de usuarios . . . . . . . . Registro de tareas servidor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

73
74 74 74 80 80 86

Administracin de usuarios
Administracin de los usuarios . . . . . . . . . . . . . . . Adicin o modificacin de un usuario . . . . . . . . . . Eliminacin de un usuario . . . . . . . . . . . . . . Administracin de conjuntos de permisos . . . . . . . . . . . Creacin de conjuntos de permisos . . . . . . . . . . Eliminacin de conjuntos de permisos . . . . . . . . . Duplicacin de conjuntos de permisos . . . . . . . . . Administracin de contactos . . . . . . . . . . . . . . . . Adicin o modificacin de un contacto . . . . . . . . . Eliminacin de un contacto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

87
. 87 87 . 88 . 88 . 88 . 89 . 89 . 89 . 90 90

Generacin de informes
Acerca de la ventana Status (Estado) . . . . . . . . . . . . . . . . Visualizacin de usuarios conectados . . . . . . . . . . . . . . . . . Exportacin de informes de usuarios que han iniciado sesin . . . . Visualizacin del registro de auditora . . . . . . . . . . . . . . . . Exportacin del registro de auditora . . . . . . . . . . . . . . Administracin de consultas del registro de auditora . . . . . . . . . . Creacin de un grupo de consultas . . . . . . . . . . . . . . Eliminacin de un grupo de consultas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

91
. 91 93 . 93 . 94 . 94 . 95 . 95 . 95

McAfee Logon Collector 2.0

Gua de administracin

Contenido

Edicin de un grupo de consultas . . . . . . . . . . . . . . . . . Creacin de consultas de registro de auditora . . . . . . . . . . . . Importacin de consultas de registro de auditora . . . . . . . . . . Acciones de consulta . . . . . . . . . . . . . . . . . . . . . . Definicin de criterios de filtrado . . . . . . . . . . . . . . . . . . . . . Definicin de criterios de exportacin . . . . . . . . . . . . . . . . . . Visualizacin de paneles . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . .

95 96 96 97 98 . 98 99

10

Integracin con otros productos de McAfee

101

Integracin con McAfee Firewall Enterprise . . . . . . . . . . . . . . . . . . . . . . 101 Requisitos de integracin . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 Validacin de identidad pasiva . . . . . . . . . . . . . . . . . . . . . . . . . 101 Configuracin de Passive Passport . . . . . . . . . . . . . . . . . . . . . . . 102 Integracin con McAfee Firewall Enterprise Control Center . . . . . . . . . . . . . . . . 103 Requisitos de integracin . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 Administracin de la comunicacin con Logon Collector . . . . . . . . . . . . . . . 103 Configuracin de la comunicacin con Logon Collector . . . . . . . . . . . . . . . 104 Configuracin de la autenticacin pasiva . . . . . . . . . . . . . . . . . . . . 104 Integracin con McAfee Network Security Manager . . . . . . . . . . . . . . . . . . . 109 Ventajas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 Trminos importantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110 Requisitos de integracin . . . . . . . . . . . . . . . . . . . . . . . . . . . 110 Funcionamiento de la integracin entre Logon Collector y McAfee Network Security Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110 Detalles de configuracin para la integracin de Logon Collector . . . . . . . . . . . 110 Visualizacin de los detalles de Logon Collector en Threat Analyzer . . . . . . . . . . 113 Visualizacin de los detalles de Logon Collector en los informes de Network Security Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118 Error de comunicacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122 Integracin con McAfee Data Loss Prevention . . . . . . . . . . . . . . . . . . . . . 123 Requisitos de integracin . . . . . . . . . . . . . . . . . . . . . . . . . . . 124 Uso de elementos de usuario de Active Directory . . . . . . . . . . . . . . . . . 124 Uso de McAfee DLP en servidores LDAP remotos . . . . . . . . . . . . . . . . . 124 Uso de Logon Collector con McAfee DLP . . . . . . . . . . . . . . . . . . . . . 124 Activacin de la identificacin de usuarios mediante Logon Collector . . . . . . . . . 125 Configuracin de Logon Collector . . . . . . . . . . . . . . . . . . . . . . . 125 Autenticacin del administrador de McAfee DLP y Logon Collector . . . . . . . . . . . 126

11

Escalabilidad

129

Detalles de la escalabilidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129

12

Opciones de configuracin avanzadas


Configuracin avanzada . . . . . . . . . . . . . . . . . . . . . Modo de compatibilidad de Logon Collector 2.0 v1 . . . . . . . . . . . Configuracin de controllerbackofftime . . . . . . . . . . . . . . . Configuracin de removeWhiteSpaceFromUniqueName . . . . . . . . . Configuracin del lmite de grupos de usuarios de McAfee ePO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

131
131 131 132 132 133

13

Solucin de problemas

135

Verificacin de las credenciales de dominio . . . . . . . . . . . . . . . . . . . . . . 135 Conexin a un controlador de dominio . . . . . . . . . . . . . . . . . . . . . 136 Ejecucin de una consulta de rendimiento de la CPU . . . . . . . . . . . . . . . . 139 Ejecucin de una consulta del registro anterior . . . . . . . . . . . . . . . . . . 140 Ejecucin de una consulta de notificacin de registro posterior . . . . . . . . . . . . 141 Creacin de una cuenta de usuario no administrador para acceder al registro de eventos de seguridad en un controlador de dominio . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142 Creacin de una cuenta en Windows Server 2008 . . . . . . . . . . . . . . . . . 143

McAfee Logon Collector 2.0

Gua de administracin

Contenido

Creacin de una cuenta en Windows Server 2003 . . . . . . . . . . . . . . . . . Creacin de una cuenta en Windows 2000 Server . . . . . . . . . . . . . . . . . Recursos adicionales . . . . . . . . . . . . . . . . . . . . . . . . . . . . Registros de Logon Monitor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Mensajes internos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Mensajes generados por las comunicaciones de Logon Collector . . . . . . . . . . . Mensajes generados por las comunicaciones de Logon Monitor . . . . . . . . . . . . Errores habituales del controlador de dominio . . . . . . . . . . . . . . . . . . Registros de Logon Collector . . . . . . . . . . . . . . . . . . . . . . . . . . . . Entradas de registro de errores de comunicacin de Active Directory de Logon Collector . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Solucin de problemas de DNS . . . . . . . . . . . . . . . . . . . . . . . . Solucin de problemas de NSLookup . . . . . . . . . . . . . . . . . . . . . . Error durante la instalacin de Logon Collector 2.0 en Windows Server 2008 R2 . . . . . . . . Error al desinstalar la instancia de la base de datos SQL para Logon Collector . . . . . . . . . Pgina de configuracin de bases de datos para conectar al servidor de SQL . . . . . . . . . Puertos utilizados por Logon Collector . . . . . . . . . . . . . . . . . . . . . . . . . Elevado consumo de memoria de Isass.exe . . . . . . . . . . . . . . . . . . . . . . Procedimiento de recuperacin para la restriccin de 10.000 objetos de directorios de McAfee ePO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

143 143 144 144 144 144 145 145 146 146 147 147 148 148 148 149 149 150

McAfee Logon Collector 2.0

Gua de administracin

Introduccin a McAfee Logon Collector

McAfee Logon Collector es un software que supervisa los dominios de Active Directory y recopila informacin de inicio de sesin. Logon Collector sondea los controladores de dominio de Microsoft Active Directory en busca de las caractersticas de los usuarios y enva esta informacin a dispositivos de seguridad para correlacionar el trfico en la red con el comportamiento de los usuarios. Logon Collector se instala en servidores basados en Windows independientes para comunicarse con Active Directory y admite el despliegue distribuido. Este esquema no requiere ninguna modificacin en Active Directory o en el esquema de Active Directory, y no necesita agentes. Los monitores Logon Monitor pueden utilizarse para sondear los controladores de dominio cercanos y reenviar la informacin recopilada a Logon Collector, reduciendo as la distancia que debe recorrer la comunicacin del controlador de dominio. Contenido Terminologa importante Controladores de dominio y recopilacin de inicios de sesin Despliegue Visualizacin de la ayuda online

Terminologa importante
Un dominio es un grupo lgico de recursos identificados en una red, ya sean stos usuarios, equipos o servicios de aplicacin en red. Estos recursos se recopilan para el dominio en un directorio distribuido, que se comparte en un grupo de controladores de dominio. Los miembros de un dominio solo tienen que autenticarse una vez ante el controlador de dominio ms cercano. Todos los dems recursos del dominio quedan accesibles en funcin de sus privilegios en el dominio. Una identidad es un conjunto de caractersticas que identifican a un usuario de forma nica. La identidad de un usuario incluye el nombre de usuario, el estado de autenticacin, la pertenencia a grupos y una direccin IP actual.

Controladores de dominio y recopilacin de inicios de sesin


Las aplicaciones Logon Collector y Logon Monitor permiten a los otros productos McAfee, como Firewall Enterprise y McAfee Network Security Platform interactuar con los controladores de dominio a fin de recopilar constantemente informacin de identidad. Esta informacin sirve para asignar las transacciones de red a las identidades reales. Cada vez que un usuario inicia sesin en la red o requiere el acceso a cualquiera de los recursos controlados por el dominio, por ejemplo, una impresora, un servidor o un recurso compartido de archivos, el controlador de dominio crea una entrada de registro de eventos en un archivo de registro

McAfee Logon Collector 2.0

Gua de administracin

Introduccin a McAfee Logon Collector Despliegue

especial y protegido, que se denomina registro de eventos de seguridad. Este archivo de registro est disponible para sistemas remotos, como Logon Collector y Logon Monitor, por medio de una interfaz de Microsoft llamada Instrumental de administracin de Windows (WMI). Para minimizar la carga que suponen las consultas del registro de eventos de seguridad (mediante WMI) para un controlador de dominio, Logon Collector o Logon Monitor se ponen en contacto con el controlador de dominio en nombre de los dispositivos McAfee que requieren informacin del registro de eventos de seguridad. Cada controlador de dominio solo tiene que dar cabida a una nica conexin en lugar de a varias conexiones para cada dispositivo McAfee. Debido a que los gastos adicionales que representa el uso de WMI pueden ser elevados, puede desplegar los monitores Logon Monitor cerca de los controladores de dominio en la red. Si lo hace, la mayor parte del trfico (la comunicacin WMI entre los controladores de dominio y Logon Monitor) se enruta a lo largo de una distancia relativamente corta. Los gastos adicionales de la comunicacin entre un monitor Logon Monitor y un recopilador Logon Collector son bajos, lo cual permite optimizar el despliegue de la recopilacin de inicios de sesin. Vase tambin Instalacin de Logon Monitor en la pgina 34

Despliegue
Logon Collector y Logon Monitor pueden conectarse a varios controladores de dominio a travs de varios dominios y bosques. Cada Logon Collector puede contactarse desde mltiples clientes y puede tener varios monitores Logon Monitor. Cuando se desplieguen Logon Collector y Logon Monitor deber tener en cuenta lo siguiente: Los costes generales de red de la comunicacin WMI pueden ser elevados. La comunicacin WMI se produce entre el controlador de dominio y Logon Monitor. McAfee recomienda que utilice un nico monitor Logon Monitor para todos sus dispositivos de seguridad McAfee, de modo que solo sea necesaria una sesin WMI en cada controlador de dominio. McAfee recomienda que site un recopilador Logon Collector o un monitor Logon Monitor local para los controladores de dominio que est supervisando. La comunicacin entre un monitor Logon Monitor y Logon Collector en un enlace WAN es a menudo ms rpida que la comunicacin del controlador de dominio y Logon Collector en el mismo enlace WAN. Cuanto ms rpido recibe Logon Collector esta informacin, ms rpido puede el cliente asociar una direccin IP con la identidad coincidente. Conecte con controladores de dominio que agreguen valor a la estrategia de supervisin. Logon Monitor debe conectarse al controlador de dominio desde el que inician sesin los usuarios que van a ser supervisados. Por ejemplo, si est supervisando en un rea de la red como Nueva York, y nunca ve usuarios de San Francisco, no necesitara supervisar a los usuarios que inicien sesin en un controlador de dominio en San Francisco. Por el contrario, si los usuarios de San Francisco utilizan servicios en el centro de datos de Nueva York que est supervisando, se beneficiar enormemente si vigila el registro de eventos de seguridad del controlador de dominio de San Francisco y determina la identidad de estos usuarios. Aprovchese de la infraestructura de soporte de TI. Si su infraestructura est administrada por diferentes grupos de administradores de sistema que se corresponden con la arquitectura de Windows ya existente, probablemente querr colaborar con ellos. Logon Collector y los monitores Logon Monitor se instalan como servicios en Windows Server 2003 o Windows Server 2008. La administracin de estos servidores puede formar ya parte de una estrategia de administracin de sistemas ms amplia y puede que quiera acogerse a ella.

McAfee Logon Collector 2.0

Gua de administracin

Introduccin a McAfee Logon Collector Visualizacin de la ayuda online

En funcin de sus requisitos de seguridad, puede que quiera dedicar un Windows Server 2003 o Windows Server 2008 para ejecutar Logon Collector o un par de servidores en modo de alta disponibilidad. Si el servidor en el que Logon Collector est instalado est expuesto a riesgo, podra causar una gran prdida de funcionalidad para su arquitectura de seguridad. Es importante mantener actualizado el servidor en el que est instalado Logon Collector o Logon Monitor y para ello aplicar los parches de seguridad de Microsoft de manera puntual. Es igualmente importante seguir las mejores prcticas de seguridad de Microsoft para fortalecer este servidor. Si es posible, el acceso remoto y local al servidor de Logon Collector o Logon Monitor debera limitarse solo a sus administradores. Siga las instrucciones de la seccin Uso de NTLMv2 con Logon Collector para proteger con eficacia las credenciales en el servidor y utilizar solo protocolos de autenticacin seguros. Es posible configurar controladores de dominio para permitir el acceso de Logon Monitor al registro de eventos de seguridad sin utilizar credenciales de inicio de sesin de administrador. Este es el enfoque recomendado.

Figura 1-1 Despliegue de Logon Collector

Vase tambin Uso de NTLMv2 con monitores Logon Monitor en la pgina 58 Acerca de la recopilacin de identidades en la pgina 43

Visualizacin de la ayuda online


Puede consultar la ayuda online para Logon Collector 2.0 de cualquiera de los siguientes modos: Par ver la ayuda online, incluida la tabla de contenidos, ndice y bsqueda de texto completo, haga clic en el signo de interrogacin (?) de la barra de mens. Para obtener ayuda sobre la accin que se muestra en una pgina de configuracin especfica, haga clic en el botn de interrogacin (?) de la esquina superior derecha del panel Configuration (Configuracin). Se muestra la pgina de Ayuda correspondiente.

McAfee Logon Collector 2.0

Gua de administracin

Introduccin a McAfee Logon Collector Visualizacin de la ayuda online

10

McAfee Logon Collector 2.0

Gua de administracin

Instalacin

En esta seccin se incluye el proceso de instalacin de McAfee Logon Collector y Logon Monitor. Contenido Consideraciones clave para la instalacin Requisitos previos Instalacin deLogon Collector Acceso a la interfaz web de Logon Collector Instalacin de Logon Collector como una extensin de McAfee ePO Instalacin de Logon Monitor

Consideraciones clave para la instalacin


En esta seccin se ofrecen los detalles de las consideraciones clave para la instalacin. Cuando instala Logon Collector en Windows Server 2008 R2 por primera vez, puede que reciba un mensaje como el siguiente: The Windows registry entry NtfsDisable8dot3NameCreation value will be changed to 0 (El valor de la entrada del registro de Windows NtfsDisable8dot3NameCreation cambiar a 0).
Recibir este mensaje solo si el valor de la entrada del registro de Windows no se ha modificado.

Puede realizar este cambio en el registro y continuar, o continuar sin el cambio.


Si acepta el cambio en el registro y contina, puede tener espacios en la ubicacin de la instalacin. Si no acepta el cambio en el registro, debe asegurarse de que la ruta de acceso de la ubicacin de la instalacin no contenga ninguna carpeta con espacios en blanco en el nombre. Tambin debe asegurarse de que el nombre de la carpeta no supera los 8 caracteres.

Escenario Logon Collector se ejecuta en Windows Server 2003 y el controlador de dominio se ejecuta en Windows Server 2003. Logon Collector se ejecuta en Windows Server 2003 y el controlador de dominio se ejecuta en Windows Server 2008 con Windows Server 2003 en el nivel funcional.

Efecto sobre Logon Collector Logon Collector supervisa los eventos de inicio de sesin. Logon Collector supervisa los eventos de inicio de sesin.

Logon Collector se ejecuta en Windows Server 2003 y el Logon Collector no podr controlador de dominio se ejecuta en Windows Server 2008 R2 en supervisar los eventos de inicio el nivel funcional mximo (esto es Windows Server 2008 R2). de sesin.

McAfee Logon Collector 2.0

Gua de administracin

11

Instalacin Requisitos previos

Requisitos previos
Revise los requisitos previos de instalacin para Logon Collector y Logon Monitor antes de instalar el software.

Planificacin de la instalacin
Antes de la instalacin, asegrese de cumplir lo siguiente: Debe haber iniciado sesin en el servidor como administrador del equipo local. Asegrese de que el hardware cumpla o supere los requisitos mnimos. No necesita ninguna frase de contrasea ni clave de licencia especiales para instalar el software Logon Collector o Logon Monitor. Puede instalar tantas instancias de Logon Collector o Logon Monitor (cada una en su propio servidor) como sean necesarias para proporcionar la cobertura adecuada a los controladores de dominio en el dominio supervisado.

Requisitos del sistema


Logon Collector y Logon Monitor se ejecutan como servicios de Microsoft Windows en un servidor Windows y requieren de un sistema que cumpla con los siguientes requisitos mnimos: Componente Sistema operativo Requisito mnimo Cualquiera de las siguientes opciones: Windows Server 2003 SP2 (32 o 64 bits) Windows Server 2003 R2 SP2 (32 o 64 bits) Windows Server 2008 (32 o 64 bits) Windows Server 2008 R2 (64 bits) Sistema Operativo Controladores de dominio Cualquiera de los siguientes servidores de Microsoft: Windows Server 2003 Windows Server 2008 Windows Server 2008 R2 RAM (memoria) Espacio en disco Procesador Marco de software Navegador 4 GB 20 GB de espacio libre Pentium IV a 2 GHz o superior Microsoft .NET Framework 2.0 Microsoft Internet Explorer 8.x y 9.x Mozilla Firefox 3.x y posterior Conectividad en la red Desde los servidores de Logon Collector a los controladores de dominio del dominio de Microsoft Active Directory que supervisa Logon Collector o Logon Monitor.

12

McAfee Logon Collector 2.0

Gua de administracin

Instalacin Instalacin deLogon Collector

Componente Resolucin Pertenencia de dominio

Requisito mnimo Pantalla con una resolucin de 1024x768 o superior. Pertenencia de dominio o derechos de acceso a los registros de eventos de seguridad en cada controlador de dominio al que Logon Collector o Logon Monitor accedan.

Considere la posibilidad de instalar Logon Monitor en una mquina virtual ya que se trata de una aplicacin con menos requisitos y no transmite tanta informacin como Logon Collector. El consumo de memoria de Logon Monitor depende del nmero de usuarios y grupos en la base de datos.

Requisitos de resolucin DNS


La resolucin adecuada del sistema de nombres de dominio (DNS) es un requisito fundamental para la recopilacin de identidades. Los equipos donde se instalan Logon Collector o Logon Monitor, y el cliente configurado para recopilar identidades deben estar configurados para referir a un servidor DNS que sea capaz de: Resolver cualquier dominio desde el cual se recopilan los inicios de sesin. Proporcionar una resolucin de reenvo para todos los controladores de dominio desde donde se recopilan los inicios de sesin. Proporcionar una resolucin inversa para todos los controladores de dominio desde donde se recopilan los inicios de sesin. Proporcionar registros de SRV para uno o varios controladores de dominio desde donde se recopilan los inicios de sesin.

Vase tambin Solucin de problemas de DNS en la pgina 147

Instalacin deLogon Collector


Cuando se instala Logon Collector, tambin se instala un monitor Logon Monitor localmente en el mismo servidor. Este Logon Monitor aparece en la interfaz de usuario referenciado como localhost.
Puede instalarlo independientemente si necesita un monitor Logon Monitor remoto. Si ya est ejecutando una aplicacin basada en McAfee Foundation Services (MFS), como McAfee ePolicy Orchestrator, el servicio Logon Collector ser incompatible con esta.

Vase tambin Desinstalacin del software en la pgina 26 Desinstalacin de Logon Monitor en la pgina 35

Descarga del software


Descargue el paquete de software Logon Collector y Logon Monitor del sitio web de McAfee.

McAfee Logon Collector 2.0

Gua de administracin

13

Instalacin Instalacin deLogon Collector

Procedimiento 1 2 3 4 5 En un navegador web, vaya a https://secure.mcafee.com/apps/downloads/my-products/login.aspx? region=us. Indique su nmero de concesin y seleccione la categora de productos pertinente (por ejemplo, el dispositivo McAfee Firewall Enterprise). Seleccione McAfee Logon Collector 2.0. Descargue el archivo zip para la instalacin de Logon Collector. Extraiga los archivos al directorio local. Busque el programa de instalacin de Logon Collector y descrguelo en el directorio local. Logon Monitor forma parte del paquete de Logon Collector que se descarga.
Si desea tener una instalacin de Logon Monitor remoto independiente, seleccione la carpeta McAfee Logon Monitor y busque el programa de instalacin. Si desea instalar Logon Collector como una extensin de McAfee ePO, descargue el archivo MLC20_ePOextension.zip desde la misma ubicacin.

Vase tambin Instalacin de un monitor Logon Monitor en la pgina 34

Instalacin del software en Windows Server


El asistente de instalacin de Logon Collector instalar Logon Collector, Logon Monitor local y Microsoft SQL Server 2005 Express en cualquiera de los siguientes sistemas operativos: Windows Server 2003 Windows Server 2003 R2 Windows Server 2008 Windows Server 2008 R2

Si ya dispone de una instancia de Microsoft SQL Server en el servidor, puede omitir esta parte de la instalacin. En cualquier punto de la instalacin, puede hacer clic en Back (Atrs) o en Cancel (Cancelar) para volver al paso anterior o cancelar la instalacin respectivamente.

14

McAfee Logon Collector 2.0

Gua de administracin

Instalacin Instalacin deLogon Collector

Procedimiento 1 2 Vaya a la carpeta de Logon Collector que ha descargado en el directorio local. Haga doble clic en Setup.exe. Se abre el asistente de instalacin de Logon Collector. Si su sistema tiene menos de 4 GB de RAM, aparecer el siguiente mensaje de error.

Figura 2-1 Mensaje de error durante la instalacin

Haga clic en Yes (S) para continuar con la instalacin con la memoria disponible actualmente.
Puede hacer clic en No para cancelar la instalacin y continuar con ella posteriormente, una vez que se haya asegurado de disponer de un mnimo de 4 GB de RAM.

McAfee Logon Collector 2.0

Gua de administracin

15

Instalacin Instalacin deLogon Collector

Si est instalando el software en Windows 2008 R2, aparecer la ventana Security Warning (Advertencia de seguridad) siguiente.

Figura 2-2 Ventana Security Warning (Advertencia de seguridad)

Haga clic en Run (Ejecutar) para continuar. Es posible que aparezca una ventana emergente para activar la convencin de denominacin de archivos de Windows 8.3. Haga clic en Yes (S) para continuar la instalacin. Si activa esta opcin, se genera un nombre corto segn la convencin de denominacin de archivos de Windows 8.3 para los nombres de archivo largos.

Figura 2-3 Opcin para activar la convencin de denominacin de archivos de Windows 8.3

16

McAfee Logon Collector 2.0

Gua de administracin

Instalacin Instalacin deLogon Collector

Se abre el asistente de instalacin de Logon Collector.

Figura 2-4 Asistente de instalacin de Logon Collector

Haga clic en Next (Siguiente) para continuar. Se abre la ventana McAfee End User Licensing Agreement (Acuerdo de licencia de usuario final de McAfee).

Figura 2-5 Ventana McAfee Licensing (Licencias de McAfee)

McAfee Logon Collector 2.0

Gua de administracin

17

Instalacin Instalacin deLogon Collector

Seleccione cualquiera de las siguientes licencias en la lista desplegable de la opcin License expire type (Tipo de caducidad de la licencia): 1 Year Subscription (Suscripcin de 1 ao): la licencia caduca al cabo de un ao 2 Year Subscription (Suscripcin de 2 aos): la licencia caduca al cabo de dos aos Perpetual License (Licencia permanente): la licencia no caduca

Lea el acuerdo de licencia, seleccione la opcin I accept the terms in the license agreement (Acepto los trminos del acuerdo de licencia) y haga clic en OK (Aceptar) para continuar. 5 De forma predeterminada, la carpeta de destino de la instalacin se establece en C:\Archivos de programa\McAfee\McAfee Logon Collector\. Haga clic en Change (Cambiar) para seleccionar una ubicacin nueva.

Figura 2-6 Carpeta de destino El proceso de desinstalacin puede quitar la carpeta que contiene la instalacin de Logon Collector junto con cualquier otra carpeta que haya en la ruta de acceso. McAfee recomienda seleccionar una carpeta vaca o aceptar la ubicacin predeterminada de la instalacin para evitar este problema.

Haga clic en Next (Siguiente) para continuar. Se abre la ventana Global Administrator Information (Informacin del administrador global).

18

McAfee Logon Collector 2.0

Gua de administracin

Instalacin Instalacin deLogon Collector

Escriba el Username (Nombre de usuario) y la Password (Contrasea) del administrador de la interfaz web de Logon Collector. Vuelva a escribir la contrasea a modo de verificacin.

Figura 2-7 Ventana Global Administrator Information (Informacin del administrador global)

Haga clic en Next (Siguiente). Se abre la ventana HTTP Port Information (Informacin de puerto HTTP).

McAfee Logon Collector 2.0

Gua de administracin

19

Instalacin Instalacin deLogon Collector

Deje los puertos de Logon Collector con los valores predeterminados, a no ser que uno de dichos puertos ya est en uso.

