Implementation Symantec

Gua de implementacin de Symantec Endpoint Protection y Symantec Network Access Control
Gua de implementacin de Symantec Network Access Control y Symantec Endpoint Protection

El software que se describe en este manual se suministra con acuerdo de licencia y solamente puede utilizarse segn los trminos de dicho acuerdo. Versin de la documentacin 12.01.00.00
Aviso legal
Copyright 2011 Symantec Corporation. Todos los derechos reservados. Symantec, el logotipo de Symantec, Bloodhound, Confidence Online, Digital Immune System, LiveUpdate, Norton, Sygate y TruScan son marcas comerciales o marcas comerciales registradas de Symantec Corporation o de sus afiliadas en los EE. UU. y otros pases. Otros nombres pueden ser marcas comerciales de sus respectivos propietarios. Este producto de Symantec puede contener software de otros fabricantes para el cual Symantec est obligado a reconocer a estos terceros (Programas de terceros). Algunos de los programas de otros fabricantes estn disponibles mediante licencias de cdigo abierto o software gratuito. El acuerdo de licencia que acompaa el software no altera ningn derecho u obligacin que pueda tener en virtud de esas licencias de cdigo abierto o software gratuito. Para obtener ms informacin sobre los Programas de otros fabricantes, consulte el apndice de esta documentacin Aviso legal sobre otros fabricantes, o bien el archivo Lame TPIP que acompaa este producto de Symantec. El producto descrito en este documento se distribuye de acuerdo con licencias que restringen su uso, copia, distribucin y descompilacin o ingeniera inversa. Est prohibido reproducir cualquier parte de este documento de cualquier forma y mediante cualquier medio sin autorizacin previa por escrito de Symantec Corporation y de los responsables de conceder sus licencias, de haberlos. LA DOCUMENTACIN SE PROPORCIONA TAL CUAL Y NO SE OFRECE NINGN TIPO DE GARANTA EN RELACIN CON CONDICIONES EXPRESAS O IMPLCITAS, REPRESENTACIONES Y GARANTAS, INCLUSO GARANTAS IMPLCITAS DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN DETERMINADO O NO VIOLACIN DE DERECHOS, EXCEPTO QUE SE CONSIDERE QUE DICHA NEGACIN CARECE DE VALIDEZ LEGAL. SYMANTEC CORPORATION NO SER RESPONSABLE DE DAOS INCIDENTALES O INDIRECTOS RELACIONADOS CON EL SUMINISTRO, EL RENDIMIENTO O EL USO DE ESTA DOCUMENTACIN. LA INFORMACIN INCLUIDA EN ESTA DOCUMENTACIN EST SUJETA A CAMBIOS SIN PREVIO AVISO. El Software y la Documentacin con licencia se consideran programas informticos comerciales segn lo definido en la seccin 12.212 de la normativa de adquisiciones de la Administracin Federal de los EE. UU. (FAR) y conforme a derechos restringidos segn lo definido en la seccin 52.227-19 de la FAR sobre derechos restringidos de los programas informticos comerciales, y en la seccin 227.7202 de la normativa de adquisiciones de la Defensa de la Administracin Federal de los EE. UU. (DFARS), sobre los derechos de los programas informticos comerciales y la documentacin de programas informticos
comerciales, segn corresponda, y cualquier normativa siguiente. Cualquier uso, modificacin, versin de reproduccin, rendimiento, visualizacin o divulgacin del Software y de la Documentacin con licencia por parte del Gobierno de los EE. UU. se realizar exclusivamente de acuerdo con los trminos de este acuerdo. Symantec Corporation 350 Ellis Street Mountain View, CA 94043 http://www.symantec.com.mx
Soporte tcnico
El soporte tcnico de Symantec cuenta con centros de soporte global. El rol principal del soporte tcnico es responder a las consultas especficas sobre funciones del producto y funcionalidad. El grupo de soporte tcnico, adems, elabora el contenido para nuestra Base de conocimientos en lnea. El grupo de soporte tcnico trabaja con otras reas funcionales dentro de Symantec para contestar las preguntas a tiempo. Por ejemplo, el grupo de soporte tcnico trabaja con el Departamento de Ingeniera y Symantec Security Response para proporcionar servicios de alertas y actualizaciones de definiciones de virus. Las ofertas de soporte de Symantec incluyen lo siguiente:
Una gama de opciones de soporte que brindan flexibilidad para seleccionar la cantidad adecuada de servicio para organizaciones de cualquier tamao Soporte telefnico y basado en Web que proporciona respuesta rpida e informacin actualizada Garanta de actualizacin que entrega actualizaciones de software Soporte global comprado segn las horas laborables regionales o 24 horas al da, 7 das a la semana Ofertas de servicios superiores que incluyen servicios de administracin de cuentas
Para obtener informacin sobre las ofertas de soporte de Symantec, puede visitar el sitio web en la siguiente URL: http://www.symantec.com/es/mx/business/support/ Todos los servicios de asistencia se prestarn de acuerdo con su acuerdo de soporte y la poltica empresarial de soporte tcnico vigente en el momento.
Contactar al soporte tcnico

Los clientes con un acuerdo de soporte existente pueden acceder a la informacin del soporte tcnico en la siguiente URL: http://www.symantec.com/es/mx/business/support/ Antes de contactar al soporte tcnico, asegrese de haber cumplido con los requisitos de sistema que se enumeran en la documentacin del producto. Adems, es necesario que est en el equipo en el cual ocurri el problema, en caso de que sea necesario replicar el problema. Cuando contacte al soporte tcnico, tenga a mano la siguiente informacin:
Nivel de versin de producto
Informacin de hardware Memoria disponible, espacio libre en el disco e informacin de la NIC Sistema operativo Nmero de versin y parche Topologa de red Router, gateway e informacin de la direccin IP Descripcin del problema:

Mensajes de error y archivos de registro Sesin de resolucin de problemas llevada a cabo antes de contactar a Symantec Cambios recientes en la configuracin del software y en la red
Concesin de licencia y registro

Si su producto de Symantec requiere registro o clave de licencia, acceda a nuestra pgina web de soporte tcnico en la siguiente URL: http://www.symantec.com/es/mx/business/support/
Servicio al cliente
La informacin del servicio al cliente est disponible en la siguiente URL: http://www.symantec.com/es/mx/business/support/ El servicio al cliente est disponible para ayudar con preguntas no tcnicas, como los siguientes tipos de problemas:
Preguntas relacionadas con la concesin de licencias o la serializacin de productos Actualizaciones del registro del producto, como cambio de direccin o de nombre Informacin general de producto (funciones, disponibilidad de idioma, distribuidores locales) La informacin ms reciente sobre actualizaciones del producto Informacin sobre garanta de actualizacin y contratos de soporte Informacin sobre los Programas de compras de Symantec Sugerencia sobre las opciones de soporte tcnico de Symantec Preguntas no tcnicas previas a las ventas
Problemas relacionados con los CD-ROM, los DVD o los manuales
Recursos de acuerdos de soporte

Si desea contactar a Symantec con respecto a un acuerdo de soporte existente, contacte al equipo de administracin del acuerdo de soporte correspondiente a su regin:
Asia Pacfico y Japn Europa, Oriente Medio y frica Norteamrica y Amrica Latina customercare_apac@symantec.com semea@symantec.com supportsolutions@symantec.com
Contenido
Soporte tcnico ................................................................................................... 4 Captulo 1 Presentacin de Symantec Endpoint Protection .......................................................................

Acerca de Symantec Endpoint Protection ......................................... Novedades de la versin 12.1 .......................................................... Acerca de los tipos de proteccin contra amenazas que Symantec Endpoint Protection proporciona .............................................. Proteccin de su red con Symantec Endpoint Protection ...................... Encendido y ejecucin de Symantec Endpoint Protection por primera vez ..................................................................... Cmo administrar la proteccin en los equipos cliente .................. Mantener la seguridad de su entorno ......................................... Cmo solucionar problemas de Symantec Endpoint Protection ....................................................................... 41 41 42 51 55 57 64 67 68
Seccin 1
Captulo 2
Instalacin de Symantec Endpoint Protection ................................................................... 71

Planificacin de la instalacin .......................................... 73
Planificacin de la instalacin ........................................................ Componentes de Symantec Endpoint Protection ................................ Componentes de Symantec Network Access Control ........................... Consideraciones de la arquitectura de red ......................................... Requisitos de la licencia de producto ................................................ Requisitos del sistema ................................................................... Requisitos de internacionalizacin ............................................ Instalaciones virtuales y productos de virtualizacin admitidos ............ Acerca de la compatibilidad de Symantec Endpoint Protection Manager con otros productos ................................................... Acerca de la eleccin de un tipo de base de datos ................................ Acerca de la configuracin de SQL Server ......................................... Acerca de los modos de autenticacin de la base de datos de SQL Server .................................................................................. 73 76 78 81 82 84 88 89 90 91 92 96
Contenido
Captulo 3
Instalacin de Symantec Endpoint Protection Manager ..........................................................................
99
Cmo instalar el servidor de administracin y la consola ..................... 99 Cmo configurar el servidor de administracin durante la instalacin .......................................................................... 101 Aceptar el certificado autofirmado para Symantec Endpoint Protection Manager ............................................................................. 102 Cmo desinstalar Symantec Endpoint Protection Manager ................. 102 Inicio de sesin en la consola de Symantec Endpoint Protection Manager ............................................................................. 104 Cmo aumentar el perodo de duracin de la sesin en la consola ............................................................................... 106 Qu se puede hacer desde la consola ............................................... 107
Captulo 4
Administracin de licencias de productos ................... 111

Concesin de licencias de Symantec Endpoint Protection ................... Acerca de la licencia del software de prueba .................................... Compra de licencias .................................................................... Dnde comprar una licencia de producto de Symantec ...................... Cmo activar su licencia de producto ............................................. Cmo usar el Asistente para la activacin de licencias ....................... Informacin de contacto necesaria para las licencias ......................... Acerca de actualizar desde software de prueba ................................. Acerca de renovar su licencia de Symantec Endpoint Protection .......... Acerca del Portal de licencias de Symantec ...................................... Mantener sus licencias del producto .............................................. Comprobar el estado de la licencia ................................................. Reglas de aplicacin de concesin de licencias ................................. Hacer copias de seguridad de los archivos de licencia ........................ Cmo recuperar una licencia eliminada .......................................... Importacin de una licencia .......................................................... Acerca de los clientes obsoletos y su impacto sobre las licencias .......... Cmo depurar clientes obsoletos de la base de datos .......................... Acerca de licencias de varios aos ................................................. 112 114 114 115 116 116 118 118 119 119 120 120 121 122 123 123 124 125 125
Captulo 5
Preparacin para la instalacin de clientes ................. 127

Preparacin para la instalacin de clientes ...................................... Acerca de firewalls y puertos de comunicaciones .............................. Cmo preparar los sistemas operativos Windows para la implementacin remota ......................................................... Administracin de los paquetes de instalacin de clientes .................. 127 129 131 132
Contenido
Agregar actualizaciones de paquetes de instalacin de clientes ........... 134
Captulo 6
Instalacin del cliente de Symantec Endpoint Protection ...................................................................... 137

Acerca de los mtodos de implementacin del cliente ........................ Cmo implementar clientes usando un vnculo web y un correo electrnico .................................................................... Cmo implementar clientes usando transferencia remota ........... Cmo implementar clientes usando la funcin Guardar paquete ........................................................................ Cmo reiniciar equipos cliente ...................................................... Acerca de clientes administrados y clientes no administrados ............. Instalar un cliente no administrado ............................................... Desinstalacin del cliente ............................................................ Acerca de la configuracin de la instalacin del cliente ...................... Configuracin de funciones de paquetes de instalacin de clientes ............................................................................... Exportar paquetes de instalacin de clientes .................................... Acerca de los paquetes cliente que cumplen con los requisitos de configuracin de la base de escritorio (FDCC) federal ................... 137 138 140 142 143 144 145 146 147 148 148 150
Captulo 7
Actualizacin y migracin a Symantec Endpoint Protection ...................................................................... 151

Acerca de la migracin a Symantec Endpoint Protection .................... Cmo migrar de Symantec Client Security o de Symantec AntiVirus ............................................................................ Acerca de migrar los grupos del equipo ..................................... Cmo migrar configuraciones de grupo y de polticas .................. Migrar una instancia de instalacin que utiliza varias bases de datos integradas y servidores de administracin ................................ Cmo actualizar a una nueva versin ............................................. Desactivar la replicacin antes de la migracin ................................ Cmo activar la replicacin despus de una migracin o actualizacin ....................................................................... Migrar un servidor de administracin ............................................ Cmo detener e iniciar el servicio del servidor de administracin ..................................................................... Cmo deshabilitar LiveUpdate en Symantec AntiVirus antes de la migracin ........................................................................... Cmo deshabilitar anlisis programados en Symantec System Center cuando se migran los equipos cliente ....................................... Desactivacin del servicio mvil .................................................... 152 154 156 156 158 159 160 161 161 163 164 165 166
10
Contenido
Desinstalar y eliminar servidores de informes ................................. Cmo desbloquear grupos de servidores en Symantec System Center ................................................................................ Acerca de la actualizacin del software de cliente ............................. Cmo actualizar clientes mediante AutoUpgrade .............................. Actualizacin del software de cliente con una poltica de configuracin de LiveUpdate ...................................................................... Cmo migrar los proveedores de actualizaciones de grupo .................
166 167 168 169 170 171
Captulo 8
Configuracin y administracin de sitios y replicacin ..................................................................... 173

Cmo administrar sitios y replicacin ............................................ Determinacin de los sitios que necesita ......................................... Cmo funciona la replicacin ........................................................ Adicin de un partner de replicacin .............................................. Cmo cambiar la programacin de rplica automtica ....................... Replicar datos cuando lo necesite .................................................. Cmo especificar qu datos reproducir ........................................... Eliminar sitios remotos ............................................................... 173 176 178 180 181 182 183 184
Captulo 9
Administracin de Symantec Endpoint Protection en Protection Center ................................................... 185

Acerca de Symantec Endpoint Protection y Protection Center ............. Acerca de actualizar a la versin 2 de Protection Center ..................... Acerca de la configuracin de Symantec Endpoint Protection en Protection Center ................................................................. Acerca de la configuracin de varios dominios de Symantec Endpoint Protection en Protection Center .............................................. Configuracin de la comunicacin entre Symantec Endpoint Protection Manager y Protection Center ................................... 185 186 187 188 189
Seccin 2
Captulo 10
Administracin de proteccin en Symantec Endpoint Protection .................... 191

Administracin de grupos de equipos cliente ............. 193
Cmo administrar los grupos de clientes ......................................... Cmo se pueden estructurar los grupos .......................................... Importacin de una estructura de organizacin existente .................. Adicin de un grupo .................................................................... 193 195 197 198
Contenido
11
Cmo asignar clientes a los grupos antes de instalar el software de cliente ................................................................................ Desactivar y activar la herencia de un grupo .................................... Bloquear clientes para que no se agreguen a grupos .......................... Visualizacin de equipos asignados ................................................ Mover un equipo cliente a otro grupo .............................................
199 200 200 201 201
Captulo 11
Administracin de clientes .............................................. 203

Cmo administrar los equipos cliente ............................................. Acerca de los iconos de estado de proteccin de los clientes ................ Visualizar el estado de proteccin de los clientes y equipos cliente ................................................................................ Cmo filtrar qu clientes se pueden ver en la ficha Clientes ............... Bsqueda de informacin sobre equipos cliente ................................ Consulta de las propiedades de un cliente ........................................ Acerca de cmo habilitar y deshabilitar la proteccin ........................ Acerca de los comandos que puede ejecutar en los equipos cliente ................................................................................ Ejecucin de comandos en el equipo cliente desde la consola .............. Alternar un cliente entre modo de usuario y modo de equipo .............. Configuracin de un cliente para detectar dispositivos desconocidos ....................................................................... Convertir un cliente no administrado en un cliente administrado ....................................................................... Acerca del acceso a la interfaz del cliente ........................................ Acerca del control mixto .............................................................. Modificar el nivel de control del usuario ......................................... Configurar opciones de la interfaz de usuario .................................. Recopilacin de informacin de usuarios ........................................ Proteger el cliente con contrasea ................................................. 204 205 207 208 209 211 211 213 215 216 217 219 221 222 223 226 229 230
Captulo 12
Administracin de clientes remotos .............................. 233

Cmo administrar clientes remotos ................................................ Cmo administrar las ubicaciones para los clientes remotos ............... Cmo habilitar el reconocimiento de la ubicacin para un cliente ................................................................................ Cmo agregar una ubicacin a un grupo .......................................... Cmo cambiar una ubicacin predeterminada .................................. Eliminar la ubicacin de un grupo .................................................. Cmo configurar las condiciones del reconocimiento de la ubicacin de la situacin uno ................................................................ 234 235 238 239 240 241 242
12
Contenido
Cmo configurar las condiciones del reconocimiento de la ubicacin de la situacin dos ................................................................ Configurar las opciones de configuracin para una ubicacin ............. Acerca de consolidar las polticas de seguridad para los clientes remotos .............................................................................. Prcticas recomendadas para la configuracin de las polticas de firewall ..................................................................... Acerca de las prcticas recomendadas para la configuracin de la poltica de LiveUpdate .................................................. Acerca de activar las notificaciones para los clientes remotos ............. Cmo personalizar configuraciones de administracin de registros para clientes remotos ............................................................ Cmo administrar el balanceo de carga y el uso mvil para clientes remotos .............................................................................. Acerca de la supervisin de clientes remotos ...................................
244 247 248 248 250 250 251 251 252
Captulo 13
Uso de polticas para administrar seguridad .............. 253

Tipos de polticas de seguridad ...................................................... Cmo realizar tareas que son comunes a todas las polticas de seguridad ............................................................................ Acerca de las polticas compartidas y no compartidas ........................ Agregar una poltica ................................................................... Copiar y pegar una poltica en la pgina Polticas ............................. Copiar y pegar una poltica en la pgina Clientes ............................. Editar una poltica ...................................................................... Cmo bloquear y desbloquear la configuracin de polticas ................ Asignacin de una poltica a un grupo ............................................ Cmo probar una poltica de seguridad ........................................... Reemplazar una poltica .............................................................. Cmo exportar e importar polticas ................................................ Convertir una poltica compartida en una poltica no compartida ......................................................................................... Retirar una poltica ..................................................................... Cmo eliminar una poltica permanentemente ................................. Cmo los equipos cliente obtienen actualizaciones de polticas ........... Configurar el modo de transferencia o al modo de obtencin para actualizar las polticas de los clientes y el contenido ................... Cmo usar el nmero de serie de la poltica para comprobar la comunicacin de servidor a cliente .......................................... Cmo supervisar las aplicaciones y los servicios ejecutados en los equipos cliente ..................................................................... 254 257 259 261 261 262 263 264 265 266 267 268 269 270 272 273 274 276 277
Contenido
13
Configuracin del servidor de administracin para recopilar la informacin sobre las aplicaciones que los equipos cliente ejecutan .............................................................................. 279 Cmo buscar la informacin sobre las aplicaciones que ejecutan los equipos ............................................................................... 281 Guardar los resultados de una bsqueda de aplicaciones .................... 283
Captulo 14
Administracin de proteccin antivirus y antispyware ..................................................................

Cmo evitar y controlar ataques del virus y de spyware en los equipos cliente ................................................................................ Cmo reparar riesgos en los equipos en su red ................................. Identificar los equipos infectados y en riesgo ............................. Cmo comprobar la accin de anlisis y volver a analizar los equipos identificados ...................................................... Cmo administrar anlisis en los equipos cliente .............................. Acerca de los tipos de anlisis y de proteccin en tiempo real .............................................................................. Acerca de los tipos de Auto-Protect .......................................... Acerca de los virus y los riesgos para la seguridad ...................... Acerca de los archivos y las carpetas que Symantec Endpoint Protection excluye de los anlisis antivirus y antispyware .................................................................. Acerca de enviar informacin sobre detecciones a Symantec Security Response .......................................................... Acerca de la aceleracin de envos ........................................... Acerca de la configuracin predeterminada de anlisis de la poltica de proteccin antivirus y antispyware ..................... Cmo Symantec Endpoint Protection controla detecciones de riesgos para la seguridad y virus ....................................... Cmo configurar anlisis programados que se ejecutan en equipos Windows ............................................................................. Cmo configurar anlisis programados que se ejecutan en equipos Mac ................................................................................... Cmo ejecutar anlisis manuales en equipos cliente .......................... Cmo ajustar el anlisis para mejorar rendimiento del equipo ............. Ajuste de anlisis para aumentar la proteccin en sus equipos cliente ................................................................................ Cmo administrar las detecciones de Diagnstico Insight de descargas ............................................................................ Cmo Symantec Endpoint Protection usa datos de reputacin para tomar decisiones sobre los archivos .........................................
285 286 289 291 292 293 296 299 301
304 308 309 310 314 316 317 318 319 323 326 331
14
Contenido
Cmo funcionan en conjunto las funciones de proteccin de Symantec Endpoint Protection .............................................................. Cmo habilitar o deshabilitar envos de los clientes a Symantec Security Response ................................................................ Especificar un servidor proxy para los envos de los clientes y otras comunicaciones externas ....................................................... Cmo administrar la cuarentena ................................................... Cmo especificar una carpeta de cuarentena local ...................... Especifique cuando los archivos en cuarentena se eliminan automticamente ........................................................... Cmo configurar clientes para enviar elementos en cuarentena a un servidor de Cuarentena central o a Symantec Security Response ...................................................................... Cmo configurar el modo en que la cuarentena controla la capacidad de volver a analizar archivos despus de que llegan nuevas definiciones ........................................................ Cmo usar el registro de riesgos para eliminar los archivos en cuarentena en sus equipos cliente ...................................... Cmo administrar las notificaciones de virus y spyware que aparecen en los equipos cliente ............................................................
332 335 337 338 341 342
343
343 344 345
Captulo 15
Personalizacin de anlisis ............................................. 349

Cmo personalizar los anlisis de virus y spyware que se ejecutan en equipos Windows ................................................................. Cmo personalizar los anlisis antivirus y antispyware que se ejecutan en equipos Mac .................................................................... Cmo personalizar Auto-Protect para los clientes Windows ............... Cmo personalizar Auto-Protect para los clientes Mac ...................... Cmo personalizar Auto-Protect para los anlisis de correo electrnico en los equipos Windows ......................................................... Cmo personalizar anlisis definidos por el administrador para los clientes que se ejecutan en equipos Windows ............................. Cmo personalizar anlisis definidos por el administrador para los clientes que se ejecutan en equipos Mac .................................... Cmo distribuir aleatoriamente anlisis para mejorar el rendimiento del equipo en entornos virtualizados ........................................ Modificacin de la configuracin de anlisis global para clientes Windows ............................................................................. Modificacin de la configuracin miscelnea para Proteccin antivirus y antispyware en equipos Windows .......................................... Cmo personalizar la configuracin de Diagnstico Insight de descargas ............................................................................ 350 352 353 355 356 357 359 360 361 362 365
Contenido
15
Cmo cambiar la accin que Symantec Endpoint Protection toma cuando realiza una deteccin .................................................. Permitir que los usuarios vean el progreso del anlisis y que interaccionen con los anlisis ................................................. Cmo Symantec Endpoint Protection interacciona con el Centro de seguridad de Windows ........................................................... Cmo administrar Symantec Endpoint Protection en entornos virtuales ............................................................................. Cmo configurar sus clientes para comunicarse con la memoria cach compartida de diagnstico Insight ............................. Cmo usar la herramienta Excepcin de imgenes virtuales en una imagen de base ......................................................... Cmo omitir el anlisis de archivos de imagen de base .................
366 369 370 372 373 375 376
Captulo 16
Administracin de SONAR ............................................... 379

Acerca de SONAR ....................................................................... Acerca de los archivos y las aplicaciones que SONAR detecta .............. Cmo administrar SONAR ............................................................ Cmo controlar y evitar las detecciones de falsos positivos de SONAR ............................................................................... Cmo ajustar la configuracin de SONAR en los equipos cliente .......... Supervisin de los resultados de la deteccin de SONAR para comprobar la existencia de falsos positivos ............................... Cmo administrar anlisis de amenazas proactivos de TruScan para clientes de una versin anterior .............................................. Acerca de cmo ajustar la configuracin de TruScan para clientes de una versin anterior .................................................... Cmo configurar los valores de anlisis de amenazas proactivos de TruScan para clientes de una versin anterior ................. 379 380 381 384 386 388 389 390 393
Captulo 17
Administracin de proteccin contra intervenciones .............................................................. 395