Figura 2-8 Ventana HTTP Port Information (Informacin de puerto HTTP) Necesitar el puerto Web Server (Servidor web) para abrir la interfaz web de Logon Collector.

Haga clic en Next (Siguiente). Se abre la ventana SQL Express Option (Opcin de SQL Express).

20

McAfee Logon Collector 2.0

Gua de administracin

Instalacin Instalacin deLogon Collector

En ella puede aparecer cualquiera de los siguientes resultados: Resultado 1: opciones activadas en la ventana SQL Express Option (Opcin de SQL Express): Se abre una ventana emergente. Haga clic en Yes (S) para continuar la instalacin de Microsoft SQL 2005 Express.

Figura 2-9 Ventana emergente de la instalacin de Microsoft SQL 2005 Express

McAfee Logon Collector 2.0

Gua de administracin

21

Instalacin Instalacin deLogon Collector

Resultado 2: opciones desactivadas en la ventana SQL Express Option (Opcin de SQL Express): Durante el proceso de instalacin, puede ser que encuentre ambas opciones desactivadas en la ventana SQL Express Option (Opcin de SQL Express).

Figura 2-10 Ventana Microsoft SQL Express Option (Opcin de Microsoft SQL Express): opciones desactivadas

Haga clic en la opcin Why are the above options disabled? (Por qu estn desactivadas las opciones anteriores?) para ver los motivos de esta accin.

Figura 2-11 Motivos de desactivacin de las opciones

Haga clic en OK (Aceptar) para continuar. Escenario adicional

22

McAfee Logon Collector 2.0

Gua de administracin

Instalacin Instalacin deLogon Collector

Si instala Microsoft SQL 2005 Express en Windows Server 2003 (64 bits) o Windows Server 2008 (64 bits) por primera vez, aparecer el siguiente mensaje de advertencia

Figura 2-12 Mensaje de advertencia de SQL

Haga clic en Yes (S) para abrir la ventana Program Compatibility (Compatibilidad de programas). Haga clic en Run Program (Ejecutar programa) para continuar.

Figura 2-13 Ventana Program Compatibility Assistant (Asistente de compatibilidad de programas)

Cuando est en curso la instalacin de Microsoft SQL 2005 Express, aparece la siguiente ventana.

Figura 2-14 Instalacin de Microsoft SQL Server

Se abre la ventana Database Information (Informacin de base de datos). 10 Seleccione las siguientes opciones en la ventana Database Information (Informacin de base de datos): Windows authentication (Autenticacin de Windows): mrquela para especificar el dominio y las credenciales de inicio de sesin del servidor que alojar la base de datos de Logon Collector. Los detalles de SQL server TCP port (Puerto TCP del servidor SQL) se establecen de forma predeterminada. SQL authentication (Autenticacin de SQL): mrquela solo si tiene una instalacin de Microsoft SQL Server independiente anterior a la instalacin de Logon Collector. Si fuera as, escriba el nombre de usuario y la contrasea del servidor Microsoft SQL Server que se haya utilizado durante la instalacin de Microsoft SQL Server.

McAfee Logon Collector 2.0

Gua de administracin

23

Instalacin Instalacin deLogon Collector

Figura 2-15 Ventana Database Information (Informacin de base de datos)

11 Haga clic en Next (Siguiente). Se abre la ventana Ready to Install the Program (Listo para instalar el programa).

24

McAfee Logon Collector 2.0

Gua de administracin

Instalacin Instalacin deLogon Collector

12 Haga clic en Install (Instalar) para continuar.

Figura 2-16 Ventana Ready to Install the Program (Listo para instalar el programa)

Se abre la ventana Installing McAfee Logon Collector (Instalando McAfee Logon Collector).

Figura 2-17 Ventana Installing McAfee Logon Collector (Instalando McAfee Logon Collector)

McAfee Logon Collector 2.0

Gua de administracin

25

Instalacin Instalacin deLogon Collector

13 Haga clic en Finish (Finalizar) para terminar la instalacin.

Figura 2-18 Ventana de finalizacin de la instalacin de Logon Collector

Desinstalacin del software


Siga estos pasos para desinstalar Logon Collector. Procedimiento 1 2 3 En Windows Server, en el men Inicio seleccione Panel de control y haga clic en Agregar o quitar programas. Seleccione Logon Collector, haga clic en Quitar y siga las instrucciones que aparecen en pantalla. Si quiere quitar la base de datos de Logon Collector, deje activada la casilla de verificacin y haga clic en Siguiente para continuar. La informacin de configuracin, como los dominios que se supervisan y los monitores Logon Monitor que estn conectados, no se guarda. Si tiene numerosos usuarios configurados para administrar Logon Collector, es posible que quiera conservar la base de datos. 4 5 6 7 Cuando se le pida la contrasea de la base de datos, haga clic en Siguiente para continuar. En la ventana Agregar o quitar programas, seleccione Logon Collector y haga clic en Quitar. Haga clic en S cuando se le pida quitar Logon Collector. Cierre Agregar o quitar programas.

Vase tambin Instalacin deLogon Collector en la pgina 13 Instalacin de Logon Monitor en la pgina 34

26

McAfee Logon Collector 2.0

Gua de administracin

Instalacin Acceso a la interfaz web de Logon Collector

Desinstalacin de Microsoft SQL Server 2005 Express Edition


Si ha instalado Microsoft SQL Server 2005 Express Edition como parte de la instalacin de Logon Collector, posiblemente quiera desinstalarlo cuando quite Logon Collector de su equipo. Si prev la reinstalacin de Logon Collector, debe dejar Microsoft SQL Server 2005 Express Edition en el equipo. Siga estos pasos para desinstalar Microsoft SQL Server 2005 Express Edition. Procedimiento 1 2 3 En Windows Server, en el men Inicio seleccione Panel de control y haga clic en Agregar o quitar programas. Seleccione Microsoft SQL Server 2005 y haga clic en Quitar. En la ventana Seleccin de componentes, seleccione MLCSERVER: Database Engine (Motor de base de datos) y Workstation Components (Componentes de la estacin de trabajo) y, a continuacin, haga clic en Siguiente. Haga clic en Finalizar. En la ventana Agregar o quitar programas, seleccione Microsoft SQL Server Native Client y haga clic en Quitar. Haga clic en S cuando se le solicite quitar Microsoft SQL Server Native Client. Cierre Agregar o quitar programas.

4 5 6 7

Acceso a la interfaz web de Logon Collector


Utilice la interfaz web de Logon Collector para supervisar dominios y monitores de inicio de sesin Logon Monitor, generar informes y llevar a cabo tareas administrativas. Procedimiento 1 Abra un navegador y escriba la URL de Logon Collector. Por ejemplo, si ha aceptado los puertos predeterminados, podra escribir https://127.0.0.1:8443/.
El valor 8443 en la URL puede variar segn la instalacin. Cuando se conecte por primera vez a la interfaz web por medio de una conexin HTTPS, aparecer una advertencia de certificado no vlida. Haga clic en Continue to this website (Vaya a este sitio web) (o el texto equivalente en cada caso) para continuar.

Aparece la ventana Log On (Iniciar sesin). 2 Escriba el nombre de usuario y la contrasea que ha configurado durante la instalacin y haga clic en Log On (Iniciar sesin). Aparece la ventana Main Status (Estado principal) de la interfaz web.

Instalacin de Logon Collector como una extensin de McAfee ePO


Logon Collector tambin puede instalarse en el servidor de McAfee ePolicy Orchestrator (McAfee ePO) 4.6 como una extensin. McAfee ePO es una plataforma escalable de administracin centralizada de directivas y de implementacin de los productos de seguridad de los sistemas, como las aplicaciones antivirus, antispyware y firewall personal.

McAfee Logon Collector 2.0

Gua de administracin

27

Instalacin Instalacin de Logon Collector como una extensin de McAfee ePO

Logon Monitor realiza sondeos del dominio de Active Directory para recuperar informacin de usuario, como nombres de usuario y comportamientos de usuario, por medio de eventos de inicio de sesin.
Debido a la carga que representa para el sistema, Logon Collector solo puede ejecutarse en McAfee ePO para supervisar dominios de Active Directory de tamao reducido.

Requisitos de instalacin
A continuacin se proporcionan los detalles de los requisitos mnimos para la instalacin de Logon Collector como una extensin de McAfee ePO: Versin de Logon Collector: 2.0 Versin de McAfee ePO: 4.6, 4.6.2

Configuracin de Logon Collector como una extensin de McAfee ePO


Para configurar Logon Collector como una extensin de McAfee ePO: Procedimiento 1 2 Descargue el archivo MLC20_ePOextension.zip en su directorio local. Seleccione Menu | Software | Extensions (Men, Software, Extensiones).

Figura 2-19 Opcin de extensiones

Se abre la pgina Extensions (Extensiones).

28

McAfee Logon Collector 2.0

Gua de administracin

Instalacin Instalacin de Logon Collector como una extensin de McAfee ePO

Haga clic en Install Extension (Instalar extensin) en la esquina inferior izquierda para comenzar la instalacin.

Figura 2-20 Opcin Install Extension (Instalacin de extensin)

McAfee Logon Collector 2.0

Gua de administracin

29

Instalacin Instalacin de Logon Collector como una extensin de McAfee ePO

Haga clic en Browse (Explorar) para seleccionar el archivo MLC20_ePOextension.zip que va a instalarse desde su directorio local. Haga clic en OK (Aceptar).
Descargue el archivo zip como se describe en la seccin Descarga del software de esta gua.

Figura 2-21 Ventana Install Extension (Instalacin de extensin)

Se abre la ventana Install Package (Instalar paquete).

Figura 2-22 Ventana Install Package (Instalar paquete)

30

McAfee Logon Collector 2.0

Gua de administracin

Instalacin Instalacin de Logon Collector como una extensin de McAfee ePO

Haga clic en OK (Aceptar) para volver a la ventana Extensions (Extensiones). Compruebe que Logon Collector aparece en la lista como una extensin en el panel izquierdo.

Figura 2-23 Instalacin correcta Si desea quitar la extensin Logon Collector, haga clic en Remove (Quitar) del panel derecho.

Seleccione la ventana Status (Estado) y haga clic en Id Replication Manager (Administrador de replicaciones de ID) para confirmar la instalacin.

Figura 2-24 Ventana Estado (Estado) tras la confirmacin de la instalacin

McAfee Logon Collector 2.0

Gua de administracin

31

Instalacin Instalacin de Logon Collector como una extensin de McAfee ePO

Procedimientos Instalacin de Logon Collector desde la ficha Software Manager (Administrador de software) de McAfee ePO en la pgina 32

Instalacin de Logon Collector desde la ficha Software Manager (Administrador de software) de McAfee ePO
Siga estos pasos para instalar Logon Collector desde la ficha Software Manager (Administrador de software) de la interfaz de usuario de McAfee ePO. Procedimiento 1 2 3 4 5 6 Seleccione Menu | Software | Software Manager (Men, Software, Administrador de software). Haga clic en Refresh (Actualizar) desde el panel de la izquierda. En la seccin Product Categories (Categoras de producto), haga clic en Firewall Related Software (Software relacionado con el firewall) en la opcin Software (by Label) (Software (por etiqueta)). En el panel de la derecha aparece la opcin Software (by Label) > Firewall Related Software (Software (por etiqueta) -> Software relacionado con el firewall). Haga clic en McAfee Logon Collector 2.0. Haga clic en Check-in MLC (Incorporar MLC) En la ventana McAfee Logon Collector Check In Software Summary (Resumen de incorporacin de software), lea y seleccione la opcin I accept the terms in the license agreement (Acepto los trminos del acuerdo de licencia). Haga clic en OK (Aceptar) para ver la ventana Activity In Progress (Actividad en curso). En ella puede ver el progreso de la instalacin. Espere hasta ver el estado Complete (Finalizado) (si la instalacin ha sido correcta) o el estado Failed (Error) (si la instalacin no ha sido correcta). 8 Para verificar la instalacin correcta de la extensin de Logon Collector, compruebe si aparecen las pginas Status (Estado) y Logon Report (Informe de inicio de sesin) en Menu | Reporting (Men, Reporting, Generacin de informes).

32

McAfee Logon Collector 2.0

Gua de administracin

Instalacin Instalacin de Logon Collector como una extensin de McAfee ePO

Limitaciones
En esta seccin se ofrece informacin detallada sobre las limitaciones de Logon Collector cuando se ejecuta como una extensin de McAfee ePO: High Availability (Alta disponibilidad): esta funcin est desactivada si Logon Collector se ejecuta como una extensin de McAfee ePO. Identity Data Store (IDDS): se trata de la base de datos en memoria especfica de Logon Collector. De forma predeterminada se establece un lmite de tamao para el almacn de datos IDDS de Logon Collector mientras se ejecuta en McAfee ePO. Ello significa que el nmero total de objetos del directorio (usuarios y grupos) debe ser siempre inferior a 10.000. Asegrese de que el dominio que aada a Logon Collector no supere este lmite. Asimismo, compruebe el nmero de usuarios y grupos existentes en el IDDS antes de aadir un dominio nuevo. Si se supera el lmite de tamao, Logon Collector dejar de supervisar todos los dominios y los clientes perdern la conexin con Logon Collector. El servidor de Logon Collector tendr un comportamiento fuera de lo normal una vez superado el lmite de tamao. No se recomienda realizar ningn cambio de configuracin en esta situacin. Solucin: si se alcanza el lmite de 10.000 objetos en McAfee ePO, es posible que tenga que ejecutar Logon Collector en un servidor independiente (que no sea McAfee ePO). Aunque consiga encontrar una combinacin de dominios que supervisar que cumpla el lmite de objetos, tendr que desinstalar y reinstalar la extensin si Logon Collector alcanza dicho lmite. Asegrese de no agregar ningn dominio que tenga ms de 10.000 objetos. Este proceso de recuperacin solo podr utilizarse cuando Logon Collector haya alcanzado el lmite de 10.000 objetos y haya detenido el funcionamiento normal. Si alcanza el lmite aparecer el siguiente mensaje de error:

Figura 2-25 Mensaje de error para la restriccin de McAfee ePO

McAfee Logon Collector 2.0

Gua de administracin

33

Instalacin Instalacin de Logon Monitor

Tambin aparecer un mensaje de error en la pgina Status (Estado) de la seccin del almacn de datos ID Data Store {idds}.

Figura 2-26 Mensaje de error en la pgina Status (Estado)

Instalacin de Logon Monitor


La instalacin de Logon Collector incluye un monitor Logon Monitor local. No es necesaria una frase de contrasea especial ni clave de licencia para instalar Logon Monitor. Puede instalar tantas instancias de Logon Monitor (cada una en su propio servidor) como necesite para proporcionar la cobertura adecuada a los controladores de dominio en el dominio supervisado. Debe instalar un monitor Logon Monitor lo ms cerca posible de los controladores de dominio con los que va a comunicarse. De este modo se minimiza el impacto del trfico resultante de la comunicacin. Logon Monitor forma parte del paquete de descarga de Logon Collector.

Requisitos previos:
Deben haberse desinstalado las versiones anteriores de Logon Collector o Logon Monitor antes de instalar esta versin del software. Debe haber iniciado la sesin en el servidor como administrador.

Vase tambin Controladores de dominio y recopilacin de inicios de sesin en la pgina 7 Desinstalacin del software en la pgina 26 Desinstalacin de Logon Monitor en la pgina 35

Instalacin de un monitor Logon Monitor


Procedimiento 1 Con el Explorador de Windows, busque la carpeta Logon Monitor.
Descargue el software que se describe en la seccin Descarga del software de esta gua.

Haga doble clic en Setup.exe.

34

McAfee Logon Collector 2.0

Gua de administracin

Instalacin Instalacin de Logon Monitor

Para una instalacin nueva de Logon Monitor, haga clic en Generate Self Signed Certificate (Generar certificado autofirmado) en la ficha Configuration (Configuracin) de la ventana McAfee Logon Monitor Configuration (Configuracin de McAfee Logon Monitor). El certificado es necesario para comunicar con Logon Collector. Si se trata de una reinstalacin de Logon Monitor, el certificado de la instalacin anterior permanece en el almacn y puede continuar utilizndolo.

Finalice los cambios de configuracin y haga clic en OK (Aceptar).

Vase tambin Configuracin de Logon Monitor en la pgina 55 Descarga del software en la pgina 13

Desinstalacin de Logon Monitor


Siga los pasos que se indican a continuacin para desinstalar Logon Monitor.
Asegrese de que el monitor Logon Monitor que desea desinstalar no se est utilizando para supervisar algn controlador de dominio para algn Logon Collector.

Procedimiento 1 2 3 4 5 6 En el servidor de Windows, en el men Inicio, seleccione el men Panel de control y haga clic en Agregar o quitar programas. Haga clic en McAfee Logon Monitor y, a continuacin, en Quitar. Cuando aparezca el mensaje del asistente InstallShield para McAfee Logon Monitor, haga clic en Siguiente para comenzar el proceso de desinstalacin. En la ventana Mantenimiento del programa, haga clic en Quitar y, a continuacin, en Siguiente. Haga clic en Quitar. Haga clic en Finalizar. Si tiene pensado reinstalar Logon Monitor, tenga en cuenta que el certificado de la instalacin anterior permanece en el almacn y puede continuar utilizndolo. Vase tambin Instalacin deLogon Collector en la pgina 13 Instalacin de Logon Monitor en la pgina 34

McAfee Logon Collector 2.0

Gua de administracin

35

Instalacin Instalacin de Logon Monitor

36

McAfee Logon Collector 2.0

Gua de administracin

Ampliacin

En esta seccin se analiza la ampliacin de Logon Collector 1.0 o bien 1.0.1 a Logon Collector 2.0. Contenido Consideraciones clave para una ampliacin de versin Ampliacin del software en Windows Server Verificacin de la ampliacin

Consideraciones clave para una ampliacin de versin


Puede realizar una instalacin de Logon Collector 2.0 desde cero o bien puede ampliar la versin de Logon Collector 1.0 o 1.0.1 a Logon Collector 2.0. Cuando se realiza una ampliacin de versin, toda la configuracin de Logon Collector junto con la siguiente informacin se mantiene en el servidor de Logon Collector: Dominios configurados Certificados agregados Configuracin de Logon Monitor local Monitores Logon Monitor remotos
Como en cualquier ampliacin de versin, McAfee recomienda encarecidamente que realice siempre primero una prueba de la ampliacin en un entorno de prueba. La ampliacin de versin no es compatible con Windows Server 2008 R2. Debe desinstalar y volver a instalar para ampliar de la versin de Logon Collector 1.0 o 1.0.1 a Logon Collector 2.0.

Ampliacin del software en Windows Server


Antes de empezar Puede ampliar el software en cualquiera de los siguientes sistemas operativos: Windows Server 2003 Windows Server 2003 R2 Windows Server 2008

McAfee Logon Collector 2.0

Gua de administracin

37

Ampliacin Ampliacin del software en Windows Server

Procedimiento 1 Vaya a la carpeta de Logon Collector que ha descargado en el directorio local. Haga doble clic en Setup.exe e inicie el programa de instalacin de Logon Collector 2.0.

Figura 3-1 Programa de instalacin de Logon Collector 2.0

2 3

Lea y acepte la licencia, y contine con la instalacin. Confirme la carpeta de destino. Haga clic en Next (Siguiente). Debe ser la misma que la de la instalacin anterior (Logon Collector 1.0 o bien 1.0.1).

Figura 3-2 Ventana Destination Folder (Carpeta de destino)

38

McAfee Logon Collector 2.0

Gua de administracin

Ampliacin Ampliacin del software en Windows Server

Introduzca la informacin del administrador en Username (Nombre de usuario) y Password (Contrasea). Verifique la contrasea. Debe ser la misma que la de la instalacin anterior (Logon Collector 1.0 o bien 1.0.1).

Figura 3-3 Ventana Global Administrator Information (Informacin del administrador global)

McAfee Logon Collector 2.0

Gua de administracin

39

Ampliacin Ampliacin del software en Windows Server

Confirme los nmeros de puerto. Puesto que ya tiene una base de datos, las opciones de Microsoft SQL Server se desactivarn.

Figura 3-4 Opciones desactivadas en la ventana SQL Express Option (Opcin de SQL Express)

La opcin Database Server (Servidor de base de datos) de la ventana Database Information (Informacin de base de datos) debe conservar la misma informacin que la de la instalacin de Logon Collector 1.0 o bien 1.0.1. Haga clic en Next (Siguiente). Se abre la ventana Ready to Install the Program (Listo para instalar el programa).

Haga clic en Install (Instalar) para empezar el proceso de ampliacin.

40

McAfee Logon Collector 2.0

Gua de administracin

Ampliacin Ampliacin del software en Windows Server

Obtendr uno de los siguientes resultados: Resultado 1: si se trata de la ampliacin de Logon Collector en Windows Server 2003, Windows Server 2003 R2 o Windows Server 2008 (64 bits): Se abre la ventana Installing McAfee Logon Collector (Instalando McAfee Logon Collector). Resultado 2: si se trata de la ampliacin de Logon Collector en Windows Server 2008 (32 bits): Aparece la siguiente ventana si ampla el software en Windows Server 2008 (32 bits).

Figura 3-5 Ventana de instalacin para la ampliacin en Windows 2008 (32 bits)

Seleccione la opcin Automatically close and attempt to restart applications (Cerrar automticamente e intentar reiniciar las aplicaciones) y haga clic en OK (Aceptar) para continuar. 8 Haga clic en Finish (Finalizar) para terminar el proceso de ampliacin.

Vase tambin Instalacin del software en Windows Server en la pgina 14

McAfee Logon Collector 2.0

Gua de administracin

41

Ampliacin Verificacin de la ampliacin

Verificacin de la ampliacin
Seleccione Menu | Configuration | About (Men, Configuracin, Acerca de) para verificar que la ampliacin se haya realizado de manera correcta.

Figura 3-6 Verificacin del xito de la ampliacin

42

McAfee Logon Collector 2.0

Gua de administracin

Recopilacin de identidades

En esta seccin se ofrecen los detalles de la recopilacin de identidades. Contenido Acerca de la recopilacin de identidades Adicin de un dominio al monitor Adicin de Logon Monitor

Acerca de la recopilacin de identidades


Las identidades pueden recopilarse mediante uno de los siguientes modos: Supervisar un dominio con un monitor Logon Monitor local: Todas las instalaciones de Logon Collector contienen Logon Monitor. Debe agregar un dominio desde el que Logon Collector recopile la informacin. Supervisar un dominio con un monitor Logon Monitor remoto: Debe agregar monitores Logon Monitor remotos a Logon Collector.

Consulte la seccin Despliegue para obtener informacin sobre cundo utilizar los monitores Logon Monitor para controlar un dominio. Vase tambin Adicin de un dominio al monitor en la pgina 43 Adicin de un certificado de Logon Collector a un monitor Logon Monitor en la pgina 45 Despliegue en la pgina 8

Adicin de un dominio al monitor


Antes de empezar Introduzca las credenciales para los dominios que se controlarn directamente mediante Logon Collector. Obtenga acceso de administracin al cliente que sondea las identidades de un dominio determinado. Instale y configure Logon Collector. Adquiera las credenciales del dominio adecuado de su administrador de dominio de Windows.

McAfee Logon Collector 2.0

Gua de administracin

43

Recopilacin de identidades Adicin de Logon Monitor

La cuenta de administrador que pretende utilizar para acceder al controlador de dominio debe estar en el mismo dominio desde donde quiere obtener las identidades.
Si desea utilizar una cuenta distinta a la del administrador, consulte la seccin Creacin de una cuenta de usuario no administrador para acceder al registro de eventos de seguridad en una seccin del controlador de dominio.

Siga los pasos que se indican a continuacin para agregar un dominio supervisado: Procedimiento 1 2 3 4 Seleccione Menu | Configuration | Monitored Domains (Men, Configuracin, Dominios supervisados). Haga clic en New Domain (Dominio nuevo). Escriba el nombre del dominio y las credenciales necesarias en los campos pertinentes. Haga clic en Next (Siguiente). Se realizan las conexiones con cada controlador de dominio perteneciente a este dominio en particular. Si la conexin no es correcta con alguno de los controladores de dominio, se muestra un mensaje de error con los detalles del fallo. 5 Para cada uno de los controladores de dominio de la lista, seleccione un monitor Logon Monitor principal y, opcionalmente, otro de copia de seguridad. Para agregar un monitor Logon Monitor como copia de seguridad a la lista desplegable, haga clic en New Logon Monitor (Nuevo Logon Monitor). a b c 6 Haga clic en la lista desplegable en Primary (Principal) y seleccione un monitor Logon Monitor. [Opcional] Haga clic en la lista desplegable bajo Backup (Copia de seguridad) y seleccione un monitor Logon Monitor que entrar en funcionamiento en caso de que el principal no est disponible. Haga clic en Next (Siguiente).

Solo se mostrarn en esta pantalla los controladores de dominio para los que se haya seleccionado Logon Collector. Especifique el orden en que se realizan las consultas de LDAP a los controladores de dominio para obtener la informacin de usuario y grupo. En general los controladores de dominio ms cercanos se situarn en la parte superior de la lista para aumentar los tiempos de respuesta y reducir el ancho de banda de la red. Haga clic en las flechas arriba y abajo para desplazar los controladores de dominio por la lista.

Haga clic en Save (Guardar).

Procedimientos Adicin de un monitor Logon Monitor en la pgina 45

Vase tambin Acerca de la recopilacin de identidades en la pgina 43

Adicin de Logon Monitor


En esta seccin se describe cmo agregar el monitor Logon Monitor remoto a Logon Collector. Contenido Adicin de un certificado de Logon Collector a un monitor Logon Monitor Adicin de un monitor Logon Monitor

44

McAfee Logon Collector 2.0

Gua de administracin

Recopilacin de identidades Adicin de Logon Monitor

Eliminacin de un monitor Logon Monitor

Adicin de un certificado de Logon Collector a un monitor Logon Monitor


Antes de agregar un monitor Logon Monitor remoto a un dominio supervisado en Logon Collector, debe proporcionar la informacin de certificado de Logon Collector a Logon Monitor. Procedimiento 1 2 Instale Logon Monitor y ejecute la aplicacin de McAfee Logon Monitor Configuration (Configuracin del monitor Logon Monitor). En el equipo donde ha instalado Logon Monitor, abra un navegador web. Va a intercambiar informacin entre Logon Monitor y Logon Collector. Tener un navegador web abierto con la interfaz web de Logon Collector facilita la realizacin de esta tarea. 3 4 5 6 7 8 9 Inicie sesin en la interfaz web de Logon Collector y haga clic en Menu | Configuration | Server Settings (Men, Configuracin, Configuracin del servidor). Haga clic en Identity Replication Certificate (Certificado de Identity Replication) de la lista Setting Categories (Configuracin de categoras). En la aplicacin McAfee Logon Monitor Configuration, haga clic en la ficha Remote (Remoto). En caso necesario, haga clic en New (Nuevo) para agregar un certificado nuevo a Logon Monitor. Copie el valor del nombre comn (CN) en Logon Collector al campo Common Name (Nombre comn) de Logon Monitor. En la interfaz web de Logon Collector, desplcese hasta el campo Logon Monitor Fingerprint (Huella digital de Logon Monitor). Copie el valor de Logon Monitor Fingerprint (Huella digital de Logon Monitor) de Logon Collector en el campo Certificate Hash (Hash de certificado) de Logon Monitor.

10 Haga clic en OK (Aceptar). 11 Repita estos pasos en todas las instancias de Logon Collector con las que se comunicar Logon Monitor. Con los certificados de Logon Collector en Logon Monitor, puede agregar Logon Monitor a cualquier instancia de Logon Collector para recopilar los inicios de sesin de un dominio supervisado. Vase tambin Acerca de la recopilacin de identidades en la pgina 43 Ficha Remote (Remoto) en la pgina 56

Adicin de un monitor Logon Monitor


Procedimiento 1 2 3 Seleccione Menu | Configuration | Logon Monitors (Men, Configuracin, Logon Monitors). Haga clic en New Logon Monitor (Nuevo Logon Monitor). Escriba un nombre para Logon Monitor remoto. El nombre es una etiqueta arbitraria que se utiliza en Logon Collector para identificar Logon Monitor.

McAfee Logon Collector 2.0

Gua de administracin

45

Recopilacin de identidades Adicin de Logon Monitor

4 5 6

Escriba el nombre del host o la direccin IP del Logon Monitor remoto. Escriba el nmero de puerto, o acepte el valor predeterminado de 50443. Haga clic en Next (Siguiente) o en OK (Aceptar) en funcin del modo en que est agregando Logon Monitor. Se intenta establecer una conexin con Logon Monitor. Si la conexin es correcta, se muestra el certificado. Para aceptar el certificado, haga clic en Save (Guardar) o en OK (Aceptar) en funcin del modo en que est agregando Logon Monitor. Si la conexin no es correcta, se muestra un mensaje de error.

Eliminacin de un monitor Logon Monitor


Si desea quitar un monitor Logon Monitor remoto, debe asegurarse de que no est supervisando ningn controlador de dominio. Siga estos pasos para quitar un monitor Logon Monitor. Procedimiento 1 2 3 Seleccione Menu | Configuration | Monitored Domains (Men, Configuracin, Dominios supervisados). Seleccione un dominio y haga clic en Manage Domain Controllers (Administrar controladores de dominio). Para cada controlador de dominio, asegrese de que el monitor Logon Monitor que vaya a eliminar no conste como Logon Monitor Primary (Principal) ni Backup (Copia de seguridad). Si el monitor Logon Monitor consta en la lista, haga clic en la lista desplegable y seleccione uno diferente. 4 5 6 7 Repita los pasos 2 y 3 hasta que est seguro de que el monitor Logon Monitor que va a eliminar no se est utilizando. Seleccione Menu | Configuration | Logon Monitors (Men, Configuracin, Logon Monitors). Seleccione el monitor Logon Monitor que va a eliminar y haga clic en Delete Logon Monitor (Eliminar Logon Monitor). Haga clic en OK (Aceptar) para confirmar la eliminacin.

46

McAfee Logon Collector 2.0

Gua de administracin

Configuracin del servidor

En esta seccin se ofrece informacin detallada sobre la configuracin y las distintas funciones de la ventana Server Settings (Configuracin del servidor). Contenido Acerca de la configuracin del servidor Acerca de la configuracin personal Configuracin de Logon Monitor

Acerca de la configuracin del servidor


Utilice la ventana Server Settings (Configuracin del servidor) para configurar diversos parmetros. Para editar un parmetro en concreto: Procedimiento 1 2 3 Seleccione Configuration | Server Settings (Configuracin, Configuracin del servidor). Seleccione una categora de configuracin y haga clic en Edit (Editar) en la esquina inferior derecha de la ventana. Agregue informacin o actualcela y haga clic en Save (Guardar).

Vase tambin Inicio de sesin de usuario de Active Directory en la pgina 47 Paneles en la pgina 47 Servidor de correo electrnico en la pgina 48 Certificado de replicacin de identidad en la pgina 48 Parmetros de Logon Monitor local en la pgina 48 Impresin y exportacin en la pgina 54 Certificado del servidor en la pgina 55

Inicio de sesin de usuario de Active Directory


Seleccione esta opcin para permitir que los usuarios de Active Directory se conecten al Logon Collector si tienen establecido al menos un permiso. Vase tambin Acerca de la configuracin del servidor en la pgina 47 Administracin de conjuntos de permisos en la pgina 88

Paneles
La opcin de interfaz de usuario Dashboards (Paneles) no se aplica a Logon Collector 2.0.

McAfee Logon Collector 2.0

Gua de administracin

47

Configuracin del servidor Acerca de la configuracin del servidor

Vase tambin Acerca de la configuracin del servidor en la pgina 47

Servidor de correo electrnico


Especifique el servidor de correo electrnico (SMTP) que se utilizar para enviar informes por correo electrnico. Opcin SMTP server name (Nombre del servidor SMTP) SMTP server port (Puerto del servidor SMTP) Authentication (Autenticacin) Definicin Nombre del servidor SMTP Nmero de puerto del servidor SMTP, suele ser el puerto 125 El mtodo de autenticacin, si lo hay, para el servidor SMTP Seleccione Authenticate (Autenticar) y especifique las credenciales necesarias en caso de que el servidor SMTP requiera autenticacin. From address (Direccin del remitente) La direccin de correo electrnico que se incluir en el campo From (De)

Vase tambin Acerca de la configuracin del servidor en la pgina 47 Exportacin del registro de auditora en la pgina 94 Definicin de criterios de exportacin en la pgina 98

Certificado de replicacin de identidad


El certificado de replicacin de identidad identifica Logon Collector con relacin a las dems entidades con las que se comunica y establece una conexin de confianza. Por ejemplo: Se proporciona el valor de la identificacin por huellas digitales de Logon Monitor a uno de los monitores Logon Monitor. Se proporciona el valor Base 64 a los clientes, por ejemplo, a McAfee Firewall Enterprise Control Center.

Puede generar un certificado con firma automtica nuevo o utilizar un certificado y la clave privada proporcionados desplazndose a sus ubicaciones. Tambin tendr que facilitar la frase de contrasea (si la hay) si utiliza un certificado proporcionado. El cambio del certificado puede conllevar cualquiera de los siguientes problemas: Es posible que un cliente actual no pueda volver a conectarse. El clster de alta disponibilidad puede romperse.

Vase tambin Acerca de la configuracin del servidor en la pgina 47

Parmetros de Logon Monitor local


Configure los parmetros de Logon Monitor local.

48

McAfee Logon Collector 2.0

Gua de administracin

Configuracin del servidor Acerca de la configuracin del servidor

Opcin Distinguished Name (Nombre distintivo)

Definicin El nombre distintivo contiene el nombre comn y otros atributos necesarios para que Logon Monitor local pueda identificar el certificado que se encuentra en su almacn (consulte la opcin Store Name (Nombre de almacn) ms adelante) y que debe utilizarse para la autenticacin en el servidor de Logon Collector. Por ejemplo, cn=dlc.centserv.org,o=centserv,c=us puede ser el nombre distintivo, compuesto por el nombre comn (cn), nombre de la organizacin (o) y pas de origen (c) del certificado. Para utilizar un certificado con firma automtica, solo necesita usar el nombre comn (agregndole el prefijo cn=) como identificacin.

Store Name (Nombre de almacn)

El nombre del almacn o el nombre del almacn de certificados es el lugar en el que Logon Monitor local busca sus certificados. La configuracin predeterminada del nombre de almacn es McAfeeLogonMonitor\MY. Utiliza el tipo de almacn CERT_SYSTEM_STORE_SERVICES.

Store Type (Tipo de Los almacenes de certificados estn organizados por tipo. El tipo almacn) predeterminado (CERT_SYSTEM_STORE_SERVICES) debera ser suficiente en la mayora de los casos. Server Port (Puerto El puerto en el que escucha el servicio de Logon Monitor local. Siempre que no de servidor) haya ningn otro servicio escuchando en el puerto especificado, puede utilizar el puerto que desee. El valor predeterminado del puerto es 50443. Los nmeros de puerto vlidos estn comprendidos entre 1 y 65535. Certificate Checking (Comprobacin de certificado) Especifica el tipo de comprobacin que debe llevarse a cabo para cualquiera de los certificados remotos aceptados. Certificate Hash (Hash del certificado): [Recomendado] verifica que el hash configurado para el nombre comn proporcionado coincida con el hash almacenado. Certificate Store (Almacn de certificados): la comprobacin del almacn de certificados es donde una autoridad de certificacin firma el certificado encontrado en el almacn de certificados. Certified Not Required (No se requiere certificado): no se comprueba ningn certificado. Esta opcin no ofrece comunicaciones seguras para acceder a Logon Collector. McAfee recomienda utilizar el hash de certificado como mtodo ms seguro. Connection Type (Tipo de conexin) Especifica si la conexin de Logon Collector est cifrada o no. Esta opcin solo est diseada para solucionar problemas. Dicha opcin debe estar configurada a su valor predeterminado (Encrypted (TLS) (Cifrado (TLS)) o es posible que Logon Collector no funcione correctamente. La cantidad de informacin escrita en el archivo de registro. El nivel de detalle aumenta con el nivel de depuracin. El valor predeterminado es cero (0), que no registra ningn tipo de informacin detallada adicional. El lugar en el sistema donde se guarda el archivo de registro. De forma predeterminada, la ubicacin de la instalacin de Logon Collector es C:\Program Files\McAfee\McAfee Logon Collector\Logon Collector. El tamao mximo en kilobytes que puede alcanzar el archivo de registro antes de que se produzca una rotacin. El sistema conserva un mximo de cinco archivos de registro en la ubicacin seleccionada. LoginMonitor.log es el archivo ms reciente; le siguen cronolgicamente los archivos LoginMonitor.log. 1 a LoginMonitor.log.4. El tipo de autenticacin para la conexin entre el servicio Logon Monitor local y los controladores de dominio. Se admiten la autenticacin de Kerberos y la de NTLM; Kerberos es la predeterminada.

Debug Level (Nivel de depuracin) File Location (Ubicacin de archivo) File Size (Tamao de archivo)

Authentication Type (Tipo de autenticacin)

McAfee Logon Collector 2.0

Gua de administracin

49

Configuracin del servidor Acerca de la configuracin del servidor

Opcin CPU Disconnect Threshold (Umbral de desconexin de la CPU)

Definicin Especifica el momento en el que Logon Monitor local introduce una limitacin de flujos de trfico si los servicios en un controlador de dominio supervisado consumen demasiada CPU con excesiva rapidez. Si se supera el umbral de la CPU, Logon Monitor local deja de realizar el sondeo del dominio en cuestin durante veinte minutos. Transcurrido el perodo de veinte minutos, tiempo que debera ser suficiente para que la CPU procese su carga, Logon Monitor local vuelve a conectarse. Si observa que Logon Monitor local recurre con frecuencia a la limitacin de flujos de trfico, intente desactivar la opcin Allow Backlog Queries (Permitir consultas del registro anterior). El nmero mximo de entradas de registro para el que se ejecutar una consulta del registro anterior.

Maximum Backlog Records (Entradas mximas del registro anterior) Allow Backlog Queries (Permitir consultas del registro anterior)

Especifica si Logon Monitor local comprueba los registros de eventos de seguridad del controlador de dominio para eventos relativos a la identidad que puedan haberse producido mientras no estaba conectado. Si esta opcin est activada, Logon Monitor local puede hacer consultas retroactivas para el perodo de tiempo durante el que ha estado desconectado en lugar de tan slo reanudar su labor en el momento en que vuelve a conectarse. Tenga en cuenta que las consultas del registro anterior no pueden tener lugar si Logon Monitor local se conecta primero al controlador de dominio. La consulta se realiza hasta alcanzar el valor de la opcin Maximum Backlog Records (Entradas mximas del registro anterior) o bien hasta el momento de la ltima conexin, aquello que ocurra antes. Es muy probable que las consultas del registro anterior repercutan en el rendimiento de equipos heredados o que soportan mucha carga y, por consiguiente, no se recomiendan. Si observa que Logon Monitor local recurre con frecuencia a la limitacin de flujos de trfico, intente desactivar esta funcin.

Accepted Remote Certificates (Certificados remotos aceptados)

Los certificados de servicios de Logon Collector remotos aceptados por este servicio de Logon Collector. Los certificados deben cumplir los criterios definidos en la opcin Certificate Checking (Comprobacin de certificado).

Vase tambin Acerca de la configuracin del servidor en la pgina 47 Configuracin de Logon Monitor en la pgina 55

Configuracin de direcciones IP para la comunicacin cliente servidor de Logon Collector


Cuando existen varias direcciones IP en el servidor de Logon Collector, este las escucha todas. Durante una conmutacin en caso de error de alta disponibilidad, cuando el servidor principal est inactivo o inaccesible, el secundario cambia del modo en espera a activo. Este ltimo contina estableciendo comunicacin con el principal. Una vez que el servidor principal est activo, el secundario cambia su estado a en espera (o pasivo) y el primer servidor retoma su estado activo. Cuando el servidor principal est inaccesible, los clientes de Logon Collector tienen que reintentar todas las direcciones IP del servidor principal antes de cambiar al secundario. Esto retrasa el proceso de conmutacin en caso de error para el cliente. Para solucionar este problema, Logon Collector le permite seleccionar las direcciones IP para comunicarse. El puerto HTTPS de Logon Collector continuar escuchando todas las direcciones IP. La comunicacin de los clientes y de alta disponibilidad tendr lugar a travs de la direccin IP seleccionada. Cuando el servidor principal est inaccesible, los clientes de Logon Collector tienen que reintentar solo la direccin IP principal configurada antes de cambiar al secundario.

50

McAfee Logon Collector 2.0

Gua de administracin

Configuracin del servidor Acerca de la configuracin del servidor

Configuracin de MLC communication IP Address (Direccin IP para la comunicacin de MLC)


Para configurar la MLC communication IP Address (Direccin IP para la comunicacin de MLC): Procedimiento 1 Seleccione Menu | Configuration | Server Settings (Men, Configuracin, Configuracin del servidor).

Figura 5-1 Opcin Server Settings (Configuracin del servidor)

McAfee Logon Collector 2.0

Gua de administracin

51

Configuracin del servidor Acerca de la configuracin del servidor

Haga clic en MLC communication IP Address (Direccin IP para la comunicacin de MLC).

Figura 5-2 MLC communication IP Address (Direccin IP para la comunicacin de MLC)

Haga clic en Edit (Editar) en la esquina inferior derecha para seleccionar una direccin IP en la lista desplegable.

Figura 5-3 Edit MLC communication IP Address (Edicin de la direccin IP para la comunicacin de MLC)

Haga clic en Save (Guardar).

52

McAfee Logon Collector 2.0

Gua de administracin

Configuracin del servidor Acerca de la configuracin del servidor

MLC User Login Timeout (Tiempo de espera de inicio de sesin de usuario en MLC)
Logon Collector proporciona una opcin para modificar la duracin del evento de inicio de sesin en el servidor de Logon Collector. Este evento de inicio de sesin se ha almacenado en el servidor de Logon Collector durante 6 horas de manera predeterminada.

Configuracin de MLC User Login Timeout (Tiempo de espera de inicio de sesin de usuario en MLC)
Para configurar MLC User Login Timeout (Tiempo de espera de inicio de sesin de usuario en MLC): Procedimiento 1 2 Seleccione Menu | Configuration | Server Settings (Men, Configuracin, Configuracin del servidor). Haga clic en MLC User Login Timeout (Tiempo de espera de inicio de sesin de usuario en MLC).

Figura 5-4 MLC User Login Timeout (Tiempo de espera de inicio de sesin de usuario en MLC)

McAfee Logon Collector 2.0

Gua de administracin

53

Configuracin del servidor Acerca de la configuracin del servidor

Haga clic en Edit (Editar) en la esquina inferior derecha para modificar el tiempo. El evento de inicio de sesin se guardar en el servidor de Logon Collector conforme al tiempo configurado.

Figura 5-5 Edit MLC User Login Timeout (Edicin del tiempo de espera de inicio de sesin de usuario en MLC)

Haga clic en Save (Guardar).

Impresin y exportacin
Defina la configuracin para los documentos exportados.

Figura 5-6 Opcin Printing and Exporting (Impresin y exportacin)

Vase tambin Acerca de la configuracin del servidor en la pgina 47

54

McAfee Logon Collector 2.0

Gua de administracin

Configuracin del servidor Acerca de la configuracin personal

Certificado del servidor


En esta seccin se explica cmo configurar el certificado que utiliza Logon Monitor para autenticarse en Logon Collector.
Asegrese de que posee un certificado para Logon Monitor, ya sea un certificado con firma automtica de nueva generacin (por Logon Monitor) o uno generado por una autoridad de certificacin. Logon Monitor no operar sin un certificado. Sin embargo, en el caso de un monitor Logon Monitor local no es necesario un certificado con firma automtica.

Distinguished Name (Nombre distintivo): el nombre distintivo contiene el nombre comn y otros atributos necesarios para que Logon Monitor pueda identificar el certificado que se encuentra en su almacn (consulte la opcin Store Name (Nombre de almacn) ms adelante) que debe utilizarse para autenticar el servidor. Por ejemplo, la cadena cn=dlc.centserv.org,o=centserv,c=us podra ser el Nombre distintivo, compuesto por el nombre comn (cn), nombre de la organizacin (o) y pas de origen (c) del certificado. Para utilizar un certificado con firma automtica, solo necesita usar el nombre comn (agregndole el prefijo cn=) como identificacin.

Store Name (Nombre de almacn): el nombre del almacn o el nombre del almacn de certificados es el lugar en el que Logon Monitor busca sus certificados. La configuracin predeterminada del nombre de almacn es McAfeeLogonMonitor\MY. Utiliza el tipo de almacn CERT_SYSTEM_STORE_SERVICES. Si Logon Monitor se ejecuta en modo independiente, utilice el nombre de almacn MY. Este utiliza el tipo de almacn CERT_SYSTEM_STORE_CURRENT_USER. Generate Self-Signed Certificate (Generar certificado con firma automtica): solo disponible cuando el campo de nombre distintivo no est en blanco, el botn Generate Self-Signed Certificate (Generar certificado con firma automtica) genera un certificado con firma automtica y lo coloca en el almacn de certificados identificado por el nombre de almacn.
Si Logon Monitor se instala de forma independiente, debe generar un certificado a fin de poder conectar Logon Monitor a Logon Collector.

View Certificate (Ver certificado): solo disponible cuando el campo de nombre distintivo no est en blanco, el botn View Certificate (Ver certificado) muestra un visor de certificados estndar de Windows en el que aparece el certificado que coincide con el nombre distintivo, en caso de que exista alguno en el almacn.

Vase tambin Acerca de la configuracin del servidor en la pgina 47

Acerca de la configuracin personal


Utilice la ventana Personal Settings (Configuracin personal) para editar la contrasea del usuario que se encuentre conectado y el periodo en minutos para que se actualicen las tablas no pertenecientes a paneles si se han configurado para que se actualicen automticamente. Seleccione Menu | Configuration | Personal Settings (Men, Configuracin, Configuracin personal).

Configuracin de Logon Monitor


Logon Monitor se ejecuta como un servicio de Windows y se inicia automticamente despus de cada ciclo de energa (apagado y encendido). En esta seccin se describe la configuracin del software Logon Monitor.

McAfee Logon Collector 2.0

Gua de administracin

55

Configuracin del servidor Configuracin de Logon Monitor

Logon Monitor se configura con una aplicacin denominada Logon Monitor Configuration en el equipo con Windows en el que se haya instalado el software Logon Monitor. Si la configuracin de Logon Monitor no se lleva a cabo como parte de la instalacin, vaya al men Start (Inicio) y seleccione Logon Monitor Configuration (Configuracin de Logon Monitor) (por ejemplo, de forma predeterminada en Start | Programs | McAfee Logon Monitor | Logon Monitor Configuration (Inicio, Programas, McAfee Logon Monitor, Configuracin de Logon Monitor)) para que aparezca la ventana McAfee Logon Monitor Configuration (Configuracin de McAfee Logon Monitor).
No es necesario reiniciar el servicio Logon Monitor cuando se hacen cambios de configuracin. Los cambios surten efecto tras hacer clic en OK (Aceptar). La informacin de configuracin de Logon Monitor se guarda en el Registro de Windows.

Vase tambin Instalacin de un monitor Logon Monitor en la pgina 34 Parmetros de Logon Monitor local en la pgina 48

Ficha Configuration (Configuracin)


La ficha Configuration (Configuracin) contiene la configuracin de Logon Monitor.

Figura 5-7 Ficha Configuration (Configuracin)

Ficha Remote (Remoto)


La ficha Remote (Remoto) contiene el nombre comn del certificado y el hash de certificado de cualquier Logon Collector al que se conecte este monitor Logon Monitor.

56

McAfee Logon Collector 2.0

Gua de administracin

Configuracin del servidor Configuracin de Logon Monitor

Logon Monitor acepta cualquier nmero de certificados en la ficha Remote (Remoto).

Figura 5-8 Ficha Remote (Remoto)

Vase tambin Adicin de un certificado de Logon Collector a un monitor Logon Monitor en la pgina 45

Uso de MMC para administrar certificados de Logon Monitor


Logon Monitor utiliza el almacn de certificados de Microsoft para administrar los certificados que genera. Despus de instalar Logon Monitor, el modo ms sencillo de ver los certificados es utilizar Microsoft Management Console (MMC) para visualizar el almacn de certificados para el servicio de Logon Monitor. Para utilizar MMC: Procedimiento 1 2 3 4 Inicie MMC (Inicio | Ejecutar | MMC). Vaya a Archivo | Agregar o quitar complementopara mostrar la ventana Agregar o quitar complemento. Haga clic en Agregar para mostrar la ventana Agregar un complemento independiente. Seleccione Certificados y haga clic en Agregar para abrir la ventana Complemento Certificados.

McAfee Logon Collector 2.0

Gua de administracin

57

Configuracin del servidor Configuracin de Logon Monitor

5 6 7 8 9

Seleccione Cuenta de servicio en la ventana Certificates snap-in (Complemento Certificados) y haga clic en Siguiente. Seleccione Equipo local y haga clic en Siguiente. Seleccione Logon Collector de la lista de servicios y haga clic en Finalizar. Haga clic en Cerrar en la ventana Agregar un complemento independiente. Haga clic en Aceptar en la ventana Agregar o quitar complemento para cerrarla. MMC muestra la informacin de certificado para Logon Monitor.

10 Haga clic con el botn derecho sobre un certificado o un almacn para importar las listas de certificados en la pantalla.

Importar o quitar un certificado de CA de servidor o cliente para Logon Monitor


Consulte el complemento de certificados para MMC en la documentacin de Microsoft para obtener informacin sobre la importacin de un certificado como autoridad de certificacin (CA, Certificate Authority) para Logon Monitor.
Esto solo es de utilidad cuando Logon Monitor utiliza la comprobacin de certificados.

Uso de NTLMv2 con monitores Logon Monitor


McAfee recomienda utilizar Kerberos como tipo de autenticacin. Si va a utilizar NTLM, es conveniente que use NTLMv2 como se describe en esta seccin. El mtodo de autenticacin predeterminado en Windows, hash de Lan Manager (LM), genera una respuesta dbil que puede utilizar un atacante para llevar a cabo un ataque por fuerza bruta, sin conexin a la red, con el objetivo de averiguar la contrasea real. Lea esta seccin para obtener informacin sobre cmo utilizar el mtodo de autenticacin NTLMv2 y lograr una conexin ms segura entre un monitor Logon Monitor y un controlador de dominio. McAfee recomienda el uso del mtodo de autenticacin NTLMv2 en servidores con Windows 2003 y Windows 2008 si se ejecuta un monitor Logon Monitor. De este modo, Logon Monitor puede utilizar NTLMv2 para autenticarse en los controladores de dominio. Ello nicamente puede conseguirse si se modifica el Registro; no es necesario realizar ningn cambio en los controladores de dominio.
El procedimiento requiere modificar el Registro de Windows Server. La edicin inadecuada del Registro puede provocar que el sistema quede inutilizable o que su estado sea inestable. Haga una copia de seguridad del Registro por si el sistema queda inutilizable o en un estado inestable. Antes de continuar, haga una copia de seguridad del Registro. Para obtener ms informacin, consulte el artculo tcnico 322756 de Microsoft (http://support.microsoft.com/kb/322756/). Si Windows Server proporciona otros servicios y existen clientes que no admiten NTLMv2 (por ejemplo, Windows 95 o Windows 98), este cambio impedir que los clientes antiguos puedan utilizar el servidor.

Para forzar el uso de NTLMv2: Procedimiento 1 2 3 Inicie sesin en el servidor con Windows Server en el que se ejecuta Logon Monitor. Inicie el Editor del Registro (Inicio | Ejecutar | regedit). Vaya a la clave: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

58

McAfee Logon Collector 2.0

Gua de administracin

Configuracin del servidor Configuracin de Logon Monitor

Haga clic con el botn derecho en el valor LmCompatibilityLevel. Consulte: http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/regentry/ 76052.mspx

5 6 7 8

Haga clic en Modify (Modificar). Escriba el nmero 5 (nicamente utilice la autenticacin NTLMv2 y negocie la seguridad de sesin NTLMv2 si el servidor lo admite) y haga clic en OK (Aceptar). Reinicie Windows Server. Asegrese de que el estado de IAM en Logon Collector sea UP (Operativo) transcurridos 10 minutos.