Acerca de la Proteccin contra intervenciones ................................. 395 Cmo cambiar la configuracin de Proteccin contra intervenciones ..................................................................... 396
Captulo 18
Administracin de proteccin mediante firewall ........................................................................... 399

Cmo administrar la proteccin mediante firewall ............................ 399 Cmo funciona un firewall ..................................................... 401 Acerca del firewall de Symantec Endpoint Protection .................. 402
16
Contenido
Creacin de polticas de firewall .................................................... Cmo habilitar y deshabilitar una poltica de firewall .................. Permitir automticamente las comunicaciones para los servicios de red esenciales ............................................................ Configuracin del firewall para el control mixto ......................... Bloquear automticamente las conexiones a un equipo atacante ....................................................................... Cmo detectar ataques potenciales e intentos de falsificacin ................................................................... Cmo evitar la deteccin de ocultacin ..................................... Cmo deshabilitar el firewall de Windows ................................. Configurar la autenticacin punto a punto ................................ Acerca de las reglas de firewall ..................................................... Acerca de las reglas del servidor de firewall y las reglas de clientes ......................................................................... Acerca del orden de procesamiento de la regla de firewall, la configuracin del firewall y la prevencin de intrusiones .................................................................... Acerca de reglas de firewall heredadas ..................................... Cmo cambiar el orden de las reglas de firewall .......................... Cmo el firewall usa la inspeccin de estado .............................. Acerca de las activaciones de la aplicacin de reglas de firewall ......................................................................... Acerca de las activaciones del host de la regla de firewall ............. Acerca de las activaciones de los servicios de red de la regla de firewall ......................................................................... Acerca de las activaciones del adaptador de red de la regla de firewall ......................................................................... Cmo configurar reglas de firewall ................................................ Adicin de una nueva regla de firewall ..................................... Cmo importar y exportar reglas de firewall .............................. Cmo copiar y pegar reglas de firewall ...................................... Cmo personalizar reglas de firewall ........................................
403 406 407 408 409 410 411 412 414 415 417
418 419 421 422 422 428 431 433 435 436 438 439 439
Captulo 19
Administracin de prevencin de intrusiones ............. 453

Cmo administrar la prevencin de intrusiones en sus equipos cliente ................................................................................ Cmo funciona la prevencin de intrusiones .................................... Acerca de firmas IPS de Symantec ................................................. Acerca de las firmas IPS personalizadas .......................................... Cmo habilitar o deshabilitar la prevencin contra intrusiones del navegador o de la red ............................................................ 453 458 459 460 461
Contenido
17
Cmo crear las excepciones para las firmas IPS ................................ Configurar una lista de equipos excluidos ....................................... Configuracin de notificaciones de la prevencin de intrusiones del cliente ................................................................................ Cmo administrar firmas de prevencin de intrusiones personalizadas ..................................................................... Cmo crear una biblioteca IPS personalizada ............................. Cmo agregar firmas a una biblioteca IPS personalizada .............. Asignar varias bibliotecas IPS personalizadas a un grupo ............. Cmo cambiar el pedido de firmas IPS personalizadas ................. Cmo copiar y pegar firmas IPS personalizadas .......................... Definicin de las variables para las firmas IPS personalizadas ............................................................... Prueba de firmas IPS personalizadas ........................................
461 463 464 465 468 468 470 470 471 472 473
Captulo 20
Administracin del control de aplicaciones y dispositivos ................................................................... 475

Acerca del control de aplicaciones y dispositivos .............................. Acerca de las polticas de control de aplicaciones y dispositivos .......... Acerca de la estructura de una poltica de control de aplicaciones y dispositivos ......................................................................... Cmo configurar el control de aplicaciones y dispositivos .................. Activar un conjunto predeterminado de reglas de control de aplicaciones ........................................................................ Cmo crear reglas de control de aplicaciones ................................... Acerca de prcticas recomendadas para crear reglas del control de aplicaciones ............................................................... Reglas de control de aplicaciones tpicas ................................... Cmo crear un conjunto de reglas personalizadas y agregar reglas ........................................................................... Copiar los conjuntos de reglas o las reglas de aplicaciones entre las polticas de control de aplicaciones y dispositivos ............ Aplicar una regla a aplicaciones especficas y excluir aplicaciones de una regla ................................................................... Cmo agregar condiciones y acciones a una regla de control de aplicaciones .................................................................. Prueba de conjuntos de reglas del control de aplicaciones ............ Cmo configurar el bloqueo del sistema .......................................... Cmo administrar listas de huellas digitales de archivo ............... Cmo ejecutar el bloqueo del sistema en modo prueba ................. Habilitar bloqueo del sistema para bloquear aplicaciones no aprobadas ..................................................................... 475 477 478 479 482 483 485 487 490 492 493 495 496 498 500 506 507
18
Contenido
Cmo probar y eliminar elementos de bloqueo del sistema ........... Cmo administrar el control de dispositivos .................................... Acerca de la lista de dispositivos de hardware ............................ Obtencin de un ID de clase o un ID de dispositivo ...................... Agregar un dispositivo de hardware a la lista Dispositivos de hardware ...................................................................... Configuracin de control de dispositivos ...................................
508 509 510 511 512 513
Captulo 21
Administracin de excepciones ...................................... 515

Acerca de excepciones para Symantec Endpoint Protection ................ Cmo administrar las excepciones para Symantec Endpoint Protection ........................................................................... Cmo crear las excepciones para Symantec Endpoint Protection ......... Exclusin de un archivo o una carpeta de anlisis ....................... Exclusin de riesgos conocidos de anlisis antivirus y antispyware .................................................................. Exclusin de extensiones de archivo de anlisis antivirus y antispyware .................................................................. Cmo forzar anlisis para detectar una aplicacin ...................... Especificar cmo Symantec Endpoint Protection controla una aplicacin que los anlisis detectan o que los usuarios descargan ..................................................................... Exclusin de un dominio web de confianza de anlisis ................. Exclusin de aplicaciones del control de aplicaciones .................. Cmo crear una excepcin de Proteccin contra intervenciones ............................................................... Restrinja los tipos de excepciones que los usuarios pueden configurar en los equipos cliente ............................................................ Crear excepciones de eventos de registro en Symantec Endpoint Protection Manager .............................................................. 515 516 519 523 524 525 526
526 527 528 528 529 530
Captulo 22
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente .............................. 533

Cmo administrar actualizaciones de contenido ............................... Acerca de los tipos de contenido que LiveUpdate puede proporcionar ................................................................. Cmo los equipos cliente reciben actualizaciones de contenido ...................................................................... Configurar un sitio para descargar actualizaciones de contenido ......... Configurar la programacin de descarga de LiveUpdate para Symantec Endpoint Protection Manager ................................................. 534 538 542 549 553
Contenido
19
Descarga de contenido de LiveUpdate manual a Symantec Endpoint Protection Manager .............................................................. Cmo comprobar la actividad del servidor de LiveUpdate ................... Configurar Symantec Endpoint Protection Manager para conectarse a un servidor proxy para acceder a Internet ............................... Especificacin de un servidor proxy que los clientes usan para comunicarse con Symantec LiveUpdate o un servidor interno de LiveUpdate .......................................................................... Cmo habilitar y deshabilitar la programacin de LiveUpdate para equipos cliente ..................................................................... Cmo configurar los tipos de contenido usados para actualizar los equipos cliente ..................................................................... Configurar la programacin de descarga de LiveUpdate para equipos cliente ................................................................................ Cmo configurar la cantidad de control que los usuarios tienen sobre LiveUpdate .......................................................................... Cmo controlar las revisiones de contenido que usan los clientes ............................................................................... Cmo configurar el espacio libre en disco que se usa para descargas de LiveUpdate ...................................................................... Acerca del clculo aleatorio de descargas de contenido simultneas ......................................................................... Ordenar aleatoriamente descargas de contenido del servidor de administracin predeterminado o un Proveedor de actualizaciones de grupo ........................................................ Cmo ordenar aleatoriamente descargas de contenido de un servidor de LiveUpdate ...................................................................... Configurar actualizaciones del cliente para ejecutarse cuando los equipos cliente estn inactivos ................................................ Configuracin de actualizaciones del cliente para ejecutarse cuando las definiciones son anteriores o el equipo se ha desconectado ....................................................................... Cmo configurar proveedores de actualizaciones de grupo para distribuir contenido ............................................................. Acerca de los tipos de proveedores de actualizaciones de grupo ........................................................................... Acerca de los proveedores de actualizaciones de grupo y las versiones anteriores del software ...................................... Acerca de configurar las reglas para varios proveedores de actualizaciones de grupo .................................................. Configuracin de un Proveedor de actualizaciones grupales ......... Cmo buscar los clientes que actan como proveedores de actualizaciones de grupo ..................................................
554 554 555
555 557 557 558 560 561 562 563
564 565 566
567 568 570 574 574 575 578
20
Contenido
Cmo configurar un servidor externo de LiveUpdate ......................... Cmo configurar un servidor interno de LiveUpdate ......................... Cmo usar archivos de Intelligent Updater para actualizar definiciones de virus y de riesgos para la seguridad del cliente ....................... Cmo usar herramientas de distribucin de otro fabricante para actualizar los equipos cliente .................................................. Configuracin de la poltica de configuracin de LiveUpdate para permitir la distribucin de contenido de otro fabricante a los clientes administrados ................................................ Preparacin de clientes no administrados para recibir actualizaciones de las herramientas de distribucin de otro fabricante ..................................................................... Distribucin del contenido usando herramientas de distribucin de otro fabricante ...........................................................
579 580 583 584
586
587 589
Captulo 23
Supervisin de proteccin con los informes y los registros ......................................................................... 595

Supervisin de proteccin de endpoints .......................................... Visualizacin de un informe de estado diario o semanal ............... Ver el sistema de proteccin ................................................... Cmo encontrar equipos sin conexin ...................................... Cmo encontrar equipos no analizados ..................................... Visualizacin de riesgos ......................................................... Visualizacin del inventario de clientes .................................... Visualizacin de destinos y fuentes de ataque ............................ Configurar preferencias de la elaboracin de informes ...................... Cmo iniciar sesin en los informes desde un navegador web independiente ...................................................................... Acerca de los tipos de informes ..................................................... Ejecucin y personalizacin de informes rpidos .............................. Guardado y eliminacin de informes personalizados ......................... Creacin de informes programados ................................................ Cmo editar el filtro usado para un informe programado ................... Imprimir y guardar una copia de un informe ................................... Ver registros ............................................................................. Acerca de los registros ........................................................... Guardado y eliminacin de registros personalizados con filtros ........................................................................... Visualizacin de registros de otros sitios ................................... Ejecucin de comandos en el equipo cliente desde los registros ........... 595 600 601 601 602 602 603 604 605 606 607 610 611 613 614 615 616 618 621 622 623
Contenido
21
Captulo 24
Administracin de notificaciones .................................. 627

Cmo administrar notificaciones ................................................... Cmo funcionan las notificaciones ........................................... Acerca de las notificaciones con configuracin previa ................. Acerca de las notificaciones del partner .................................... Establecimiento de la comunicacin entre el servidor de administracin y los servidores de correo electrnico .................. Visualizacin y reconocimiento de notificaciones ............................. Cmo guardar y eliminar los filtros de notificaciones administrativas .................................................................... Cmo configurar notificaciones de administrador ............................. Cmo las actualizaciones de otra versin afectan las condiciones de las notificaciones .................................................................. 627 629 629 634 635 635 637 638 639
Captulo 25
Administracin de dominios ........................................... 643

Acerca de los dominios ................................................................ Adicin de un dominio ................................................................. Cmo agregar un titular de inicio de sesin del dominio ............... Cmo configurar el dominio actual ................................................ 643 645 645 646
Captulo 26
Administracin de cuentas de administrador ............. 649

Cmo administrar dominios y cuentas de administrador .................... Acerca de los administradores ...................................................... Agregar una cuenta de administrador ............................................ Acerca de los derechos de acceso ................................................... Configurar los derechos de acceso para un administrador del dominio .............................................................................. Configurar los derechos de acceso para un administrador limitado .............................................................................. Cambiar el tipo de administrador .................................................. Configurar la autenticacin para las cuentas de administrador ........... Configuracin del servidor de administracin para autenticar los administradores que usan RSA SecurID para iniciar sesin .......... Autenticacin de los administradores que usan RSA SecurID para iniciar sesin en el servidor de administracin ........................... Especificar la autenticacin SecurID para administrador de Symantec Endpoint Protection Manager ................................................. Cmo cambiar una contrasea de administrador .............................. Permitir que los administradores guarden las credenciales de inicio de sesin ............................................................................. 650 651 655 656 658 658 659 660 661 662 663 664 665
22
Contenido
Cmo permitir a los administradores restablecer contraseas olvidadas ............................................................................ Restablecer una contrasea olvidada .............................................. Restablecimiento de la contrasea y el nombre de usuario del administrador a admin .......................................................... Bloquear la cuenta de un administrador despus de demasiados intentos de inicio de sesin .....................................................
665 666 667 668
Seccin 3
Captulo 27
Mantenimiento del entorno de seguridad .................................................................. 671

Administracin de servidores ......................................... 673
Administrar servidores ................................................................ Acerca de los tipos de servidores de Symantec Endpoint Protection ........................................................................... Cmo administrar la conexin entre el servidor de administracin y los equipos cliente ................................................................ Mejora del rendimiento del cliente y del servidor .............................. Exportar e importar opciones del servidor ....................................... Acerca de los tipos de certificado de servidor ................................... Actualizar un certificado de servidor .............................................. Actualizacin de certificados de seguridad del servidor sin dejar clientes hurfanos ................................................................ Cmo configurar comunicaciones seguras para evitar dejar hurfanos a los clientes ................................................... Hacer copia de seguridad de un certificado de servidor ...................... Configuracin de SSL entre Symantec Endpoint Protection Manager y los clientes ........................................................................ Cmo verificar la disponibilidad del puerto ............................... Cmo cambiar la asignacin del puerto SSL ............................... Cmo habilitar la comunicacin SSL entre el servidor de administracin y el cliente ............................................... Conceder o negar el acceso a las consolas remotas de Symantec Endpoint Protection Manager ................................................. 673 676 677 678 682 682 683 684 685 686 687 687 688 689 689
Captulo 28
Administracin de servidores de directorio ................. 693

Acerca de las unidades organizativas y el servidor LDAP .................... 693 Acerca de la sincronizacin de unidades organizativas ...................... 694 Acerca de la importacin de la informacin del usuario y de la cuenta de equipo de un servidor de directorios LDAP ............................ 694
Contenido
23
Sincronizacin de cuentas de usuario entre servidores de directorio y Symantec Endpoint Protection Manager ................................. Buscar usuarios en un servidor de directorios LDAP .......................... Importar usuarios desde una lista de resultados de bsqueda de un servidor de directorios LDAP .................................................. Importacin de las unidades organizativas de un servidor de Active Directory o de LDAP .............................................................. Agregar servidores de directorios ..................................................
695 696 698 699 700
Captulo 29
Administracin de bases de datos ................................. 703

Mantener la base de datos ............................................................ Cmo programar las copias de seguridad de base de datos automticas ......................................................................... Cmo programar tareas de mantenimiento de base de datos automticas ......................................................................... Cmo aumentar el tamao del archivo de la base de datos de Microsoft SQL Server ...................................................... Exportar datos a un servidor Syslog ............................................... Exportar datos de registro a un archivo de texto ............................... Exportar datos de registro a un archivo de texto delimitado por comas ................................................................................. Especificacin del tamao de registro del cliente y registros para cargar al servidor de administracin ........................................ Especificacin del perodo de tiempo para mantener entradas de registro en la base de datos ..................................................... Acerca de aumentar el espacio ajustando la cantidad de datos de registro de los clientes ........................................................... Limpieza manual de datos del registro de la base de datos .................. 703 707 708 710 710 711 714 714 715 716 717
Captulo 30
Administracin de la conmutacin por error y el balanceo de carga ....................................................... 719

Cmo configurar la conmutacin por error y el balanceo de carga .................................................................................. Acerca de la conmutacin por error y el balanceo de carga ................. Configuracin de una lista de servidores de administracin ................ Asignar una lista de servidores de administracin a un grupo y a una ubicacin ............................................................................ 719 720 722 724
24
Contenido
Captulo 31
Preparacin para la recuperacin despus de un desastre ......................................................................... 727

Preparacin para la recuperacin despus de un desastre .................. 727 Hacer copia de seguridad de la base de datos y los registros ................ 729
Seccin 4
Administracin del cumplimiento de la red con Symantec Network Access Control ........................................................................ 733
Introduccin de Symantec Network Access Control ........................................................................... 735
Acerca de Symantec Network Access Control ................................... Acerca de los tipos de aplicacin en Symantec Network Access Control ............................................................................... Cmo funciona Symantec Network Access Control ............................ Cmo funciona la aplicacin automtica ......................................... Cmo funcionan los dispositivos Symantec Network Access Control Enforcer con polticas de integridad del host ............................. Comunicacin entre un dispositivo Enforcer y Symantec Endpoint Protection Manager ........................................................ Comunicacin entre el dispositivo Enforcer y los clientes ............. Cmo funciona el dispositivo Gateway Enforcer ............................... Cmo funciona el dispositivo LAN Enforcer ..................................... Cmo funciona Integrated Enforcer para servidores DHCP de Microsoft ............................................................................ Cmo funciona Integrated Enforcer para la Proteccin de acceso a redes de Microsoft con un servidor de polticas de red de Microsoft (NPS) .................................................................... Cmo funciona On-Demand Client ................................................. 735 736 738 739 741 742 743 744 745 747
Captulo 32
749 749
Captulo 33
Utilizacin de Symantec Network Access Control ........................................................................... 751

Acciones que pueden llevarse a cabo con dispositivos Symantec Enforcer ............................................................................. Acciones que pueden llevarse a cabo con mdulos de aplicacin Symantec Integrated Enforcer ................................................ Acciones que pueden llevarse a cabo con clientes On-Demand ............ Cmo implementar Symantec Network Access Control ...................... 751 753 754 754
Contenido
25
Captulo 34
Configuracin de la integridad del host ....................... 757

Acciones que pueden llevarse a cabo con polticas de integridad del host ................................................................................... Acerca del trabajo con polticas de integridad del host ....................... Acerca de la poltica de cuarentena .......................................... Cmo crear y probar una poltica de integridad del host ..................... Acerca de los requisitos de integridad del host ................................. Adicin de requisitos de integridad del host .................................... Cmo configurar Integridad del host para Mac ................................. Cmo habilitar, deshabilitar y eliminar los requisitos de integridad del host .............................................................................. Modificar la secuencia de requisitos de integridad del host ................. Adicin de un requisito de integridad del host desde una plantilla .............................................................................. Acerca de la configuracin para las comprobaciones de integridad del host .............................................................................. Permitir que se apruebe la comprobacin de integridad del host si un requisito falla ...................................................................... Configurar las notificaciones de las comprobaciones de integridad del host .............................................................................. Acerca de la reparacin de integridad del host ................................. Acerca de la reparacin de aplicaciones y archivos para la integridad del host .......................................................... Reparacin de integridad del host y configuracin de Enforcer ....................................................................... Especificar la cantidad de tiempo que el cliente espera para la reparacin .......................................................................... Permitir que los usuarios pospongan o cancelen la reparacin de Integridad del host ............................................................... 758 758 759 759 762 765 766 767 768 768 769 770 771 772 773 773 774 775
Captulo 35
Adicin de requisitos personalizados ........................... 777

Acerca de los requisitos personalizados .......................................... Acerca de las condiciones ............................................................. Acerca de las condiciones del antivirus ..................................... Acerca de las condiciones antispyware ..................................... Acerca de condiciones del firewall ........................................... Acerca de las condiciones de archivo ........................................ Acerca de las condiciones del sistema operativo ......................... Acerca de condiciones del Registro .......................................... Acerca de las funciones ............................................................... Acerca de la lgica de los requisitos personalizados .......................... Acerca de la instruccin RETURN ............................................ 777 778 779 779 780 781 782 783 785 786 787
26
Contenido
Acerca de la instruccin IF, THEN y ENDIF ................................ Acerca de la instruccin ELSE ................................................. Acerca de la palabra clave NOT ............................................... Acerca de las palabras clave AND y OR ..................................... Escribir un script de requisito personalizado ................................... Agregar una instruccin IF THEN ............................................ Alternar entre la instruccin IF e IF NOT .................................. Adicin de una instruccin ELSE ............................................. Agregar un comentario .......................................................... Copiar y pegar instrucciones IF, condiciones, funciones y comentarios .................................................................. Eliminar una instruccin, una condicin o una funcin ................ Mostrar un cuadro de dilogo de mensaje ........................................ Descargar un archivo .................................................................. Cmo configurar un valor del registro ............................................ Incremento de un valor DWORD del registro ................................... Ejecutar un programa .................................................................. Ejecutar un script ....................................................................... Configurar la marca de hora de un archivo ...................................... Cmo especificar un tiempo de espera para el script de requisito personalizado ......................................................................
787 787 788 788 789 790 791 791 791 792 792 792 793 794 795 795 796 797 798
Captulo 36
Introduccin de los dispositivos Symantec Network Access Control Enforcer ............................................. 799
Acerca de los dispositivos Symantec Network Access Control Enforcer ............................................................................. 799 Soporte para soluciones de aplicacin de otros fabricantes ................. 800
Captulo 37
Instalacin de todos los tipos de dispositivos Enforcer ......................................................................... 801

Acerca de cmo instalar un dispositivo Enforcer .............................. Instalar un dispositivo Enforcer .................................................... Acerca de los indicadores y los controles del dispositivo Enforcer ............................................................................. Cmo configurar un dispositivo Enforcer ........................................ Iniciar sesin en un dispositivo Enforcer ......................................... Cmo configurar un dispositivo Enforcer ........................................ 801 802 803 804 806 806
Contenido
27
Captulo 38
Actualizacin y creacin de todos los tipos de imgenes del dispositivo Enforcer ........................... 809
Acerca de actualizar y crear nuevas imgenes del dispositivo Enforcer ............................................................................. Matriz de compatibilidad de hardware de Enforcer ........................... Determinar la versin actual de una imagen del dispositivo Enforcer ............................................................................. Cmo actualizar la imagen de dispositivo Enforcer ........................... Crear una imagen de un dispositivo Enforcer ................................... 809 810 811 811 812
Captulo 39
Ejecucin de tareas bsicas en la consola de todos los tipos de dispositivos Enforcer ............................ 815
Acerca de realizar tareas bsicas en la consola de un dispositivo Enforcer ............................................................................. Configuracin de conexin entre un dispositivo Enforcer y Symantec Endpoint Protection Manager ................................................. Configuracin de SPM ........................................................... Comprobar el estado de comunicacin de un dispositivo Enforcer en la consola de Enforcer ........................................................... Acceso remoto a un dispositivo Enforcer ......................................... 815 816 818 819 819
Captulo 40
Planificacin para la instalacin del dispositivo Gateway Enforcer ........................................................ 821