McAfee Logon Collector 2.0

Gua de administracin

59

Configuracin del servidor Configuracin de Logon Monitor

60

McAfee Logon Collector 2.0

Gua de administracin

Alta disponibilidad (clsteres)

En este captulo se explica la funcin de alta disponibilidad (HA).


Los trminos alta disponibilidad y clster se utilizan indistintamente en todo el captulo.

Contenido Descripcin general Conceptos bsicos de configuracin Replicacin de datos de configuracin Replicacin de eventos de inicio de sesin Limitaciones Desactivacin de un clster Reconfiguracin de un clster

Descripcin general
La funcin de alta disponibilidad permite la existencia de McAfee Logon Collector en la forma de servidor principal y secundario. En este escenario, cuando el servidor principal est inactivo o inaccesible, el secundario cambia del modo en espera a activo. Este ltimo continuar sondeando el servidor principal para comprobar cundo vuelve a estar disponible. Una vez que el servidor principal vuelve a estar activo, el secundario cambia al estado en espera. Los clientes que estaban conectados al servidor principal cambian al secundario cuando el principal est inaccesible. Una vez que el servidor principal vuelve a estar activo, los clientes vuelven a conectarse a este. Logon Collector puede presentarse en los siguientes modos: Independiente Clster

Logon Collector puede presentarse en los siguientes estados: Activo En espera

Conceptos bsicos de configuracin


En esta seccin se ofrece informacin sobre los conceptos bsicos de configuracin de la funcin de alta disponibilidad.

McAfee Logon Collector 2.0

Gua de administracin

61

Alta disponibilidad (clsteres) Conceptos bsicos de configuracin

Requisitos para la alta disponibilidad


A continuacin se enumeran los requisitos para la funcin de alta disponibilidad: Debe haber dos servidores (principal y secundario) de Logon Collector disponibles. Los controladores de dominio que van a supervisarse deben estar siempre accesibles desde ambos servidores de Logon Collector. Ambos servidores, principal y secundario, deben comunicarse entre s. Tanto el servidor principal como el secundario deben tener el certificado con firma automtica o el certificado firmado por CA comn.

62

McAfee Logon Collector 2.0

Gua de administracin

Alta disponibilidad (clsteres) Conceptos bsicos de configuracin

Configuracin de alta disponibilidad


Para configurar un clster: Procedimiento 1 2 Instale Logon Collector 2.0 en dos servidores distintos (Windows Server 2003 o Windows Server 2008). En el servidor que prev seleccionar como principal, seleccione Menu | Configuration | Cluster Configuration (Men, Configuracin, Configuracin de clster).

Figura 6-1 Opcin Cluster Configuration (Configuracin de clster)

Se abre la ventana Cluster Configuration (Configuracin de clster).

McAfee Logon Collector 2.0

Gua de administracin

63

Alta disponibilidad (clsteres) Conceptos bsicos de configuracin

Haga clic en Edit (Editar). Se abre la ventana Edit Cluster Configuration (Editar configuracin de clster).

Figura 6-2 Ventana Cluster Configuration (Configuracin de clster)

Marque la casilla Enable clustering (Activar clsteres) y seleccione Primary (Principal). Haga clic en Save (Guardar).

Figura 6-3 Ventana Edit Cluster Configuration (Editar configuracin de clster) para la configuracin del servidor principal

En el servidor que prev seleccionar como secundario, seleccione Menu | Configuration | Cluster Configuration (Men, Configuracin, Configuracin de clster) para abrir la ventana Cluster Configuration (Configuracin de clster).

64

McAfee Logon Collector 2.0

Gua de administracin

Alta disponibilidad (clsteres) Conceptos bsicos de configuracin

En la ventana Edit Cluster Configuration (Editar configuracin de clster), marque la casilla Enable Clustering (Activar clsteres) y seleccione Secondary (Secundario). Introduzca los siguientes detalles: Primary Server (<IP Address>:<Https port>) (Servidor principal (<direccin IP>:<puerto https>)) Admin username for primary server (Nombre de usuario del administrador para el servidor principal) Admin password for primary server (Contrasea del administrador para el servidor principal)

Figura 6-4 Ventana Edit Cluster Configuration (Editar configuracin de clster) para la configuracin del servidor secundario

Haga clic en Next (Siguiente). Se abre la ventana Enable Cluster Task (Activar tarea de clster).

McAfee Logon Collector 2.0

Gua de administracin

65

Alta disponibilidad (clsteres) Conceptos bsicos de configuracin

Haga clic en Yes (S) para mostrar el certificado del puerto HTTPS del servidor principal.
Solo se formar el clster si acepta el certificado.

El mensaje informa sobre las opciones de configuracin una vez terminada la formacin del clster.

Figura 6-5 Ventana Enable Cluster Task (Activar tarea de clster) Si no desea sobrescribir las opciones de configuracin, haga clic en No.

En la ventana Primary MLC Certificate (Certificado de MLC principal), haga clic en Accept Certificate and Enable Clustering (Aceptar certificado y activar clsteres). Se inicia el intercambio de certificados entre los servidores principal y secundario, y se activa el establecimiento de confianza.

Figura 6-6 Ventana Primary MLC Certificate (Certificado de MLC principal)

Se abre la ventana Cluster Configuration (Configuracin de clster).

66

McAfee Logon Collector 2.0

Gua de administracin

Alta disponibilidad (clsteres) Conceptos bsicos de configuracin

La ventana Cluster Configuration (Configuracin de clster) muestra los siguientes detalles: MLC Cluster Configuration Enabled (Configuracin de clster de MLC activada): estado de la configuracin del clster Status (Estado): estado del servidor Primary Server IP address (Direccin IP del servidor principal): direccin IP del servidor principal Https port number of primary server (Nmero del puerto https del servidor principal): nmero del puerto https que utiliza el servidor del mismo nivel durante la creacin del clster JMS port number of primary server (Nmero del puerto JMS del servidor principal): nmero del puerto JMS de servicios de mensajera de Java (Java Messaging Services) que utiliza el servidor del mismo nivel y los clientes para transferir datos

Figura 6-7 Ventana Cluster Configuration (Configuracin de clster) despus de la formacin del clster

Vase tambin Reconfiguracin de un clster en la pgina 72

Configuracin de alta disponibilidad en la instalacin de la infraestructura de clave pblica (PKI)


La funcin de alta disponibilidad se puede configurar tambin en la instalacin de la infraestructura de clave pblica (PKI, Public Key Infrastructure). Los pasos para configurar el clster en este contexto son los mismos que los descritos anteriormente. Requisitos previos para la alta disponibilidad en la instalacin de la infraestructura de clave pblica (PKI)

McAfee Logon Collector 2.0

Gua de administracin

67

Alta disponibilidad (clsteres) Conceptos bsicos de configuracin

Los siguientes pasos son los requisitos previos para la alta disponibilidad en la instalacin de la infraestructura de clave pblica (PKI): 1 2 Seleccione Menu | Configuration | Trusted CAs (Men, Configuracin, CAs de confianza) y agregue el certificado raz de CA a ambos sistemas del mismo nivel de alta disponibilidad. Seleccione Menu | Configuration | Server Settings | Identity Replication Certificate (Men, Configuracin, Configuracin del servidor, Certificado de Identity Replication) para reemplazar el certificado de Identity Replication por el certificado de CA firmado para los respectivos servidores.
El certificado raz de CA y el certificado de CA firmado deben agregarse para los clientes.

Escenarios de error
Se mostrar un mensaje de error para cada uno de los siguientes escenarios: El certificado que utiliza el servidor principal tiene firma automtica, mientras que el certificado que utiliza el servidor secundario est firmado por una CA. El certificado que utiliza el servidor secundario tiene firma automtica, mientras que el certificado que utiliza el servidor principal est firmado por una CA. Los certificados que utilizan los servidores principal y secundario tienen firmas de dos CAs distintas. En este caso, la configuracin del clster es correcta pero el estado aparecer en rojo.

En la siguiente figura se muestra el mensaje de error.

Figura 6-8 Mensaje de error

Comprobacin del estado de formacin del clster


En esta seccin se describe el modo de comprobar el estado de formacin del clster.

68

McAfee Logon Collector 2.0

Gua de administracin

Alta disponibilidad (clsteres) Conceptos bsicos de configuracin

1 2

Seleccione Menu | Reporting | Status (Men, Generacin de informes, Estado) para verificar el estado de formacin del clster. En la ventana Status (Estado), haga clic en Cluster Manager (Administrador de clster) para ver el mensaje procedente del miembro del clster.

Figura 6-9 Mensaje de estado de formacin del clster en el servidor principal

Figura 6-10 Mensaje de estado de formacin del clster en el servidor secundario

Importante: El estado general {IAM} est en rojo dado que el estado del componente {LAM} es rojo.

Figura 6-11 Ventana de estado

McAfee Logon Collector 2.0

Gua de administracin

69

Alta disponibilidad (clsteres) Replicacin de datos de configuracin

Replicacin de datos de configuracin


Cuando se crea un clster, el servidor principal omite la configuracin existente del servidor secundario. El servidor secundario se encuentra en uno de los siguientes estados: Activo: cuando el servidor secundario est desconectado del servidor principal se le denomina servidor secundario activo. En espera: cuando el servidor secundario est conectado al servidor principal se le denomina servidor secundario en espera.

El servidor secundario pasivo no permite cambiar la configuracin; si lo intenta, aparecer un mensaje de error. Los cambios de la configuracin solo pueden realizarse en el servidor secundario activo. Replicacin del servidor principal al secundario: una vez configurado el clster, las configuraciones se replican del servidor principal al secundario. Replicacin del servidor secundario activo al servidor principal: si el servidor principal se desactiva y, transcurrido un tiempo, vuelve a activarse, recibe los detalles de configuracin del servidor secundario activo. Cuando el servidor secundario est funcionando en modo de espera, el estado de {LAM} est ROJO en la ventana Status (Estado). Se trata de un comportamiento normal debido a que Logon Collector detiene el {LAM} cuando est funcionando en modo de espera.
Logon Collector no debe implementarse en equipos con DHCP: Los servidores de Logon Collector del mismo nivel se comunican entre ellos durante la formacin del clster. Sin embargo, esto puede no ser posible si Logon Collector se ha implementado en un equipo con DHCP. Los productos McAfee que estn conectados al servidor de Logon Collector en una determinada direccin IP tambin se desconectarn si se producen cambios en la direccin IP debidos a la configuracin del protocolo DHCP. Por ello, McAfee recomienda evitar el despliegue de Logon Collector en sistemas con DHCP.

Replicacin de eventos de inicio de sesin


Replicacin desde el servidor principal al secundario Los eventos de inicio de sesin en el servidor de Logon Collector activo se replican en el servidor de Logon Collector en espera. Replicacin desde el servidor secundario activo al servidor principal Cuando el servidor principal est inaccesible y vuelve a activarse tras un cierto periodo de tiempo, recibe los datos de replicacin (eventos de inicio de sesin, usuarios, grupos) del servidor secundario activo.

70

McAfee Logon Collector 2.0

Gua de administracin

Alta disponibilidad (clsteres) Limitaciones

Limitaciones
La siguiente lista refleja las limitaciones de la funcin de alta disponibilidad: No se admite el escenario de redes divididas. Es importante garantizar que las comunicaciones entre el servidor principal y el secundario no se interrumpan nunca. Por ejemplo, si la conectividad en la red entre el servidor principal y el secundario est inactiva, el servidor secundario supone que el servidor principal no responde, espera 5 minutos y se activa. Cuando se restablece la comunicacin, el servidor principal omite siempre la configuracin del servidor secundario. La funcin de alta disponibilidad funciona en la configuracin de infraestructura de clave pblica (PKI), pero los certificados del servidor principal y del secundario deben estar firmados por el mismo firmante. No se admiten listas de revocacin de certificados (CRL). Otros productos de McAfee que utilizan la biblioteca de cliente de Logon Collector 1.0 no se benefician de esta funcin; no obstante, pueden continuar funcionando en este escenario.

Desactivacin de un clster
Para desactivar un clster: Procedimiento 1 2 En el servidor secundario, seleccione Menu | Configuration | Cluster Configuration (Men, Configuracin Configuracin de clster). Desactive la opcin Enable clustering (Activar clster), y haga clic en Save (Guardar). Se abre la ventana Disable Cluster Task (Desactivar tarea de clster). Haga clic en Yes (S) para continuar.

Figura 6-12 Ventana Disable Cluster Task (Desactivacin de tarea de clster) para servidor secundario

McAfee Logon Collector 2.0

Gua de administracin

71

Alta disponibilidad (clsteres) Reconfiguracin de un clster

3 4

Vaya a la ventana Cluster Configuration (Configuracin del clster) del servidor principal. Desactive la casilla de validacin Enable clustering (Activar clster), y haga clic en Save (Guardar). Se abre la ventana Disable Cluster Task (Desactivar tarea de clster). Haga clic en Yes (S) para continuar.

Figura 6-13 Ventana Disable Cluster Task (Desactivacin de tarea de clster) para servidor principal Cuando el clster est desactivado, el servidor secundario quita todas las configuraciones, incluidos los monitores de inicio de sesin y dominios, y funciona como servidor independiente.

El servidor principal conservar las configuraciones y continuar supervisando los dominios configurados como un servidor independiente.

Vase tambin Reconfiguracin de un clster en la pgina 72

Reconfiguracin de un clster
El clster puede volver a configurarse si la funcin de los servidores debe invertirse (por ejemplo, si quiere que el servidor secundario acte como principal y viceversa). Siga los pasos que se indican a continuacin para reconfigurar un clster: 1 2 Desactive el clster. Active el clster con las nuevas configuraciones de servidor principal y secundario.

72

McAfee Logon Collector 2.0

Gua de administracin

Actualizacin bajo demanda de grupos y usuarios

En este captulo se ofrece informacin detallada sobre la actualizacin bajo demanda de grupos y usuarios. Puede actualizar la nueva informacin del usuario en cualquier momento. Ello permite al servidor de Logon Collector sincronizar sus datos de usuarios o grupos con el controlador de dominio. Si el administrador agrega un usuario a un grupo de Active Directory para concederle acceso a un recurso, puede utilizar la actualizacin bajo demanda de grupos para actualizar Logon Collector y permitir, de este modo, el acceso del usuario al recurso, sin necesidad de esperar a que la actualizacin del grupo tenga lugar en segundo plano.
McAfee recomienda no ejecutar las tareas de actualizacin de grupos y de usuarios simultneamente. Ejecute la tarea de actualizacin de grupos unos 20 minutos antes que la tarea de actualizacin de usuarios para que la tarea de actualizacin de grupos tenga tiempo de finalizar. Las dems opciones que aparecen en la interfaz de usuario Server Tasks (Tareas servidor) y que no se explican en este captulo no tienen relacin con Logon Collector.

Contenido MFS Scheduler 2.5 Actualizacin de grupos bajo demanda Actualizacin de usuarios bajo demanda Registro de tareas servidor

McAfee Logon Collector 2.0

Gua de administracin

73

Actualizacin bajo demanda de grupos y usuarios MFS Scheduler 2.5

MFS Scheduler 2.5


Puede llevar a cabo tareas de actualizacin bajo demanda de grupos y usuarios si est activado MFS Scheduler 2.5. MFS Scheduler 2.5 est activado de forma predeterminada. Vaya a Menu | Software | Extensions (Men, Software, Extensiones) para ver MFS Scheduler 2.5 en la lista de extensiones instaladas.

Figura 7-1 MFS Scheduler 2.5 Tanto las actualizaciones de usuarios como las de grupos se implementan mediante MFS Scheduler. El intervalo de las tareas del planificador se guarda en SQL Server y no en mlc-config.xml. Ningn cambio en los intervalos de dichas tareas se replicar del servidor principal al secundario.

Actualizacin de grupos bajo demanda


Seleccione Menu | Automation | Server Tasks (Men, Automatizacin, Tareas servidor) para configurar la tarea de servidor MLC Refresh Groups (Grupos de actualizacin de MLC).

Figura 7-2 Opcin MLC Refresh Groups (Grupos de actualizacin de MLC)

Opciones para actualizacin de grupos


En esta seccin se proporcionan los detalles de las diferentes opciones de actualizacin de grupos.

74

McAfee Logon Collector 2.0

Gua de administracin

Actualizacin bajo demanda de grupos y usuarios Actualizacin de grupos bajo demanda

Opcin 1: Run (Ejecutar)


Antes de empezar Utilice esta opcin para actualizar manualmente la informacin de los grupos en la base de datos (IDDS) de Logon Collector mediante la recuperacin de la informacin ms reciente de los grupos del almacn de datos del controlador de dominio. Para actualizar manualmente la informacin de los grupos: Procedimiento 1 2 Seleccione Menu | Automation | Server Tasks (Men, Automatizacin, Tareas servidor). Haga clic en la opcin Run (Ejecutar) de MLC Refresh Groups (Grupos de actualizacin de MLC). En MLC Refresh Groups (Grupos de actualizacin de MLC), haga clic en Run (Ejecutar). Se abre la pgina Server Task Log (Registro de tareas servidor). En esta pgina se ofrecen los resultados de la accin de actualizacin de los grupos. De forma predeterminada, las entradas del registro se ordenan por hora, siendo la ms reciente la primera.

Figura 7-3 Resultados de la accin de actualizacin de los grupos

Haga clic en la entrada del registro MLC Refresh Group (Grupo de actualizacin de MLC) para ver los detalles.

Figura 7-4 Pgina Server Task Log Information (Informacin del registro de tareas servidor)

Opcin 2: Edit (Editar)


Utilice esta opcin para cambiar la configuracin del planificador en una tarea. Seleccione Menu | Automation | Server Tasks (Men, Automatizacin, Tareas servidor). Seleccione MLC Refresh Groups (Grupos de actualizacin de MLC), y haga clic en Edit (Editar).

McAfee Logon Collector 2.0

Gua de administracin

75

Actualizacin bajo demanda de grupos y usuarios Actualizacin de grupos bajo demanda

Ficha 1: Description (Descripcin)


Procedimiento 1 En la pgina Server Task Builder (Generador de tareas servidor), aparecen los siguientes detalles en la ficha Description (Descripcin): Name (Nombre): MLC Refresh Groups (Grupos de actualizacin de MLC) Notes (Notas): Refresh all groups for all directories (Actualizar todos los grupos de todos los directorios) Schedule status (Estado de planificacin): la planificacin de la tarea Enabled (Activada): para activar la actualizacin automtica Disabled (Desactivada): para desactivar la actualizacin automtica
McAfee no recomienda el uso de la accin Disabled (Desactivada).

Figura 7-5 Pgina Server Task Builder (Generador de tareas servidor)

2 3

Haga clic en Next (Siguiente). Se abre la ficha Actions (Acciones). Haga clic en Save (Guardar).

Ficha 2: Actions (Acciones)


Esta ficha muestra las acciones que lleva a cabo Logon Collector.

76

McAfee Logon Collector 2.0

Gua de administracin

Actualizacin bajo demanda de grupos y usuarios Actualizacin de grupos bajo demanda

Procedimiento 1 En el campo Actions (Acciones), la opcin MLC Group Sync (Sincronizacin de grupos de MLC) est seleccionada de forma predeterminada.

Figura 7-6 Ficha Actions (Acciones)

2 3

Haga clic en Next (Siguiente). Se abre la ficha Schedule (Planificacin). Haga clic en Save (Guardar).

Ficha 3: Schedule (Planificacin)


La ficha Schedule (Planificacin) permite cambiar la configuracin del planificador de la tarea. Procedimiento 1 En la ficha Schedule (Planificacin), introduzca los siguientes detalles: Schedule Type (Tipo de planificacin): seleccione uno de los siguientes tipos de planificacin en la lista desplegable: Hourly (Cada hora) Daily (A diario) Weekly (Semanalmente) Monthly (Mensualmente) Yearly (Anualmente) Advanced (Avanzado)

McAfee recomienda seleccionar la opcin Daily (A diario) para Schedule Type (Tipo de planificacin).

Start Date (Fecha de inicio): seleccione la fecha a partir de la cual quiere iniciar la tarea. End Date (Fecha de finalizacin): seleccione la fecha en la cual quiere detener la tarea.
McAfee recomienda seleccionar la opcin No End Date (Sin fecha de finalizacin) para que no se configure ninguna fecha de finalizacin para la tarea.

McAfee Logon Collector 2.0

Gua de administracin

77

Actualizacin bajo demanda de grupos y usuarios Actualizacin de grupos bajo demanda

Schedule (Planificacin): haga clic en

para agregar un horario planificado nuevo. Haga clic en

para quitar un horario planificado existente. At (A las): seleccione la opcin At (A las) en la lista desplegable para ejecutar la tarea a una hora especfica. Between (Entre): seleccione la opcin Between (Entre) en la lista desplegable para ejecutar varias tareas en un intervalo de tiempo especfico.

Figura 7-7 Ficha Schedule (Planificacin) McAfee recomienda establecer el horario de planificacin de manera que la tarea MLC Group Refresh (Actualizacin de grupos de MLC) empiece al menos 20 minutos antes que la tarea MLC User Refresh (Actualizacin de usuarios de MLC).

Haga clic en Save (Guardar).

Ficha 4: Summary (Resumen)


Vaya a la ficha Summary (Resumen) para ver los siguientes detalles: Name (Nombre): el nombre de la tarea Notes (Notas): las notas relacionadas con la tarea. Task Owner (Propietario de la tarea): el propietario de la tarea Schedule Status (Estado de planificacin): el estado de la tarea planificada

78

McAfee Logon Collector 2.0

Gua de administracin

Actualizacin bajo demanda de grupos y usuarios Actualizacin de grupos bajo demanda

Schedule (Planificacin): los detalles sobre la fecha de inicio, fecha de finalizacin, espacio de tiempo y hora de la siguiente ejecucin de la tarea planificada Actions (Acciones): las acciones de la tarea planificada, como MLC Group Sync (Sincronizacin de grupos MLC)

Figura 7-8 Ventana Summary (Resumen)

Haga clic en Save (Guardar).

Opcin 3: View (Visualizacin)


Utilice esta opcin para ver la configuracin para los grupos de actualizacin. Seleccione Menu | Automation | Server Tasks (Men, Automatizacin, Tareas servidor). Seleccione MLC Refresh Groups (Grupos de actualizacin de MLC) y haga clic en View (Ver).

McAfee Logon Collector 2.0

Gua de administracin

79

Actualizacin bajo demanda de grupos y usuarios Actualizacin de usuarios bajo demanda

Se abre la pgina Server Task Details (Detalles de tareas servidor). En esta pgina se muestran los resultados de la accin de actualizacin del grupo.

Figura 7-9 Pgina Server Task Details (Detalles de tarea servidor)

Actualizacin de usuarios bajo demanda


Seleccione Menu | Automation | Server Tasks (Men, Automatizacin, Tareas servidor) para configurar la tarea de servidor MLC Refresh Users (Usuarios de actualizacin de MLC).

Figura 7-10 Opcin MLC Refresh Users (Usuarios de actualizacin de MLC)

Opciones de la actualizacin de usuarios


En esta seccin se ofrece informacin detallada sobre las distintas opciones de la actualizacin de usuarios.

Opcin 1: Run (Ejecutar)


Antes de empezar Utilice esta opcin para actualizar manualmente la informacin de los usuarios en la base de datos de Logon Collector (IDDS) mediante la recuperacin de la informacin ms reciente de los usuarios del almacn de datos del controlador de dominio.

80

McAfee Logon Collector 2.0

Gua de administracin

Actualizacin bajo demanda de grupos y usuarios Actualizacin de usuarios bajo demanda

Para actualizar manualmente la informacin de los usuarios: Procedimiento 1 Seleccione Menu | Automation | Server Tasks (Men, Automatizacin, Tareas servidor). Haga clic en la opcin Run (Ejecutar) de MLC Refresh Users (Usuarios de actualizacin de MLC). Se abre la pgina Server Task Log (Registro de tareas servidor). En esta pgina se ofrecen los resultados de la accin de actualizacin de los usuarios. De forma predeterminada, las entradas del registro se ordenan por hora, siendo la ms reciente la primera.

Figura 7-11 Resultados de la accin de actualizacin de los usuarios

Haga clic en la entrada de registro MLC Refresh Users (Usuarios de actualizacin de MLC) para ver los detalles.

Figura 7-12 Pgina Server Task Log Information (Informacin del registro de tareas servidor)

Opcin 2: Edit (Editar)


Utilice esta opcin para cambiar la configuracin del planificador en una tarea. Seleccione Menu | Automation | Server Tasks (Men, Automatizacin, Tareas servidor). Seleccione MLC Refresh Users (Usuarios de actualizacin de MLC), y haga clic en Edit (Editar).

McAfee Logon Collector 2.0

Gua de administracin

81

Actualizacin bajo demanda de grupos y usuarios Actualizacin de usuarios bajo demanda

Ficha 1: Description (Descripcin)


Procedimiento 1 En la pgina Server Task Builder (Generador de tareas servidor), aparecen los siguientes detalles en la ficha Description (Descripcin): Name (Nombre): MLC Refresh Users (Usuarios de actualizacin de MLC) Notes (Notas): Refresh all users for all directories (Actualizar todos los usuarios de todos los directorios) Schedule status (Estado de planificacin): la planificacin de la tarea Enabled (Activada): para activar la actualizacin automtica Disabled (Desactivada): para desactivar la actualizacin automtica
McAfee recomienda evitar el uso de la accin Disabled (Desactivada).

Figura 7-13 Pgina Server Task Builder (Generador de tareas servidor)

2 3

Haga clic en Next (Siguiente) para ir a la ficha Actions (Acciones). Haga clic en Save (Guardar).

Ficha 2: Actions (Acciones)


Esta ficha muestra las acciones que lleva a cabo Logon Collector.