Planificacin de la instalacin para un dispositivo Gateway Enforcer ............................................................................. Dnde colocar un dispositivo Gateway Enforcer ......................... Instrucciones para las direcciones IP de un dispositivo Gateway Enforcer ....................................................................... Acerca de usar dos dispositivos Gateway Enforcer en una serie ............................................................................. Proteccin del acceso VPN mediante un dispositivo Gateway Enforcer ....................................................................... Proteccin de un punto de acceso inalmbrico mediante un dispositivo Gateway Enforcer ........................................... Proteccin de servidores mediante un dispositivo Gateway Enforcer ....................................................................... Proteccin de servidores y clientes que no utilizan Windows mediante un dispositivo Gateway Enforcer .......................... Requisitos para permitir a los clientes que no utilizan Windows sin autenticacin ............................................................ Configuracin de la NIC del dispositivo Gateway Enforcer .................. 821 823 825 825 826 826 826 827 828 829
28
Contenido
Planificacin conmutacin por error de dispositivos Gateway Enforcer ............................................................................. Cmo funciona la conmutacin por error con los dispositivos Gateway Enforcer en la red .............................................. Dnde colocar dispositivos Gateway Enforcer para la conmutacin por error en una red con una o ms VLAN ........................................................................... Configurar dispositivos Gateway Enforcer para conmutacin por error ............................................................................ Planificacin de apertura y cierre en caso de error para un dispositivo Gateway Enforcer .................................................................
830 830
831 834 834
Captulo 41
Configuracin del dispositivo Symantec Gateway Enforcer de Symantec Endpoint Protection Manager ......................................................................... 837
Acerca de configurar el dispositivo Symantec Gateway Enforcer en la consola de Symantec Endpoint Protection Manager ................. Cambiar valores de configuracin del dispositivo Gateway Enforcer en Symantec Endpoint Protection Manager ............................... Acerca de la configuracin general en un dispositivo Gateway ............ Agregar o editar la descripcin de un grupo de dispositivos Gateway Enforcer ........................................................... Agregar o editar la descripcin de un dispositivo Gateway Enforcer ....................................................................... Agregar o editar la direccin IP o el nombre de host del dispositivo Gateway Enforcer ........................................... Establecer la comunicacin entre un dispositivo Gateway Enforcer y Symantec Endpoint Protection Manager a travs de una lista de servidores de administracin y el archivo conf.properties .............................................................. Acerca de la configuracin de la autenticacin en un dispositivo Gateway ............................................................................. Configuracin de la autenticacin en un dispositivo Gateway ....................................................................... Acerca de las sesiones de autenticacin en Gateway Enforcer dispositivo .................................................................... Acerca de la autenticacin de clientes en Gateway Enforcer dispositivo .................................................................... Especificar el nmero mximo de paquetes de desafo durante una sesin de autenticacin .............................................. Especificar la frecuencia de los paquetes de desafo que se enviarn a los clientes ..................................................... 838 839 842 843 843 844
844 846 846 850 851 852 853
Contenido
29
Especificar el perodo durante el cual un cliente queda bloqueado despus de que falle la autenticacin .................................. Especificar el perodo durante el cual se permite a un cliente conservar su conexin de red sin reautenticacin ................. Permitir todos los clientes con el registro continuo de clientes no autenticados .............................................................. Permitir que los clientes que no utilizan Windows se conecten a una red sin autenticacin ................................................. Cmo comprobar el nmero de serie de la poltica en un cliente .......................................................................... Enviar un mensaje del dispositivo Gateway Enforcer a un cliente sobre incumplimiento ..................................................... Redireccin de solicitudes HTTP a una pgina web ..................... Configuracin del intervalo de autenticacin ................................... Intervalos de direcciones IP de clientes comparados con las direcciones IP externas de confianza .................................. Cundo utilizar intervalos de direcciones IP de clientes ............... Acerca de las direcciones IP de confianza .................................. Agregar intervalos de direcciones IP de clientes a la lista de direcciones que necesitan autenticacin ............................. Editar intervalos de direcciones IP de clientes en la lista de direcciones que necesitan autenticacin ............................. Eliminar intervalos de direcciones IP de clientes de la lista de direcciones que necesitan autenticacin ............................. Agregar una direccin IP interna de confianza para los clientes en un servidor de administracin ...................................... Especificar direcciones IP externas de confianza ........................ Editar una direccin IP de confianza interna o externa ................ Eliminacin de una direccin IP interna de confianza o una direccin IP externa de confianza ...................................... Orden de comprobacin del intervalo de direcciones IP ............... Acerca de la configuracin avanzada del dispositivo Gateway Enforcer ............................................................................. Especificar tipos de paquetes y protocolos ................................. Permitir que un cliente de una versin anterior se conecte a la red con un dispositivo Gateway Enforcer ............................ Habilitar la autenticacin local en un dispositivo Gateway Enforcer ....................................................................... Habilitar las actualizaciones de hora del sistema para el dispositivo Gateway Enforcer usando el protocolo de tiempo de redes ........................................................................ Cmo usar el dispositivo Gateway Enforcer como servidor web ..............................................................................
854 855 855 857 858 859 860 861 862 863 864 866 867 868 869 870 870 871 872 873 873 875 875
876 877
30
Contenido
Uso de Gateway Enforcer como servidor de falsificacin de DNS ................................................................................... 877
Captulo 42
Planificacin de la instalacin de un dispositivo LAN Enforcer ................................................................ 879

Planificacin para la instalacin de un dispositivo LAN Enforcer ......... Dnde colocar dispositivos LAN Enforcer .................................. Planificar la conmutacin por error para dispositivos LAN Enforcer ............................................................................. Dnde colocar dispositivos LAN Enforcer para la conmutacin por error en una red ........................................................ 879 880 883 883
Captulo 43
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager ................ 887
Acerca de configurar Symantec LAN Enforcer en la consola de Symantec Endpoint Protection Manager ................................... Acerca de configurar servidores RADIUS en un dispositivo LAN Enforcer ............................................................................. Acerca de configurar los puntos de acceso inalmbricos de 802.1x en un dispositivo LAN Enforcer ................................................... Cambio de configuracin de LAN Enforcer en Symantec Endpoint Protection Manager .............................................................. Cmo usar la Configuracin general ............................................... Agregar o editar el nombre de un grupo de dispositivos LAN Enforcer con LAN Enforcer .............................................. Cmo especificar un puerto de escucha para la comunicacin entre un conmutador VLAN y un LAN Enforcer .................... Agregar o editar la descripcin de un grupo de Enforcer con LAN Enforcer ....................................................................... Agregar o editar la direccin IP o el nombre de host de LAN Enforcer ....................................................................... Agregar o editar la descripcin de LAN Enforcer ........................ Cmo conectar LAN Enforcer a Symantec Endpoint Protection Manager ....................................................................... Usar la configuracin del grupo de servidores RADIUS ...................... Agregar un nombre de grupo de servidores RADIUS y un servidor RADIUS ........................................................................ Editar el nombre de un grupo de servidores RADIUS ................... Editar el nombre descriptivo de un servidor RADIUS .................. Editar el nombre de host o la direccin IP de un servidor RADIUS ........................................................................ 888 888 889 891 893 893 894 895 895 895 896 897 898 900 900 901
Contenido
31
Editar el nmero de puerto de autenticacin de un servidor RADIUS ........................................................................ Editar el secreto compartido de un servidor RADIUS ................... Habilitacin de la compatibilidad con el servidor de polticas de red de Windows (NPS) en LAN Enforcer .............................. Eliminar el nombre de un grupo de servidores RADIUS ............... Eliminar un servidor RADIUS ................................................. Usar las opciones del conmutador ................................................. Configuracin de conmutador ................................................. Acerca de la compatibilidad con los atributos de los modelos de conmutador ................................................................... Agregar una poltica de conmutador 802.1x para un dispositivo LAN Enforcer con un asistente .......................................... Editar la informacin bsica sobre la poltica de conmutador y el conmutador compatible con 802.1x ................................ Editar informacin sobre el conmutador compatible con 802.1x .......................................................................... Editar informacin de VLAN para la poltica de conmutador ......... Editar informacin de accin para la poltica de conmutador ................................................................... Usar la configuracin avanzada del dispositivo LAN Enforcer ............. Permitir que un cliente de una versin anterior se conecte a la red con un dispositivo LAN Enforcer .................................. Habilitar la autenticacin local en el dispositivo LAN Enforcer ....................................................................... Habilitar las actualizaciones de hora del sistema para el dispositivo Enforcer usando el protocolo de tiempo de redes ............................................................................ Configuracin de direcciones MAC y la omisin de la autenticacin de MAC (MAB) en LAN Enforcer .............................................. Usar la autenticacin 802.1x ......................................................... Acerca de la reautenticacin en el equipo cliente ........................
901 902 903 904 904 905 905 906 909 918 924 926 928 933 934 934
935 935 937 940
Captulo 44
Administracin de mdulos de aplicacin Enforcer en Symantec Endpoint Protection Manager .......... 943
Acerca de administrar mdulos de aplicacin Enforcer en la consola del servidor de administracin ................................................ Acerca de la administracin de mdulos de Enforcer desde la pgina Servidores ........................................................................... Acerca de los grupos de Enforcer ................................................... Cmo la consola determina el nombre de grupo de Enforcer ......... Acerca de los grupos de Enforcer de conmutacin por error .......... 944 945 945 945 945
32
Contenido
Acerca de la modificacin de un nombre de grupo ....................... Acerca de la creacin de un nuevo grupo de Enforcer .................. Acerca de la informacin de Enforcer que aparece en la consola de Enforcer ............................................................................. Visualizar informacin acerca de Enforcer en la consola de administracin ..................................................................... Modificar el nombre y la descripcin de un dispositivo Enforcer .......... Eliminar un mdulo de Enforcer o un grupo de Enforcer .................... Exportar e importar opciones de grupo de Enforcer .......................... Mensajes emergentes para los clientes bloqueados ........................... Mensajes para los equipos que ejecutan el cliente ....................... Mensajes para los equipos de Windows que no estn ejecutando un cliente (Gateway Enforcer solamente) ............................ Configurar los mensajes de Enforcer ........................................ Acerca de la configuracin de clientes y Enforcer ............................. Configurar clientes para utilizar una contrasea para detener el servicio del cliente ................................................................ Acerca de los informes y registros de Enforcer ................................. Configurar opciones de registro de Enforcer .................................... Cmo deshabilitar el registro de Enforcer en la consola de Symantec Endpoint Protection Manager ............................. Habilitar el envo de registros de Enforcer a Symantec Endpoint Protection Manager ........................................................ Configurar el tamao y la antigedad de los registros de Enforcer ....................................................................... Filtrar los registros de trfico para Enforcer ..............................
946 946 947 948 948 949 950 951 951 951 952 952 953 953 954 956 956 957 957
Captulo 45
Presentacin de los dispositivos Symantec Integrated Enforcer ..................................................... 959

Acerca de Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft .......................................... 959 Acerca de Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection ................................ 960
Captulo 46
Instalacin de Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft .......................................................................
961
Proceso para instalar Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft ............................. 962 Requisitos del sistema para Integrated Enforcer para servidores DHCP de Microsoft ........................................................................ 962
Contenido
33
Componentes para Integrated Enforcer para servidores DHCP de Microsoft ............................................................................ Requisitos de disposicin para Integrated Enforcer para servidores DHCP de Microsoft ............................................................... Cmo comenzar con la instalacin de Integrated Enforcer para servidores DHCP de Microsoft ................................................ Instalar Integrated Enforcer para servidores DHCP de Microsoft ......... Desinstalar Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft ....................... Actualizacin de Integrated Enforcer para servidores DHCP de Microsoft ......................................................................
963 964 966 967 969 970
Captulo 47
Configuracin de dispositivos Symantec Integrated Enforcer en la consola de Enforcer .......................... 973

Acerca de la configuracin de Integrated Enforcers en una consola de Enforcer ......................................................................... Cmo establecer o cambiar la comunicacin entre Integrated Enforcer para servidores DHCP de Microsoft y Symantec Endpoint Protection Manager .............................................................. Configurar la cuarentena automtica ............................................. Cmo editar una conexin de Symantec Endpoint Protection Manager ............................................................................. Establecer la configuracin de comunicacin de Integrated Enforcer en Symantec Endpoint Protection Manager ............................... Configurar una lista de distribuidores de confianza .......................... Visualizar registros de Enforcer en una consola de Enforcer ............... Detener e iniciar servicios de comunicacin entre Integrated Enforcer y un servidor de administracin .............................................. Configurar una mscara de subred segura ....................................... Creacin de excepciones en el mbito DHCP .................................... 974
977 979 981 982 983 984 985 986 987
Captulo 48
Configuracin de Symantec Network Access Control Integrated Enforcer para el servidor DHCP de Microsoft en Symantec Endpoint Protection Manager ......................................................................... 989
Acerca de la configuracin de Symantec Network Access Control Integrated Enforcer para el servidor DHCP de Microsoft en Symantec Endpoint Protection Manager ................................... 990 Configuracin bsica de Symantec Network Access Control Integrated Enforcer ............................................................................. 990
34
Contenido
Cmo agregar o editar el nombre de un grupo de Enforcer para Symantec Network Access Control Integrated Enforcer ......... 991 Cmo agregar o editar la descripcin de un grupo de Enforcer con Symantec Network Access Control Integrated Enforcer ....................................................................... 991 Cmo agregar o editar la descripcin de Symantec Network Access Control Integrated Enforcer .................................... 992 Cmo conectar Symantec Network Access Control Integrated Enforcer a Symantec Endpoint Protection Manager .............. 992 Configuracin avanzada de Symantec Network Access Control Integrated Enforcer .............................................................. 994 Habilitar servidores, clientes y dispositivos para que se conecten a la red como hosts de confianza sin autenticacin ............... 994 Habilitar la autenticacin local en Integrated Enforcer ................ 995 Configuracin de autenticacin de Symantec Network Access Control Integrated Enforcer .............................................................. 996 Acerca de usar las opciones de autenticacin ............................. 996 Acerca de las sesiones de autenticacin .................................... 998 Especificar el nmero mximo de paquetes de desafo durante una sesin de autenticacin .............................................. 999 Especificar la frecuencia de los paquetes de desafo que se enviarn a los clientes ................................................... 1000 Permitir todos los clientes con el registro continuo de clientes no autenticados ............................................................ 1001 Permitir que los clientes que no utilizan Windows se conecten a una red sin autenticacin ............................................... 1002 Cmo hacer que Symantec Network Access Control Integrated Enforcer compruebe el nmero de serie de las polticas en un cliente .................................................................... 1003 Configurar registros para Symantec Network Access Control Integrated Enforcer ............................................................. 1004
Captulo 49
Instalacin de Symantec Integrated Enforcer para Microsoft Network Access Protection .................... 1005
Antes de instalar Symantec Integrated Enforcer para Microsoft Network Access Protection ................................................... Proceso para instalar Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection .................. Requisitos del sistema para un dispositivo Integrated Enforcer para Microsoft Network Access Protection ..................................... Componentes de Symantec Integrated Enforcer for Microsoft Network Access Protection ............................................................... 1005 1006 1007 1009
Contenido
35
Cmo instalar Integrated Enforcer para Microsoft Network Access Protection ......................................................................... 1010 Desinstalar Integrated Enforcer para Microsoft Network Access Protection ................................................................... 1011 Cmo detener e iniciar el servidor de Network Access Protection manualmente ............................................................... 1012
Captulo 50
Configuracin de Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection en una consola Enforcer ......... 1015
Acerca de la configuracin de Symantec Integrated Enforcer for Microsoft Network Access Protection en una consola Enforcer ............................................................................ Conexin de Symantec Integrated Enforcer for Microsoft Network Access Protection a un servidor de administracin en una consola Enforcer ............................................................................ Cifrado de la comunicacin entre Symantec Integrated Enforcer for Microsoft Network Access Protection y un servidor de administracin ................................................................... Cmo configurar un nombre de grupo de Enforcer en la consola de Symantec Integrated Enforcer for Microsoft Network Access Protection ......................................................................... Cmo configurar un protocolo de comunicacin HTTP en la consola de Symantec Integrated Enforcer for Microsoft Network Access Protection .........................................................................
1016
1017
1019
1020
1021
Captulo 51
Configuracin de Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection en Symantec Endpoint Protection Manager ................................................... 1023
Acerca de configurar Symantec Integrated Enforcer for Microsoft Network Access Protection en Symantec Endpoint Protection Manager ........................................................................... Habilitar la aplicacin de NAP para clientes ................................... Verificar que el servidor de administracin administre el cliente ....... Verificar las polticas de validador de mantenimiento de seguridad .......................................................................... Cmo verificar que los clientes pasen la comprobacin de integridad del host ............................................................................. Cmo configurar los registros para Symantec Integrated Enforcer para Network Access Protection ............................................
1024 1025 1026 1026 1027 1028
36
Contenido
Captulo 52
Configuracin de conexiones temporales para los clientes disponibles bajo demanda de Symantec Network Access Control ............................................ 1029
Acerca de los clientes de Symantec Network Access Control On-Demand ....................................................................... Antes de configurar clientes bajo demanda de Symantec Network Access Control en una consola de Gateway Enforcer .................. Configuracin del desafo de acceso de invitados con Symantec Network Access Control DHCP Integrated Enforcer ................... Habilitar clientes bajo demanda de Symantec Network Access Control para conectarse temporalmente a una red ............................... Cmo deshabilitar los clientes de Symantec Network Access Control On-Demand ....................................................................... Configurar la autenticacin en la consola de Gateway Enforcer para los clientes disponibles bajo demanda de Symantec Network Access Control ................................................................... Cmo configurar la autenticacin de usuario con una base de datos local ................................................................... Cmo configurar la autenticacin de usuario con un Microsoft Windows 2003 Server Active Directory ............................. Cmo configurar la autenticacin de usuario con un servidor RADIUS ...................................................................... Configuracin del cliente On-Demand en Windows para la autenticacin con el protocolo dot1x-tls ............................ Configuracin del cliente On-Demand en Windows para la autenticacin con el protocolo dot1x-peap ......................... Comandos on-demand authentication ..................................... Editar el titular de la pgina Welcome (Bienvenido) ......................... 1030 1030 1033 1037 1040
1040 1041 1041 1042 1043 1044 1045 1053
Seccin 5
Solucin de problemas en Symantec Endpoint Protection y Symantec Network Access Control ................................. 1055
Ejecucin de recuperacin despus de un desastre .......................................................................
1057
Captulo 53
Ejecucin de recuperacin despus de un desastre .......................... 1057 Cmo restaurar la base de datos .................................................. 1058 Reinstalar o reconfigurar Symantec Endpoint Protection Manager ........................................................................... 1059
Contenido
37
Captulo 54
Resolucin de problemas de instalacin y de comunicacin .............................................................. 1061

Descargar la herramienta de soporte de Symantec Endpoint Protection para solucionar problemas del equipo ..................................... Identificacin del punto de falla de una instalacin ......................... Cmo solucionar problemas de comunicacin entre el servidor de administracin y el cliente .................................................... Visualizacin del estado de conexin del cliente en el cliente ........................................................................ Cmo determinar si el cliente est conectado y protegido ........... Investigacin de problemas de proteccin usando el archivo de la solucin de problemas en el cliente ............................... Habilitacin y consulta del registro de acceso para comprobar si el cliente se conecta al servidor de administracin .............. Detencin e inicio del Servidor Web Apache ............................ Usar el comando ping para probar la conectividad con el servidor de administracin ......................................................... Usar un navegador para probar la conectividad al servidor de administracin en el equipo cliente .................................. Comprobar los registros de depuracin en el equipo cliente ........ Comprobar los registros de la bandeja de entrada en el servidor de administracin ......................................................... Cmo recuperar la configuracin de comunicacin de los clientes usando la herramienta SylinkDrop ................................... Solucionar problemas de comunicacin entre el servidor de administracin y la consola o la base de datos .......................... Cmo verificar la conexin con la base de datos ........................ 1061 1062 1062 1064 1064 1066 1066 1067 1068 1068 1069 1070 1070 1072 1073
Captulo 55
Solucin de problemas de elaboracin de informes ....................................................................... 1077

Solucin de problemas de elaboracin de informes .......................... Ayuda contextual de solucin de problemas de la consola de elaboracin de informes ....................................................... Cmo cambiar a letras de la elaboracin de informes para mostrar idiomas asiticos ................................................................ Cmo cambiar los parmetros de tiempo de espera para revisar informes y registros ............................................................ Acceder a las pginas de elaboracin de informes cuando el uso de las direcciones de loopback estn deshabilitadas ....................... Acerca de recuperar un registro del sistema de cliente daado en equipos de 64 bits ............................................................... 1077 1080 1080 1081 1083 1084
38
Contenido
Captulo 56
Solucin de problemas en el dispositivo Enforcer .......................................................................

Resolucin de problemas de comunicacin entre un dispositivo Enforcer y Symantec Endpoint Protection Manager .................. Cmo solucionar problemas en un dispositivo Enforcer .................... Preguntas ms frecuentes sobre los dispositivos Enforcer ................ Qu proteccin contra virus y software antivirus administra la integridad del host? ....................................................... Es posible configurar polticas de integridad del host en el nivel de grupo o el nivel global? .............................................. Se puede crear un mensaje de integridad del host personalizado? ............................................................. Qu sucede si los dispositivos Enforcer no pueden comunicarse con Symantec Endpoint Protection Manager? .................... Se necesita un servidor RADIUS cuando un dispositivo LAN Enforcer se ejecuta en modo transparente? ........................ Cmo maneja la aplicacin los equipos sin clientes? ................. Solucin de problemas de conexin entre Enforcer y los clientes bajo demanda ...........................................................................
1085 1085 1087 1088 1088 1088 1089 1089 1090 1091 1093
Apndice A
Implementacin del cliente y referencia de migracin ..................................................................... 1097

Acerca de la implementacin y migracin del cliente ....................... 1097 Asignacin de funciones entre clientes de la versin 11.x y 12.1 ........ 1099
Apndice B
Personalizacin e implementacin de la instalacin del cliente con herramientas de otro fabricante ....................................................................
Instalacin del software de cliente usando herramientas de otro fabricante .......................................................................... Acerca de las funciones y propiedades de instalacin del cliente ........ Acerca de la configuracin de cadenas de comando de MSI ......... Acerca de la configuracin de Setaid.ini .................................. Propiedades de la instalacin de clientes de Symantec Endpoint Protection ......................................................................... Funciones del cliente de Symantec Endpoint Protection ................... Parmetros de Windows Installer ................................................ Propiedades del Centro de seguridad de Windows ........................... Ejemplos de lnea de comandos para instalar el cliente ..................... Acerca de la instalacin y la implementacin del software de cliente con Symantec Management Agent .........................................
1107 1108 1110 1111 1111 1113 1113 1115 1117 1118 1119
Contenido
39
Instalacin de clientes con Microsoft SMS 2003 .............................. Instalacin de clientes con el objeto de polticas de grupo de Active Directory ........................................................................... Crear la imagen de instalacin administrativa .......................... Crear una distribucin de software de objeto de poltica de grupo ......................................................................... Crear un script de inicio de Windows Installer 3.1 ..................... Adicin de equipos a la unidad organizativa y el software de instalacin .................................................................. Copia de un archivo Sylink.xml a los archivos de instalacin .................................................................. Desinstalar el software de cliente con un Objeto de poltica de grupo de Active Directory .............................................................
1119 1121 1123 1124 1125 1127 1127 1128
Apndice C
Interfaz de lnea de comandos del dispositivo Enforcer .......................................................................

Acerca de la jerarqua de comandos de la CLI del dispositivo Enforcer ............................................................................ Jerarqua de comandos de la CLI .................................................. Movimiento hacia arriba y hacia abajo en la jerarqua de comandos .......................................................................... Accesos directos de pulsaciones del teclado de la CLI del dispositivo Enforcer ............................................................................ Obtener ayuda con los comandos de la CLI ..................................... Comandos de nivel superior ........................................................ Clear ................................................................................ Date ................................................................................. Exit .................................................................................. Ayuda ............................................................................... Nombre de host .................................................................. Password ........................................................................... Ping ................................................................................. Reboot .............................................................................. Shutdown .......................................................................... Show ................................................................................ Start ................................................................................. Stop ................................................................................. Traceroute ........................................................................ Update ..............................................................................
1131 1131 1132 1135 1136 1137 1139 1139 1139 1140 1140 1141 1141 1142 1142 1142 1143 1144 1144 1144 1144
ndice ................................................................................................................ 1147
40
Contenido
Captulo
Presentacin de Symantec Endpoint Protection

En este captulo se incluyen los temas siguientes:

Acerca de Symantec Endpoint Protection Novedades de la versin 12.1 Acerca de los tipos de proteccin contra amenazas que Symantec Endpoint Protection proporciona Proteccin de su red con Symantec Endpoint Protection
Acerca de Symantec Endpoint Protection

Symantec Endpoint Protection es una solucin del servidor del cliente que protege equipos porttiles, equipos de escritorio, equipos Mac y servidores en la red contra software malicioso. Symantec Endpoint Protection combina proteccin contra virus con proteccin contra amenazas avanzada para asegurar proactivamente los equipos contra amenazas conocidas y desconocidas. Symantec Endpoint Protection brinda proteccin contra software malicioso, como virus, gusanos, troyanos, spyware y publicidad no deseada. Proporciona proteccin incluso contra los ataques ms sofisticados que evaden medidas de seguridad tradicionales, como rootkits, ataques de da cero y spyware que muta. Al proporcionar menor mantenimiento y ms poder, Symantec Endpoint Protection se comunica por medio de su red para proteger los equipos de forma automtica contra los ataques para los sistemas fsicos y los sistemas virtuales. Esta solucin integral protege la informacin confidencial y valiosa mediante la combinacin de varias capas de proteccin en un nico cliente integrado. Symantec
42
Presentacin de Symantec Endpoint Protection Novedades de la versin 12.1
Endpoint Protection reduce la carga de administracin, el tiempo y los costos, ya que ofrece una nica consola de administracin y un solo cliente. Ver "Acerca de los tipos de proteccin contra amenazas que Symantec Endpoint Protection proporciona" en la pgina 51.
Novedades de la versin 12.1

La versin actual incluye las siguientes mejoras que hacen que el uso del producto sea ms fcil y eficaz. Tabla 1-1 muestra las nuevas funciones de la versin 12.1.
43
Tabla 1-1 Funcin

Mayor seguridad contra software malicioso
Nuevas funciones de la versin 12.1
Descripcin
Las mejoras ms importantes incluyen las siguientes funciones de las polticas para proporcionar una mayor proteccin en los equipos cliente. La poltica de proteccin antivirus y antispyware detecta amenazas con mayor precisin, adems de reducir los falsos positivos y mejorar el rendimiento del anlisis con las siguientes tecnologas: SONAR reemplaza la tecnologa de TruScan para identificar la conducta maliciosa de amenazas desconocidas mediante los datos de reputacin y heurstica. Mientras que TruScan se ejecuta en una programacin, SONAR se ejecuta siempre. Ver "Cmo administrar SONAR" en la pgina 381. Auto-Protect brinda proteccin adicional con Diagnstico Insight de descargas, que examina los archivos que los usuarios intentan descargar por medio de navegadores web, clientes de mensajera de texto y otros portales. El Diagnstico Insight de descargas usa la informacin de reputacin de Symantec Insight para tomar decisiones sobre los archivos. Ver "Cmo administrar las detecciones de Diagnstico Insight de descargas" en la pgina 326. Ver "Cmo Symantec Endpoint Protection usa datos de reputacin para tomar decisiones sobre los archivos" en la pgina 331. Insight permite que los anlisis omitan los archivos de confianza para la comunidad de Symantec, lo cual mejora el rendimiento del anlisis. Ver "Modificacin de la configuracin de anlisis global para clientes Windows" en la pgina 361. La Bsqueda de Insight detecta los archivos de la aplicacin que no se pueden detectar tpicamente como riesgos y enva informacin de los archivos a Symantec para su evaluacin. Si Symantec determina que los archivos de la aplicacin constituyen un riesgo, el equipo cliente controla los archivos como riesgos. La bsqueda de Insight logra que la deteccin de software malicioso sea ms rpida y exacta. Ver "Cmo personalizar anlisis definidos por el administrador para los clientes que se ejecutan en equipos Windows" en la pgina 357. Las polticas de firewall incluyen reglas de firewall para bloquear el trfico basado en IPv6. Ver "Cmo personalizar reglas de firewall" en la pgina 439. La poltica de prevencin de intrusiones incluye la prevencin de intrusiones del navegador, que usa firmas IPS para detectar ataques dirigidos a vulnerabilidades del navegador. Ver "Cmo habilitar o deshabilitar la prevencin contra intrusiones del navegador o de la red" en la pgina 461.
44
Funcin
Una administracin ms rpida y flexible
Descripcin
Symantec Endpoint Protection Manager ayuda a administrar los equipos cliente con mayor facilidad mediante las siguientes nuevas funciones:
La concesin de licencias centralizada le permite adquirir, activar y administrar licencias de productos desde la consola de administracin. Ver "Concesin de licencias de Symantec Endpoint Protection" en la pgina 112. Symantec Endpoint Protection Manager se registra con la versin 2 de Protection Center, el cual permite centralizar los datos e integrar la administracin de los productos de seguridad de Symantec en un nico entorno. Es posible configurar algunos de los valores que Protection Center usa para trabajar con Symantec Endpoint Protection Manager. Ver "Acerca de Symantec Endpoint Protection y Protection Center" en la pgina 185. La pantalla de inicio de sesin de Symantec Endpoint Protection Manager permite que se enve su contrasea olvidada por correo electrnico. Ver "Inicio de sesin en la consola de Symantec Endpoint Protection Manager" en la pgina 104. Symantec Endpoint Protection Manager incluye una opcin para permitir a los administradores de un sitio restablecer la contrasea olvidada. Es posible configurar en qu momento y de qu manera Symantec Endpoint Protection Manager reinicia el equipo cliente, de modo que el reinicio no interfiera con la actividad del usuario. Ver "Cmo reiniciar equipos cliente" en la pgina 143. La pgina Supervisin incluye un conjunto de notificaciones de correo electrnico configuradas previamente que le informan los eventos usados con mayor frecuencia. Los eventos incluyen cuando el software de cliente est disponible, cundo una poltica cambia, los mensajes de la renovacin de la licencia y cundo el servidor de administracin localiza los equipos sin proteccin. Las notificaciones se habilitan de forma predeterminada y admiten Blackberry, iPhone y Android. Ver "Acerca de las notificaciones con configuracin previa" en la pgina 629. La pgina Inicio muestra los informes de alto nivel sobre los que se puede hacer clic, lo cual facilita y simplifica la lectura de la pgina Inicio. La pgina Inicio adems muestra un vnculo a las notificaciones sobre eventos de registro que an no se han ledo. Ver "Visualizacin y reconocimiento de notificaciones" en la pgina 635. Los informes de estado mejorados restablecen automticamente el Estado An infectado en un equipo cliente una vez que el equipo ya no est infectado. Es posible ahora configurar clientes de Linux para enviar eventos de registro a Symantec Endpoint Protection Manager.
45
Funcin
Descripcin
Mayor rendimiento del Para aumentar la velocidad entre el servidor de administracin y la consola de servidor y del cliente administracin, la base de datos y los equipos cliente: El servidor de administracin realiza tareas de limpieza automtica de la base de datos para mejorar la escalabilidad y la capacidad de respuesta del servidor-cliente. Ver "Cmo programar tareas de mantenimiento de base de datos automticas" en la pgina 708. Ver "Mantener la base de datos" en la pgina 703. Los anlisis en busca de virus y spyware usan Insight para permitir que los anlisis omitan los archivos seguros y se concentren en los archivos en riesgo. Los anlisis que usan Insight son ms rpidos y ms exactos, y reducen la carga del anlisis hasta el 70%. Ver "Modificacin de la configuracin de anlisis global para clientes Windows" en la pgina 361. Ver "Cmo personalizar Auto-Protect para los clientes Windows" en la pgina 353. Ver "Acerca de los comandos que puede ejecutar en los equipos cliente"en la pgina 355 en la pgina 355. Ver "Cmo ajustar el anlisis para mejorar rendimiento del equipo" en la pgina 319. LiveUpdate puede ejecutarse cuando el equipo cliente est inactivo, tiene contenido desactualizado o se ha desconectado, lo que usa menos memoria. Ver "Configurar actualizaciones del cliente para ejecutarse cuando los equipos cliente estn inactivos" en la pgina 566. Ver "Configuracin de actualizaciones del cliente para ejecutarse cuando las definiciones son anteriores o el equipo se ha desconectado" en la pgina 567.
Ver "Mejora del rendimiento del cliente y del servidor" en la pgina 678.
46
Funcin
Soporte para los entornos virtuales
Descripcin
Mejorado para ayudar a proteger la infraestructura virtual, Symantec Endpoint Protection incluye las siguientes nuevas funciones: El servidor de la memoria cach compartida de Insight permite a los clientes compartir resultados de anlisis, de modo que los archivos idnticos solo se deban analizar una vez en todos equipos cliente. La memoria cach compartida de Insight puede reducir el efecto de los anlisis completos en hasta un 80%. Ver "Cmo configurar sus clientes para comunicarse con la memoria cach compartida de diagnstico Insight" en la pgina 373. La herramienta Virtual Image Exclusion reduce el efecto de analizar cada archivo en una imagen base de confianza. En lugar de analizar continuamente los archivos del sistema en busca de virus, la herramienta Virtual Image Exclusion le permite colocar en una lista blanca los archivos de imagen de lnea base en mquinas virtuales. Ver "Cmo usar la herramienta Excepcin de imgenes virtuales en una imagen de base" en la pgina 375. Symantec Endpoint Protection Manager usa la deteccin del hipervisor para detectar de forma automtica qu clientes se ejecutan en una plataforma virtual. Es posible crear polticas para grupos de clientes en las plataformas virtuales. El analizador de imgenes fuera de lnea de Symantec puede analizar los archivos .vmdk de VMware fuera de lnea para asegurarse de que no haya amenazas en la imagen.
Ver "Cmo administrar Symantec Endpoint Protection en entornos virtuales" en la pgina 372. Soporte para clientes Mac En Symantec Enterprise Protection, se pueden configurar las polticas para los clientes Mac en funcin de una ubicacin as como de un grupo. Ver "Cmo administrar clientes remotos" en la pgina 234.
47
Funcin
Descripcin
Proceso de instalacin Es posible instalar el producto con mayor rapidez y facilidad que antes con las nuevas mejorado funciones de instalacin que se detallan a continuacin:
El asistente para la instalacin de Symantec Endpoint Protection Manager le permite importar un archivo de recuperacin guardado previamente que incluya informacin de conexin del servidor cliente. El archivo de recuperacin permite al servidor de administracin reinstalar las copias de seguridad de los certificados existentes y la restauracin automtica de la comunicacin a los clientes existentes. Ver "Cmo instalar el servidor de administracin y la consola" en la pgina 99. El servicio web del servidor de administracin usa Apache en lugar de IIS. No es necesario instalar IIS, primero, como usted hizo en versiones anteriores. El Asistente de implementacin del cliente localiza rpidamente los equipos sin proteccin en los cuales es necesario instalar el software de cliente. El asistente adems proporciona un vnculo de implementacin de correo electrnico, de modo que los usuarios puedan descargar el software de cliente mediante la Web. El asistente acelera y simplifica la implementacin del software de cliente. Ver "Cmo implementar clientes usando un vnculo web y un correo electrnico" en la pgina 138. Ver "Visualizar el estado de proteccin de los clientes y equipos cliente" en la pgina 207. Ver "Acerca de los iconos de estado de proteccin de los clientes" en la pgina 205. Es posible actualizar a la versin actual del producto mientras los clientes de una versin anterior permanecen conectados y protegidos. Un nuevo informe rpido para implementacin muestra que los equipos han instalado correctamente el software de cliente. Ver "Ejecucin y personalizacin de informes rpidos" en la pgina 610.
48
Funcin
Descripcin
Compatibilidad con los Symantec Endpoint Protection Manager ahora admite los siguientes sistemas operativos sistemas operativos adicionales: adicionales VMware Workstation 7.0 o posterior

VMware ESXi 4.0.x o una versin posterior VMware ESX 4.0.x o una versin posterior VMware Server 2.0.1 Citrix XenServer 5.1 o una versin posterior
Symantec Endpoint Protection Manager ahora admite los navegadores web siguientes:

Internet Explorer 7.0, 8.0, 9.0 Firefox 3.6, 4.0
Symantec AntiVirus para el cliente Linux ahora admite los siguientes sistemas operativos adicionales:

RedHat Enterprise Linux 6.x
Servidor empresarial de Linux de SUSE y equipo de escritorio empresarial 11.x (incluye compatibilidad con OES 2) Ubuntu 11.x

Fedora 14.x, 15.x Debian 6.x Para obtener informacin sobre cmo usar el cliente de Symantec AntiVirus en Linux, consulte la Gua del cliente de Symantec AntiVirus para Linux.
Ver "Requisitos del sistema" en la pgina 84.
49
Funcin
Descripcin
Una mejor Es posible administrar Enforcers con mayor facilidad mediante la configuracin de los administracin de siguientes valores de Enforcer en Symantec Endpoint Protection Manager: Enforcer en Symantec Capacidad para que los clientes en un grupo de Enforcers sincronicen su tiempo de Endpoint Protection sistema constantemente usando el servidor del protocolo de tiempo de redes. Manager Ver "Habilitar las actualizaciones de hora del sistema para el dispositivo Enforcer usando el protocolo de tiempo de redes" en la pgina 935. Es posible actualizar ms fcilmente la lista de direcciones MAC con las mejoras siguientes: Para DHCP Integrated Enforcer, se puede importar un archivo de texto que contenga las excepciones de las direcciones MAC que definen los hosts de confianza. Para LAN Enforcer, se pueden agregar, editar y eliminar las direcciones MAC que las comprobaciones de Integridad del host omiten usando las siguientes funciones: MAC Authentication Bypass(ASIGNACIN) omite la comprobacin de Integridad del host para los clientes que no son 802.1x o los dispositivos que no tienen el cliente de Symantec Network Access Control instalado. Omitir comprobacin de cliente NAC de Symantec omite la comprobacin de Integridad del host para los suplicantes de 802.1x que no tienen el cliente de Symantec Network Access Control instalado. Es posible agregar direcciones MAC individuales o usar comodines para representar cadenas MAC del distribuidor. Es posible tambin importar las direcciones MAC desde un archivo de texto. Es posible agregar direcciones MAC con una VLAN asociada o sin ella que permite la compatibilidad de varias VLAN. Ver "Configuracin avanzada de Symantec Network Access Control Integrated Enforcer" en la pgina 994. Ver "Establecer la configuracin de comunicacin de Integrated Enforcer en Symantec Endpoint Protection Manager" en la pgina 982.
50
Funcin
Nuevas funciones de Network Access Control en Symantec Endpoint Protection Manager
Descripcin
Symantec Endpoint Protection Manager incluye la siguiente funcionalidad adicional para Symantec Network Access Control: Las listas de servidores de administracin de Enforcer pueden incluir servidores de administracin de partners de replicacin. Los Enforcers pueden conectarse a cualquier servidor de administracin en cualquier partner del sitio o partner de replicacin. Ver "Configuracin de una lista de servidores de administracin" en la pgina 722. Ver "Cmo configurar la conmutacin por error y el balanceo de carga" en la pgina 719. Los registros del cumplimiento para el cliente Symantec Network Access Control proporcionan informacin adicional sobre eventos de registro y resultados de comprobacin de integridad del host. Es posible ahora consultar qu requisito provoc la falla en la comprobacin de integridad del host en un equipo cliente. Ver "Ver registros" en la pgina 616.
LiveUpdate descarga plantillas de integridad del host para servidores de administracin. Por lo tanto, los equipos cliente pueden obtener las polticas de Integridad del host que incluyen las plantillas actualizadas de Integridad del host. Ver "Adicin de un requisito de integridad del host desde una plantilla" en la pgina 768. Los grupos de Enforcer admiten cuentas de administrador limitado y de administrador as como cuentas de administrador del sistema. Para una compaa grande con varios sitios y dominios, probablemente se necesitaran varios administradores, algunos de los cuales deberan contar con ms derechos de acceso que otros. Ver "Acerca de los administradores" en la pgina 651. Ver "Agregar una cuenta de administrador" en la pgina 655.
Presentacin de Symantec Endpoint Protection Acerca de los tipos de proteccin contra amenazas que Symantec Endpoint Protection proporciona
51
Funcin
Nuevas funciones de Enforcer
Descripcin
Symantec Network Access Control incluye las siguientes funciones:
Soporte de 64 bits para Integrated Enforcers. Ver "Requisitos del sistema para Integrated Enforcer para servidores DHCP de Microsoft" en la pgina 962. Ver "Requisitos del sistema para un dispositivo Integrated Enforcer para Microsoft Network Access Protection" en la pgina 1007. Soporte para Network Policy Server (NPS) con la implementacin de Microsoft Windows Server 2008 (Longhorn) de un servidor Radius y un proxy. Enforcer puede ahora autenticar los clientes que ejecutan Windows Vista o versiones posteriores y que usan la autenticacin 802.1x. Para DHCP Integrated Enforcer, se puede activar selectivamente la aplicacin basada en mbitos para los mbitos que se definen. Ver "Creacin de excepciones en el mbito DHCP" en la pgina 987. Ver "Configurar la cuarentena automtica" en la pgina 979. Gateway Enforcer admite el enlace 802.1q y clientes On-Demand al mismo tiempo. Es posible designar una nica VLAN en una VLAN de varios enlaces a los clientes On-Demand. Ver "Configuracin del cliente On-Demand en Windows para la autenticacin con el protocolo dot1x-tls" en la pgina 1043. Soporte de modo de aplicacin invitada, lo que permite a Gateway Enforcer actuar como servidor de descarga para clientes On-Demand. Gateway Enforcer descarga clientes On-Demand a equipos invitados, lo que habilita a los clientes a comunicarse con Enforcer por medio de navegadores web de equipos invitados. En el modo de aplicacin invitada, Gateway Enforcer remite trfico en lnea. Ver "Acerca de los clientes de Symantec Network Access Control On-Demand" en la pgina 1030. Compatibilidad con la persistencia del cliente On-Demand: la funcionalidad de estar en vivo por un perodo designado. Ver "Habilitar clientes bajo demanda de Symantec Network Access Control para conectarse temporalmente a una red" en la pgina 1037. El tamao de la base de datos local se ha aumentado a 32 MB para incorporar un nmero ms grande de direcciones MAC.
Acerca de los tipos de proteccin contra amenazas que Symantec Endpoint Protection proporciona
Symantec Endpoint Protection usa proteccin avanzada para integrar varios tipos de proteccin en cada equipo de la red. Ofrece defensa avanzada contra todos los tipos de ataques para los sistemas fsicos y los sistemas virtuales. Se necesitan combinaciones de todas las tecnologas de proteccin para proteger y personalizar
52
completamente la seguridad del entorno. Symantec Endpoint Protection combina el anlisis tradicional, el anlisis de comportamiento, la prevencin de intrusiones y la inteligencia de la comunidad en un sistema de seguridad superior. Tabla 1-2 describe los tipos de proteccin que proporciona el producto y sus ventajas. Tabla 1-2 Tipo de proteccin
Proteccin antispyware y antivirus
Capas de proteccin Ventaja

La proteccin antispyware y antivirus detecta nuevas amenazas de forma temprana y con mayor exactitud mediante soluciones basadas en firmas y en conducta, adems de otras tecnologas. Symantec Insight proporciona una deteccin ms rpida y ms exacta de software malicioso para detectar las nuevas y desconocidas amenazas que a otros enfoques les falta. Insight identifica amenazas de da cero nuevas usando la sabidura colectiva de millones de sistemas en centenares de pases. Bloodhound usa la heurstica para detectar un alto porcentaje de amenazas conocidas y desconocidas. Auto-Protect analiza los archivos de una lista de firmas a medida que se leen o se escriben en el equipo cliente.
Descripcin
La proteccin antispyware y antivirus protege a los equipos contra virus y riesgos para la seguridad y, en muchos casos, puede reparar los efectos secundarios. La proteccin incluye anlisis en tiempo real de archivos y del correo electrnico, as como anlisis programados y anlisis manuales. El anlisis de virus y spyware detecta los virus y los riesgos para la seguridad que pueden poner un equipo, as como una red, en peligro. Los riesgos para la seguridad incluyen spyware, publicidad no deseada y otros archivos maliciosos. Ver "Cmo administrar anlisis en los equipos cliente" en la pgina 293.
53
Tipo de proteccin
Descripcin
Ventaja
Proteccin La proteccin contra amenazas de red El motor del firewall basado en reglas contra amenazas proporciona proteccin de firewall y prevencin protege los equipos contra amenazas de red de intrusiones para evitar que los ataques de maliciosas antes de que aparezcan. intrusin y el contenido malicioso alcancen el El IPS analiza el trfico de red y los archivos equipo que ejecuta el software del cliente. para obtener indicaciones de intrusiones o intentos de intrusiones. El firewall permite o bloquea el trfico de red La prevencin contra intrusiones de segn diversos criterios que el administrador navegador realizar un anlisis en busca de configura. Si el administrador lo permite, los los ataques que se dirigen en las usuarios finales pueden adems configurar vulnerabilidades del navegador. polticas de firewall. La proteccin de descarga universal El sistema de prevencin de intrusiones (IPS) supervisa todas las descargas del navegador analiza toda la informacin entrante y saliente y valida las descargas que no son software de patrones de datos tpicos de un ataque. malicioso. Detecta y bloquea el trfico malintencionado y los intentos de ataque al equipo cliente por parte de usuarios externos. La prevencin de intrusiones tambin supervisa el trfico saliente y evita la propagacin de gusanos. Ver "Cmo administrar la proteccin mediante firewall" en la pgina 399. Ver "Cmo administrar la prevencin de intrusiones en sus equipos cliente" en la pgina 453.
54
Tipo de proteccin
Descripcin
Ventaja
SONAR examina los programas mientras se ejecutan e identifica y detiene la conducta maliciosa de nuevas y previamente desconocidas amenazas. SONAR usa la heurstica as como los datos de reputacin para detectar amenazas emergentes y desconocidas. El control de aplicacin controla qu aplicaciones se permiten ejecutar o qu aplicaciones pueden acceder a recursos del sistema. El control de dispositivos administra los dispositivos perifricos que los usuarios pueden conectar a los equipos de escritorio.
Proteccin La proteccin proactiva contra amenazas usa proactiva contra SONAR para brindar proteccin contra amenazas vulnerabilidades de ataques de da cero en la red. Las vulnerabilidades de ataque de da cero son las nuevas vulnerabilidades que todava no son pblicamente conocidas. Las amenazas que aprovechan estos puntos vulnerables pueden evadir la deteccin basada en firmas (como definiciones de spyware). Los ataques de da cero se pueden usar en ataques dirigidos y en la propagacin de cdigo malicioso. SONAR proporciona proteccin de conductas en tiempo real mediante la supervisin de procesos y amenazas a medida que se ejecutan. El control de aplicaciones y dispositivos supervisa y controla el comportamiento de aplicaciones en los equipos cliente y administra los dispositivos de hardware que acceden a los equipos cliente. Ver "Cmo administrar SONAR" en la pgina 381. Ver "Acerca del control de aplicaciones y dispositivos" en la pgina 475. Ver "Cmo configurar el control de aplicaciones y dispositivos" en la pgina 479.
El servidor de administracin impone cada proteccin usando una poltica asociada que se descarga al cliente. Figura 1-1 muestra las categoras de amenazas que bloquea cada tipo de proteccin.
Presentacin de Symantec Endpoint Protection Proteccin de su red con Symantec Endpoint Protection
55
Figura 1-1
Una descripcin general de las capas de proteccin
Internet
Puertas traseras Ataques de DoS Anlisis de puertos Ataques de pila Troyanos Gusanos Vulnerabilidades de la aplicacin Puertas traseras Vulnerabilidades del SO Troyanos Gusanos Modificaciones de registro/ proceso/archivo
Red de la empresa
Amenazas de personas de confianza Registradores de pulsaciones Retro virus Spyware Ataques dirigidos Troyanos Gusanos Amenazas de da cero Cambios de archivo de host y DNS Publicidad no deseada Puertas treseras Amenazas mutantes Spyware Troyanos Gusanos Virus
Proteccin contra amenazas de red
Poltica del firewall
Poltica de prevencin de intrusiones Tarjeta de interfaz de red Proteccin proactiva contra amenazas Polticas de control de aplicaciones y dispositivos Poltica de proteccin antivirus y antispyware (SONAR)
Memoria/perifricos Proteccin antispyware y antivirus
Poltica de proteccin antivirus y antispyware Sistema de archivos
Endpoint
Ver "Componentes de Symantec Endpoint Protection" en la pgina 76.
Proteccin de su red con Symantec Endpoint Protection