82

McAfee Logon Collector 2.0

Gua de administracin

Actualizacin bajo demanda de grupos y usuarios Actualizacin de usuarios bajo demanda

Procedimiento 1 En el campo Actions (Acciones), la opcin MLC User Sync (Sincronizacin de usuarios de MLC) est seleccionada de forma predeterminada.

Figura 7-14 Ficha Actions (Acciones)

2 3

Haga clic en Next (Siguiente). Se abre la ficha Schedule (Planificacin). Haga clic en Save (Guardar).

Ficha 3: Schedule (Planificacin)


La ficha Schedule (Planificacin) permite cambiar la configuracin del planificador de la tarea. Procedimiento 1 En la ficha Schedule (Planificacin), introduzca los siguientes detalles: Schedule Type (Tipo de planificacin): seleccione uno de los siguientes tipos de planificacin en la lista desplegable: Hourly (Cada hora) Daily (A diario) Weekly (Semanalmente) Monthly (Mensualmente) Yearly (Anualmente) Advanced (Avanzado)

McAfee recomienda seleccionar la opcin Daily (A diario) para Schedule Type (Tipo de planificacin).

Start Date (Fecha de inicio): seleccione la fecha a partir de la cual quiere iniciar la tarea. End Date (Fecha de finalizacin): seleccione la fecha en la cual quiere detener la tarea.
McAfee recomienda seleccionar la opcin No End Date (Sin fecha de finalizacin) para que no se configure ninguna fecha de finalizacin para la tarea.

McAfee Logon Collector 2.0

Gua de administracin

83

Actualizacin bajo demanda de grupos y usuarios Actualizacin de usuarios bajo demanda

Schedule (Planificacin): haga clic en

para agregar el horario planificado nuevo. Haga clic en

para quitar el horario planificado existente. At (A las): seleccione la opcin At (A las) en la lista desplegable para ejecutar la tarea a una hora especfica. Between (Entre): seleccione la opcin Between (Entre) en la lista desplegable para ejecutar varias tareas en un intervalo de tiempo especfico.

Figura 7-15 Ficha Schedule (Planificacin) McAfee recomienda establecer el horario de planificacin de manera que la tarea MLC Group Refresh (Actualizacin de grupos de MLC) empiece al menos 20 minutos antes que la tarea MLC User Refresh (Actualizacin de usuarios de MLC).

Haga clic en Save (Guardar).

Ficha 4: Summary (Resumen)


Vaya a la pgina Summary (Resumen) para ver los siguientes detalles: Name (Nombre): el nombre de la tarea Notes (Notas): las notas relacionadas con la tarea. Task Owner (Propietario de la tarea): el propietario de la tarea Schedule Status (Estado de planificacin): el estado de la tarea planificada

84

McAfee Logon Collector 2.0

Gua de administracin

Actualizacin bajo demanda de grupos y usuarios Actualizacin de usuarios bajo demanda

Schedule (Planificacin): los detalles sobre la fecha de inicio, fecha de finalizacin, espacio de tiempo y hora de la siguiente ejecucin de la tarea planificada Actions (Acciones): las acciones de la tarea planificada, como MLC User Sync (Sincronizacin de usuarios MLC)

Figura 7-16 Summary (Resumen)

Haga clic en Save (Guardar).

Opcin 3: View (Visualizacin)


Utilice esta opcin para ver la configuracin para los usuarios de actualizacin. Seleccione Menu | Automation | Server Tasks (Men, Automatizacin, Tareas servidor). Seleccione MLC Refresh Users (Usuarios de actualizacin de MLC), y haga clic en View (Ver).

McAfee Logon Collector 2.0

Gua de administracin

85

Actualizacin bajo demanda de grupos y usuarios Registro de tareas servidor

Se abre la pgina Server Task Details (Detalles de tareas servidor). En esta pgina se muestran los resultados de la accin de actualizacin del usuario.

Figura 7-17 Pgina Server Task Details (Detalles de tarea servidor)

Registro de tareas servidor


Seleccione Menu | Automation | Server Task Log (Men, Automatizacin, Registro de tareas servidor) para ver los resultados de la actualizacin de grupos y usuarios de ejecuciones anteriores.

Figura 7-18 Pgina Server Task Log (Registro de tareas servidor)

86

McAfee Logon Collector 2.0

Gua de administracin

Administracin de usuarios

En esta seccin se ofrecen los detalles sobre la administracin de usuarios para el acceso administrativo a Logon Collector. Para agregar usuarios a Active Directory, utilice los mecanismos de configuracin de Active Directory usuales en Windows. Contenido Administracin de los usuarios Administracin de conjuntos de permisos Administracin de contactos

Administracin de los usuarios


Puede agregar usuarios a Logon Collector y especificar el tipo de acceso que tienen al sistema.

Adicin o modificacin de un usuario


Para agregar o modificar un usuario: Procedimiento 1 2 3 Seleccione Menu | User Management | Users (Men, Administracin de usuarios, Usuarios). Haga clic en New User (Usuario nuevo) para agregar uno, o bien haga clic en Actions | Edit (Acciones, Editar) para modificarlo. Defina el usuario. a b Escriba el nombre del usuario, o cambie el existente. Especifique si el usuario puede iniciar sesin. No puede desactivar el estado de inicio de sesin del ltimo administrador global restante. c Seleccione un tipo de autenticacin. Si est modificando un usuario, haga clic primero en Change Authentication or Credentials (Cambiar autenticacin o credenciales). d Para la autenticacin de Logon Collector, escriba una contrasea y confrmela. Para la autenticacin de Windows, escriba el nombre de usuario y dominio.

[Opcional] Proporcione otros detalles para el usuario: nombre completo, direccin de correo electrnico, nmero de telfono y notas.

McAfee Logon Collector 2.0

Gua de administracin

87

Administracin de usuarios Administracin de conjuntos de permisos

Asigne un conjunto de permisos. Seleccione el administrador global para permitir el acceso completo a Logon Collector. Seleccione un conjunto o conjuntos de permisos haciendo clic en ellos.

Haga clic en Save (Guardar).

Vase tambin Administracin de conjuntos de permisos en la pgina 88

Eliminacin de un usuario
Para eliminar un usuario: Procedimiento 1 2 3 Seleccione Menu | User Management | Users (Men, Administracin de usuarios, Usuarios). Seleccione uno o varios usuarios activando la casilla de verificacin junto al nombre del contacto. Seleccione Actions | Delete (Acciones, Eliminar).

Administracin de conjuntos de permisos


Un conjunto de permisos es un grupo de permisos, dividido en secciones, que puede concederse a cualquier usuario mediante la asignacin a su cuenta de usuario. Pueden asignarse uno o ms conjuntos de permisos a cualquier usuario que no sea administrador global. Los administradores globales tienen todos los permisos para todas las funciones. Los conjuntos de permisos slo conceden permisos; nunca los quitan. Vase tambin Inicio de sesin de usuario de Active Directory en la pgina 47 Adicin o modificacin de un usuario en la pgina 87 Creacin de un grupo de consultas en la pgina 95

Creacin de conjuntos de permisos


Utilice esta tarea para crear un conjunto de permisos. Procedimiento 1 2 3 4 Seleccione Menu | User Management | Permission Sets (Men, Administracin de usuarios, Conjuntos de permisos) y haga clic en New Permission Set (Nuevo conjunto de permisos). Escriba el nombre del conjunto de permisos y seleccione los usuarios a los que se asigna el conjunto. Haga clic en Save (Guardar). Seleccione el nuevo conjunto de permisos en la lista Permission Sets (Conjuntos de permisos). Los detalles se muestran a la derecha. 5 6 7 Haga clic en Edit (Editar) junto a las secciones desde las que desea conceder permisos. En la ventana Edit Permission Set (Editar conjunto de permisos) que aparece, seleccione las opciones adecuadas y haga clic en Save (Guardar). Repita la tarea para todas las secciones que desee del conjunto de permisos.

88

McAfee Logon Collector 2.0

Gua de administracin

Administracin de usuarios Administracin de contactos

Eliminacin de conjuntos de permisos


Este procedimiento permite eliminar un conjunto de permisos. Si el conjunto de permisos tiene usuarios asignados, dichos usuarios perdern los permisos concedidos.
Es necesario ser administrador global para realizar esta tarea.

Procedimiento 1 Haga clic en Menu | User Management | Permission Sets (Men, Administracin de usuarios, Conjuntos de permisos) y seleccione el conjunto de permisos que desee eliminar en la lista Permission Sets (Conjuntos de permisos). Los detalles se muestran a la derecha. 2 Haga clic en Actions | Delete (Acciones, Eliminar). El panel Action (Accin) le informa si algn usuario est asignado al conjunto de permisos y le da la oportunidad de cancelar la accin. 3 Haga clic en OK (Aceptar) en el panel Action (Accin). El conjunto de permisos ya no aparece en la lista Permission Sets (Conjuntos de permisos).

Duplicacin de conjuntos de permisos


Esta tarea permite duplicar un conjunto de permisos. Al duplicar un conjunto de permisos se crea una copia en memoria del conjunto de permisos seleccionado, que se puede modificar y guardar con otro nombre.
Es necesario ser administrador global para realizar esta tarea.

Procedimiento 1 Seleccione Menu | User Management | Permission Sets (Men, Administracin de usuarios, Conjuntos de permisos) y seleccione el conjunto de permisos que va a editar en la lista Permission Sets (Conjuntos de permisos). Los detalles se muestran a la derecha. 2 3 Haga clic en Actions | Duplicate (Acciones, Duplicar), escriba un nombre en New name (Nuevo nombre) del panel Actions (Acciones) y, a continuacin, haga clic en OK (Aceptar). Seleccione el nuevo duplicado en la lista Permission Sets (Conjuntos de permisos). Los detalles se muestran a la derecha. 4 5 6 Haga clic en Edit (Editar) junto a las secciones para las que desea conceder permisos. En la ventana Edit Permission Set (Editar conjunto de permisos) que aparece, seleccione las opciones adecuadas y haga clic en Save (Guardar). Repita el procedimiento para todas las secciones del conjunto de permisos para las que desea conceder permisos.

Administracin de contactos
Para que la seleccin de los destinatarios de los informes y los datos sea ms fcil, Logon Collector proporciona una funcin Contacts (Contactos) en la que puede definir los nombres y las direcciones de correo electrnico de los contactos.

McAfee Logon Collector 2.0

Gua de administracin

89

Administracin de usuarios Administracin de contactos

Vase tambin Definicin de criterios de exportacin en la pgina 98

Adicin o modificacin de un contacto


Para agregar o modificar un contacto: Procedimiento 1 2 3 Haga clic en Menu | User Management | Contacts (Men, Administracin de usuarios, Contactos). Haga clic en New contact (Contacto nuevo) para agregar uno, o bien haga clic en Actions | Edit (Acciones, Editar) para modificarlo. Escriba el nombre del usuario, o cambie el existente. El contacto debe incluir un nombre, y puede seleccionar solo el nombre, solo el apellido, o ambos. 4 5 Introduzca una direccin de correo electrnico. Haga clic en Save (Guardar).

Eliminacin de un contacto
Para eliminar un contacto: Procedimiento 1 2 3 Haga clic en Menu | User Management | Contacts (Men, Administracin de usuarios, Contactos). Seleccione uno o varios usuarios activando la casilla de verificacin junto al nombre del contacto. Haga clic en Actions | Delete (Acciones, Eliminar).

90

McAfee Logon Collector 2.0

Gua de administracin

Generacin de informes

En esta seccin se ofrecen detalles sobre el estado del producto para verificar que los componentes funcionen segn lo previsto. Contenido Acerca de la ventana Status (Estado) Visualizacin de usuarios conectados Visualizacin del registro de auditora Administracin de consultas del registro de auditora Definicin de criterios de filtrado Definicin de criterios de exportacin Visualizacin de paneles

Acerca de la ventana Status (Estado)


Utilice la ventana Status (Estado) para comprobar si los componentes se estn ejecutando segn lo previsto. Junto a cada componente se encuentra un indicador de estado circular. En la siguiente tabla se describen los componentes y sus estados. En todos los sistemas, un indicador de estado verde indica que el sistema funciona correctamente.

McAfee Logon Collector 2.0

Gua de administracin

91

Generacin de informes Acerca de la ventana Status (Estado)

Tabla 9-1 Componentes del sistema El componente Informa sobre de sistema ID Manager {iam} estado general de los sistemas. El estado amarillo indica uno o varios estados de los componentes estn en amarillos. El estado verde El estado rojo indica indica No aplicable uno o varios estados de los componentes estn en rojo: Login Acquisition Manager Id Replication Manager Login State Manager Id Data Store Compruebe los componentes especficos para identificar la causa del fallo en el componente. Compruebe los componentes especficos para identificar la causa del fallo en el componente. Login Acquisition Manager lam ID Acquisition Manager estado actual de las consultas a los controladores de dominio. el estado de Identitiy Replication para los clientes. uno o varios No aplicable dominios estn en amarillo o rojo. estado amarillo. No aplicable Todos los dominios estn en rojo.

Se ha producido una excepcin. Se proporciona un breve mensaje que describe la excepcin. Compruebe los registros de Logon Collector para identificar la causa del fallo.

Login State Manager {lsm}

si Login State sin estado Manager se inicializ amarillo. correctamente.

No aplicable

Fallo en la inicializacin. Compruebe los registros de Logon Collector para identificar la causa del fallo.

ID Data Store {idds}

estadsticas sobre el nmero de objetos almacenados.

sin estado amarillo.

No aplicable

Fallo en la inicializacin. Compruebe los registros de Logon Collector para identificar la causa del fallo.

92

McAfee Logon Collector 2.0

Gua de administracin

Generacin de informes Visualizacin de usuarios conectados

Tabla 9-1 Componentes del sistema (continuacin) El componente Informa sobre de sistema ID Resolution {pnd} si las consultas de informacin de usuario procedentes de Active Directory han entrado en servicio tras detectarse un inicio de sesin. el nmero de inicios de sesin detectados en el ltimo minuto. El estado amarillo indica hay ms de 1.000 inicios de sesin en la cola pendiente, a la espera de que se resuelva la informacin de usuario. El estado verde El estado rojo indica indica No aplicable Sin estado rojo.

Logon Flow {logons}

no se han No aplicable detectado inicios de sesin durante la ltima hora. No aplicable el administrador del clster funciona correctamente.

No se han detectado inicios de sesin durante las ltimas doce horas. La comunicacin entre los miembros del clster est inactiva, o bien uno de los miembros del clster no est disponible.

Cluster Manager el estado del clster {cluster} y los mensajes intercambiados entre los miembros del clster.

Vase tambin Visualizacin de paneles en la pgina 99

Visualizacin de usuarios conectados


Logon Collector proporciona un informe de las direcciones IP que est utilizando un usuario. Para ver quin est actualmente conectado y con qu direccin IP: Procedimiento 1 2 3 Seleccione Menu | Reporting | Logon Report (Men, Generacin de informes, Informe de inicio de sesin). [Opcional] Para buscar una direccin IP o nombre de usuario determinado, escriba el valor en el campo Quick find (Bsqueda rpida) y haga clic en Apply (Aplicar). [Opcional] Configure la presentacin de las columnas: a b c Haga clic en Actions | Choose Columns (Acciones, Elegir columnas). Alinee las columnas haciendo clic en la flecha izquierda o derecha para mover la columna. Quite una columna haciendo clic en el botn X.

Restablezca los cambios haciendo clic en Use Default (Usar predeterminados). Procedimientos Exportacin de informes de usuarios que han iniciado sesin en la pgina 93

Exportacin de informes de usuarios que han iniciado sesin


Antes de empezar Puede guardar informes de usuarios que han iniciado sesin y enviarles un mensaje de correo electrnico.

McAfee Logon Collector 2.0

Gua de administracin

93

Generacin de informes Visualizacin del registro de auditora

Para enviar un informe por correo electrnico a los usuarios que han iniciado sesin: Procedimiento 1 2 3 Seleccione Menu | Reporting | Logon Report (Men, Generacin de informes, Informe de inicio de sesin). Especifique el contenido del informe mediante la aplicacin de los filtros pertinentes. Seleccione Actions | Export Table (Acciones, Exportar tabla).

Visualizacin del registro de auditora


Antes de empezar Logon Collector ofrece un informe del registro de auditora que enumera los cambios hechos en la configuracin del servidor. Para ver el registro de auditora: Procedimiento 1 2 3 4 5 Seleccione Menu | User Management | Audit Log (Men, Administracin de usuarios, Registro de auditora). [Opcional] Defina un filtro avanzado. [Opcional] Seleccione un filtro predefinido en la lista desplegable. [Opcional] Haga clic en una entrada del registro de auditora para ver la informacin de una sola fila mostrada como filas en lugar de columnas. [Opcional] Configure la presentacin de las columnas: a b c Haga clic en Actions | Choose Columns (Acciones, Elegir columnas). Alinee las columnas haciendo clic en la flecha izquierda o derecha para mover la columna. Quite una columna haciendo clic en el botn X.

Restablezca los cambios haciendo clic en Use Default (Usar predeterminados). Procedimientos Exportacin del registro de auditora en la pgina 94

Vase tambin Definicin de criterios de filtrado en la pgina 98

Exportacin del registro de auditora


Puede guardar vistas especficas del registro de auditora y enviarlas por correo electrnico. Para enviar por correo electrnico un registro de auditora: Procedimiento 1 2 3 Seleccione Menu | User Management | Audit Log (Men, Administracin de usuarios, Registro de auditora). Especifique el contenido mediante la aplicacin de los filtros pertinentes. Seleccione Actions | Export Table (Acciones, Exportar tabla).

94

McAfee Logon Collector 2.0

Gua de administracin

Generacin de informes Administracin de consultas del registro de auditora

Vase tambin Servidor de correo electrnico en la pgina 48 Definicin de criterios de filtrado en la pgina 98 Definicin de criterios de exportacin en la pgina 98

Administracin de consultas del registro de auditora


Las consultas del registro de auditora permiten recuperar vistas especficas del registro de auditora en lugar de la vista ms sencilla que hay disponible. Las consultas en los registros de auditora se agrupan por grupos privados y compartidos.

Creacin de un grupo de consultas


Procedimiento 1 2 3 4 Seleccione Menu | Reporting | Queries (Men, Generacin de informes, Consultas). Seleccione Group Actions | New Group (Acciones de grupos, Nuevo grupo). Escriba un nombre para identificar el grupo. Especifique la visibilidad del grupo. Grupo privado: aparece en My Groups (Mis grupos) Grupo pblico: aparece en Shared Groups (Grupos compartidos). Por conjunto de permisos: aparece en Shared Groups (Grupos compartidos) pero solo es accesible para quienes tengan asignados los conjuntos de permisos seleccionados.

Vase tambin Administracin de conjuntos de permisos en la pgina 88

Eliminacin de un grupo de consultas


Procedimiento 1 2 3 Haga clic en el nombre de un grupo. Seleccione Group Actions | Delete Group (Acciones de grupo, Eliminar grupo). Haga clic en OK (Aceptar) para confirmar la eliminacin.

Edicin de un grupo de consultas


Procedimiento 1 2 3 4 Haga clic en el nombre de un grupo. Seleccione Group Actions | Edit Group (Acciones de grupos, Editar grupo). Cambie el nombre del grupo y, si lo desea, la visibilidad del grupo. Haga clic en Save (Guardar).

McAfee Logon Collector 2.0

Gua de administracin

95

Generacin de informes Administracin de consultas del registro de auditora

Creacin de consultas de registro de auditora


Para crear una consulta de registro de auditora: Procedimiento 1 2 3 Seleccione Menu | Reporting | Queries (Men, Generacin de informes, Consultas). Haga clic en New Query (Consulta nueva) y ,a continuacin, en Next (Siguiente) para iniciar el asistente de consultas. Defina el tipo de grfico. a b Seleccione el tipo de grfico haciendo clic en l. Configure el grfico. Las opciones disponibles diferirn en funcin del tipo de grfico seleccionado. c 4 Haga clic en Next (Siguiente) para avanzar por el asistente.

Configure la presentacin de las columnas. a b c Alinee las columnas haciendo clic en la flecha izquierda o derecha para mover la columna. Quite una columna haciendo clic en el botn X. Haga clic en Next (Siguiente) para avanzar por el asistente.

5 6

[Opcional] Configure filtros. Haga clic en Run (Ejecutar). Se ejecuta la consulta y se muestran los resultados.

7 8 9

[Opcional] Haga clic en Edit Query (Editar consulta) para ajustar los criterios. Cuando considere que el informe est listo, haga clic en Save (Guardar). Termine de configurar la consulta: a b c Escriba un nombre para identificar la consulta. [Opcional] Introduzca notas que describan la consulta. Asigne la consulta a un grupo de consultas.

Defina un grupo nuevo o seleccione uno de la lista de los ya existentes. 10 Haga clic en Save (Guardar). La consulta aparece en la ventana principal Queries (Consultas). Puede que necesite borrar el campo de texto Quick find (Bsqueda rpida).

Importacin de consultas de registro de auditora


Antes de empezar Puede guardar las consultas de registro de auditora fuera de Logon Collector como archivos e importarlas despus en Logon Collector.

96

McAfee Logon Collector 2.0

Gua de administracin

Generacin de informes Administracin de consultas del registro de auditora

Para importar una consulta como archivo: Procedimiento 1 2 3 4 Seleccione Menu | Reporting | Queries (Men, Generacin de informes, Consultas). Haga clic en Actions | Import Query (Acciones, Importar consulta). Haga clic en Browse (Examinar) para acceder al archivo que contiene su consulta de registro de auditora. Asigne la consulta a un grupo de consultas. Defina un grupo nuevo o seleccione uno de la lista de los ya existentes. 5 Haga clic en Save (Guardar). La consulta aparece en la ventana principal Queries (Consultas). Puede que necesite borrar el campo de texto Quick find (Bsqueda rpida).

Acciones de consulta
Antes de empezar Para aplicar Actions (Acciones) a las consultas: Procedimiento 1 2 Active la casilla de verificacin junto a la consulta deseada o haga clic en la casilla de verificacin Queries (Consultas) en la parte superior para aplicar una accin a todas las consultas. Seleccione una accin de la lista Seleccione esta accin Delete (Eliminar) Duplicate (Duplicar) Para hacer esto Elimina las consultas seleccionadas. Solo para consultas simples, cree un duplicado de la consulta seleccionada. En la ventana Duplicate (Duplicar), escriba un nombre nuevo para la consulta y asigne la copia de la consulta a un grupo de consultas. Edit (Editar) Export Data (Exportar datos) Export Query Definition (Exportar definicin de consulta) Solo para consultas simples, le permite modificar las propiedades que afectan a los resultados de la consulta seleccionada. Exporte los resultados de las consultas seleccionadas como datos adjuntos de correo electrnico. Solo para consultas simples, exporte la definicin de consulta como un archivo XML. En la ventana Opening query (Abrir consulta) especifique si desea abrir el archivo con una aplicacin XML o guardarlo.
El archivo se guarda de acuerdo con la ruta de acceso definida para el navegador web.

Import Query (Importar consulta) Move to Different Group (Mover a otro grupo) New Query (Nueva consulta)

Importe una consulta almacenada como un archivo. Mueva las consultas seleccionadas a un grupo distinto. Cree una consulta nueva.

McAfee Logon Collector 2.0

Gua de administracin

97

Generacin de informes Definicin de criterios de filtrado

Seleccione esta accin Run (Ejecutar) View Query SQL (Ver cdigo SQL de la consulta) Procedimientos

Para hacer esto Ejecute la consulta y vea los resultados. Solo para consultas simples, consulte la consulta seleccionada como una sentencia SQL.

Importacin de consultas de registro de auditora en la pgina 96 Creacin de consultas de registro de auditora en la pgina 96

Vase tambin Definicin de criterios de exportacin en la pgina 98

Definicin de criterios de filtrado


Los criterios de filtrado estn disponibles cuando selecciona: El tipo de grfico de sectores booleano Next (Siguiente) despus del paso 3 del asistente de consultas. El filtro avanzado para el registro de auditora

Las propiedades disponibles son: Action (Accin), Completion Time (Hora de finalizacin), Details (Detalles), Priority (Prioridad), Start Time (Hora de inicio), Success (Correcto) y User Name (Nombre de usuario). Para administrar los criterios del filtro: Procedimiento 1 2 3 4 5 Haga clic en la flecha derecha de la columna Available Properties (Propiedades disponibles) para activar esa propiedad. [Opcional] Haga clic en el signo ms al final de la fila Property (Propiedades) para crear un elemento de comparacin adicional. De forma predeterminada, cualquier elemento adicional se evala con un operador "OR". Haga clic en and (y) en la casilla and/or (y/o) para cambiar este valor. [Opcional] Haga clic en la flecha izquierda junto a la Property (Propiedades) para dejar de tenerla en consideracin. Haga clic en OK (Aceptar) o Update Filter (Actualizar filtro) en funcin del modo en que haya llegado a los criterios de filtrado.

Vase tambin Visualizacin del registro de auditora en la pgina 94 Exportacin del registro de auditora en la pgina 94

Definicin de criterios de exportacin


Cuando decide exportar datos o una tabla, debe definir el formato del archivo exportado.

98

McAfee Logon Collector 2.0

Gua de administracin

Generacin de informes Visualizacin de paneles

Procedimiento 1 Seleccione una accin de exportacin: 2 Para una consulta, seleccione Export Data (Exportar datos): Para un informe de inicios de sesin o un registro de auditora, seleccione Export Table (Exportar tabla).

Revise la informacin que se va a exportar. Para las consultas, se presenta una lista de las consultas. Para el informe de inicios de sesin, se muestran un identificador exclusivo y el nmero de elementos de datos.

3 4

[Opcional] Seleccione Zip the output files (Comprimir los archivos de salida) para comprimir el informe. Seleccione un formato de archivo CSV, XML, HTML o PDF. En el caso de PDF, especifique tambin un tamao y orientacin de pgina y, si lo desea, seleccione mostrar criterios de filtro. Puede adems especificar el texto de la portada.

Configure el correo electrnico.