Proteja los equipos en su red instalando y administrando el cliente de Symantec Endpoint Protection Manager y de Symantec Endpoint Protection.
56
Para Symantec Network Access Control, instale el cliente de Symantec Endpoint Protection Manager y Symantec Network Access Control. Tabla 1-3 resume las tareas de alto nivel principales que es necesario realizar para usar Symantec Endpoint Protection. Tabla 1-3 Pasos para instalar, configurar y administrar Symantec Endpoint Protection Descripcin
Es posible instalar el cliente de Symantec Endpoint Protection Manager y Symantec Endpoint Protection o el cliente de Symantec Network Access Control y proteger su red siguiendo algunos pasos fciles. Ver "Encendido y ejecucin de Symantec Endpoint Protection por primera vez" en la pgina 57. Cmo administrar Symantec Symantec Endpoint Protection Manager viene con la Endpoint Protection configuracin y las polticas predeterminadas de modo que su red est protegida inmediatamente despus de la instalacin. Es posible modificar esta configuracin para adaptarla a su entorno de red. Ver "Cmo administrar la proteccin en los equipos cliente" en la pgina 64. Mantenimiento de un entorno de red seguro Es posible que sea necesario realizar cierto mantenimiento continuo para que el entorno de red siga ejecutndose sin problemas en momentos de rendimiento mximo. Por ejemplo, es necesario hacer copia de seguridad de la base de datos en el caso de que se necesite realizar recuperacin despus de un desastre. Ver "Mantener la seguridad de su entorno" en la pgina 67. Solucionar problemas en Symantec Endpoint Protection y Symantec Network Access Control Si tiene problemas para instalar o usar el producto, Symantec Endpoint Protection Manager incluye varios recursos para ayudar a reparar problemas comunes, como de comunicacin del servidor y el cliente y los ataques de virus. Ver "Cmo solucionar problemas de Symantec Endpoint Protection" en la pgina 68.
Tarea
Configuracin de Symantec Endpoint Protection
Ver "Componentes de Symantec Endpoint Protection" en la pgina 76.
57
Encendido y ejecucin de Symantec Endpoint Protection por primera vez

Es necesario evaluar sus requisitos de seguridad y decidir si la configuracin predeterminada proporciona el equilibrio de rendimiento y seguridad que necesita. Algunas mejoras de rendimiento pueden hacerse inmediatamente despus de instalar Symantec Endpoint Protection Manager. La Tabla 1-4 enumera las tareas que debe realizar para instalar y proteger los equipos de la red de forma inmediata. Tabla 1-4 Accin Descripcin Tareas para instalar y configurar Symantec Endpoint Protection
Planear la arquitectura Antes de instalar el producto, realice las siguientes tareas: de la red Asegrese de que el equipo en el cual instala el servidor de administracin cuente con los requisitos mnimos del sistema. Ver "Requisitos del sistema" en la pgina 84. Si instala o actualiza a la base de datos de Microsoft SQL Server, asegrese de que tenga la informacin del nombre de usuario y la contrasea. Ver "Acerca de la configuracin de SQL Server" en la pgina 92. En las redes con ms de 500 clientes, defina los requisitos de determinacin de tamao. Es necesario evaluar varios factores para asegurar el buen rendimiento de la red y la base de datos. Por ejemplo, es necesario identificar cuntos equipos necesitan proteccin y cuntas veces se deben programar actualizaciones de contenido. Para que la informacin le ayude a planificar instalaciones de mediana escala a gran escala, consulte el white paper de Symantec Recomendaciones de determinacin de tamao y escalabilidad para Symantec Endpoint Protection. Instalar o migrar al servidor de administracin Si instala el producto por primera vez, realiza una actualizacin desde una versin previa o migra desde otro producto, instale primero Symantec Endpoint Protection Manager. Ver "Cmo instalar el servidor de administracin y la consola" en la pgina 99. Ver "Acerca de la migracin a Symantec Endpoint Protection" en la pgina 152. Aumente el tiempo que La consola cierra la sesin despus de una hora. Es posible aumentar este perodo. la consola permite que Ver "Cmo aumentar el perodo de duracin de la sesin en la consola" en la pgina 106. la sesin se mantenga iniciada
58
Accin
Crear grupos y ubicaciones
Descripcin
Es posible agregar los grupos que contienen equipos segn el nivel de seguridad o la funcin que los equipos realizan. Por ejemplo, es necesario colocar equipos con un de alto nivel de seguridad en un grupo o un grupo de equipos Mac en otro grupo. Use la siguiente estructura de grupo como base:

Equipos de escritorio Equipos porttiles Servidores
Ver "Cmo se pueden estructurar los grupos" en la pgina 195. Ver "Adicin de un grupo" en la pgina 198. Es posible migrar los grupos existentes de Active Directory cuando instala Symantec Endpoint Protection Manager. Si est ejecutando la proteccin de versin anterior de Symantec, se actualiza generalmente la configuracin de la poltica y del grupo de la versin anterior. Ver "Importacin de una estructura de organizacin existente" en la pgina 197. Es posible aplicar otro nivel de seguridad a los equipos dependiendo de si estn dentro de la red de la compaa o fuera de ella. Para usar este mtodo, cree ubicaciones independientes y aplique diversas polticas de seguridad a cada ubicacin. Generalmente los equipos que se conectan a la red desde fuera del firewall deben contar con mayor nivel de seguridad que los que estn dentro del firewall. Es posible configurar una ubicacin que permita que los equipos mviles que no estn en la oficina actualicen las definiciones automticamente desde los servidores de Symantec. Ver "Cmo agregar una ubicacin a un grupo" en la pgina 239. Deshabilitar la herencia De forma predeterminada, los grupos heredan la configuracin de seguridad y de polticas en grupos especiales del grupo principal predeterminado, "Mi empresa". Es necesario deshabilitar la herencia antes de cambiar la configuracin de seguridad y de polticas para cualquier nuevo grupo que cree. Ver "Desactivar y activar la herencia de un grupo" en la pgina 200.
59
Accin
Cambiar la configuracin de comunicacin para aumentar el rendimiento
Descripcin
Es posible mejorar el rendimiento de la red al cambiar la configuracin de comunicacin del servidor cliente en cada grupo mediante la modificacin de la configuracin siguiente: Use el modo de obtencin en lugar del modo de transferencia para controlar cuando los clientes usan recursos de red para descargar polticas y actualizaciones de contenido. Aumente el intervalo de latidos y el intervalo de clculo aleatorio. Para los casos con menos de 100 clientes por servidor, aumente el latido entre 15 y 30 minutos. Para casos de 100 a 1000 clientes, aumente el latido entre 30 y 60 minutos. Entornos ms grandes podran necesitar un intervalo de latidos ms largo. Aumente el clculo aleatorio de descarga entre una y tres veces el intervalo de latidos.
Ver "Ordenar aleatoriamente descargas de contenido del servidor de administracin predeterminado o un Proveedor de actualizaciones de grupo" en la pgina 564. Ver "Configurar el modo de transferencia o al modo de obtencin para actualizar las polticas de los clientes y el contenido" en la pgina 274. Para obtener ms informacin, consulte el White paper de escalabilidad y determinacin de tamao de Symantec Endpoint Protection. Modifique las polticas Incremente la seguridad de los equipos remotos garantizando que las reglas del firewall de firewall para el grupo predeterminadas de una ubicacin fuera del sitio permanezcan habilitadas: de equipos remotos y el Bloquear uso compartido de archivos locales a equipos externos grupo de servidores Bloquear administracin remota
Disminuya la seguridad para el grupo de servidores asegurndose de que las siguientes reglas de firewall permanezcan habilitadas: Permitir uso compartido de archivos locales a equipos locales. Esta regla de firewall garantiza que solamente el trfico local est permitido.
Ver "Cmo personalizar reglas de firewall" en la pgina 439. Ver "Cmo administrar las ubicaciones para los clientes remotos" en la pgina 235.
60
Accin
Modificar la poltica de proteccin antivirus y antispyware
Descripcin
Cambie los siguientes valores de anlisis predeterminados: Para el grupo de servidores, cambie la hora de anlisis programado a una hora en que la mayora de los usuarios estn desconectados. Ver "Cmo configurar anlisis programados que se ejecutan en equipos Windows" en la pgina 316. Habilite el buscador de riesgos en Auto-Protect. Para obtener ms informacin, consulte el artculo de la base de conocimientos del soporte tcnico de Symantec Qu es un buscador de riesgos? Buscador de riesgos tiene los requisitos previos siguientes: Buscador de riesgos necesita que Proteccin contra amenazas de red est habilitado. Ver "Ejecucin de comandos en el equipo cliente desde la consola" en la pgina 215. Buscador de riesgos necesita que Compartir archivos e impresoras de Windows est activado. Ver "Cmo personalizar Auto-Protect para los clientes Windows" en la pgina 353.
Activar la licencia del producto Preparar los equipos para la instalacin del cliente (opcional)
Adquiera una licencia y actvela dentro del plazo de 60 das de instalacin del producto. Ver "Cmo activar su licencia de producto" en la pgina 116. Antes de instalar el software de cliente, realice las siguientes tareas, si es necesario: Desinstale el software de proteccin contra virus de otro fabricante de los equipos. Para obtener ms informacin sobre una herramienta para desinstalar cualquier producto competitivo de forma automtica, consulte el artculo de la base de conocimientos Herramienta de desinstalacin de producto competitivo SEPprep. Si implementa el software de cliente remotamente, primero, modifique la configuracin del firewall en sus equipos cliente para permitir la comunicacin entre los equipos y el servidor de administracin.
Ver "Acerca de firewalls y puertos de comunicaciones" en la pgina 129. Ver "Preparacin para la instalacin de clientes" en la pgina 127.
61
Accin
Descripcin
Instalar el software del Cree un paquete de instalacin de clientes e implemntelo en los equipos cliente. cliente con el Asistente Como prctica recomendada, cambie el nombre del paquete predeterminado de exportacin de implementacin del a un nombre que identifique exclusivamente el paquete en su sistema. cliente Ver "Cmo implementar clientes usando un vnculo web y un correo electrnico" en la pgina 138. Ver "Configuracin de funciones de paquetes de instalacin de clientes" en la pgina 148. Ver "Exportar paquetes de instalacin de clientes" en la pgina 148. Para los componentes de Auto-Protect, anule la seleccin de Lotus Notes si tiene Microsoft Outlook. Si tiene Mail Security, anule la seleccin de Microsoft Outlook y Lotus Notes. Para ayudar a bloquear los remitentes de correo masivo, puede dejar POP/SMTP estndar habilitado, pero aun as deshabilitar Microsoft Outlook y Lotus Notes. Use Modo de equipo para la mayora de los entornos, en lugar de Modo de usuario Ver "Alternar un cliente entre modo de usuario y modo de equipo" en la pgina 216.
62
Accin
Descripcin
Comprobar que los En la consola de administracin, en la pgina Clientes > Clientes : equipos estn detallados 1 Cambie la vista a Estado del cliente para asegurarse de que los equipos cliente en en los grupos que usted cada grupo se comuniquen con el servidor de administracin. esperaba y que el cliente Consulte la informacin en las columnas siguientes: se comunica con el La columna Nombre muestra un punto verde para los clientes que estn servidor de conectados al servidor de administracin. administracin Ver "Acerca de los iconos de estado de proteccin de los clientes" en la pgina 205. La columna ltimo cambio de estado muestra la hora en que el cliente se comunic por ltima vez con el servidor de administracin. La columna Debe reiniciar muestra qu equipos cliente es necesario reiniciar para habilitar la proteccin. Ver "Cmo reiniciar equipos cliente" en la pgina 143. La columna Nmero de serie de la poltica muestra el nmero de serie de la poltica ms actual. Es posible que la poltica no se actualice por uno a dos latidos. Ver "Cmo usar el nmero de serie de la poltica para comprobar la comunicacin de servidor a cliente" en la pgina 276.
Cambie a la vista Tecnologa de proteccin y asegrese de que las protecciones siguientes estn configuradas en Activado : Estado del antivirus
Estado del firewall
Ver "Visualizar el estado de proteccin de los clientes y equipos cliente" en la pgina 207.
En el cliente, compruebe que el cliente est conectado a un servidor y compruebe que el nmero de serie de la poltica sea el ms actual. Ver "Visualizacin del estado de conexin del cliente en el cliente" en la pgina 1064.
Ver "Cmo solucionar problemas de comunicacin entre el servidor de administracin y el cliente" en la pgina 1062. Convierta un equipo cliente en cada segmento de la red en un detector de endpoints sin proteccin Para cada segmento de la red, permita que un equipo cliente detecte cundo un equipo que no est protegido se agrega a la red. Estos equipos se denominan detectores no administrados y la opcin es Habilitar como detector no administrado. Ver "Configuracin de un cliente para detectar dispositivos desconocidos" en la pgina 217.
63
Accin
Descripcin
Configure las revisiones Configure el nmero de revisiones de contenido almacenado en el servidor para reducir de contenido disponible el uso del ancho de banda para los clientes. para los clientes a fin de Por lo general, se ofrecen tres actualizaciones de contenido por da. Configure el nmero reducir el ancho de de actualizaciones que se conservan en el servidor. Por lo general, se desean almacenar banda solamente las actualizaciones de contenido ms recientes. Un cliente que no se ha conectado durante el tiempo que el servidor tarda en acumular el nmero determinado de actualizaciones, descarga el paquete de contenido completo. Un paquete completo supera los 100 MB. El tamao de una actualizacin incremental es de 1 MB a 2 MB. Configure el nmero de actualizaciones almacenadas en una configuracin que minimice la cantidad de veces que un cliente debe descargar un paquete de actualizacin completo. En general, 10 revisiones de contenido ocupan aproximadamente 3,5 GB de espacio libre en disco en Symantec Endpoint Protection Manager. Para obtener ms informacin sobre las necesidades de almacenamiento y ancho de banda, consulte el White paper de escalabilidad y determinacin de tamao de Symantec Endpoint Protection. Comprobar la Asegrese de que las actualizaciones de contenido se descarguen a los equipos cliente en programacin de un momento que afecte a los usuarios lo menos posible. LiveUpdate y ajustarla, Ver "Configurar la programacin de descarga de LiveUpdate para Symantec Endpoint si es necesario Protection Manager" en la pgina 553. Configurar Symantec Endpoint Protection Manager para enviar alertas por correo electrnico Las alertas y las notificaciones son crticas para mantener un entorno seguro y pueden adems ahorrar tiempo. Ver "Cmo administrar notificaciones" en la pgina 627.
Configure notificaciones Cree una notificacin para un Evento de riesgo simple y modifique la notificacin para para un nico ataque de Ataque de riesgo. riesgo y cuando se Para estas notificaciones, haga lo siguiente: detecta un nuevo riesgo 1 Cambie la Gravedad del riesgo a Categora 1 (Muy Bajo y superior) para evitar recibir correos electrnicos sobre cookies de seguimiento.
Conserve la configuracin Reduccin en Automtico.
Ver "Cmo configurar notificaciones de administrador" en la pgina 638.
Tabla 1-5 muestra las tareas para realizar despus de instalar y configurar el producto para evaluar si los equipos cliente tienen el nivel correcto de proteccin.
64
Tabla 1-5 Accin

Excluir aplicaciones y archivos del anlisis
Tareas para realizar dos semanas despus de la instalacin
Descripcin
Es posible aumentar el rendimiento de modo que el cliente no analice ciertas carpetas y ciertos archivos. Por ejemplo, el cliente analiza el servidor de correo cada vez que se ejecuta un anlisis programado. Es posible mejorar el rendimiento excluyendo las carpetas y los archivos que son conocidos por causar problemas si se analizan. Por ejemplo, Symantec Endpoint Protection no debe analizar los archivos propietarios de Microsoft SQL Server. Para mejorar el rendimiento y evitar daar o bloquear los archivos cuando Microsoft SQL Server debe usarlos, debe crear excepciones para impedir el anlisis de las carpetas que contienen estos archivos de bases de datos. Para obtener ms informacin, consulte el artculo de la base de conocimientos Cmo excluir carpetas y archivos de MS SQL con excepciones centralizadas. Es posible tambin excluir archivos por extensin en anlisis de Auto-Protect. Ver "Cmo crear las excepciones para Symantec Endpoint Protection" en la pgina 519. Ver "Cmo personalizar Auto-Protect para los clientes Windows" en la pgina 353. Ver "Acerca de los comandos que puede ejecutar en los equipos cliente"en la pgina 355 en la pgina 355.
Ejecutar un informe Ejecute los siguientes informes rpidos e informes programados para ver si los equipos rpido y un informe cliente tienen el nivel de seguridad correcto. programado despus del Ver "Acerca de los tipos de informes" en la pgina 607. anlisis programado Ver "Ejecucin y personalizacin de informes rpidos" en la pgina 610. Ver "Creacin de informes programados" en la pgina 613. Comprobar para Revise los monitores, los registros y el estado de equipos cliente para asegurarse de tener asegurarse de que los el nivel correcto de proteccin para cada grupo. anlisis programados se Ver "Supervisin de proteccin de endpoints" en la pgina 595. hayan realizado correctamente y los clientes funcionen como se esperaba
Cmo administrar la proteccin en los equipos cliente

Se usa una nica consola de administracin para administrar la proteccin en los equipos cliente. Aunque los equipos cliente estn protegidos de forma inmediata, puede ser recomendable modificar la proteccin para adaptarla a sus necesidades. Tabla 1-6 resume las tareas que se pueden realizar si es necesario ajustar la configuracin predeterminada.
65
Tabla 1-6 Tarea Descripcin
Cmo modificar la proteccin en el equipo cliente
Organizar y Se aplica la proteccin a los equipos cliente segn el grupo en el que coloca un equipo. Los administrar grupos equipos en cada grupo tienen el mismo nivel de seguridad. Es posible importar la estructura de grupo existente de su compaa. Es posible tambin crear nuevos grupos. Para determinar qu grupos agregar, primero considere la estructura de la red. O, si crea una nueva estructura de grupo, base su estructura de grupo en la funcin, el rol, la regin geogrfica o una combinacin de criterios. Por ejemplo, considere el nmero de equipos en el sitio o si los equipos son del mismo tipo, tal como equipos Windows o Mac. Ver "Cmo administrar los grupos de clientes" en la pgina 193. Ver "Cmo administrar los equipos cliente" en la pgina 204. Agregando ubicaciones a un grupo, se puede cambiar qu poltica es asignada a un equipo cliente segn dnde se encuentra el equipo. Por ejemplo, puede ser recomendable tener una poltica distinta que se aplique a un equipo cliente en una oficina, un hogar u otra empresa. Ver "Cmo administrar las ubicaciones para los clientes remotos" en la pgina 235. Modificar la proteccin Symantec Endpoint Protection Manager incluye las polticas predeterminadas para cada tipo de proteccin. Las polticas equilibran la necesidad de proteccin con rendimiento. Inicialmente, las polticas predeterminadas proporcionan la configuracin apropiada para organizaciones grandes y pequeas. Es posible ajustar la configuracin a lo largo del tiempo segn lo que su compaa necesita. Ver "Tipos de polticas de seguridad" en la pgina 254. Ver "Acerca de los tipos de proteccin contra amenazas que Symantec Endpoint Protection proporciona" en la pgina 51. Ver "Cmo administrar anlisis en los equipos cliente" en la pgina 293. Ver "Cmo administrar la proteccin mediante firewall" en la pgina 399. Ver "Cmo administrar la prevencin de intrusiones en sus equipos cliente" en la pgina 453. Ver "Cmo configurar el control de aplicaciones y dispositivos" en la pgina 479. Cmo configurar la proteccin en entornos virtuales Administrar polticas Symantec Endpoint Protection proporciona las funciones que mejoran el rendimiento en entornos virtuales. Ver "Cmo administrar Symantec Endpoint Protection en entornos virtuales" en la pgina 372. Las polticas de seguridad se deben aplicar a un grupo antes de que los clientes apliquen las polticas al equipo cliente. Es posible crear polticas que sean compartidas por todos los grupos o que se apliquen a un grupo solamente. Symantec Endpoint Protection Manager facilita la tarea de agregar y modificar polticas para todas las necesidades de seguridad de su compaa. Ver "Cmo realizar tareas que son comunes a todas las polticas de seguridad" en la pgina 257.
66
Tarea
Programar y administrar actualizaciones
Descripcin
Los equipos cliente necesitan recibir actualizaciones peridicas de contenido de proteccin, como definiciones de virus, firmas de prevencin de intrusiones y software del producto. Es posible configurar el mtodo, el tipo de contenido y la programacin que Symantec Endpoint Protection usa para descargar el contenido a los equipos cliente. Ver "Cmo administrar actualizaciones de contenido" en la pgina 534.
Controlar el acceso de usuarios
Es posible configurar el cliente para que muestre diferentes funciones del cliente y funciones de proteccin. Cmo se configuran estas funciones depende de cunto control desee que los usuarios del equipo cliente tengan en cada grupo. Ver "Modificar el nivel de control del usuario" en la pgina 223. Ver "Configurar opciones de la interfaz de usuario" en la pgina 226.
Administrar la Symantec recomienda analizar qu tipo de seguridad necesitan los equipos. Si no implement implementacin del el paquete de instalacin de clientes en el momento en el que instal Symantec Endpoint cliente Protection Manager, se puede implementar el software de cliente ms tarde. Tiene la opcin de buscar equipos sin proteccin. Ver "Preparacin para la instalacin de clientes" en la pgina 127. Ver "Cmo implementar clientes usando un vnculo web y un correo electrnico" en la pgina 138. Supervisar y responder a los cambios de estado Se usan informes y registros para ver el estado de seguridad de los equipos cliente. Los informes y los registros le ayudan a manejar ataques de virus y a aumentar la seguridad y el rendimiento de la red de su compaa. Es posible tambin configurar notificaciones para alertar a los administradores y a los usuarios sobre problemas de seguridad potenciales. Ver "Supervisin de proteccin de endpoints" en la pgina 595. Ver "Cmo administrar notificaciones" en la pgina 627. Optimizar Symantec Es posible configurar Symantec Endpoint Protection para mejorar el rendimiento en el servidor Endpoint Protection de administracin y en los equipos cliente. Ver "Mejora del rendimiento del cliente y del servidor" en la pgina 678. Administrar dominios y administradores Administrar administradores Los dominios separan deberes administrativos para un conjunto de grupos. Se usan dominios para administrar los equipos cliente que se encuentran en diversas compaas o unidades de negocio. Es posible agregar cuentas de administrador, de modo que diversos administradores tengan diversos niveles de control sobre cmo administrar los grupos, las polticas, los comandos y los informes en Symantec Endpoint Protection Manager. Ver "Cmo administrar dominios y cuentas de administrador" en la pgina 650.
67
Tarea
Administrar el cumplimiento del endpoint
Descripcin
Es posible instalar y administrar Symantec Network Access Control para asegurarse de que un equipo cliente cumple la poltica de seguridad de la compaa. Si el equipo la cumple, el equipo tiene permitido conectarse a la red de la compaa. Si el equipo cliente no la cumple, el equipo debe primero obtener y ejecutar el software que necesita para reparar automticamente los errores de cumplimiento antes de que el equipo pueda conectarse a la red. Ver "Acerca de los tipos de aplicacin en Symantec Network Access Control" en la pgina 736. Ver "Cmo implementar Symantec Network Access Control" en la pgina 754.
Mantener la seguridad de su entorno

Una vez que haya protegido su red, puede ser recomendable modificar la proteccin y la infraestructura para aumentar la seguridad o para aumentar el rendimiento. Puede ser recomendable adaptarse a los cambios arquitectnicos, como agregar un nuevo servidor de administracin o proporcionar proteccin para equipos cliente adicionales. Tabla 1-7 Tareas que se pueden realizar para mantener la seguridad de su red
Tarea
Descripcin
Comprobar el estado Es necesario comprobar peridicamente la pgina principal para ver el estado de seguridad de seguridad de su total de su red. Es posible usar las notificaciones, los informes y los registros para proporcionar red detalles sobre el estado de seguridad. Ver "Supervisin de proteccin de endpoints" en la pgina 595. Ver "Cmo administrar notificaciones" en la pgina 627. Mantener la base de Symantec Endpoint Protection Manager admite la base de datos integrada y una base de datos datos de Microsoft SQL. La base de datos almacena informacin sobre la configuracin que defini en el servidor de administracin, como las polticas, los grupos, los paquetes de instalacin de clientes y las entradas de registro. Si el ancho de banda o el espacio en el disco duro es un problema, se puede reducir al mnimo la cantidad de datos almacenados y realizar otras tareas para aumentar el rendimiento de la base de datos. En caso de corrupcin de datos o error de hardware, es necesario hacer copia de seguridad de la base de datos regularmente. Ver "Mantener la base de datos" en la pgina 703.
68
Tarea
Mantenimiento de licencias
Descripcin
Es posible comprobar si su licencia est a punto de caducar o si tiene demasiados clientes implementados para lo que cubre su licencia. Ver "Mantener sus licencias del producto" en la pgina 120.
Preparacin para la recuperacin despus de un desastre Reconfiguracin de servidores
Para ayudar a atenuar un caso de dao de datos o de un error de hardware, es necesario hacer copia de seguridad de la base de datos regularmente y hacer una copia de los archivos especficos del servidor de administracin. Ver "Preparacin para la recuperacin despus de un desastre" en la pgina 727. A medida que agrega ms equipos cliente, puede ser recomendable instalar servidores de administracin adicionales y configurarlos. Puede ser recomendable configurar la conmutacin por error y el balanceo de carga. Es posible que adems necesite cambiar de una base de datos integrada a una base de datos de Microsoft SQL. Ver "Administrar servidores" en la pgina 673. Ver "Establecimiento de la comunicacin entre el servidor de administracin y los servidores de correo electrnico" en la pgina 635. Ver "Especificacin de un servidor proxy que los clientes usan para comunicarse con Symantec LiveUpdate o un servidor interno de LiveUpdate" en la pgina 555. Ver "Configurar Symantec Endpoint Protection Manager para conectarse a un servidor proxy para acceder a Internet" en la pgina 555.
Cmo configurar la conmutacin por error y el balanceo de carga
Dentro de un sitio, se configura la conmutacin por error para mantener la comunicacin cuando los clientes no pueden comunicarse con un servidor de administracin. Se configura el balanceo de carga para distribuir la administracin de clientes entre los servidores de administracin. Ver "Cmo configurar la conmutacin por error y el balanceo de carga" en la pgina 719.
Cmo solucionar problemas de Symantec Endpoint Protection