Debe tener ya un servidor de correo electrnico configurado.

a b c 6

Especifique los destinatarios escribindolos o seleccionndolos del cuadro de dilogo. Escriba una lnea de asunto. Agregue el texto para el cuerpo del mensaje de correo electrnico.

Haga clic en Export (Exportar).

Vase tambin Exportacin del registro de auditora en la pgina 94 Acciones de consulta en la pgina 97 Servidor de correo electrnico en la pgina 48 Administracin de contactos en la pgina 89

Visualizacin de paneles
La opcin de interfaz de usuario Dashboards (Paneles) no se aplica a Logon Collector 2.0. Vase tambin Acerca de la ventana Status (Estado) en la pgina 91

McAfee Logon Collector 2.0

Gua de administracin

99

Generacin de informes Visualizacin de paneles

100

McAfee Logon Collector 2.0

Gua de administracin

10

Integracin con otros productos de McAfee

En este captulo se describe la integracin de McAfee Logon Collector con otros productos de McAfee. Contenido Integracin Integracin Integracin Integracin con con con con McAfee McAfee McAfee McAfee Firewall Enterprise Firewall Enterprise Control Center Network Security Manager Data Loss Prevention

Integracin con McAfee Firewall Enterprise


Puede utilizar Passive Passport en McAfee Firewall Enterprise para permitir que los usuarios coincidentes se conecten sin necesidad de autenticarse. Si su organizacin utiliza Microsoft Active Directory, cada usuario se define como un objeto de Active Directory. El firewall supervisa el estado de autenticacin, asociacin de grupo y direccin IP actual de cada usuario comunicndose con el software de McAfee Logon Collector que est instalado en un servidor Windows. Los usuarios se autentican mediante el servidor de Active Directory. De este modo, el firewall no solicita su autenticacin.

Requisitos de integracin
En la siguiente lista constan los detalles de los requisitos de integracin: Versin de Logon Collector: 2.0 Versin de Firewall Enterprise: 8.0 o posterior

Validacin de identidad pasiva


Puede utilizar Passive Passport para permitir que los usuarios coincidentes se conecten sin necesidad de autenticarse. Para utilizar Passive Passport deben realizarse las siguientes tareas de alto nivel: Procedimiento 1 2 Defina los usuarios en un servidor de Active Directory. Instale Logon Collector en un servidor Windows. Puede optar por omitir este paso si ya tiene instalado Logon Collector.

McAfee Logon Collector 2.0

Gua de administracin

101

10

Integracin con otros productos de McAfee Integracin con McAfee Firewall Enterprise

3 4

En la ventana Firewall Enterprise Passport, active Passive Passport y configure la conexin entre Firewall Enterprise y Logon Collector. En la ventana Rule Properties (Propiedades de reglas) para las reglas de control de acceso o reglas SSL, permita las conexiones para usuarios y grupos seleccionados en funcin de los criterios organizativos.

Vase tambin Instalacin deLogon Collector en la pgina 13

Configuracin de Passive Passport


Para configurar Passive Passport mediante Admin Console (Consola de administracin): Procedimiento 1 Seleccione Policy (Directiva) | Rule Elements (Elementos de regla) | Passport. Aparece la ficha General de la ventana Passport. Para obtener la descripcin de cada opcin, haga clic en Help (Ayuda). 2 3 Seleccione Passive (MLC) (Pasivo (MLC)). Agregue el certificado MFE_Communication_Cert. Lleve a cabo los siguientes pasos en Logon Collector: a b Haga clic en Menu (Men) | Configuration (Configuracin) | Trusted CAs (CAs de confianza). Haga clic en New Authority (Nueva autoridad) para agregar un certificado nuevo. Aparece la ventana New Trusted Authority (Nueva autoridad de confianza). c d Seleccione Import From File (Importar desde archivo). Haga clic en Browse (Examinar). Aparece la ventana Choose File to Upload (Elegir archivos para cargar). e Localice la ubicacin del certificado, seleccinelo y haga clic en Open (Abrir). El nombre del certificado aparece en el campo Certificate (Certificado). f Guarde los cambios. El certificado aparece en la lista de autoridades de confianza de Logon Collector. 4 5 Vuelva a la ventana Admin Console (Consola de administracin). Configure la conexin entre el firewall y Logon Collector. IP address (Direccin IP): escriba la direccin del servidor en el que est instalado Logon Collector. Certificate (Certificado): el certificado MFE_Communication_Cert se selecciona de forma predeterminada para identificar el firewall en Logon Collector. Si lo desea, puede seleccionar sus propios certificados.
Si cambia el certificado en el firewall, tendr que volver a Logon Collector y asegurarse de seleccionar ese mismo certificado. Si no lo hace, Logon Collector no se conectar con Firewall Enterprise. Haga clic en Test MLC Connection (Probar conexin con MLC) para verificar la conectividad con Logon Collector.

102

McAfee Logon Collector 2.0

Gua de administracin

Integracin con otros productos de McAfee Integracin con McAfee Firewall Enterprise Control Center

10

6 7

Haga clic en la ficha Advanced (Avanzada). Seleccione la autoridad de certificacin (CA, Certification Authority) que debe utilizarse para validar Logon Collector: Para utilizar el certificado con firma automtica predeterminado de Logon Collector, haga clic en Retrieve MLC Root Cert (Recuperar certificado raz de MLC). Para utilizar una CA definida con anterioridad, seleccinela en la lista desplegable Cert Authority (Autoridad de certificacin).

En el campo y la lista desplegable User cache timeout (Tiempo de espera de cach de usuario), defina el tiempo que los usuarios y los grupos se almacenan en cach en el firewall si no estn conectados a Logon Collector. Guarde los cambios.

Integracin con McAfee Firewall Enterprise Control Center


Si se integra con McAfee Firewall Enterprise Control Center, Logon Collector realiza sondeos de los controladores de dominio de Active Directory para obtener las caractersticas de los usuarios y enva esta informacin a uno de los dispositivos o a ambos a fin de poner en correlacin el trfico de la red y el comportamiento de los usuarios. Adems, para minimizar la carga que suponen las consultas del registro de eventos de seguridad (mediante WMI) para el controlador de dominio, Logon Collector o Logon Monitor se ponen en contacto con el controlador de dominio en nombre de los dispositivos McAfee que requieren informacin del registro de eventos de seguridad. Vase tambin Administracin de la comunicacin con Logon Collector en la pgina 103 Configuracin de la comunicacin con Logon Collector en la pgina 104

Requisitos de integracin
En la siguiente lista constan los detalles de los requisitos de integracin: Versin de Logon Collector: 2.0 Versin de Firewall Enterprise Control Center: 5.0 o posterior

Administracin de la comunicacin con Logon Collector


Para mostrar los usuarios de Logon Collector, los grupos de usuarios de Logon Collector y las listas de distribucin de Logon Collector que despus puede seleccionar para la lista de usuarios y grupos de usuarios de la ventana Access Control Rule Editor (Acceder al editor de reglas de control), es necesario haber establecido previamente comunicacin con un servidor de Logon Collector. Puede administrar los objetos de configuracin de conexin en la ventana Logon Collector Connection Settings (Configuracin de conexin de Logon Collector). Procedimiento 1 En la barra de navegacin, seleccione Control Center. 2 3 Haga clic en la ficha Logon Collector Connection Settings (Configuracin de conexin de Logon Collector). Aparece la ventana Logon Collector Connection Settings (Configuracin de conexin de Logon Collector). Haga clic en estos botones de la barra de herramientas para llevar a cabo las siguientes acciones en dicha ventana:

McAfee Logon Collector 2.0

Gua de administracin

103

10

Integracin con otros productos de McAfee Integracin con McAfee Firewall Enterprise Control Center

Add (Agregar): al hacer clic, aparece la ventana Logon Collector Connection Settings Editor (Editor de configuraciones de conexin de Logon Collector) en la que puede crear un objeto de configuracin de conexin de Logon Collector nuevo. Edit (Editar): al hacer clic, aparece la ventana Logon Collector Connection Settings Editor (Editor de configuraciones de conexin de Logon Collector) en la que puede editar un objeto de configuracin de conexin de Logon Collector existente. Delete (Eliminar): al hacer clic, se elimina el objeto o los objetos de configuracin de conexin de Logon Collector seleccionados en la tabla de esta ventana.

Configuracin de la comunicacin con Logon Collector


Puede crear objetos de configuracin de conexin para guardar la configuracin de comunicacin con un servidor de Logon Collector en la ventana Logon Collector Connection Settings Editor (Editor de configuraciones de conexin de Logon Collector). Procedimiento 1 2 En la barra de navegacin, seleccione Control Center. Haga clic en la ficha Logon Collector Connection Settings (Configuracin de conexin de Logon Collector). Aparece la ventana Logon Collector Connection Settings (Configuracin de conexin de Logon Collector). 3 Configure los campos de dicha ventana segn sea necesario.
Si desea ver las descripciones de las opciones, pulse F1.

Haga clic en OK (Aceptar) para guardar el objeto.

Ahora puede utilizar este objeto para configurar la autenticacin pasiva.

Configuracin de la autenticacin pasiva


Para configurar la autenticacin pasiva en Control Center, deben llevarse a cabo los siguientes pasos de alto nivel con el orden que se indica, a fin de poder utilizar una comunicacin correcta entre Logon Collector yControl Center para obtener acceso a usuarios, grupos y listas de distribucin en el servidor de Logon Collector.

Configuracin del certificado remoto


Para esta configuracin de autenticacin pasiva, el servidor Logon Collector utiliza el certificado remoto. Este procedimiento tiene lugar en la aplicacin cliente de Control Center. Sin embargo, tambin debe haber iniciado sesin en el dominio compartido. Utilice la ventana Remote Certificates (Certificados remotos) para crear el certificado remoto y exportarlo de forma local a su equipo.

104

McAfee Logon Collector 2.0

Gua de administracin

Integracin con otros productos de McAfee Integracin con McAfee Firewall Enterprise Control Center

10

Procedimiento 1 Realice una de las siguientes opciones: a b Si ha iniciado sesin en el dominio compartido, vaya al paso 2. Si ya ha configurado los dominios de configuracin, en el campo Domain (Dominio), seleccione Shared (Compartido) y vaya al paso 2. Configure el dominio compartido. Debe crear un dominio nuevo para que el dominio compartido quede disponible. En la barra de navegacin, seleccione Control Center. En el rbol de Control Center, haga doble clic en Configuration Domains (Dominios de configuracin). Aparece la ventana Configuration Domain (Dominio de configuracin). c d e En el campo Name (Nombre), especifique un nombre exclusivo para este dominio de configuracin. El campo Description (Descripcin) es opcional. Haga clic en OK (Aceptar). Aparece un mensaje de confirmacin, preguntndole si desea continuar. Haga clic en Yes (S). Aparece un mensaje de aviso, notificndole que deben asignarse privilegios y funciones de inicio de sesin a otros usuarios para este dominio nuevo. f Haga clic en Close (Cerrar). Aparece otro mensaje de aviso, indicando que ahora existen dominios de configuracin activos y que debe reiniciar la aplicacin cliente. g Haga clic en OK (Aceptar). Se cierra la aplicacin cliente. h Vuelva a iniciar una sesin. En la ventana de inicio de sesin, escriba su contrasea y, a continuacin, seleccione Shared (Compartido) en el campo Domain (Dominio). Acto seguido, haga clic en Connect (Conectar). Aparece la aplicacin cliente de Control Center. 2 Puede crear un certificado o importar uno existente. a b Para importar un certificado, vaya a Import an existing certificate (Importar un certificado existente). Complete esta tarea y regrese al paso 3. Para crear un certificado, contine con los pasos siguientes. En la barra de navegacin, seleccione Policy (Directiva). Haga clic en la ficha Remote Certificates (Certificados remotos). Se abrir la ventana Remote Certificates (Certificados remotos). c Haga clic en Add Certificate (Agregar certificado). Aparece el asistente Certificate Request (Solicitud de certificado). d e Seleccione Create a new certificate (Crear un certificado nuevo) y haga clic Next (Siguiente). En el campo Unique Name (Nombre exclusivo), especifique un nombre exclusivo para el certificado y haga clic en Next (Siguiente).

McAfee Logon Collector 2.0

Gua de administracin

105

10

Integracin con otros productos de McAfee Integracin con McAfee Firewall Enterprise Control Center

f g h i j k

En el campo Common Name (Nombre comn), escriba un nombre comn y seleccione un pas en el campo Country (Pas). Rellene el resto de la ventana segn sea necesario y haga clic en Next (Siguiente). [Opcional] Especifique nombres alternativos del sujeto (SAN) con direcciones IP en formato IPv4 o IPv6 y haga clic en Next (Siguiente). Seleccione un algoritmo de cifrado de clave pblica y el tamao de la clave, y haga clic en Next (Siguiente). En el campo Signature Mechanism (Mecanismo de firma), seleccione Self-Signed (Autofirmado) y haga clic en Next (Siguiente). Revise las selecciones que haya realizado. Si est de acuerdo con ellas, haga clic en Next (Siguiente). Si no es as, haga clic en Back (Atrs) hasta llegar a la ventana que contiene la informacin que desea cambiar. Realice los cambios y haga clic en Next (Siguiente) hasta que regrese a esta ventana.

Haga clic en Finish (Finalizar). El certificado se ha importado correctamente. Debera verlo en la ventana Remote Certificates (Certificados remotos).

Para exportar el certificado desde Control Center: a Seleccione el certificado que acaba de importar en la ventana Remote Certificates (Certificados remotos) y haga clic en Export Certificate (Exportar certificado). Aparece el asistente Export Certificate (Exportar certificado). b Haga clic en Next (Siguiente). Acepte la seleccin predeterminada de Export Certificate (Exportar certificado). c Haga clic en Browse (Examinar) y especifique el nombre y un destino del archivo de certificado y haga clic en Save (Guardar). La ruta de acceso y el nombre del archivo se muestran ahora en el campo del asistente. d e Haga clic en Next (Siguiente), y de nuevo en Next (Siguiente) para confirmar el nombre y ubicacin del archivo. Haga clic en Finish (Finalizar). El certificado se ha exportado. En el campo Status (Estado) de la ventana Remote Certificates (Certificados remotos), debera ver ahora Completed: Self Signed (Completado: autofirmado).

Ahora ya puede importar el certificado remoto a Logon Collector. Procedimientos Importacin de un certificado existente en la pgina 106

Importacin de un certificado existente


Utilice esta tarea para importar un certificado ya existente a la lista desplegable Certificate (Certificado) de la ventana Logon Collector Connection Settings Editor (Editor de configuraciones de conexin de Logon Collector) mientras crea un objeto de configuracin de conexiones de Logon Collector.

106

McAfee Logon Collector 2.0

Gua de administracin

Integracin con otros productos de McAfee Integracin con McAfee Firewall Enterprise Control Center

10

Utilice este procedimiento solo cuando tenga certificados ya existentes para importar a la lista desplegable Certificate (Certificado). Procedimiento 1 En la ventana Logon Collector Connection Settings Editor (Editor de configuraciones de conexin de Logon Collector), haga clic en Add (Agregar) a la derecha del campo Certificate (Certificado). Aparece la ventana Certificate Request (Solicitud de certificado). 2 3 4 5 Seleccione Import an existing certificate (Importar un certificado existente) y haga clic en Next (Siguiente). En el campo Unique Name (Nombre exclusivo), especifique un nombre exclusivo para el certificado y haga clic en Next (Siguiente). En el campo Import Mechanism (Mecanismo de importacin), acepte el valor predeterminado (Encrypted File (PKCS12)) (Archivo cifrado (PKCS12)) y haga clic en Next (Siguiente). Configure la ubicacin del certificado y la contrasea necesaria para descifrarlo. a Haga clic en Browse (Examinar) para ir a la ubicacin del certificado. Haga doble clic en l. A continuacin, aparece en el campo Certificate (Certificado). b Especifique la contrasea en los campos Password (Contrasea) y Confirm Password (Confirmar contrasea), y haga clic en Next (Siguiente). Aparece un mensaje de confirmacin en la ltima ventana. Haga clic en Finish (Finalizar). Ahora, el nombre del certificado que acaba de importar aparece en el campo Certificate (Certificado) de la ventana Logon Collector Connection Settings Editor (Editor de configuraciones de conexin de Logon Collector). 6 En el campo Common Name (Nombre comn), escriba un nombre comn y seleccione un pas en el campo Country (Pas). Rellene el resto de la ventana segn sea necesario y haga clic en Next (Siguiente). [Opcional] Especifique nombres alternativos del sujeto (SAN) con direcciones IP en formato IPv4 o IPv6. Haga clic en Next (Siguiente). Seleccione un algoritmo de cifrado de clave pblica y el tamao de la clave, y haga clic en Next (Siguiente). En el campo Signature Mechanism (Mecanismo de firma), seleccione Self-Signed (Autofirmado) y haga clic en Next (Siguiente).

7 8 9

10 Revise las selecciones que haya realizado. Si est de acuerdo con ellas, haga clic en Next (Siguiente). Si no es as, haga clic en Back (Atrs) hasta llegar a la ventana que contiene la informacin que desea cambiar. Realice los cambios y haga clic en Next (Siguiente) hasta que regrese a esta ventana. 11 Haga clic en Finish (Finalizar). El certificado que acaba de crear aparece ahora en el campo Certificate (Certificado) de la ventana MLC Connection Settings Editor (Editor de configuraciones de conexin de MLC).

Importacin del certificado remoto al servidor de Logon Collector


El servidor de Logon Collector debe poder acceder al certificado remoto a fin de poder importarlo. Con este procedimiento se importa el certificado remoto al servidor de Logon Collector.

McAfee Logon Collector 2.0

Gua de administracin

107

10

Integracin con otros productos de McAfee Integracin con McAfee Firewall Enterprise Control Center

Este procedimiento tiene lugar en la interfaz web de Logon Collector. Utilice el rea Certificates (Certificados) de la ventana Firewall para importar el certificado remoto al servidor de Logon Collector. Procedimiento 1 2 Inicie sesin en Logon Collector. En la barra de navegacin, haga clic en Menu (Men). A continuacin, haga clic en Configuration (Configuracin) | Trusted CAs (CAs de confianza). Aparece la ventana Trusted Authorities (Autoridades de confianza). 3 En la esquina inferior izquierda, haga clic en New Authority (Nueva autoridad). Aparece la ventana New Trusted Authority (Nueva autoridad de confianza). 4 5 Haga clic en Browse (Examinar). Vaya al destino del archivo de certificado que ha exportado en Configuracin del certificado remoto y seleccione el archivo de certificado. La ruta de acceso y el nombre del archivo se agregan al campo Certificate (Certificado). 6 Haga clic en Save (Guardar). El nombre comn del certificado aparece en la lista Trusted Authorities (Autoridades de confianza).

Configuracin del servidor de Logon Collector en Control Center


El servidor de Logon Collector y Control Center deben poder comunicarse entre s para que los datos de Active Directory estn accesibles en la aplicacin cliente de Control Center. Este procedimiento tiene lugar en la aplicacin cliente de Control Center. Utilice la ventana Logon Collector Connection Settings Editor (Editor de configuraciones de conexin de Logon Collector) para configurar el objeto del servidor de Logon Collector en Control Center. Procedimiento 1 2 Inicie sesin en la aplicacin Control Center Client (Cliente de Control Center). Si se encuentra en el dominio compartido, en el campo Domain (Dominio), cambie al dominio en el que utilizar los datos de Logon Collector. Aparece un mensaje de verificacin. Haga clic en OK (Aceptar). o Si no ha activado dominios de configuracin, vaya al siguiente paso. 3 4 En la barra de navegacin, seleccione Control Center. Haga clic en la ficha Logon Collector Connection Settings (Configuracin de conexin de Logon Collector). Aparece la ventana Logon Collector Connection Settings (Configuracin de conexin de Logon Collector). 5 Haga clic en Add (Agregar). Aparece la ventana Logon Collector Connection Settings Editor (Editor de configuraciones de conexin de Logon Collector).

108

McAfee Logon Collector 2.0

Gua de administracin

Integracin con otros productos de McAfee Integracin con McAfee Network Security Manager

10

Configure el objeto de configuracin de conexiones de Logon Collector. a b En el campo IP address (Direccin IP), especifique la direccin IP del servidor de Logon Collector. En la lista desplegable Certificate (Certificado), seleccione el certificado de Control Center que ha importado al servidor de Logon Collector. El nombre de este certificado es el que ha especificado en el campo Unique Name (Nombre nico) del Certificate Request Wizard (Asistente para solicitud de certificados). c Haga clic en Retrieve MLC Root Certificate (Recuperar certificado raz de MLC). Anote el nombre de este certificado. (Lo necesitar ms adelante en la ventana Firewall). Si se recupera correctamente, aparece un mensaje de confirmacin. d Haga clic en OK (Aceptar). El certificado del servidor de Logon Collector aparece automticamente en el campo CA certificate (Certificado de CA). e En la lista List of Configuration Domains (Lista de dominios de configuracin), seleccione uno o ms dominios. Aunque solo se puede configurar un servidor de Logon Collector por cada dominio de configuracin, en este campo se especifican los dominios de configuracin que pueden utilizar este objeto de configuracin de Logon Collector. Por lo tanto, puede seleccionar varios dominios. f Haga clic en Test MLC connection (Probar conexin con MLC). Si la conexin es correcta, aparece un mensaje de confirmacin. g Haga clic en OK (Aceptar) en el mensaje de confirmacin y haga clic en OK (Aceptar) para guardar el objeto de configuracin de conexiones de Logon Collector.

Ahora, el objeto nuevo figura en la lista de la ventana Logon Collector Settings (Configuracin de Logon Collector).

Integracin con McAfee Network Security Manager


McAfee Network Security Manager es una interfaz de usuario basada en el navegador que se utiliza para ver, configurar y administrar los despliegues de dispositivos de McAfee Network Security Sensor. Junto con Sensor y Manager, McAfee Network Security Platform ofrece una deteccin total de intrusiones en la red y puede bloquear o evitar ataques en tiempo real, convirtindolo en un verdadero sistema de prevencin de intrusiones (IPS). Se basa en la deteccin y prevencin precisa de las intrusiones, ataques de denegacin de servicio (DoS), ataques de denegacin de servicios distribuidos (DDoS) y uso inapropiado de la red. Manager puede mostrar gran variedad de informacin sobre los visitantes de dentro y fuera de la red. Logon Collector se integra con Manager para mostrar los nombres de los usuarios de los hosts en sus despliegues de IPS y NTBA. Logon Collector proporciona un mtodo fuera de banda para obtener los nombres de usuario desde Active Directory.

Ventajas
Esta integracin ayuda a proporcionar la informacin sobre los usuarios de origen y destino sin ninguna dependencia del mdulo NAC. Es de utilidad en escenarios donde no pueden desplegarse sensores NAC.

McAfee Logon Collector 2.0

Gua de administracin

109

10

Integracin con otros productos de McAfee Integracin con McAfee Network Security Manager

Trminos importantes
En esta seccin se describen los trminos importantes asociados a esta integracin.

Identity Acquisition Agent (IAA)


Identity Acquisition Agent (IAA) se implementa en el lado de Network Security Platform y sirve de interfaz de escucha del servicio de mensajera en el que el servidor de Logon Collector publica las actualizaciones.

McAfee Network Security Manager MLC Listener


McAfee Network Security Manager MLC Listener es el sistema de escucha registrado que recibe con regularidad actualizaciones nuevas de Logon Collector a travs de IAA.

Requisitos de integracin
En la siguiente lista constan los detalles de los requisitos de integracin: Versin de Logon Collector: 2.0 Versin de McAfee Network Security Manager: 6.1.5.5

Funcionamiento de la integracin entre Logon Collector y McAfee Network Security Manager


Los monitores Logon Monitor de Logon Collector pueden utilizarse para detectar controladores de dominio cercanos y reenviar la informacin recopilada a Logon Collector, reduciendo as la distancia que debe recorrer la comunicacin del controlador de dominio. Identity Acquisition Agent (IAA) se implementa en el lado de McAfee Network Security Manager y sirve de interfaz de escucha del servicio de mensajera en el que el servidor de Logon Collector publica las actualizaciones. IAA escucha el servicio Active Message Queue (MQ) de Logon Collector y recibe con regularidad nuevas actualizaciones desde el servidor de Logon Collector. Junto con IAA se registra un agente de escucha para recibir las actualizaciones. Este agente de escucha registrado recibe regularmente nuevas actualizaciones desde Logon Collector a travs de IAA. Todos los datos de enlaces de IP con usuario se cargan en una nueva cach de McAfee Network Security Manager por primera vez. La cach se actualiza posteriormente con las diferencias en las actualizaciones posteriores. Como el resto de componentes de McAfee Network Security Manager pueden consultar la cach de McAfee Network Security Manager, no es necesario comunicar con el servidor de Logon Collector cada vez que se produce una actualizacin.
McAfee Network Security Manager y Logon Collector pueden coexistir en el mismo servidor. Sin embargo, McAfee no recomienda esta coexistencia ya que puede obstaculizar el rendimiento en funcin del flujo de trfico. No es necesaria una frase de contrasea especial ni clave de licencia para instalar el software de Logon Collector.

Detalles de configuracin para la integracin de Logon Collector


En esta seccin se proporcionan los detalles de configuracin para la integracin entre McAfee Network Security Manager y el servidor de Logon Collector.

110

McAfee Logon Collector 2.0

Gua de administracin

Integracin con otros productos de McAfee Integracin con McAfee Network Security Manager

10

Configuracin de la integracin en el nivel de dominio del administrador


Puede activar la integracin entre McAfee Network Security Manager y el servidor de Logon Collector en el nivel de dominio del administrador. Procedimiento 1 2 3 4 En Resource Tree (rbol de recursos), seleccione My Company | Integration | Logon Collector | Enable (Mi empresa, Integracin, Logon Collector, Activar). En la seccin Enable (Activar), seleccione Enable MLC Integration (Activar integracin de MLC). Escriba la direccin IP del servidor de Logon Collector en la opcin Server Name or IP Address (Nombre de servidor o direccin IP). El valor de Server Port (Puerto del servidor) se agrega de forma predeterminada. El nmero de puerto predeterminado es el 61641.
No se recomienda cambiar el nmero de puerto predeterminado.