Tabla 1-8 muestra la mayora de los problemas comunes que es posible que encuentre cuando instale y use Symantec Endpoint Protection.
69
Tabla 1-8 Tarea

Cmo reparar problemas de instalacin
Problemas comunes que puede solucionar
Descripcin
Es posible descargar y ejecutar la herramienta de soporte de Symantec Endpoint Protection para verificar que sus equipos estn listos para la instalacin. La herramienta de apoyo se proporciona con el servidor de administracin y el cliente. Tambin est disponible en el sitio web del soporte tcnico de Symantec. Ver "Descargar la herramienta de soporte de Symantec Endpoint Protection para solucionar problemas del equipo" en la pgina 1061. Ver "Identificacin del punto de falla de una instalacin" en la pgina 1062.
Administracin de ataques de virus
Es posible evitar que amenazas ataquen los equipos en su red. Ver "Cmo evitar y controlar ataques del virus y de spyware en los equipos cliente" en la pgina 286. Ver "Cmo reparar riesgos en los equipos en su red" en la pgina 289. Si una amenaza ataca un equipo cliente, puede identificar y responder a la amenaza. Consulte el siguiente artculo de la base de conocimientos: Prcticas recomendadas para la solucin de problemas de virus en una red.
Solucin de problemas de actualizacin de contenido Reparacin de errores de comunicacin
Si las ltimas definiciones de virus no se actualizan correctamente en Symantec Endpoint Protection Manager o los clientes, consulte el artculo de la base de conocimientos siguiente: Symantec Endpoint Protection: solucin de problemas de LiveUpdate. Los canales de comunicaciones entre todos los componentes de Symantec Endpoint Protection deben estar abiertos. Estos canales incluyen de servidor a cliente, de servidor a base de datos, y de servidor y cliente a componente de entrega de contenido, tal como LiveUpdate. Ver "Cmo solucionar problemas de comunicacin entre el servidor de administracin y el cliente" en la pgina 1062. Ver "Solucionar problemas de comunicacin entre el servidor de administracin y la consola o la base de datos" en la pgina 1072. Consulte el siguiente artculo de la base de conocimientos: Solucin de problemas de comunicacin de Symantec Endpoint Protection Manager.
Ejecucin de recuperacin despus de un desastre
En caso de daos en la base de datos o de error de hardware, puede restaurar la ltima instantnea de la base de datos si tiene un archivo de copia de seguridad de base de datos. Ver "Ejecucin de recuperacin despus de un desastre" en la pgina 1057.
Reduccin del Es posible poner ms espacio a disposicin en la base de datos si el tamao de la base de datos espacio en la base de se vuelve demasiado grande. datos Ver "Mantener la base de datos" en la pgina 703.
70
Tarea
Solucin de problemas de elaboracin de informes
Descripcin
Es posible solucionar diversos problemas de informes y registros. Ver "Solucin de problemas de elaboracin de informes" en la pgina 1077.
Solucin de Es posible solucionar diversos problemas del dispositivo Enforcer. problemas con el Ver "Cmo solucionar problemas en un dispositivo Enforcer" en la pgina 1087. dispositivo Enforcer
Consulte el artculo de la base de conocimientosPrincipales artculos de Prcticas recomendadas para Symantec Endpoint Protection.
Seccin
Instalacin de Symantec Endpoint Protection
Captulo 2. Planificacin de la instalacin Captulo 3. Instalacin de Symantec Endpoint Protection Manager Captulo 4. Administracin de licencias de productos Captulo 5. Preparacin para la instalacin de clientes Captulo 6. Instalacin del cliente de Symantec Endpoint Protection Captulo 7. Actualizacin y migracin a Symantec Endpoint Protection Captulo 8. Configuracin y administracin de sitios y replicacin Captulo 9. Administracin de Symantec Endpoint Protection en Protection Center
72
Captulo
Planificacin de la instalacin

Planificacin de la instalacin Componentes de Symantec Endpoint Protection Componentes de Symantec Network Access Control Consideraciones de la arquitectura de red Requisitos de la licencia de producto Requisitos del sistema Instalaciones virtuales y productos de virtualizacin admitidos Acerca de la compatibilidad de Symantec Endpoint Protection Manager con otros productos Acerca de la eleccin de un tipo de base de datos Acerca de la configuracin de SQL Server Acerca de los modos de autenticacin de la base de datos de SQL Server
Planificacin de la instalacin
Tabla 2-1 resume los pasos de alto nivel para instalar Symantec Endpoint Protection.
74
Planificacin de la instalacin Planificacin de la instalacin
Tabla 2-1 Paso

Paso 1
Planificacin de la instalacin Descripcin
Accin
Planificar la arquitectura Comprenda los requisitos de tamao para su red. Adems de identificar los de red endpoints que necesitan proteccin, la programacin de actualizaciones y otras variables se deben evaluar para asegurar un buen rendimiento de la red y de la base de datos. Ver "Consideraciones de la arquitectura de red" en la pgina 81. Para que la informacin le ayude a planificar instalaciones de mediana escala a gran escala, consulte el white paper de Symantec, Recomendaciones de tamao y elevacin para Symantec Endpoint Protection. Ver "Concesin de licencias de Symantec Endpoint Protection" en la pgina 112.
Paso 2
Revisar los requisitos del Asegrese de que sus equipos cumplan con los requisitos mnimos del sistema sistema y que se comprendan los requisitos de concesin de licencias del producto. Ver "Requisitos del sistema" en la pgina 84. Ver "Requisitos de la licencia de producto" en la pgina 82.
Paso 3
Preparar los equipos para la instalacin
Desinstale el otro software de proteccin antivirus de sus equipos, asegrese de que el acceso a nivel del sistema est disponible y abra los firewalls para permitir la implementacin remota. Ver "Preparacin para la instalacin de clientes" en la pgina 127. Ver "Cmo preparar los sistemas operativos Windows para la implementacin remota" en la pgina 131.
Paso 4
Abra los puertos y permita los protocolos
La implementacin remota del cliente necesita que ciertos puertos y protocolos estn abiertos y se permitan entre Symantec Endpoint Protection Manager y los equipos de endpoint. Ver "Acerca de firewalls y puertos de comunicaciones" en la pgina 129.
Paso 5
Identificar la configuracin de la instalacin
Identifique los nombres de usuario, las contraseas, las direcciones de correo electrnico y la configuracin de la otra instalacin. Tenga la informacin a mano durante la instalacin. Ver "Acerca de la configuracin de la instalacin del cliente" en la pgina 147.
Planificacin de la instalacin Planificacin de la instalacin
75
Paso
Paso 6
Accin
Instale el servidor de administracin
Descripcin
Instale Symantec Endpoint Protection Manager. Si la red que admite su empresa es pequea y est ubicada en una ubicacin geogrfica, deber instalar solamente un Symantec Endpoint Protection Manager. Si la red est geogrficamente dispersa, es posible que sea necesario instalar servidores de administracin adicionales para el balanceo de carga y la distribucin del ancho de banda. Si la red es muy grande, se pueden instalar sitios adicionales con bases de datos adicionales y configurarlas para compartir datos con la replicacin. Para proporcionar redundancia adicional, se pueden instalar sitios adicionales para admitir la conmutacin por error. Ver "Cmo configurar la conmutacin por error y el balanceo de carga" en la pgina 719. Ver "Cmo instalar el servidor de administracin y la consola" en la pgina 99.
Paso 7
Migrar el software Si est ejecutando la proteccin de versin anterior de Symantec, se migra heredado de proteccin generalmente la configuracin de la poltica y del grupo de su versin anterior. contra virus de Symantec Ver "Acerca de la migracin a Symantec Endpoint Protection" en la pgina 152. Preparar los equipos para la instalacin del cliente Preprese para la instalacin del cliente de la siguiente manera:

Paso 8
Identifique los equipos en los cuales se instalar el software de cliente.
Identifique los mtodos que se deben usar para implementar el software de cliente en los equipos. Desinstale el software de proteccin contra virus de otro fabricante de los equipos. Modifique o deshabilite la configuracin del firewall en sus equipos de endpoint para permitir la comunicacin entre los endpoints y Symantec Endpoint Protection Manager. Instale los grupos de la consola del equipo para que coincidan con su estructura organizativa. Ver "Preparacin para la instalacin de clientes" en la pgina 127.
Paso 9
Instalar los clientes
Instale el cliente de Symantec Endpoint Protection en los equipos de endpoint. Symantec recomienda que, adems, instale el cliente en el equipo que alberga Symantec Endpoint Protection Manager. Ver "Cmo implementar clientes usando un vnculo web y un correo electrnico" en la pgina 138.
Paso 10
Tareas posteriores a la instalacin
Ver "Encendido y ejecucin de Symantec Endpoint Protection por primera vez" en la pgina 57.
Ver "Acerca de la licencia del software de prueba" en la pgina 114.
76
Planificacin de la instalacin Componentes de Symantec Endpoint Protection
Componentes de Symantec Endpoint Protection

La Tabla 2-2 enumera los componentes del producto y describe sus funciones. Tabla 2-2 Componente
Symantec Endpoint Protection Manager
Componentes del producto Descripcin

Symantec Endpoint Protection Manager es un servidor de administracin que gestiona los equipos cliente que se conectan a la red de la compaa. Symantec Endpoint Protection Manager incluye el software siguiente: El software de la consola coordina y administra las polticas de seguridad, los equipos cliente, los informes y los registros. La consola es la interfaz para el servidor de administracin. Adems, se puede instalar y usar remotamente en cualquier equipo con una conexin de red al servidor de administracin. El software del servidor de administracin ofrece comunicacin segura con la consola y los equipos cliente.
Base de datos
La base de datos que almacena las polticas de seguridad y los eventos. La base de datos est instalada en el equipo que alberga Symantec Endpoint Protection Manager. Ver "Acerca de la eleccin de un tipo de base de datos" en la pgina 91.
Cliente de Symantec Endpoint Protection
El cliente de Symantec Endpoint Protection protege los equipos con anlisis antivirus y antispyware, SONAR, Diagnstico Insight de descargas, un firewall, un sistema de prevencin de intrusiones y otras tecnologas de proteccin. Se ejecuta en los servidores, los escritorios y los equipos porttiles que desea proteger. El cliente Mac de Symantec Endpoint Protection protege los equipos con anlisis en busca de virus y spyware. Para obtener ms informacin, consulte la Gua del cliente de Symantec Endpoint Protection y Symantec Network Access Control. Ver "Acerca de Symantec Endpoint Protection" en la pgina 41.
Planificacin de la instalacin Componentes de Symantec Endpoint Protection
77
Componente
Descripcin
Symantec Protection Center Symantec Protection Center se instala cuando instala Symantec Endpoint Protection Manager. Protection Center le permite integrar las consolas de administracin de varios productos de seguridad de Symantec admitidos en un nico entorno de administracin. Ver "Acerca de Symantec Endpoint Protection y Protection Center" en la pgina 185. Administrador de LiveUpdate El Administrador de LiveUpdate descarga definiciones, (opcional) firmas y actualizaciones del producto del servidor de Symantec LiveUpdate y distribuye las actualizaciones a los equipos cliente. Para obtener ms informacin, consulte la Gua del usuario del Administrador de Symantec LiveUpdate. Cuarentena central (opcional) La Cuarentena central recibe los archivos sospechosos y los elementos infectados sin reparar de los clientes de Symantec Endpoint Protection. Cuarentena central remite una muestra a Symantec Security Response, que analiza la muestra. Si una amenaza es nueva, Symantec Security Response crea actualizaciones de seguridad. Para obtener ms informacin, consulte la Gua de implementacin de la Cuarentena central de Symantec.
78
Planificacin de la instalacin Componentes de Symantec Network Access Control
Figura 2-1
Los componentes del producto en una red
Equipos que ejecutan el cliente Symantec Endpoint Protection, conectndose por un tnel a travs de la VPN
Internet
Firewall
Red Ethernet local
Symantec Endpoint Protection Manager, con el cliente Symantec Endpoint Protection instalado
Equipos que ejecutan el cliente Symantec Endpoint Protection
Ver "Componentes de Symantec Network Access Control" en la pgina 78. Ver "Acerca de los tipos de proteccin contra amenazas que Symantec Endpoint Protection proporciona" en la pgina 51.
Componentes de Symantec Network Access Control

La Tabla 2-3 enumera los componentes del producto y describe sus funciones.
79
Tabla 2-3 Componente
Componentes del producto Symantec Network Access Control Descripcin

Symantec Endpoint Protection Manager es un servidor de administracin que gestiona los equipos cliente que se conectan a la red de la compaa. Symantec Endpoint Protection Manager incluye el software siguiente: El software de la consola coordina y administra las polticas de seguridad, los equipos cliente, los informes y los registros. La consola es la interfaz para el servidor de administracin. Adems, se puede instalar y usar remotamente en cualquier equipo con una conexin de red al servidor de administracin. El software del servidor de administracin ofrece comunicacin segura con la consola y los equipos cliente.
Base de datos
La base de datos que almacena las polticas de seguridad y los eventos. La base de datos est instalada en el equipo que alberga Symantec Endpoint Protection Manager. Ver "Acerca de la eleccin de un tipo de base de datos" en la pgina 91.
Cliente de Symantec Network El cliente de Symantec Network Access Control aplica el Access Control cumplimiento de las polticas de seguridad en los equipos cliente usando comprobaciones de integridad del host y funcionalidades de aplicacin automtica. El cliente informa el estado del cumplimiento de la integridad del host a Symantec Enforcer. Para obtener ms informacin, consulte la Gua del cliente de Symantec Endpoint Protection y Symantec Network Access Control. Ver "Acerca de Symantec Network Access Control" en la pgina 735. Symantec Protection Center Symantec Protection Center se instala cuando instala Symantec Endpoint Protection Manager. Protection Center le permite integrar las consolas de administracin de varios productos de seguridad de Symantec admitidos en un nico entorno de administracin. Ver "Acerca de Symantec Endpoint Protection y Protection Center" en la pgina 185.
80
Componente
Descripcin
Administrador de LiveUpdate El Administrador de LiveUpdate descarga definiciones, (opcional) firmas y actualizaciones del producto del servidor de Symantec LiveUpdate y distribuye las actualizaciones a los equipos cliente. Para obtener ms informacin, consulte la Gua del usuario del Administrador de Symantec LiveUpdate. Symantec Enforcer (opcional) Un Enforcer garantiza que los clientes que intentan conectarse a la red cumplan con las polticas de seguridad configuradas. Es posible restringir el acceso a los equipos que no estn en cumplimiento a segmentos especficos de la red para su reparacin y es posible prohibir completamente el acceso a los equipos que no estn en cumplimiento. Symantec Network Access Control incluye los siguientes tipos de Enforcer: El dispositivo Gateway Enforcer proporciona aplicacin in line en los puntos de obstruccin de red. El dispositivo Enforcer del LAN 802.1x proporciona un enfoque basado en estndares fuera de banda para las redes LAN e inalmbricas. DHCP Integrated Enforcer proporciona un enfoque basado en DHCP para las redes LAN e inalmbricas en cualquier infraestructura. La Proteccin de acceso a la red de Microsoft Integrated Enforcer proporciona un enfoque basado en Microsoft NAP para las redes inalmbricas y LAN.
Ver Acerca de los dispositivos LAN Enforcer en la pgina 799. Ver "Acerca de Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft" en la pgina 959. Ver "Acerca de Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection" en la pgina 960.
Planificacin de la instalacin Consideraciones de la arquitectura de red
81
Componente
Clientes On-Demand para Windows y Macintosh (opcionales) de Symantec Network Access Control
Descripcin
Los clientes On-Demand son los clientes temporales que se proporcionan a los usuarios cuando no estn autorizados para acceder a su red. Los equipos cliente no autorizados no tienen el software que cumple con las polticas de seguridad. Una vez Enforcer ha instalado un cliente On-Demand, se conecta temporalmente a su red de empresa como invitado. Ver "Acerca de los clientes de Symantec Network Access Control On-Demand" en la pgina 1030.
Consideraciones de la arquitectura de red

Es posible instalar Symantec Endpoint Protection para propsitos de prueba independientemente de la arquitectura de red de la compaa. Es posible instalar Symantec Endpoint Protection Manager en algunos clientes y familiarizarse con las funciones y las caractersticas. Ver "Planificacin de la instalacin" en la pgina 73. Cuando est listo para instalar los clientes de produccin, es necesario planear la implementacin segn sus necesidades informticas y de la estructura de organizacin. Es recomendable que tome en consideracin los siguientes elementos cuando planea la implementacin:
Symantec Endpoint Protection Manager Los administradores usan Symantec Endpoint Protection Manager para administrar polticas de seguridad y equipos cliente. Es conveniente considerar la seguridad y la disponibilidad del equipo en el cual Symantec Endpoint Protection Manager est instalado. Consola remota Los administradores pueden usar un equipo remoto que ejecute el software de consola para acceder a Symantec Endpoint Protection Manager. Los administradores pueden usar un equipo remoto cuando estn lejos de la oficina. Debe asegurarse de que los equipos remotos cumplan los requisitos de la consola remota. Equipos locales y remotos Los equipos remotos pueden tener conexiones de red ms lentas. Es posible que desee utilizar un mtodo de instalacin diferente que el que se usa para instalar equipos locales.
82
Planificacin de la instalacin Requisitos de la licencia de producto
Equipos portables, como equipo porttiles Es posible que los equipos portables no se conecten a la red en una programacin regular. Es conveniente hacer que los equipos portables se actualicen con el servidor de LiveUpdate en lugar de actualizarse con Symantec Endpoint Protection Manager. Equipos que se encuentran en reas seguras Los equipos que se encuentran en reas seguras pueden necesitar una configuracin de seguridad diferente que los equipos que no estn situados en reas seguras.
Debe identificar los equipos en los cuales se planea instalar el cliente. Symantec recomienda que se instale el software de cliente en todos los equipos desprotegidos, incluido el equipo que ejecuta Symantec Endpoint Protection Manager. Debe decidir cmo desea administrar los equipos. En la mayora de los casos, se administran desde la consola de Symantec Endpoint Protection Manager. Estos se llaman los equipos administrados. Puede ser recomendable administrar manualmente los equipos portables que se conectan a la red de la compaa intermitentemente, por ejemplo los dispositivos mviles como las computadoras porttiles. Un equipo manualmente administrado se llama un equipo no administrado. Los equipos que nunca se conectan a la red de la compaa son, por definicin, los equipos no administrados (porque nunca se conectan a Symantec Endpoint Protection Manager). Debe organizar los equipos con necesidades de seguridad similares en grupos. Por ejemplo, es posible que tenga que organizar los equipos del Departamento de Nmina de Pago en el grupo de Nmina de pago. La estructura del grupo que se define probablemente coincide con la estructura de su organizacin. Se crean los grupos usando Symantec Endpoint Protection Manager. Ajuste la configuracin de la poltica de seguridad para los grupos que necesitan restricciones adicionales. Se asignan los equipos a los grupos. Es posible asignar los equipos a los grupos durante la instalacin del cliente. Es posible tambin asignar los equipos a los grupos desde la consola despus de la instalacin del cliente.
Requisitos de la licencia de producto

Si desea usar Symantec Endpoint Protection despus de que el perodo de prueba caduca, es necesario comprar una licencia de producto. Se compra una licencia segn los siguientes requisitos:
Planificacin de la instalacin Requisitos de la licencia de producto
83
Tabla 2-4 Producto
Requisitos de la licencia de producto Requisito

Es necesario comprar una licencia que cubra cada cliente implementado. Una licencia cubre todos los clientes sin importar la plataforma y la versin. Ver "Reglas de aplicacin de concesin de licencias" en la pgina 121.
Instalacin de la licencia paga
Software heredado de proteccin contra virus de Symantec
Symantec Endpoint Protection acepta el archivo de licencia de su software heredado de proteccin contra virus de Symantec. Es necesario comprar una nueva licencia cuando la licencia de versin anterior caduca. Una licencia de prueba de 60 das se incluye con Symantec Endpoint Protection. Es necesario comprar una licencia cuando la licencia de prueba caduca.
Software de prueba
La terminologa siguiente se aplica a las licencias de producto de Symantec:

Nmero de serie Una licencia contiene un nmero de serie que identifica nicamente a su licencia y asocia la licencia a su compaa. El nmero de serie se puede usar para activar su licencia de Symantec Endpoint Protection. Ver "Cmo activar su licencia de producto" en la pgina 116. Implementado Implementado hace referencia a los equipos de endpoint que cuentan con la proteccin del software de cliente de Symantec Endpoint Protection. Por ejemplo, tenemos 50 puestos implementados significa que 50 equipos endpoint tienen software de cliente instalado. Se activa su licencia de producto de Symantec Endpoint Protection para habilitar el acceso sin restriccin a la funcionalidad del programa. Se usa el Asistente para la activacin de licencias para completar el proceso de activacin. Ver "Cmo activar su licencia de producto" en la pgina 116. Puesto Un puesto es un nico equipo de endpoint que est protegido por el software de cliente de Symantec Endpoint Protection. Una licencia se compra y es vlida para un nmero de puestos especfico. Los puestos vlidos hacen referencia al nmero de puestos totales que se especifican en todas sus licencias activas.
Activar
84
Planificacin de la instalacin Requisitos del sistema
Software de prueba
El software de prueba hace referencia a una instalacin de funcionalidad completa de Symantec Endpoint Protection que funciona durante el perodo de prueba gratuito. El perodo de prueba es de 60 das desde la instalacin inicial de Symantec Endpoint Protection Manager. Si desea continuar usando Symantec Endpoint Protection ms all del perodo de prueba, es necesario comprar y activar una licencia para su instalacin. No es necesario desinstalar el software para pasar de software de prueba a una instalacin con licencia. Ver "Compra de licencias" en la pgina 114.
Sobreimplementada
Una licencia est sobreimplementada cuando el nmero de clientes implementados excede el nmero de puestos con licencia.
Una vez que haya determinado sus requisitos de licencia, haga las siguientes tareas:
Compre la licencia. Ver "Compra de licencias" en la pgina 114. Active la licencia. Ver "Cmo activar su licencia de producto" en la pgina 116.
Comprender los requisitos de la licencia es parte de planificar su instalacin de Symantec Endpoint Protection y, despus de la instalacin, administrar sus licencias de producto. Ver "Planificacin de la instalacin" en la pgina 73. Ver "Concesin de licencias de Symantec Endpoint Protection" en la pgina 112.
Requisitos del sistema

Generalmente, los requisitos del sistema para Symantec Endpoint Protection Manager y los clientes son iguales a los de los sistemas operativos admitidos. Los detalles adicionales se proporcionan en las tablas siguientes. Tabla 2-5 muestra los requisitos mnimos para Symantec Endpoint Protection Manager. Tabla 2-6 muestra los requisitos mnimos para el cliente Symantec Endpoint Protection. Tabla 2-7 muestra los requisitos mnimos para el cliente Symantec Network Access Control. Tabla 2-8 muestra los requisitos mnimos para el cliente On-Demand de Symantec Network Access Control.
85
Tabla 2-5 Componente

Procesador
Requisitos del sistema de Symantec Endpoint Protection Manager Requisitos

Procesador de 32 bits: Intel Pentium III de 1 GHz o mnimo equivalente (Intel Pentium 4 o equivalente recomendado) Procesador de 64 bits: Pentium 4 de 2 GHz con soporte x86-64 o el mnimo equivalente
Nota: No se admiten los procesadores Intel Itanium IA-64 y PowerPC.