Figura 10-1

Activacin de la integracin de Logon Collector

Establecimiento de la confianza entre McAfee Network Security Manager y el servidor de Logon Collector
Logon Collector se comunica con McAfee Network Security Manager mediante una autenticacin SSL en dos direcciones. Esto requiere el intercambio de certificados entre McAfee Network Security Manager y el servidor de Logon Collector.

Exportacin del certificado de McAfee Network Security Manager


Para exportar el certificado de McAfee Network Security Manager: Procedimiento 1 2 Seleccione My Company | Integration | Logon Collector | Enable (Mi empresa, Integracin, Activar Logon Collector). En la seccin Export Certificate (Exportar certificado), seleccione Export to file (Exportar a archivo) en la opcin Export Manager Certificate (Exportar certificado de administrador). Se abre una ventana emergente. 3 4 Haga clic en Save (Guardar) para guardar el archivo en su directorio local. Haga clic en Open MLC Console (Abrir consola MLC).

McAfee Logon Collector 2.0

Gua de administracin

111

10

Integracin con otros productos de McAfee Integracin con McAfee Network Security Manager

Introduzca el nombre de usuario y la contrasea. Se muestra la consola de Logon Collector.

6 7 8

En la consola de Logon Collector, seleccione Menu | Configuration | Trusted CAs (Men, Configuracin, CAs de confianza). Haga clic en New Authority (Autoridad nueva) para abrir la ventana New Trusted Authority (Nueva autoridad de confianza). Seleccione Import From File (Importar desde archivo) y haga clic en Browse (Examinar) para agregar el archivo exportado y guardarlo en el directorio local. Tambin puede utilizar la opcin Copy/Paste Certificate (Copiar/pegar certificado).

Haga clic en Save (Guardar).

Importacin del certificado de Logon Collector


Para importar el certificado de Logon Collector: Procedimiento 1 2 3 En la consola de Logon Collector, seleccione Menu | Configuration | Server Settings (Men, Configuracin, Configuracin del servidor. En la seccin Settings Categories (Categoras de configuracin), haga clic en Identity Replication Certificate (Certificado de Identity Replication). Puede importar el certificado de Logon Collector de una de las siguientes maneras: Upload the Logon Collector Certificate (Cargar el certificado de Logon Collector): 1 2 3 Copie el certificado de Logon Collector desde la consola de Logon Collector y pguelo en un archivo nuevo creado a tal fin en el directorio local. En la seccin Import Certificate (Importar certificado), haga clic en Upload MLC Certificate (Cargar certificado de MLC) en la opcin New MLC Certificate (Nuevo certificado de MLC). Seleccione Upload MLC Certificate (Cargar certificado de MLC) y, a continuacin, haga clic en Browse (Examinar) para aadir el certificado de Logon Collector desde el directorio local.

112

McAfee Logon Collector 2.0

Gua de administracin

Integracin con otros productos de McAfee Integracin con McAfee Network Security Manager

10

Pegue el certificado directamente en Network Security Manager: 1 2 En la seccin Import Certificate (Importar certificado), seleccione Paste Certificate (Pegar certificado). Pegue el certificado de Logon Collector que ha copiado en el cuadro Paste Certificate (Pegar certificado).

Figura 10-2 Opcin Paste Certificate (Pegar certificado) de MLC

El certificado de Logon Collector importado aparece en la seccin Current MLC Certificate (Certificado de MLC actual). 4 5 Haga clic en Save (Guardar). Haga clic en Test Connection (Conexin de prueba) para probar la integracin.

Visualizacin de los detalles de Logon Collector en Threat Analyzer


En esta seccin se examinan los cambios en las ventanas Dashboards (Paneles) y Alerts (Alertas) de Threat Analyzer para ver la informacin de usuario recibida del servidor de Logon Collector.

McAfee Logon Collector 2.0

Gua de administracin

113

10

Integracin con otros productos de McAfee Integracin con McAfee Network Security Manager

Visualizacin de los detalles de Logon Collector en la ventana Dashboards (Paneles)


Puede asignar monitores en funcin de los usuarios de origen y destino al tiempo que crea un panel nuevo. Se agregan los siguientes monitores: Top 10 Attack Destination Users (10 ataques ms frecuentes a usuarios de destino) Top 10 Attack Source Users (10 ataques ms frecuentes a usuarios de origen)

Figura 10-3 Opcin Assign Monitor (Asignar monitor)

Visualizacin de la informacin de los usuarios en monitores NTBA


La ventana Dashboards (Paneles) de Threat Analyzer muestra ahora los nombres de los usuarios junto con las direcciones IP del host en monitores NTBA. Los siguientes monitores NTBA muestran los nombres de usuario en la columna User Name (Nombre de usuario). Hosts - Threat Factor (Hosts: Factor de amenaza) Traffic Volume (Bytes) - Top Source Hosts (Volumen de trfico (bytes): principales hosts origen)

114

McAfee Logon Collector 2.0

Gua de administracin

Integracin con otros productos de McAfee Integracin con McAfee Network Security Manager

10

Top External Hosts By Reputation (Principales hosts externos por reputacin) Hosts - New (Last 7 Days) (Hosts: nuevos (ltimos 7 das))

Figura 10-4 Monitores NTBA con detalles de nombre de usuario La seccin User name (Nombre de usuario), se muestra como "---" cuando no se recibe ningn nombre de usuario desde el servidor Logon Collector para un direccin IP del host determinada.

Cambios en la informacin de IP del host


Los nombres de los usuarios se muestran en las siguientes opciones de botn derecho de la seccin Host IP (IP de host) de los monitores NTBA: Informacin del host Perfil de host Perfil DoS del host Interacciones de host Alertas de host Actividad de capa 7 Trfico del host Resumen de trfico de servicio Resumen de trfico de aplicacin Servicios activos Aplicaciones activas Puertos activos Informacin NSLookup

McAfee Logon Collector 2.0

Gua de administracin

115

10

Integracin con otros productos de McAfee Integracin con McAfee Network Security Manager

La siguiente figura muestra la seccin de detalles User Name (Nombre de usuario) para la opcin Host Interactions (Interacciones de host).

Figura 10-5 Opcin Host Interactions (Interacciones de host) con los detalles de User name (Nombre de usuario)

Opcin Show Alerts (Mostrar alertas) para el monitor Host - Threat Factor (Hosts Factor de amenaza)
Se muestra la informacin de usuario de origen y destino para las siguientes opciones en la seccin Show Alerts (Mostrar alertas), del monitor Hosts - Threat Factor (Hosts - Factor de amenaza) Todas las alertas Alertas IPS Alertas NTBA

Figura 10-6 NTBA Alerts (Alertas NTBA) que muestran la informacin de usuario de origen y destino

116

McAfee Logon Collector 2.0

Gua de administracin

Integracin con otros productos de McAfee Integracin con McAfee Network Security Manager

10

Visualizacin de los detalles de Logon Collector en la ventana Alerts (Alertas)


Anteriormente, la informacin de las columnas Source User (Usuario de origen) y Destination User (Usuario de destino) de la ventana Alerts (Alertas) de Threat Analyzer solo poda obtenerse si se haba activado NAC. Despus de la integracin con Logon Collector, McAfee Network Security Manager obtiene los datos de Source User (Usuario de origen) y Destination User (Usuario de destino) del servidor de Logon Collector y los muestra en Threat Analyzer.

Figura 10-7

Datos del usuario de origen y del usuario de destino en Threat Analyzer

McAfee Logon Collector 2.0

Gua de administracin

117

10

Integracin con otros productos de McAfee Integracin con McAfee Network Security Manager

La seccin Group By (Agrupar por) de la ventana Alerts (Alertas) de Threat Analyzer muestra las opciones Dest IP (IP de destino) y Src IP (IP de origen).

Figura 10-8 por)

Opciones Dest IP (IP de destino) y Src IP (IP de origen) en la seccin Group By (Agrupar

Si NAC y la integracin de Logon Collector estn activados a la vez, la informacin acerca de los usuarios de origen y de destino de NAC tiene prioridad sobre la informacin de Logon Collector.

Visualizacin de los detalles de Logon Collector en los informes de Network Security Manager
En esta seccin se describen los informes que muestran la informacin sobre los usuarios recibida para Logon Collector.

Informes personalizados de nueva generacin


En McAfee Network Security Manager, seleccione Reports | Next Generation | New (Informes, Nueva generacin, Nuevo).

118

McAfee Logon Collector 2.0

Gua de administracin

Integracin con otros productos de McAfee Integracin con McAfee Network Security Manager

10

Opcin 1
Cuando selecciona las Display Options (Opciones de presentacin) como Table (Tabla), la seccin Available Fields (Campos disponibles) incluye Src UserId (ID de usuario de origen) y Dest UserId (ID de usuario de destino). Los informes personalizados generados contienen los datos sobre los usuarios de origen y destino.

Figura 10-9 Propiedades de la tabla: campos Src UserId (ID de usuario de origen) y Dest UserId (ID de usuario de destino)

McAfee Logon Collector 2.0

Gua de administracin

119

10

Integracin con otros productos de McAfee Integracin con McAfee Network Security Manager

Opcin 2
Cuando selecciona las Display Options (Opciones de presentacin) como Bar Chart (Grfico de barras), la seccin Bar Labels (Rtulos de barras) incluye Src UserId (ID de usuario de origen) y Dest UserId (ID de usuario de destino). Los informes personalizados generados contienen los datos sobre los usuarios de origen y destino.

Figura 10-10 Opciones Src UserId (ID de usuario de origen) y Dest UserId (ID de usuario de destino) en el grfico de barras

120

McAfee Logon Collector 2.0

Gua de administracin

Integracin con otros productos de McAfee Integracin con McAfee Network Security Manager

10

Opcin 3
Cuando selecciona las Display Options (Opciones de presentacin) como Pie Chart (Grfico de sectores), la seccin Pie Slice Labels (Rtulos de sectores) incluye Src UserId (ID de usuario de origen) y Dest UserId (ID de usuario de destino). Los informes personalizados generados contienen los datos sobre los usuarios de origen y destino.

Figura 10-11 Opciones Src UserId (ID de usuario de origen) y Dest UserId (ID de usuario de destino) en el grfico de sectores

Filtro de presentacin
La opcin del Filtro de presentacin le permite buscar alertas basadas en dos atributos recientemente agregados, que son los usuarios de origen y de destino.

Figura 10-12 Opciones del filtro de presentacin

McAfee Logon Collector 2.0

Gua de administracin

121

10

Integracin con otros productos de McAfee Integracin con McAfee Network Security Manager

Error de comunicacin
Se muestra un informe de errores de conexin en la ventana Status (Estado) de McAfee Network Security Manager cuando hay una comunicacin inapropiada entre el servidor de McAfee Network Security Manager y el servidor de Logon Collector. Desde la pgina Home (Inicio) de McAfee Network Security Manager vaya a Operational Status (Estado operativo). Haga clic en Error para ver el mensaje de error.

Figura 10-13 Error en la pgina de inicio

Muestra la siguiente informacin: Tipo de fallo Origen Tipo de condicin Tipo de alarma Gravedad Momento de ltima aparicin Texto adicional Fecha y hora de creacin

Figura 10-14 Informe de errores de conexin en la ventana Status (Estado)

Tambin puede ver el mensaje de error de comunicacin en la ventana Alerts (Alertas) de Threat Analyzer si se produce una conexin inapropiada.

122

McAfee Logon Collector 2.0

Gua de administracin

Integracin con otros productos de McAfee Integracin con McAfee Data Loss Prevention

10

Los siguientes detalles se muestran bajo la columna Scr User (Usuario de origen): Communication Error (Error de comunicacin): error en la comunicacin con el servidor de Logon Collector Not Applicable (No aplicable): asociacin inadecuada

Figura 10-15 Error de comunicacin en Threat Analyzer

Integracin con McAfee Data Loss Prevention


McAfee Data Loss Prevention (NDLP o McAfee DLP) se suministra a travs del dispositivo de bajo mantenimiento y la plataforma McAfee ePolicy Orchestrator (ePO) para simplificar el despliegue, la administracin, las actualizaciones y los informes. Ofrece una seguridad de datos completa, proteccin de los datos fuera de la red y un despliegue y administracin sencillos. Histricamente, el administrador de McAfee DLP se asociaba al SAMAccountName como el elemento de identificacin de usuario principal. Pero si dicho atributo se aplica a usuarios en el mismo dominio que tengan nombre similares o coincidentes, estos no pueden identificarse correctamente. McAfee DLP se centra ahora en el SID (identificador de seguridad) alfanumrico exclusivo que el controlador de dominio de Windows asigna a cada cuenta de usuario. Por ejemplo, el nombre de usuario jherrera podra pertenecer a Juan Herrera o Julian Herrera, por lo sera necesaria ms informacin para distinguir entre ambos usuarios. Dichas personas podran incluso utilizar la misma direccin IP, lo que agravara el problema de descubrir la identidad del usuario real.

McAfee Logon Collector 2.0

Gua de administracin

123

10

Integracin con otros productos de McAfee Integracin con McAfee Data Loss Prevention

Pero cada cuenta en un servidor de Active Directory se compone de atributos que identifican a la persona propietaria de la cuenta. Logon Collector compara el SID exclusivo asignado a cada usuario de Active Directory con las direcciones IP y todos los parmetros asociados con ese SID se extraen cuando Logon Collector traslada las actualizaciones de enlaces desde el servidor de Active Directory a McAfee DLP.
Debido a que SAMAccountName se ha utilizado para indizar los datos en versiones anteriores, esta informacin podra perderse durante las bsquedas especficas cuando el usuario cambia a la versin 9.0 o cuando los datos que residen en la base de datos de captura indican una fecha anterior al cambio de versin.

Requisitos de integracin
En la siguiente lista constan los detalles de los requisitos de integracin: Versin de Logon Collector: 2.0 Versin de NDLP: 9.x

Uso de elementos de usuario de Active Directory


Todos los elementos de Active Directory se tratan como consultas de palabras y pueden dirigirse a servidores LDAP especficos. Al utilizar elementos de este tipo en una consulta, se configuran columnas que admiten el parmetro en la ventana de bsqueda y en el panel.
Cada uno de los elementos de usuario recupera la lista de atributos.

Parmetros disponibles
User Name (Nombre de usuario): el nombre, el alias, el departamento y la ubicacin del usuario User Groups (Grupos de usuarios): el grupo del usuario User City (Ciudad del usuario): la ciudad del usuario User Country (Pas del usuario): el pas del usuario User Organization (Organizacin del usuario): la empresa u organizacin del usuario

Uso de McAfee DLP en servidores LDAP remotos


La posibilidad de supervisar el trfico de usuarios en los servidores de Active Directory se ha ampliado ahora a servidores de directorio, convirtiendo la administracin de usuarios global en una realidad. La capacidad de McAfee DLP 9.0 para conectarse a varios controladores de dominio hace que esto sea posible. No solo se capturan los datos en las redes locales, sino que se extiende a todo el trfico de hasta dos servidores LDAP. Cuando los usuarios pueden reconocerse por nombre, grupo, departamento, ciudad o pas, un administrador de McAfee DLP puede extraer una gran cantidad de informacin importante utilizando unos cuantos hechos fundamentales para recopilar de forma gradual ms detalles sobre posibles infracciones.

Uso de Logon Collector con McAfee DLP


Supongamos que sabe que su empresa ha perdido cierta propiedad intelectual que ha ido a parar a una empresa del pas X y sospecha que la fuga de informacin se debe a un agente interno de su sucursal en la ciudad Y. Debido a que McAfee DLP captura todo el trfico de la red de la empresa,

124

McAfee Logon Collector 2.0

Gua de administracin

Integracin con otros productos de McAfee Integracin con McAfee Data Loss Prevention

10

puede agregar un servidor de Active Directory que contenga la cuenta de usuario de dicho agente interno a McAfee DLP Manager y, a continuacin, buscar el nombre de usuario de este individuo para supervisar sus comunicaciones. Acto seguido, puede buscar entre sus comunicaciones el nombre del componente perdido y encontrar as la direccin de correo electrnico y la ubicacin geogrfica de aquellos usuarios externos a la empresa que pueden haber recibido la informacin. Es posible que no sepa lo que contienen dichas comunicaciones pero puede utilizar lo que encuentre para hacerse la siguiente pregunta lgica Puede configurar Logon Collector con McAfee DLP Manager para resolver las identidades de usuario mediante la recuperacin de recopilaciones de informacin de las cuentas de usuario de todos los servidores de Active Directory que se hayan aadido al sistema McAfee DLP.
Si McAfee DLP Manager se configura con Logon Collector y un servidor de Active Directory, es posible extender la proteccin de los extremos a los servidores de directorio que administran usuarios en todo el mundo. Si no conoce el nombre del usuario, puede ir revelando paso a paso su identidad mediante la bsqueda de usuarios en la ciudad Y, la bsqueda entre los grupos de usuarios de su departamento tcnico y la identificacin de un subgrupo que pueda contener al usuario en cuestin.

Activacin de la identificacin de usuarios mediante Logon Collector


Logon Collector se utiliza para asignar direcciones IP a identidades de usuario en los servidores de Active Directory. Sin l la identificacin de usuarios sera difcil puesto que pueden haber iniciado sesin en varias estaciones de trabajo distintas. Las direcciones IP cambian cuando los servidores DHCP asignan automticamente direcciones nuevas y es posible que ms de un usuario haya iniciado sesin en una misma estacin de trabajo. Si Logon Collector se configura con McAfee DLP Manager, las identidades de usuario se resuelven mediante la recuperacin de recopilaciones de informacin de las cuentas de usuario de todos los servidores de Active Directory que se hayan agregado al sistema McAfee DLP. La compatibilidad con varios controladores de dominio significa que las aplicaciones McAfee pueden servir operaciones empresariales a gran escala. En el caso de McAfee DLP significa que, tras activar Logon Collector, los administradores de McAfee DLP pueden configurar consultas y reglas basadas en Active Directory para determinar a qu actividades se dedican los usuarios en la red.

Configuracin de Logon Collector


Antes de empezar Para poder utilizar Logon Collector con McAfee DLP, debe aadirse un servidor de Active Directory a McAfee DLP Manager. El siguiente paso es el de establecer comunicaciones seguras entre McAfee DLP y Logon Collector. Para realizar las conexiones SSL: Procedimiento 1 2 Exporte un certificado desde Logon Collector. Importe el certificado de Logon Collector a McAfee DLP Manager.

McAfee Logon Collector 2.0

Gua de administracin

125

10

Integracin con otros productos de McAfee Integracin con McAfee Data Loss Prevention

3 4 5

Exporte un certificado desde McAfee DLP. Importe el certificado de McAfee DLP a Logon Collector. Reinicie Logon Collector. Una vez llevados a cabo estos pasos, las comunicaciones seguras entre McAfee DLP y Logon Collector estarn activadas y los datos de los servidores de Active Directory estarn disponibles para realizar bsquedas y construir reglas.

Autenticacin del administrador de McAfee DLP y Logon Collector


Antes de empezar Utilice este mtodo para conectar McAfee DLP a Logon Collector de modo que puedan intercambiar certificados, autenticndose entre s. Cuando el proceso se complete, se establecer una conexin SSL entre ellos. Procedimiento 1 2 3 4 5 6 7 8 9 Abra un navegador web e inicie sesin en Logon Collector. En el servidor de Logon Collector, seleccione Menu | Configuration | Server Settings | Identity Replication Certificate (Men, Configuracin, Configuracin del servidor, Certificado de Identity Replication). Desplcese hasta la parte inferior de la pgina. Seleccione y copie todo el texto del campo Base 64. Abra un navegador web e inicie sesin en el administrador de McAfee DLP. Seleccione System | Directory Services (Sistema, Servicios de directorio). Seleccione Add a McAfee Logon Collector (Agregar McAfee Logon Collector) del men Actions (Acciones). Escriba la direccin IP de Logon Collector. Haga clic en el botn de opcin de pegar y pegue el texto en la casilla.
Guarde estos datos de Base 64 en un archivo en el equipo de sobremesa para poder volver a utilizarlos.

10 Haga clic en Apply (Aplicar). 11 Haga clic en Export (Exportar) para guardar el certificado de red de McAfee DLP en el equipo de sobremesa. 12 Abra un navegador web y escriba la direccin de Logon Collector. 13 Seleccione Menu | Configuration | Trusted CA (Men, Configuracin, CA de confianza). 14 Haga clic en New Authority (Nueva autoridad). 15 Vaya al archivo netdlp_certificate.cer que guard en el equipo de sobremesa. 16 Haga clic en Open (Abrir). 17 Haga clic en Save (Guardar). De este modo se agrega McAfee DLP Manager a Logon Collector.

126

McAfee Logon Collector 2.0

Gua de administracin

Integracin con otros productos de McAfee Integracin con McAfee Data Loss Prevention

10

18 Abra una sesin de escritorio remoto en el servidor de Logon Collector. 19 Apague y reinicie el servidor de Logon Collector. La conexin se ha completado.

McAfee Logon Collector 2.0

Gua de administracin

127

10

Integracin con otros productos de McAfee Integracin con McAfee Data Loss Prevention

128

McAfee Logon Collector 2.0

Gua de administracin

11

Escalabilidad

En este captulo se describen los detalles de los lmites de rendimiento que admite Logon Collector.

Detalles de la escalabilidad
A continuacin se enumeran los lmites de rendimiento de Logon Collector: Campos Usuarios Grupos Dominios Velocidad de inicios de sesin Clientes Cifras hasta 100.000 hasta 20.000 10 hasta 800 eventos de inicio de sesin por minuto hasta 150

McAfee Logon Collector 2.0

Gua de administracin

129

11

Escalabilidad Detalles de la escalabilidad

130

McAfee Logon Collector 2.0

Gua de administracin

12

Opciones de configuracin avanzadas

En este captulo se describen las opciones de configuracin avanzadas del servidor de McAfee Logon Collector. El archivo de configuracin de Logon Collector contiene los parmetros para configurar el servidor de Logon Collector. Contenido Configuracin avanzada Modo de compatibilidad de Logon Collector 2.0 v1 Configuracin de controllerbackofftime Configuracin de removeWhiteSpaceFromUniqueName Configuracin del lmite de grupos de usuarios de McAfee ePO

Configuracin avanzada
Siga los pasos que se indican a continuacin para configurar las opciones avanzadas en el archivo xml si quiere configurar el servidor de Logon Collector. 1 2 3 4 Detenga el servicio Logon Collector. Vaya a <MLC_INSTALL_FOLDER>/server/conf/mlc-config.xml. Edite el archivo xml. Reinicie el servicio Logon Collector.
Si el servicio de Logon Collector tarda ms de lo esperado en detenerse, abra el Administrador de tareas, seleccione la ficha Processes (Procesos), localice el proceso Tomcat y haga clic en End Process (Finalizar proceso).

Modo de compatibilidad de Logon Collector 2.0 v1


Logon Collector 1.0 y Logon Collector 1.0.1 no propagan los cambios en el nombre de usuario o grupo en Active Directory a los clientes. Sin embargo, Logon Collector propaga la informacin de cambios en el nombre de usuario y grupo a los clientes. Esto hace que McAfee Firewall ACLD deje de ser el ncleo ya que depende de esta funcionalidad de Logon Collector. Mediante el modo de compatibilidad de v1 de Logon Collector, la versin 2.0 se comporta exactamente igual que Logon Collector 1.0 en lo que respecta a esta funcionalidad. Como resultado, Firewall ACLD no pierde su papel central en el momento en que se produce una ampliacin a Logon Collector 2.0.

McAfee Logon Collector 2.0

Gua de administracin

131

12

Opciones de configuracin avanzadas Configuracin de controllerbackofftime

La siguiente lnea representa la entrada en el archivo mlc-config.xml que puede activarse o desactivarse con el valor (verdadero o falso): <config name="enable-v1-compatibility" value="true type="common"/> De forma predeterminada, Logon Collector 2.0 se ejecuta en el modo de compatibilidad.

Configuracin de controllerbackofftime
Logon Collector detiene el envo de consultas de WMI al controlador de dominio si el uso de la CPU de ste ltimo supera el umbral de CPU configurado. Logon Collector espera de forma predeterminada 20 minutos antes de enviar las consultas de WMI al controlador de dominio. Para configurar el tiempo de retirada: 1 2 Detenga el servicio Logon Collector. Cambie el valor del parmetro que se indica a continuacin en mlc-config.xml: <config name="controllerbackofftime" value="20" type="common" />
Las unidades del parmetro son en minutos

Reinicie el servicio Logon Collector.


No se recomienda configurar un valor demasiado pequeo para controllerbackofftime, ya que ello puede aumentar la carga en el controlador de dominio. McAfee recomienda un valor mnimo de 10 minutos.

Configuracin de removeWhiteSpaceFromUniqueName
Logon Collector 1.0 o 1.0.1 utilizaba un algoritmo para generar un nombre exclusivo (uniqueName) para objetos de usuario y grupo que quitaba los espacios en blanco. Como consecuencia, el algoritmo responsable de la generacin de nombres exclusivos no creaba un uniqueName (nombre exclusivo). Ejemplo: Grupo 1 cn: ProductServices un: ProductServices@DistributionLists.scur.com Grupo 2 cn: Product Services un: ProductServices@DistributionLists.scur.com
Se genera el mismo "un" (nombre exclusivo) para el Grupo 1 y el Grupo 2 aunque sus "cn" (nombres comunes son distintos).

Para resolver este problema, se puede establecer el parmetro de configuracin (removeWhiteSpaceFromUniqueName). El valor predeterminado es false (falso). Con esta configuracin, Logon Collector no quita los espacios en blanco de uniqueName (nombre exclusivo).

132

McAfee Logon Collector 2.0

Gua de administracin

Opciones de configuracin avanzadas Configuracin del lmite de grupos de usuarios de McAfee ePO

12

Configuracin del lmite de grupos de usuarios de McAfee ePO


Si Logon Collector funciona como una extensin de McAfee ePO, de forma predeterminada se establece un lmite de 10.000 objetos de directorio en Logon Collector Identity Data Store (IDDS). Puede utilizar el parmetro idds.epo.limit.directory_object_count y cambiar dicho lmite en el archivo mlc-config.xml tal como se muestra a continuacin: <config name="idds.epo.limit.directory_object_count" value="10000" /> El valor predeterminado del parmetro es 10.000.
No se recomienda establecer un valor superior a 10.000. McAfee recomienda instalar Logon Collector en un servidor independiente si el dominio que se va a supervisar tiene ms de 10.000 usuarios y grupos.