RAM fsica 1 GB de RAM para los sistemas operativos de 32 bits, 2 GB de RAM para los sistemas operativos de 64 bits o ms si lo requiere el sistema operativo 4 GB o ms de espacio libre 800 x 600

Disco duro Pantalla Sistema operativo
Windows 7
Windows XP (de 32 bits, SP 3 o posterior; de 64 bits, todas las versiones SP) Windows Server 2003 (de 32 bits, de 64 bits, R2, SP 1 o posterior)

Windows Server 2008 (de 32 bits, de 64 bits) Windows Small Business Server 2008 (de 64 bits) Windows Small Business Server 2011 (de 64 bits) Windows Essential Business Server 2008 (de 64 bits) Microsoft Internet Explorer 7, 8 o 9 Mozilla Firefox 3.6 o 4.0
Navegador web
Nota: Los clientes anteriores a la versin 12.1 se pueden administrar con esta versin de Symantec Endpoint Protection Manager, independientemente del sistema operativo del cliente. Symantec Endpoint Protection Manager tiene una base de datos integrada. Tambin puede usar una de las siguientes versiones de Microsoft SQL Server:

SQL Server 2000, SP 4 o posterior SQL Server 2005, SP 2 o posterior SQL Server 2008
Nota: Si instala Symantec Endpoint Protection Manager y base de datos SQL en el mismo equipo, se recomienda contar con un mnimo de 4 GB de RAM.
86
Tabla 2-6
Requisitos del sistema del cliente Windows y Mac de Symantec Endpoint Protection Requisitos
Procesador de 32 bits para Windows: Intel Pentium III de 1 GHz o mnimo equivalente (Intel Pentium 4 o equivalente recomendado) Procesador de 32 bits para Mac: Intel Core Solo, Intel Core Duo
Componente
Procesador
Procesador de 64 bits para Windows: Pentium 4 de 2 GHz con soporte para x86-64 o el mnimo equivalente. No se admiten procesadores Itanium. Procesador de 64 bits para Mac: Intel Core 2 Duo, Intel Quad-Core Xeon
RAM fsica Disco duro Pantalla Sistema operativo
512 MB de RAM o ms si lo requiere el sistema operativo Disco duro: 700 MB o ms de espacio libre 800 x 600 Windows XP (de 32 bits, SP 2 o posterior; de 64 bits, todas las versiones SP) Windows XP Embedded

Windows Vista (de 32 bits, de 64 bits) Windows 7 (de 32 bits, de 64 bits) Windows Server 2003 (de 32 bits, de 64 bits, R2, SP 1 o posterior) Windows Server 2008 (de 32 bits, de 64 bits) Windows Small Business Server 2008 (de 64 bits) Windows Small Business Server 2011 (de 64 bits) Windows Essential Business Server 2008 (de 64 bits) Mac OS X 10.5 10.6 (de 32 bits, de 64 bits) Mac OS X Server 10.5 10.6 (de 32 bits, de 64 bits)
Para obtener informacin sobre los requisitos del sistema para el cliente de Symantec AntiVirus en Linux, consulte la Gua de implementacin de Symantec AntiVirus para Linux.
87
Tabla 2-7
Requisitos del sistema del cliente de Symantec Network Access Control Requisito
Procesador de 32 bits para Windows: Intel Pentium III de 1 GHz o mnimo equivalente (Intel Pentium 4 o equivalente recomendado) Procesador de 64 bits para Windows: Pentium 4 de 2 GHz con soporte para x86-64 o el mnimo equivalente. No se admiten procesadores Itanium.
Componente
Procesador
Sistema operativo
Windows XP (de 32 bits, XP 2 o posterior; de 64 bits, todas las versiones SP) Windows XP Embedded

Windows Vista (de 32 bits, de 64 bits) Windows 7 (de 32 bits, de 64 bits) Windows Server 2003 (de 32 bits, de 64 bits, R2, SP 1 o posterior) Windows Server 2008 (de 32 bits, de 64 bits) Windows Small Business Server 2008 (de 64 bits) Windows Essential Business Server 2008 (de 64 bits)
RAM fsica Disco duro Pantalla
512 MB de RAM o ms si lo requiere el sistema operativo 32 bits: 300 MB; 64 bits: 400 MB 800 x 600
Tabla 2-8
Requisitos del sistema del cliente On-Demand de Symantec Network Access Control Requisito
Windows: Intel Pentium II de 550 MHz (1 GHz para Windows Vista) o una versin superior Mac: Intel, PowerPC G5 o PowerPC G4 de 867 MHz o ms rpido

Componente
Procesador
Sistema operativo
Windows XP Home o Professional (de 32 bits, SP 2 y SP 3) Windows Vista (de 32 bits, de 64 bits) Windows 7 (de 32 bits, de 64 bits) Windows Server 2003 (de 32 bits, de 64 bits, R2, SP 1 o posterior) Windows Server 2008 (de 32 bits, de 64 bits) Windows Small Business Server 2008 (de 64 bits) Windows Essential Business Server 2008 (de 64 bits) Mac OS X 10.4, 10.5 o 10.6
88
Componente
Espacio libre en disco y RAM fsica
Requisito
Tamao de la descarga: 9 MB. Cantidad de espacio libre en el disco que se necesita para ejecutar el cliente: 100 MB. RAM fsica para clientes On-Demand de Windows o Mac: 512 MB

Navegador web
Para clientes On-Demand de Windows: Microsoft Internet Explorer 6.0 o posterior; Mozilla Firefox 2.0, 3.0, 3.5, 3.6.3
Nota: Los clientes de la versin 11.0 RU6 e inferior no admiten

Firefox 3.6.3.
Para clientes On-Demand de Mac: Apple Safari 4.0 y 5.0; Mozilla Firefox 2.0, 3.0, 3.5, 3.6.3
Nota: Los clientes de la versin 11.0 RU6 e inferior no admiten

Firefox 3.6.3. Otros

Monitor de video: Super VGA (1.024 x 768) o superior Al menos un adaptador de Ethernet (con TCP/IP instalado)
Ver "Instalaciones virtuales y productos de virtualizacin admitidos" en la pgina 89. Ver "Requisitos de internacionalizacin" en la pgina 88.
Requisitos de internacionalizacin
Ciertas restricciones se aplicarn cuando se instale Symantec Endpoint Protection Manager en un entorno que no sea en ingls o que tenga idiomas mezclados. Tabla 2-9 Componente Requisitos Requisitos de internacionalizacin
Nombres del equipo, Los caracteres que no pertenecen al ingls se admiten con las limitaciones siguientes: nombres del servidor La auditora de red puede no funcionar para hosts o usuarios que utilicen un juego de y nombres del grupo de caracteres de doble byte o un juego de caracteres high-ASCII. trabajo Es posible que los nombres del juego de caracteres de doble byte o los nombres del juego de caracteres high-ASCII no aparezcan correctamente en la consola de Symantec Endpoint Protection Manager o en la interfaz de usuario del cliente. Los nombres del host con juegos de caracteres high-ASCII o de doble byte largos no pueden ser ms largos que lo permitido por NetBIOS. Si el nombre de host es ms largo de lo que NetBIOS permite, las pginas Inicio, Supervisin e Informes no aparecen en la consola de Symantec Endpoint Protection Manager.
Planificacin de la instalacin Instalaciones virtuales y productos de virtualizacin admitidos
89
Componente
Caracteres en ingls
Requisitos
Los caracteres del alfabeto ingls son obligatorios en las situaciones siguientes:

Para implementar un paquete cliente en un equipo remoto.
Para definir la carpeta de datos del servidor en el Asistente para la configuracin del servidor de administracin. Para definir la ruta de instalacin de Symantec Endpoint Protection Manager.

Para definir las credenciales cuando se implementa el cliente en un equipo remoto.
Para definir un nombre de grupo. Es posible crear un paquete cliente para un nombre de grupo que contenga caracteres que no pertenecen al alfabeto ingls. Es posible que no pueda implementar el paquete cliente usando el Asistente de implementacin mediante transferencia cuando el nombre de grupo contiene caracteres que no pertenecen al alfabeto ingls. Para transferir caracteres que no pertenecen al alfabeto ingls a los equipos cliente. Es posible que algunos caracteres que no pertenecen al alfabeto ingls que se generan en el servidor no aparezcan correctamente en la interfaz de usuario del cliente. Por ejemplo, un nombre de ubicacin de juego de caracteres de doble byte no aparece correctamente en equipos cliente con nombres que no tienen caracteres de doble byte. Cuadro de dilogo del equipo cliente Informacin del usuario No utilice caracteres de doble byte ni high-ASCII al incluir comentarios en el cuadro de dilogo del equipo cliente Informacin del usuario una vez que instala el paquete exportado. Ver "Recopilacin de informacin de usuarios" en la pgina 229.
Asistente para la No use los caracteres de doble byte en los campos siguientes: activacin de licencias Nombre

Apellido Nombre de la empresa Ciudad Estado/Provincia
Ver "Cmo usar el Asistente para la activacin de licencias" en la pgina 116.
Ver "Requisitos del sistema" en la pgina 84.
Instalaciones virtuales y productos de virtualizacin admitidos

Es posible usar los clientes de Symantec Endpoint Protection para proteger sesiones virtuales de los sistemas operativos admitidos. Symantec Endpoint Protection Manager puede instalarse y mantenerse en sesiones virtuales de los sistemas operativos admitidos.
90
Planificacin de la instalacin Acerca de la compatibilidad de Symantec Endpoint Protection Manager con otros productos
Ver "Requisitos del sistema" en la pgina 84. Tabla 2-10 enumera los productos de virtualizacin admitidos. Tabla 2-10 Productos de virtualizacin admitidos Producto de virtualizacin
Software de Symantec
Symantec Endpoint Protection VMware WS 5.0 (estacin de trabajo) o Manager, consola y componentes de la posterior base de datos integrada VMware GSX 3.2 (empresa) o posterior VMware ESX 2.5 (estacin de trabajo) o posterior VMware VMotion

Microsoft Virtual Server 2005 Windows Server 2008 Hyper-V Novell Xen
Software de cliente de Symantec Endpoint Protection
VMware WS 5.0 (estacin de trabajo) o posterior VMware GSX 3.2 (empresa) o posterior
VMware ESX 2.5 (estacin de trabajo) o posterior VMware VMotion

Microsoft Virtual Server 2005 Windows Server 2008 Hyper-V Novell Xen
Ver "Cmo distribuir aleatoriamente anlisis para mejorar el rendimiento del equipo en entornos virtualizados" en la pgina 360. Para obtener informacin sobre las funciones de Symantec Endpoint Protection que mejoran el rendimiento en entornos virtuales, consulte la Gua de implementacin de memoria cach de conocimientos compartida de Symantec Endpoint Protection y la Gua de implementacin de Exlusin de imgenes virtuales de Symantec Endpoint Protection.
Acerca de la compatibilidad de Symantec Endpoint Protection Manager con otros productos

Algunos productos pueden causar conflictos con Symantec Endpoint Protection cuando estn instalados en el mismo servidor. Es necesario configurar la
Planificacin de la instalacin Acerca de la eleccin de un tipo de base de datos
91
instalacin de Symantec Endpoint Protection Manager si uno o ms de los productos siguientes est instalado en el mismo servidor:

Symantec Backup Exec 10, 10D u 11D Symantec Brightmail Symantec Enterprise Vault Symantec Ghost Solution Suite 2.0 Symantec Mail Security for Exchange Symantec NetBackup Microsoft Outlook Web Access Microsoft SharePoint Microsoft Windows Update Services
En la mayora de los casos, son necesarios cambios en el puerto para permitir que estos programas se ejecuten simultneamente con Symantec Endpoint Protection. Para obtener informacin sobre los cambios de configuracin, consulte el artculo de la base de conocimientos del soporte tcnico de Symantec, Cmo resolver los problemas de compatibilidad con Symantec Endpoint Protection. Ver "Requisitos del sistema" en la pgina 84.
Acerca de la eleccin de un tipo de base de datos

Symantec Endpoint Protection Manager usa una base de datos para almacenar informacin sobre los clientes y la configuracin. La base de datos se crea como parte del proceso de configuracin. Es necesario decidir qu tipo usar antes de instalar el servidor de administracin. No es posible usar la consola hasta que se haya configurado el servidor de administracin para usar una base de datos. Tabla 2-11 Tipos de base de datos que Symantec Endpoint Protection Manager utiliza Descripcin
La base de datos integrada se incluye con Symantec Endpoint Protection Manager. La base de datos integrada no necesita la configuracin y es la ms fcil de instalar. La base de datos integrada admite hasta 5000 clientes.
Tipo de base de datos

Base de datos integrada
92
Planificacin de la instalacin Acerca de la configuracin de SQL Server
Tipo de base de datos

Base de datos de Microsoft SQL Server
Descripcin
Si eligi usar esta opcin, deber instalar Microsoft SQL Server antes de instalar Symantec Endpoint Protection Manager. Adems, las herramientas del cliente de SQL Server se deben instalar en el mismo equipo donde se instala Symantec Endpoint Protection Manager. Sera recomendable considerar la posibilidad de comprar e instalar Microsoft SQL Server por los siguientes motivos: Es necesario admitir ms de 5000 clientes. Cada servidor de administracin que usa Microsoft SQL Server puede admitir hasta 50.000 clientes. Si su organizacin tiene ms de 50.000 clientes, se puede instalar otro servidor de administracin. Desear admitir la conmutacin por error y el balanceo de carga. Se desean configurar los servidores de administracin adicionales como partners del sitio. Ver "Determinacin de los sitios que necesita" en la pgina 176.
Si crea una base de datos de Microsoft SQL Server, debe primero instalar una sesin del servidor de Microsoft SQL y configurarla para la comunicacin con el servidor de administracin. Si planea configurar servidores de administracin adicionales como partners del sitio, es necesario usar una base de datos de SQL Server para el servidor de administracin. Ver "Acerca de la configuracin de SQL Server" en la pgina 92.
Acerca de la configuracin de SQL Server

Si instala Symantec Endpoint Protection Manager con una base de datos de Microsoft SQL Server, hay requisitos de configuracin especficos para SQL Server. Ver "Cmo instalar el servidor de administracin y la consola" en la pgina 99. Antes de crear la base de datos, Symantec recomienda que se instale una nueva sesin de SQL Server que cumpla los requisitos de instalacin y configuracin de Symantec. Se puede instalar una base de datos en una copia anterior, pero la copia debe configurarse correctamente para que la instalacin de la base de datos se realice correctamente. Por ejemplo, si selecciona una intercalacin de SQL que distinga entre maysculas y minsculas, no se completar la instalacin.
93
Advertencia: Symantec Endpoint Protection Manager autentica a Microsoft SQL Server con un nombre de usuario y una contrasea de propietario de la base de datos de texto en blanco. Para maximizar la seguridad de las comunicaciones remotas de Microsoft SQL Server, coloque ambos servidores en una subred segura. Tabla 2-12 Configuracin
Nombre de sesin
Configuracin necesaria de SQL Server Requisito de instalacin

No use el nombre predeterminado. Cree un nombre, tal como SEPM. De forma predeterminada, una base de datos denominada Sem5 se crea en la sesin de SQL Server cuando se instala Symantec Endpoint Protection Manager. Se admite el nombre predeterminado, pero puede causar confusin si se instalan varias sesiones en un equipo.
Configuracin de la autenticacin
Modo mixto o Modo de autenticacin de Windows Ver "Acerca de los modos de autenticacin de la base de datos de SQL Server" en la pgina 96.
contrasea del sa
Configure esta contrasea cuando configure la autenticacin del Modo mixto. TCP/IP
Protocolo habilitado
Direcciones IP para TCP/IP (SQL Server Habilitar IP1 e IP2 2005 y 2008 solamente) Nmeros de puerto TCP/IP para IP1, IP2 y IPALL (SQL Server 2005 y 2008 solamente) Configure los puertos dinmicos TCP para esconder y especifique un nmero de puerto TCP. El puerto predeterminado tpicamente es 1433. Se especifica este nmero de puerto cuando se crea la base de datos. La base de datos de Symantec Endpoint Protection Manager no admite puertos dinmicos. Conexiones remotas (SQL Server 2005 Se las debe habilitar. Tambin se debe especificar y 2008 solamente) el protocolo TCP/IP.
Si la base de datos se encuentra en un servidor remoto, se deben instalar los componentes del cliente de SQL Server, incluido BCP.EXE, en el equipo que ejecuta Symantec Endpoint Protection Manager. Consulte la documentacin de Microsoft SQL Server para obtener las instrucciones de instalacin.
94
Durante la fase de configuracin de la base de datos de Symantec Endpoint Protection Manager de la instalacin, seleccione y especifique diferentes valores de base de datos. Comprenda las decisiones que debe tomar para configurar correctamente la base de datos. Tabla 2-13 muestra la configuracin que debe conocer antes de iniciar el proceso de instalacin. Tabla 2-13 Configuracin
Nombre del servidor
Configuracin de la base de datos SQL Server Descripcin

Nombre del equipo que ejecuta Symantec Endpoint Protection Manager. Carpeta en la cual Symantec Endpoint Protection Manager coloca los archivos de datos, incluidos copias de seguridad, registros replicados y otros archivos de Symantec Endpoint Protection Manager. El instalador crea esta carpeta si no existe. La contrasea que cifra la comunicacin entre Symantec Endpoint Protection Manager, los clientes y los dispositivos de hardware Enforcer opcionales. La contrasea puede incluir entre 1 y 32 caracteres alfanumricos y es obligatoria. Documente esta contrasea y colquela en una ubicacin segura. No es posible modificar o recuperar la contrasea despus de crear la base de datos. Es necesario tambin escribir esta contrasea para la recuperacin despus de un desastre si no tiene una copia de seguridad de la base de datos para restaurar. Ver "Ejecucin de recuperacin despus de un desastre" en la pgina 1057.
Predeterminado
nombre del host local
Carpeta de datos del servidor
C:\Program Files\Symantec Endpoint Protection Manager\data
Contrasea de cifrado Ninguno
Servidor de bases de datos
nombre del host local
Nombre del Microsoft SQL Server y de la sesin opcional. Si el servidor de bases de datos se instal con la sesin predeterminada, que no tiene nombre, escriba nombre de host o direccin IP del host. Si el servidor de bases de datos fue instalado con una sesin con nombre, escriba el nombre de host\nombre_sesin o la direccin IP\nombre_sesin. El uso del nombre de host funciona solamente con una DNS correctamente configurada. Si instala en un servidor de base de datos remoto, debe primero instalar los componentes del cliente de SQL Server en el equipo que ejecuta Symantec Endpoint Protection Manager.
95
Configuracin
Puerto de SQL Server
Predeterminado
1433
Descripcin
El puerto usado para enviar trfico a SQL Server y recibir trfico de l. No se admite el puerto 0, que se utiliza para especificar un puerto negociado al azar.
Nombre de la base de datos Usuario
sem5
Nombre de la base de datos creada.
sem5
Nombre de la cuenta de usuario de la base de datos creada. La cuenta de usuario tiene un rol estndar con acceso de lectura y escritura. El nombre puede ser una combinacin de valores alfanumricos y de los caracteres especiales ~#%_+=|:./. No se admiten los caracteres especiales `!@$^&*()-{}[]\\<;>,?. Los nombres siguientes tampoco se permiten: sysadmin, server admin, setupadmin, securityadmin, processadmin, dbcreator, diskadmin, bulkadmin. La contrasea que se debe asociar a la cuenta de usuario de la base de datos. El nombre puede ser una combinacin de valores alfanumricos y de los caracteres especiales ~#%_+=|:./. Los caracteres especiales !@*(){}[];,? no estn permitidos. Ubicacin del directorio de la utilidad del cliente de SQL local que contiene bcp.exe.
Contrasea
Ninguno
Carpeta de cliente de SQL
SQL Server 2000: C:\Program Files\Microsoft SQL Server\80\Tools\Binn SQL Server 2005: C:\Program Files\Microsoft SQL Server\90\Tools\Binn SQL Server 2008: C:\Program Files\Microsoft SQL Server\100\Tools\Binn
Usuario administrador Ninguno de bases de datos Contrasea del Ninguno administrador de bases de datos
Nombre de la cuenta de administrador del servidor de bases de datos, que tpicamente es "sa". Contrasea que se asocia a la cuenta de usuario del administrador de bases de datos.
96
Planificacin de la instalacin Acerca de los modos de autenticacin de la base de datos de SQL Server
Configuracin
Predeterminado
Descripcin
Carpeta de datos de la Detectado automticamente al Ubicacin de la carpeta de datos de SQL Server. Si realiza base de datos hacer clic en Predeterminado. la instalacin en un servidor remoto, el identificador del volumen debe coincidir con el identificador en el servidor SQL Server 2000: C:\Program remoto. Files\Microsoft SQL Server\MSSQL\Data Si se instala una sesin con nombre en SQL Server 2000, el nombre de la sesin se aade al final de MSSQL con SQL Server 2005: C:\Program una muestra de dlar. Por ejemplo, \MSSQL$nombre Files\Microsoft SQL de sesin\Data. Server\MSSQL.1\MSSQL\Data Si se instala una sesin con nombre en SQL Server 2005, SQL Server 2008: C:\Program el nombre de la sesin se aade al final de MSSQL con Files\Microsoft SQL Server\ un identificador numrico. Por ejemplo, MSSQL10.MSSQLSERVER\ \MSSQL.1\nombre de sesin\Data. MSSQL\Data Si instala en una sesin con nombre en SQL Server 2008, el nombre de la sesin se aade al final de MSSQL10. Por ejemplo, \MSSQL10.nombre de sesin\Data.
Nota: Al hacer clic en Predeterminado se visualiza la

carpeta de instalacin correcta, si usted escribi el servidor de bases de datos y el nombre de la sesin correctamente. Si hace clic en Predeterminado y no aparece la carpeta de instalacin correcta, la creacin de la base de datos falla.
Acerca de los modos de autenticacin de la base de datos de SQL Server

Symantec Endpoint Protection Manager admite dos modos de autenticacin de base de datos de SQL Server:

Modo de autenticacin de Windows Modo mixto
Microsoft SQL Server se puede configurar para usar el Modo de autenticacin de Windows o el Modo mixto. La autenticacin de modo mixto permite el uso de credenciales de Windows o de SQL Server. Cuando SQL Server se configura para usar el Modo mixto, Symantec Endpoint Protection Manager se puede configurar para usar el Modo de autenticacin de Windows o el Modo mixto de autenticacin. Cuando SQL Server se configura para usar el modo de autenticacin de Windows, Symantec Endpoint Protection Manager debe tambin configurarse para usar el modo de autenticacin de Windows. Para las conexiones de bases de datos remotas que usan el modo de autenticacin de Windows, sea consciente de los siguientes requisitos:
97
Para las implementaciones en un entorno de Active Directory, Symantec Endpoint Protection Manager y SQL Server deben encontrarse en el mismo dominio de Windows. Para las implementaciones en un entorno de grupo de trabajo, las credenciales de cuenta de Windows deben ser las mismas para los equipos locales y los equipos remotos.
Ver "Acerca de la configuracin de SQL Server" en la pgina 92.
98
Captulo
Instalacin de Symantec Endpoint Protection Manager


Cmo instalar el servidor de administracin y la consola Cmo configurar el servidor de administracin durante la instalacin Aceptar el certificado autofirmado para Symantec Endpoint Protection Manager Cmo desinstalar Symantec Endpoint Protection Manager Inicio de sesin en la consola de Symantec Endpoint Protection Manager Cmo aumentar el perodo de duracin de la sesin en la consola Qu se puede hacer desde la consola
Cmo instalar el servidor de administracin y la consola