McAfee Logon Collector 2.0

Gua de administracin

133

12

Opciones de configuracin avanzadas Configuracin del lmite de grupos de usuarios de McAfee ePO

134

McAfee Logon Collector 2.0

Gua de administracin

13

Solucin de problemas

En este captulo se ofrece informacin que puede ayudarle a resolver algn problema. Contenido Verificacin de las credenciales de dominio Creacin de una cuenta de usuario no administrador para acceder al registro de eventos de seguridad en un controlador de dominio Registros de Logon Monitor Registros de Logon Collector Error durante la instalacin de Logon Collector 2.0 en Windows Server 2008 R2 Error al desinstalar la instancia de la base de datos SQL para Logon Collector Pgina de configuracin de bases de datos para conectar al servidor de SQL Puertos utilizados por Logon Collector Elevado consumo de memoria de Isass.exe Procedimiento de recuperacin para la restriccin de 10.000 objetos de directorios de McAfee ePO

Verificacin de las credenciales de dominio


En esta seccin se describe cmo verificar que las credenciales que se especifican para un dominio sean correctas y tengan los suficientes privilegios para conectarse a un controlador de dominio por medio de Logon Collector. Los controladores de dominio a los que se acceda deben registrar los eventos de seguridad. Pruebe sus credenciales mediante la herramienta wbemtest.exe para conectarse a un controlador de dominio y ejecutar varias consultas. Si no puede especificar las credenciales de una cuenta de administrador, puede utilizar una cuenta de usuario no administrador en el controlador de dominio.
ES NECESARIO que la cuenta de administrador que vaya a utilizar para acceder al controlador de dominio est en el mismo dominio desde donde quiere obtener identidades.

Una ejecucin correcta de las consultas verifica que las credenciales que ha especificado tengan suficientes privilegios para obtener acceso a los siguientes elementos en el controlador de dominio: Registro de eventos de seguridad Rendimiento de la CPU Conexin WMI Conexin DCOM

McAfee Logon Collector 2.0

Gua de administracin

135

13

Solucin de problemas Verificacin de las credenciales de dominio

Conexin a un controlador de dominio


Siga los pasos que se indican a continuacin para utilizar la herramienta wbemtest.exe y conectar a un controlador de dominio. Estas instrucciones solo funcionan si Logon Collector se ejecuta en un equipo remoto, pero no lo harn si Logon Collector se ejecuta en un controlador de dominio local. Procedimiento 1 2 Abra una ventana de smbolo del sistema y vaya a \Windows\System32\WBEM. Ejecute wbemtest.exe: C:\Windows\System32\WBEM> wbemtest Aparece la ventana Herramienta de comprobacin del instrumental de administracin de Windows.

Figura 13-1 Ventana Herramienta de comprobacin del instrumental de administracin de Windows

136

McAfee Logon Collector 2.0

Gua de administracin

Solucin de problemas Verificacin de las credenciales de dominio

13

Haga clic en Connect (Conectar) para abrir la ventana Connect (Conectar).

Figura 13-2 Ventana Connect (Conectar)

Especifique la siguiente informacin: Opcin User (Usuario) password (contrasea) Authority (Entidad emisora) Locale (Configuracin regional) Impersonation level (Nivel de representacin) How to interpret empty password (Interpretacin de contrasea vaca) Authentication Level (Nivel de autenticacin) Definicin El nombre de usuario para autenticar en el controlador de dominio La contrasea asociada. Deje en blanco este campo. Deje en blanco este campo. Seleccione Impersonate (Suplantar). Seleccione NULL (NULA). Seleccione Packet privacy (Privacidad de paquete).

unlabeled connection (conexin no etiquetada) \\<dc_name>\root\cimv2

McAfee Logon Collector 2.0

Gua de administracin

137

13

Solucin de problemas Verificacin de las credenciales de dominio

Haga clic en Connect (Conectar) para continuar. Si se muestra el mensaje Access Denied (Acceso denegado), cabe la posibilidad de que haya escrito errneamente las credenciales, o que la cuenta de usuario no tenga los privilegios necesarios. Vuelva a escribir las credenciales y compruebe que la cuenta de usuario se haya configurado de manera correcta. Si no est utilizando una cuenta de administrador, puede utilizar una cuenta de usuario no administrador en el controlador de dominio. La ventana Herramienta de comprobacin del instrumental de administracin de Windows cambia para mostrar IWbemServices y Opciones de llamada de mtodos.

Figura 13-3 Herramienta de comprobacin del instrumental de administracin de Windows

La autenticacin correcta del controlador de dominio y la visualizacin de la ventana anterior significan que Logon Collector ha accedido a las conexiones WMI y DCOM.

138

McAfee Logon Collector 2.0

Gua de administracin

Solucin de problemas Verificacin de las credenciales de dominio

13

Ejecute cada una de las siguientes consultas: Consulta del rendimiento de la CPU Un resultado correcto de esta consulta significa que Logon Collector ha accedido al rendimiento de la CPU en el controlador de dominio. Consulta de registro anterior Un resultado correcto de esta consulta significa que Logon Collector ha accedido al registro de eventos de seguridad. Consulta de notificacin de registro posterior Un resultado correcto de esta consulta significa que Logon Collector ha accedido al registro de eventos de seguridad.
Debe ejecutar correctamente la consulta de rendimiento de la CPU y una de las consultas del registro para comprobar que tiene las credenciales correctas y, por tanto, suficientes privilegios de acceso.

Ejecucin de una consulta de rendimiento de la CPU


Siga estas instrucciones para ejecutar una consulta de rendimiento de la CPU. Procedimiento 1 2 3 Conctese a un controlador de dominio. Haga clic en Query (Consulta). Escriba la siguiente consulta: SELECT * FROM Win32_PerfRawData_PerfOS_Processor WHERE Name=_Total

Figura 13-4 Consulta del rendimiento de la CPU

McAfee Logon Collector 2.0

Gua de administracin

139

13

Solucin de problemas Verificacin de las credenciales de dominio

Haga clic en Apply (Aplicar) para ver los resultados de la consulta.

Figura 13-5 Ventana Query Result (Resultado de la consulta)

5 6

Haga clic en Close (Cerrar) si aparece el contenido de la captura de pantalla anterior, lo que demuestra que la funcionalidad de consulta es correcta. Ejecute las dems consultas si todava no lo ha hecho.

Ejecucin de una consulta del registro anterior


Siga estas instrucciones para ejecutar una consulta del registro anterior. Procedimiento 1 2 Conctese a un controlador de dominio. Haga clic en Query (Consulta).

140

McAfee Logon Collector 2.0

Gua de administracin

Solucin de problemas Verificacin de las credenciales de dominio

13

Escriba la siguiente consulta: SELECT * FROM Win32_NTLogEvent WHERE Logfile = 'Security' AND (EventIdentifier = 672 OR EventIdentifier = 673 OR EventIdentifier = 680 OR EventIdentifier = 4768 OR EventIdentifier = 4769 OR EventIdentifier = 4776) AND TimeWritten > 'yyyymmdd' donde yyyymmdd es la fecha de ayer.

Figura 13-6 Consulta del registro anterior

Haga clic en Apply (Aplicar) para ver los resultados de la consulta.

Figura 13-7 Resultados de la consulta del registro anterior

Haga clic en Close (Cerrar) si aparece el contenido de la captura de pantalla anterior, lo que demuestra que la funcionalidad de consulta es correcta. No es necesario que espere la devolucin de todos los resultados.

Ejecute las dems consultas si todava no lo ha hecho.

Ejecucin de una consulta de notificacin de registro posterior


Siga estas instrucciones para ejecutar una consulta de notificacin de registro posterior.

McAfee Logon Collector 2.0

Gua de administracin

141

13

Solucin de problemas Creacin de una cuenta de usuario no administrador para acceder al registro de eventos de seguridad en un controlador de dominio

Procedimiento 1 2 3 Conctese a un controlador de dominio. Haga clic en Notification Query (Consulta de notificacin). Escriba la siguiente consulta: SELECT * FROM __InstanceCreationEvent WHERE TargetInstance ISA 'Win32_NTLogEvent' AND TargetInstance.Logfile = 'Security' AND (TargetInstance.EventIdentifier = 672 OR TargetInstance.EventIdentifier = 673 OR TargetInstance.EventIdentifier = 680) 4 Haga clic en Apply (Aplicar).

Figura 13-8 Resultados de la consulta de notificacin de registro posterior

Los resultados se muestran mientras se registran. 5 Haga clic en Close (Cerrar). La operacin no finaliza hasta que hace clic en Close (Cerrar). 6 Ejecute las dems consultas si todava no lo ha hecho.

Creacin de una cuenta de usuario no administrador para acceder al registro de eventos de seguridad en un controlador de dominio
Logon Collector admite dominios que ejecuten Windows 2000, Windows 2003 y Windows 2008. No puede instalar Logon Collector en Windows 2000 Server; sin embargo, Logon Collector puede supervisar dominios de Windows 2000.

142

McAfee Logon Collector 2.0

Gua de administracin

Solucin de problemas Creacin de una cuenta de usuario no administrador para acceder al registro de eventos de seguridad en un controlador de dominio

13

Asegrese de cumplir los siguientes requisitos para crear una cuenta de usuario que no sea administrador en un controlador de dominio a fin de acceder a los registros de eventos de seguridad: Acceso a la suite de PsTools de herramientas de lnea de comandos (http:// download.sysinternals.com/Files/PsTools.zip) Posibilidad de modificar el registro de un controlador de dominio que se ejecuta en Windows Server 2000, Windows Server 2003 o Windows Server 2008 Perodo de tiempo para reiniciar el sistema del controlador de dominio

Creacin de una cuenta en Windows Server 2008


Es necesario llevar a cabo las siguientes tareas para crear una cuenta de no administrador en Windows Server 2008 que pueda acceder al registro de eventos de seguridad del controlador de dominio: Crear un grupo nuevo de Active Directory. Averiguar el SID del grupo recin creado mediante psgetsid.exe. Crear una cuenta de usuario del dominio para acceder al registro de eventos de seguridad. Activar permisos. Conceder acceso a DCOM. Activar el acceso a WMI al espacio de nombres necesario.

Creacin de una cuenta en Windows Server 2003


Es necesario llevar a cabo las siguientes tareas para crear una cuenta de usuario que no sea administrador en Windows Server 2003 que pueda acceder al registro de eventos de seguridad del controlador de dominio: Crear un grupo nuevo de Active Directory. Determinar el SID del grupo de Active Directory recin creado. Cree una cuenta de usuario del dominio. Activar permisos. Conceder acceso a DCOM. Activar el acceso a WMI al espacio de nombres necesario.

Creacin de una cuenta en Windows 2000 Server


Es necesario llevar a cabo las siguientes tareas para crear una cuenta de usuario que no sea administrador en Windows 2000 Server que pueda acceder al registro de eventos de seguridad del controlador de dominio: Crear un grupo nuevo de Active Directory. Cree una cuenta de usuario del dominio. Activar el acceso a WMI al espacio de nombres necesario. Conceder acceso a DCOM. Activar acceso de lectura al registro de eventos de seguridad.

McAfee Logon Collector 2.0

Gua de administracin

143

13

Solucin de problemas Registros de Logon Monitor

Recursos adicionales
Recurso Artculo de Microsoft Knowledge Base Formato de cadena de los descriptores de seguridad Descripcin de la cadena de SID Descripcin de las cadenas ACE Documento til sobre la sintaxis SDDL Acceso remoto a DCOM Acceso remoto a WMI URL http://support.microsoft.com/kb/323076 http://msdn.microsoft.com/en-us/library/ aa379570(VS.85).aspx http://msdn2.microsoft.com/en-us/library/ aa379602.aspx http://msdn2.microsoft.com/en-us/library/ aa374928.aspx http://www.washington.edu/computing/support/ windows/UWdomains/SDDL.htm http://msdn2.microsoft.com/en-us/library/ aa393266.aspx http://msdn2.microsoft.com/en-us/library/ aa393613.aspx

Registros de Logon Monitor


El formato bsico de los mensajes de registro de Logon Monitor es el siguiente: YYYY-MM-DD'T'HH:mm:ss'Z' <LEVEL>: <Msg>
La hora es UTC (hora universal coordinada) (por lo tanto se representa como Z en el formato bsico).

Un ejemplo del formato bsico de los mensajes de registro de Logon Monitor es 2010-11-09T21:23:09Z INFO: DlcServiceMain Service Started. La siguiente lista refleja los tres tipos de mensajes que pueden recibirse: Mensajes internos Mensajes originados por las comunicaciones de Logon Collector Mensajes originados por las comunicaciones de Logon Monitor

Mensajes internos
Los mensajes internos carecen de calificador. Los siguientes son ejemplos de mensajes internos: 2010-11-09T21:23:09Z INFO: DlcServiceMain Service Started 2010-11-09T21:23:09Z INFO: Socket Listening on 50443

Mensajes generados por las comunicaciones de Logon Collector


Los mensajes generados por las comunicaciones de Logon Collector solo tienen lugar en la depuracin de nivel 2 o superior. El formato de los mensajes generados por las comunicaciones de Logon Collector es el siguiente:

144

McAfee Logon Collector 2.0

Gua de administracin

Solucin de problemas Registros de Logon Monitor

13

Formato: <Data> <Level>: [CLI:<MLC IP Address>:<Port>] <Message> Ejemplos: 2010-12-03T16:46:24Z DEBUG: [CLI:127.0.0.1:10248] Connection accepted 2010-12-03T16:46:24Z DEBUG: [CLI:127.0.0.1:10248] Command HELLO 2010-12-03T16:46:24Z DEBUG: [CLI:127.0.0.1:10248] Command CONNECT El siguiente mensaje de ejemplo puede servir para entender las distintas partes de un mensaje: STATS RP:0 LR:2010-12-03T16:46:12Z LV:0 PB:0 CB:0 LW:4 BW:243, donde: RP representa el nmero de registros enviados LR representa la ltima vez que se ha enviado el registro LV representa un nmero entre 0 y 5, que indica comunicaciones lentas
Cualquier nmero superior a 3 indica que el enlace puede llegar a ser muy lento.

PB y CB se combinan para calcular el nmero de bytes pendientes de escribir LW representa el nmero de lneas escritas BW representa el nmero de bytes escritos (puede servir para calcular el ancho de banda)

Mensajes generados por las comunicaciones de Logon Monitor


Los mensajes generados por las comunicaciones de Logon Monitor tienen lugar en todos los niveles.
La mayora de los mensajes generados por las comunicaciones de Logon Monitor tienen lugar en el nivel de informacin.

El formato de los mensajes generados por las comunicaciones de Logon Monitor es el siguiente: Formato: <Data> <Level>: [DC:<DC Name>] <Message> Ejemplos: 2010-12-03T16:46:24Z INFO: [DC:d2-dc-01.domain2.cai.local] Wmi Connected 2010-12-03T16:46:24Z INFO: [DC:d2-dc-01.domain2.cai.local] DcConnection::run Backlog query disabled by client request Ejemplo de mensaje de error: El mensaje de error que consta a continuacin aparecer en la ventana Status (Estado) de Logon Collector: Access Denied (Password Change) ERROR: [DC:nsbu-01.domain3.cai.local] Wmi [0x80070005 - Access is denied.] ConnectServer Ejemplo de cdigo de error: 0x80070005: se trata de un error de Microsoft. Para obtener ms informacin, consulte microsoft.com.

Errores habituales del controlador de dominio


En la tabla siguiente se muestran los errores habituales del controlador de dominio:

McAfee Logon Collector 2.0

Gua de administracin

145

13

Solucin de problemas Registros de Logon Collector

Error

Descripcin Este error puede aparecer por problemas de contrasea.

0x80070005 Acceso denegado. 0x8004106C Infraccin de la cuota: diferencia de parches entre DC y MLC Para solucionar este problema, asegrese de que se han aplicado todos los parches. 0x800706BA El servidor RPC no est disponible. Este error puede mostrarse por uno de los dos siguientes motivos: Problemas de contrasea. Si el sistema est inaccesible. Control de acceso. Diferencia de parches. 0x80010002 El filtro de mensajes ha cancelado la llamada (igual que 0x800706BA). 0x80090327 Error desconocido al procesar el certificado. Para solucionar este problema, compruebe el certificado de Logon Monitor remoto.
Para obtener ms informacin, consulte http://msdn.microsoft.com/en-us/library/aa394559%28v=vs. 85%29.aspx.

Si se ha desactivado WMI en el sistema.

Registros de Logon Collector


Logon Collector dispone de los siguientes archivos de registro en <MLC_INSTALL_FOLDER>/server/ logs para la solucin de problemas: jakarta_service_20100930.log jakarta_service_20100930.log localhost_access_log.2010-10-12.txt localhost_access_log.2010-10-12.txt orion.log orion.log1 <MLC_INSTALL_FOLDER>/server/logs stderr.log

De entre los registros disponibles, orion.log y orion.log1 son los ms importantes.

orion.log es un registro rotativo. Tiene lmite de tamao y tambin del nmero total de archivos de registro. Por ejemplo, si utiliza orion.log y alcanza el lmite mximo de tamao, puede pasar a orion.log1. Formato de registro: YYYY-MM-DD HH:mm:ss,mmm <LEVEL> [<Thread>] Message
Durante la solucin de problemas busque la palabra "Exception" (Excepcin) en el archivo de registro de Orion.

Entradas de registro de errores de comunicacin de Active Directory de Logon Collector


Busque "GSS initiate failed" (Error de inicio de GSS) o bien LoginException en las entradas del registro de errores de comunicacin de Active Directory de Logon Collector. Estos mensajes de error indican que Logon Collector no puede acceder a Active Directory.

146

McAfee Logon Collector 2.0

Gua de administracin

Solucin de problemas Registros de Logon Collector

13

Los problemas ms comunes son los siguientes: Contrasea errnea: LoginException: Pre-authentication information was invalid (24)

Problema de DNS: No se han proporcionado credenciales vlidas (nivel de mecanismo: no se ha encontrado el servidor en la base de datos de Kerberos (7))

Solucin de problemas de DNS


Para solucionar problemas de DNS: Compruebe que existen los registros SRV para el dominio que se supervisa Ejecute el siguiente comando desde una lnea de comandos en el servidor de Logon Collector y compruebe el resultado comparndolo con el resultado esperado que se muestra a continuacin:
C:\>nslookup -query=SRV _kerberos._tcp.domain1.cai.local Server: net-apps.cai.local Address: 172.25.59.11 Non-authoritative answer: _kerberos._tcp.domain1.cai.local SRV service location: priority = 0 weight = 100 port = 88 svr hostname = dc-01.domain1.cai.local _kerberos._tcp.domain1.cai.local SRV service location: priority = 0 weight = 100 port = 88 svr hostname = dc-02.domain1.cai.local domain1.cai.local nameserver = dc-02.domain1.cai.local domain1.cai.local nameserver = dc-01.domain1.cai.local dc-01.domain1.cai.local internet address = 172.25.59.80 dc-02.domain1.cai.local internet address = 172.25.59.81

Compruebe que tanto el DNS inverso como el DNS de reenvo funcionen para el dominio que se supervisa Ejecute el siguiente comando desde una lnea de comandos en el servidor de Logon Collector y compruebe el resultado comparndolo con el resultado esperado que se muestra a continuacin:
C:\>nslookup dc-01.domain1.cai.local Server: net-apps.cai.local Address: 172.25.59.11 Non-authoritative answer: Name: dc-01.domain1.cai.local Address: 172.25.59.80 C:\>nslookup 172.25.59.80 Server: net-apps.cai.local Address: 172.25.59.11 Name: dc-01.domain1.cai.local Address: 172.25.59.80

Solucin de problemas de NSLookup


Cuando se produzca un fallo de NSLookup, tenga en cuenta lo siguiente para solucionar los problemas: Compruebe si apunta al servidor DNS equivocado: Asegrese de que est utilizando el servidor DNS de produccin. Compruebe si la configuracin es correcta. Asegrese de que apunta a las entradas DNS del servidor de Logon Collector para los controladores de dominio.

Compruebe si existen entrada en C:\Windows\System32\drivers\etc\hosts: Compruebe las entradas equivalentes a las entradas /etc/hosts de UNIX. Compruebe en este archivo si existen entradas que "enmascaran" las entradas DNS. Se recomienda tener solo comentarios (#) en este archivo.

Si est utilizando entornos de produccin, el DNS no ser un problema ya que Windows se basa en su propia configuracin de DNS. Compruebe si est utilizando DNS inverso. Asegrese de que ha agregado entradas en DNS para DNS inverso.

McAfee Logon Collector 2.0

Gua de administracin

147

13

Solucin de problemas Error durante la instalacin de Logon Collector 2.0 en Windows Server 2008 R2

Error durante la instalacin de Logon Collector 2.0 en Windows Server 2008 R2


La instalacin de Logon Collector 1.0 / 1.0.1 no es compatible con Windows Server 2008 R2. Si se instala Logon Collector 1.0 / 1.0.1 en Windows Server 2008 R2 en modo de compatibilidad, la desinstalacin de Logon Collector no quedar limpia. Como consecuencia, las posteriores instalaciones de Logon Collector 2.0 fallarn. Siga los pasos que se indican a continuacin tras realizar una desinstalacin correcta de Logon Collector 1.0 / 1.0.1. Procedimiento 1 2 Elimine la carpeta de instalacin de Logon Collector 1.0 / 1.0.1. Elimine la siguiente clave de Registro: HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\ePolicy Orchestrator\MFS Framework (para Windows de 32 bits) HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\McAfee\ePolicy Orchestrator\MFS Framework (para Windows de 64 bits)

Error al desinstalar la instancia de la base de datos SQL para Logon Collector


Despus de desinstalar correctamente Logon Collector, es posible que quiera desinstalar la instancia de Microsoft SQL Server que se haba incluido en la instalacin de Logon Collector. Siga estos pasos si no puede hacerlo. Procedimiento 1 2 Abra Task Manager (Administrador de tareas) y finalice el proceso sqlserver.exe para la instancia de la base de datos de Logon Collector. Reintente desinstalar la instancia de la base de datos SQL para Logon Collector

Pgina de configuracin de bases de datos para conectar al servidor de SQL


El servidor de Logon Collector utiliza la base de datos de Microsoft SQL Server para almacenar las credenciales de usuario de Logon Collector. Esto ayuda a la autenticacin de los usuarios cuando inician sesin en la interfaz de usuario administrador de Logon Collector. Si la credencial del servidor de SQL cambia, el servidor de Logon Collector no puede conectarse al servidor de SQL. Como resultado, los usuarios no podrn iniciar sesin en la interfaz de usuario administrador de Logon Collector.

148

McAfee Logon Collector 2.0

Gua de administracin

Solucin de problemas Puertos utilizados por Logon Collector

13

Siga los pasos que se indican a continuacin para solucionar este problema: 1 2 3 Inicie sesin en el servidor de Logon Collector. Abra https://localhost:8443/core/config en su navegador. Restablezca la contrasea en la pgina Database Settings (Configurar base de datos).

Figura 13-9 Pgina de configuracin de la base de datos

Puertos utilizados por Logon Collector


Asegrese de que los siguientes puertos se hayan activado en el firewall para el correcto funcionamiento de Logon Collector. Puerto Tipo de puerto Utilizado por 61641 61613 389 50443 Puerto JMS Puerto Stomp Puerto LDAP Utilizado para la comunicacin de cliente y alta disponibilidad Utilizado para la comunicacin del cliente C Utilizado para la comunicacin entre Logon Collector y el controlador de dominio Utilizado para la comunicacin entre Logon Collector y Logon Monitor
La comunicacin WMI tiene lugar entre Logon Monitor y el controlador de dominio.

Elevado consumo de memoria de Isass.exe


Lsass.exe almacena datos en cach para mejorar el rendimiento de las consultas LDAP. Por tanto, es normal que este proceso tenga un elevado consumo de memoria (varios GB) en un controlador de dominio cuando este cuenta con una gran cantidad de datos.

McAfee Logon Collector 2.0

Gua de administracin

149

13

Solucin de problemas Procedimiento de recuperacin para la restriccin de 10.000 objetos de directorios de McAfee ePO

Procedimiento de recuperacin para la restriccin de 10.000 objetos de directorios de McAfee ePO


El procedimiento de recuperacin es un mecanismo de seguridad introducido para evitar que el rendimiento de McAfee ePO se vea afectado cuando Logon Collector se ejecuta como una extensin de McAfee ePO. Es recomendable que compruebe el nmero de usuarios y grupos que tiene un dominio antes de agregarlo al servidor de Logon Collector 2.0 que se ejecuta como una extensin de McAfee ePO. Si alcanza este lmite, Logon Collector realizar las siguientes acciones: Detendr las actualizaciones y la sincronizacin completa con los clientes. Logon Collector interrumpir la supervisin de los dominios. Logon Collector no permitir agregar ms objetos de directorios a IDDS.

Si alcanza el lmite aparecer el siguiente mensaje de error:

Figura 13-10 Mensaje de error para la restriccin de McAfee ePO

Figura 13-11 Mensaje de error en la pgina Status (Estado)

150

McAfee Logon Collector 2.0

Gua de administracin

Solucin de problemas Procedimiento de recuperacin para la restriccin de 10.000 objetos de directorios de McAfee ePO

13

Para solucionar este problema: 1 No realice ninguna otra operacin en el servidor de Logon Collector.
McAfee se lo recomienda encarecidamente.

Elimine Logon Collector y las extensiones asociadas de McAfee ePO y vuelva a instalarlo. De este modo se limpiarn el almacn de datos y las configuraciones.

McAfee Logon Collector 2.0

Gua de administracin

151

13

Solucin de problemas Procedimiento de recuperacin para la restriccin de 10.000 objetos de directorios de McAfee ePO

152

McAfee Logon Collector 2.0

Gua de administracin

700-2489B02