Se realizan varias tareas para instalar el servidor y la consola. En el asistente para la instalacin, una marca de verificacin verde aparece al lado de cada tarea completada. Ver "Requisitos del sistema" en la pgina 84. Ver "Preparacin para la instalacin de clientes" en la pgina 127.
100
Instalacin de Symantec Endpoint Protection Manager Cmo instalar el servidor de administracin y la consola
Ver "Encendido y ejecucin de Symantec Endpoint Protection por primera vez" en la pgina 57. Para instalar el servidor de administracin y la consola
Inserte y visualice el disco del producto. La instalacin debe iniciarse automticamente. Si no se inicia, haga doble clic en Setup.exe. Si descarg el producto, descomprima la carpeta y extraiga la imagen entera del disco del producto en un disco fsico, como un disco duro. Ejecute Setup.exe del disco fsico.
2 3 4 5 6 7 8
En el cuadro de dilogo Symantec Endpoint Protection, haga clic en Instalar Symantec Endpoint Protection. Haga clic en InstalarSymantec Endpoint Protection Manager. En el panel Bienvenido, haga clic en Siguiente. Revise la secuencia de eventos de instalacin y, luego, haga clic en Siguiente. En el panel Contrato de licencia, haga clic en Acepto los trminos del contrato de licencia y, a continuacin, en Siguiente. En el panel Carpeta de destino, acepte la carpeta de destino predeterminada o especifique otra carpeta de destino y despus haga clic en Siguiente. Haga clic en Instalar. El proceso de instalacin comienza con la instalacin de Symantec Endpoint Protection Manager y de la consola.
Siga las indicaciones que se proporcionan en el asistente para la instalacin.
Instalacin de Symantec Endpoint Protection Manager Cmo configurar el servidor de administracin durante la instalacin
101
10 Una vez que la instalacin inicial se completa, se configura el servidor y la

base de datos. El Asistente para la configuracin del servidor de administracin se inicia de forma automtica. Ver "Cmo configurar el servidor de administracin durante la instalacin" en la pgina 101. Ver "Acerca de la eleccin de un tipo de base de datos" en la pgina 91.
11 Despus de la configuracin del servidor y la base de datos, migre

opcionalmente su instalacin de proteccin contra virus de versin anterior de Symantec a la versin ms reciente. Ver "Cmo migrar configuraciones de grupo y de polticas" en la pgina 156. Ver "Acerca de los mtodos de implementacin del cliente" en la pgina 137. Ver "Cmo implementar clientes usando un vnculo web y un correo electrnico" en la pgina 138.
Cmo configurar el servidor de administracin durante la instalacin

El Asistente para la configuracin del servidor de administracin se inicia automticamente despus de la instalacin de Symantec Endpoint Protection Manager. Ver "Cmo instalar el servidor de administracin y la consola" en la pgina 99. Es posible tambin iniciar el Asistente de configuracin de administracin en cualquier momento despus de la instalacin desde Inicio > Todos los programas > Symantec Endpoint Protection Manager > Symantec Endpoint Protection Manager Tools. Para configurar el servidor, se especifica la siguiente informacin:
El tipo de configuracin: predeterminada o personalizada. El asistente proporciona la informacin sobre cada tipo. Si desea usar un archivo de recuperacin. Nota: Si esta es su primera instalacin de Symantec Endpoint Protection Manager, no hay archivo de recuperacin. Ver "Ejecucin de recuperacin despus de un desastre" en la pgina 1057.
La contrasea para la cuenta de administrador predeterminada.
102
Instalacin de Symantec Endpoint Protection Manager Aceptar el certificado autofirmado para Symantec Endpoint Protection Manager
La direccin de correo electrnico que recibe notificaciones e informes importantes. El nombre y el nmero de puerto del servidor de correo electrnico. Es posible agregar opcionalmente la informacin del partner si tiene un partner de Ventas de Symantec que administre sus licencias de Symantec.
Cada tipo de configuracin tiene un proceso de configuracin aparte. Siga las instrucciones que se proporcionan en el Asistente para la configuracin del servidor para completar la configuracin. Ver "Planificacin de la instalacin" en la pgina 73.
Aceptar el certificado autofirmado para Symantec Endpoint Protection Manager

Cuando se instala Symantec Endpoint Protection Manager, un certificado autofirmado para las pginas que aparecen en un navegador se incluye como parte de la instalacin. Cuando usted primero accede a estas pginas desde una consola remota, es necesario aceptar el certificado autofirmado para que las pginas se muestren. Los certificados se almacenan por separado para cada usuario. Cada cuenta de administrador debe aceptar el certificado para cada ubicacin remota desde la cual se conecte al servidor de administracin. Ver "Inicio de sesin en la consola de Symantec Endpoint Protection Manager" en la pgina 104.
Cmo desinstalar Symantec Endpoint Protection Manager

Desinstalar Symantec Endpoint Protection Manager desinstala el servidor, la consola y la base de datos. Es posible desinstalar opcionalmente los archivos de copia de seguridad de base de datos. Si planea reinstalar Symantec Endpoint Protection Manager, es necesario hacer una copia de seguridad de la base de datos antes de que la desinstale. Es necesario desactivar la replicacin antes de intentar desinstalar Symantec Endpoint Protection Manager configurado para la replicacin. Una vez que desactive la replicacin, es posible reiniciar el equipo del cual desea desinstalar Symantec Endpoint Protection Manager y, a continuacin, es posible realizar la desinstalacin.
Instalacin de Symantec Endpoint Protection Manager Cmo desinstalar Symantec Endpoint Protection Manager
103
Ver "Hacer copia de seguridad de la base de datos y los registros" en la pgina 729. Ver "Desactivar la replicacin antes de la migracin" en la pgina 160. Ver "Cmo activar la replicacin despus de una migracin o actualizacin" en la pgina 161. Para desinstalar Symantec Endpoint Protection Manager
1 2
En el equipo servidor, en el men Inicio, haga clic en Panel de control > Agregar o quitar programas. En el cuadro de dilogo Agregar o quitar programas, seleccione Symantec Endpoint Protection Manager y despus haga clic en Quitar.
En algunos casos, es posible que deba desinstalar Symantec Endpoint Protection Manager o los clientes manualmente. Para obtener ms informacin, consulte los artculos de la base de conocimientos del Soporte tcnico de Symantec que tienen instrucciones para desinstalar manualmente Symantec Endpoint Protection Manager y los clientes. Tabla 3-1 Lista de artculos de la base de conocimientos sobre la desinstalacin manual Artculo
Versin
Symantec Endpoint Protection Manager 11.0 Cmo desinstalar manualmente Symantec Endpoint Protection Manager 11.0 Symantec Endpoint Protection Manager 12.0 Cmo desinstalar manualmente Symantec Endpoint Protection Manager 12.0 Cliente de Symantec Endpoint Protection en Cmo desinstalar manualmente el cliente Windows 2000, XP y 2003, ediciones de 32 de Symantec Endpoint Protection de las bits ediciones de 32 bits de Windows 2000, XP y 2003 Windows Vista, Windows 7 y Windows 2008, Cmo desinstalar manualmente el cliente ediciones de 32 bits de Symantec Endpoint Protection de las ediciones de 32 bits de Windows Vista, Windows 7 y Windows 2008
Nota: Busque la base de conocimientos del Soporte tcnico de Symantec para obtener las versiones que no se muestran aqu.
104
Instalacin de Symantec Endpoint Protection Manager Inicio de sesin en la consola de Symantec Endpoint Protection Manager
Inicio de sesin en la consola de Symantec Endpoint Protection Manager

Es posible iniciar sesin en la consola de Symantec Endpoint Protection Manager una vez que usted instal Symantec Endpoint Protection Manager. Es posible iniciar sesin en la consola de cualquiera de dos maneras:
Localmente, desde el equipo en el cual el servidor de administracin est instalado. Remotamente, desde cualquier equipo que cumpla los requisitos del sistema para una consola remota y tenga conectividad de red al servidor de administracin. Es posible iniciar sesin en la consola web remota o la consola JAVA remota.
Para iniciar sesin remotamente, es necesario saber la direccin IP o el nombre de host del equipo en el cual el servidor de administracin est instalado. Debe adems asegurarse de que las opciones de Internet del navegador web permitan ver el contenido del servidor en el que inicia sesin. Cuando se inicia sesin remotamente, se puede realizar las mismas tareas que los administradores que inician sesin localmente. Qu es posible ver y hacer desde la consola depende del tipo de administrador que usted sea. La mayora de los administradores en organizaciones ms pequeas inician sesin como administrador del sistema. Ver "Acerca de los administradores" en la pgina 651. Es posible adems acceder a las funciones de elaboracin de informes desde un navegador web independiente que se conecte al servidor de administracin. Ver "Cmo iniciar sesin en los informes desde un navegador web independiente" en la pgina 606. Ver "Conceder o negar el acceso a las consolas remotas de Symantec Endpoint Protection Manager" en la pgina 689. Nota: Si instal la consola JAVA remota con una versin anterior del producto, debe reinstalarlo cuando realiza una actualizacin a una versin posterior.
Instalacin de Symantec Endpoint Protection Manager Inicio de sesin en la consola de Symantec Endpoint Protection Manager
105
Para iniciar sesin en la consola localmente
1 2
Vaya a Inicio > Programas > Symantec Endpoint Protection Manager > Symantec Endpoint Protection Manager. En el cuadro de dilogo de inicio de sesin de Symantec Endpoint Protection Manager, escriba el nombre de usuario (administrador de forma predeterminada) y la contrasea que se configur durante la instalacin. Si la consola tiene ms de un dominio, haga clic en Opciones> y escriba el nombre de dominio. Haga clic en Iniciar sesin.
3 4
Para iniciar sesin en la consola remotamente
Abra Internet Explorer y escriba la direccin siguiente en el cuadro direccin: http://nombre del host:9090 donde nombre de host el nombre de host o la direccin IP del servidor de administracin.
En la pgina del acceso web de la consola de Symantec Endpoint Protection Manager, haga clic en el tipo consola deseado. Nota: Si selecciona la Consola de Symantec Endpoint Protection Manager, el equipo desde el que inicia sesin debe tener Java 2 Runtime Environment (JRE) instalado. Si no, se le pedir que lo descargue e instale. Siga las indicaciones para instalar JRE.
Si aparece el mensaje de nombre del host, haga clic en S. Este mensaje significa que la URL de la consola remota que especific no coincide con el nombre de certificado de Symantec Endpoint Protection Manager. Este problema ocurre si se inicia sesin y se especifica una direccin IP en lugar del nombre del equipo del servidor de administracin. Si aparece la advertencia del certificado de seguridad de la pgina web, haga clic en Vaya a este sitio web (no recomendado) y agregue el certificado autofirmado a Internet Explorer. Para obtener instrucciones sobre cmo agregar el certificado de seguridad a Internet Explorer, consulte el artculo de la base de conocimientos de soporte tcnico de Symantec Cmo agregar a Internet Explorer un certificado autofirmado para Symantec Protection Center o Symantec Endpoint Protection Manager.
106
Instalacin de Symantec Endpoint Protection Manager Cmo aumentar el perodo de duracin de la sesin en la consola
Siga las indicaciones para completar el proceso de inicio de sesin. Dependiendo del mtodo de inicio de sesin, es posible que sea necesario proporcionar informacin adicional. Por ejemplo, si la red tiene varios dominios, debe proporcionar el nombre de dominio en el que desea iniciar sesin. Nota: Cundo inicie sesin por primera vez despus de la instalacin, use el administrador de nombre de cuenta
Haga clic en Iniciar sesin. Es posible recibir uno o ms mensajes de advertencia de seguridad al iniciar la consola remota. De ser as, haga clic en S, Ejecutar, Iniciar, o su equivalente y contine hasta que aparezca la consola. Es posible que deba aceptar el certificado autofirmado que requiere Symantec Endpoint Protection Manager. Ver "Aceptar el certificado autofirmado para Symantec Endpoint Protection Manager" en la pgina 102.
Cmo aumentar el perodo de duracin de la sesin en la consola

Para ayudar a proteger mediante contrasea la consola, la consola necesita que se vuelva a escribir el nombre de usuario y la contrasea despus de un hora. Es posible aumentar el perodo de tiempo de espera de modo que usted no tenga que constantemente iniciar sesin en la consola de administracin. Para aumentar el perodo de duracin de la sesin en la consola
1 2 3 4
En la consola, haga clic en Administrador y, luego, haga clic en Servidores. Haga clic en Sitio local o en un sitio remoto y haga clic en Editar propiedades del sitio. En la ficha General, haga clic en la lista desplegable Tiempo de espera de la consola y seleccione Nunca. Haga clic en Aceptar.
Instalacin de Symantec Endpoint Protection Manager Qu se puede hacer desde la consola
107
Qu se puede hacer desde la consola

La consola de Symantec Endpoint Protection Manager proporciona una interfaz grfica de usuario para los administradores. Se usa la consola para administrar polticas y equipos, para supervisar el estado de la proteccin de endpoints, y para crear y administrar cuentas de administrador. La consola divide las funciones y las tareas que se realizan por pginas. Tabla 3-2 Pgina
Pgina principal
Pginas de la consola de Symantec Endpoint Protection Manager Descripcin

Muestra el estado de seguridad de la red. Es posible hacer las siguientes tareas en la pgina principal: Obtener la cantidad de virus y otros riesgos para la seguridad detectados. Obtener el nmero de equipos desprotegidos en la red.
Obtener la cantidad de equipos que recibieron definiciones de virus y otras actualizaciones de contenido. Consultar el estado de la licencia.

Ajustar las preferencias de la consola. Obtener informacin sobre las ltimas amenazas de Internet y para la seguridad.
Ver "Configurar preferencias de la elaboracin de informes" en la pgina 605. Ver "Comprobar el estado de la licencia" en la pgina 120. Supervisin Supervise los registros de eventos relacionados con Symantec Endpoint Protection Manager y sus equipos administrados. Es posible hacer las siguientes tareas en la pgina Supervisin:

Ver grficos de distribucin de los riesgos. Ver registros de eventos. Consultar el estado de los comandos emitidos recientemente. Ver y crear notificaciones.
Ver "Visualizacin y reconocimiento de notificaciones" en la pgina 635.
108
Pgina
Informes
Descripcin
Permite ejecutar informes para obtener informacin actualizada sobre la actividad de la red y el equipo. Es posible hacer las siguientes tareas en la pgina Informes:

Ejecutar informes rpidos. Ejecutar el informe de resumen diario. Ejecutar el informe de resumen semanal.
Ver "Ejecucin y personalizacin de informes rpidos" en la pgina 610. Polticas Muestra las polticas de seguridad que definen la configuracin de la tecnologa de proteccin. Es posible hacer las siguientes tareas en la pgina Polticas:

Ver y ajustar la configuracin de la proteccin. Crear, editar, copiar y eliminar polticas de seguridad. Asignar polticas de seguridad a grupos de equipos. Configurar equipos cliente para LiveUpdate.
Ver "Tipos de polticas de seguridad" en la pgina 254. Ver "Cmo realizar tareas que son comunes a todas las polticas de seguridad" en la pgina 257. Ver "Cmo administrar actualizaciones de contenido" en la pgina 534. Clientes Permite administrar los equipos y los grupos. Es posible realizar las siguientes tareas desde esta pgina:

Crear y eliminar grupos. Editar propiedades de grupos. Consultar las polticas de seguridad asignadas a grupos. Ejecutar comandos en los grupos. Implementar el software de cliente en los equipos de la red.
Ver "Cmo administrar los grupos de clientes" en la pgina 193.
109
Pgina
Administrador
Descripcin
Administre la configuracin, las licencias y las cuentas de administrador de Symantec Endpoint Protection Manager Es posible hacer las siguientes tareas en la pgina Administrador:

Crear, editar y eliminar cuentas de administrador.
Ver y editar la configuracin del correo electrnico y del servidor proxy. Importar y comprar licencias.

Ajustar la programacin de LiveUpdate. Descargar las actualizaciones de contenido de LiveUpdate. Consultar el estado de LiveUpdate y las descargas recientes.
Ver "Cmo administrar dominios y cuentas de administrador" en la pgina 650. Ver "Cmo administrar actualizaciones de contenido" en la pgina 534.
110
Captulo
Administracin de licencias de productos


Concesin de licencias de Symantec Endpoint Protection Acerca de la licencia del software de prueba Compra de licencias Dnde comprar una licencia de producto de Symantec Cmo activar su licencia de producto Cmo usar el Asistente para la activacin de licencias Informacin de contacto necesaria para las licencias Acerca de actualizar desde software de prueba Acerca de renovar su licencia de Symantec Endpoint Protection Acerca del Portal de licencias de Symantec Mantener sus licencias del producto Comprobar el estado de la licencia Reglas de aplicacin de concesin de licencias Hacer copias de seguridad de los archivos de licencia Cmo recuperar una licencia eliminada Importacin de una licencia
112
Administracin de licencias de productos Concesin de licencias de Symantec Endpoint Protection
Acerca de los clientes obsoletos y su impacto sobre las licencias Cmo depurar clientes obsoletos de la base de datos Acerca de licencias de varios aos
Concesin de licencias de Symantec Endpoint Protection

A Symantec Endpoint Protection se le concede licencia segn el nmero de clientes de Symantec Endpoint Protection que sean necesarios para proteger los endpoints en su sitio. Una vez que Symantec Endpoint Protection Manager est instalado, tiene 60 das para comprar suficientes puestos de licencia para cubrir a todos sus clientes implementados. Tabla 4-1 enumera las tareas que son necesarias para comprar y activar su licencia de producto de Symantec. Tabla 4-1 Tarea
Comprobar los requisitos de licencias de producto
Tareas de concesin de licencias Descripcin

Es importante comprender los requisitos de licencia impuestos por el sistema que desee proteger. Una licencia le permite instalar el cliente de Symantec Endpoint Protection en un nmero especfico de equipos y descargar definiciones de virus y actualizaciones de productos de LiveUpdate. Ver "Requisitos de la licencia de producto" en la pgina 82.
Comprar una licencia
Es necesario comprar una licencia en las situaciones siguientes:

Desea comprar Symantec Endpoint Protection. Su licencia del software de prueba caduc. Su licencia paga caduc. Su licencia est sobreimplementada.
Ver "Comprobar el estado de la licencia" en la pgina 120. Ver "Compra de licencias" en la pgina 114. Ver "Acerca de actualizar desde software de prueba" en la pgina 118.
Administracin de licencias de productos Concesin de licencias de Symantec Endpoint Protection
113
Tarea
Importar y activar su licencia
Descripcin
Se usa el Asistente para la activacin de licencias en Symantec Endpoint Protection Manager para importar y para activar su licencia de producto de Symantec. La activacin de licencias requiere:

Un nmero de serie de la licencia de Symantec Un archivo de licencia de Symantec (.SLF)
Nota: Se recibe uno u otro cuando se compra una licencia.

Ver "Cmo activar su licencia de producto" en la pgina 116. Revisar las notificaciones Las notificaciones de licencia alertan a los administradores predeterminadas de la licencia sobre licencias caducadas y otros problemas de la licencia. Ver "Acerca de las notificaciones con configuracin previa" en la pgina 629. Comprobar el estado de la licencia Es posible obtener el estado de cada licencia que usted import en la consola. Ver "Comprobar el estado de la licencia" en la pgina 120. Ver "Acerca de renovar su licencia de Symantec Endpoint Protection" en la pgina 119. Hacer copia de seguridad de los Al hacer copias de seguridad de los archivos de licencia, archivos de licencia se conservan los archivos en caso de que se daen la base de datos o el disco duro del equipo. Ver "Hacer copias de seguridad de los archivos de licencia" en la pgina 122.
Dependiendo del distribuidor de la licencia, se recibe un nmero de serie de la licencia de producto de o un archivo de licencia de Symantec. Los archivos de licencia se envan en un mensaje de correo electrnico o se descargan de un sitio web seguro. El archivo de licencia usa la extensin de archivo .SLF (archivo de licencia de Symantec). Cuando el archivo de licencia es enviado por correo electrnico, se adjunta al mensaje de correo electrnico como archivo .ZIP. Es necesario extraer el archivo .SLF del archivo .zip. Guarde el archivo de licencia en un equipo al que se pueda acceder desde la consola de Symantec Endpoint Protection Manager. Muchos usuarios guardan la licencia en el equipo que alberga Symantec Endpoint Protection Manager y adems guardan una copia de la licencia en otro equipo o en soportes de almacenamiento extrables para guardarlos con ms seguridad.
114
Administracin de licencias de productos Acerca de la licencia del software de prueba
Advertencia: Para evitar que el archivo de licencia se dae, no abra ni altere los contenidos del archivo de ninguna manera. Es posible, sin embargo, copiar y almacenar la licencia segn lo desee.
Nota: En algunos casos, puede solamente tener un nmero de serie de la licencia. Este nmero de serie se puede usar para activar su licencia de producto de Symantec y para descargar el software del producto.
Acerca de la licencia del software de prueba

La licencia del software de prueba le permite evaluar y probar Symantec Endpoint Protection en su entorno. La licencia del software de prueba se aplica a los componentes de Symantec Endpoint Protection siguientes:

Symantec Endpoint Protection Manager Cliente de Symantec Endpoint Protection Base de datos integrada para almacenar polticas de seguridad y eventos Acceso al contenido de LiveUpdate
Es posible descargar Symantec Endpoint Protection del sitio web siguiente: http://www.symantec.com/es/mx/business/ products/downloads/index.jsp Una vez que la licencia del software de prueba caduca, es necesario activar una licencia paga para conservar toda la funcionalidad del producto. No es necesario desinstalar la versin de prueba con licencia para convertir su instalacin de Symantec Endpoint Protection en una instalacin completamente con licencia. La licencia del software de prueba caduca 60 das despus de que se instala el producto. Ver "Planificacin de la instalacin" en la pgina 73. Ver "Compra de licencias" en la pgina 114.
Compra de licencias
Symantec Endpoint Protection viene con una licencia de software de prueba que le permite instalar y evaluar el producto en su entorno. Si desea usar el producto ms all del perodo de prueba, deber comprar una licencia. Es necesario tambin comprar una licencia en las situaciones siguientes:
Administracin de licencias de productos Dnde comprar una licencia de producto de Symantec
115
Su licencia actual caduc. Su licencia actual est sobreimplementada. Sobreimplementada significa que se han implementado ms sesiones del cliente o Symantec Endpoint Protection Manager de las que su licencia actual permite. Para actualizar a una versin ms reciente una vez que la prueba de actualizacin de versin caduca. Cuando se lanza una versin ms reciente de Symantec Endpoint Protection, se le enva un mensaje de correo electrnico con una oferta de actualizacin que incluye una prueba de actualizacin gratuita. Si decide conservar la versin ms reciente ms all del perodo de prueba de la actualizacin, es necesario comprar una licencia de la actualizacin.
Use los siguientes vnculos para obtener ms informacin sobre la compra de licencias:
Para determinar sus requisitos de concesin Ver "Requisitos de la licencia de producto" de licencias en la pgina 82. Para averiguar dnde comprar licencias del Ver "Compra de licencias" en la pgina 114. producto Para obtener ms informacin acerca de la Ver "Acerca de actualizar desde software de actualizacin desde la licencia del software prueba" en la pgina 118. de prueba que viene con Symantec Endpoint Protection Para obtener ayuda con la compra de http://customercare.symantec.com/ licencias o ms informacin sobre licencias
Ver "Concesin de licencias de Symantec Endpoint Protection" en la pgina 112.
Dnde comprar una licencia de producto de Symantec

Es posible comprar una licencia de producto de Symantec de los orgenes siguientes:
La tienda en lnea de Symantec: http://store.symantec.com/ Su distribuidor preferido de Symantec: Para encontrar un revendedor, use localizador de partners. Para obtener ms informacin sobre los partners de Symantec, vaya a http://www.symantec.com/es/mx/partners/index.jsp El equipo de ventas de Symantec:
116
Administracin de licencias de productos Cmo activar su licencia de producto
Visite el sitio web de pedidos de Symantec para obtener informacin de contacto de ventas.
Cmo activar su licencia de producto

La activacin de una licencia guarda el archivo de licencia en la base de datos de Symantec Endpoint Protection Manager. Ver "Concesin de licencias de Symantec Endpoint Protection" en la pgina 112. Es posible activar los siguientes tipos de licencias:

Licencias pagas Renovacin de licencia Licencia para los clientes sobreimplementados
Es posible activar un archivo de licencia que usted recibi de los orgenes siguientes:

Portal de licencias de Symantec Partner o distribuidor preferido de Symantec Equipo de ventas de Symantec Almacn de Symantec Business
Ver "Cmo migrar de Symantec Client Security o de Symantec AntiVirus" en la pgina 154. Para activar una licencia
1 2 3
En la consola, haga clic en Administrador y, luego, en Licencias. En Tareas, haga clic en Activar licencia. Siga las instrucciones en el Asistente para la activacin de licencias para completar el proceso de activacin. Ver "Cmo usar el Asistente para la activacin de licencias" en la pgina 116.
Cmo usar el Asistente para la activacin de licencias

El Asistente para la activacin de licencias se usa para activar y para administrar sus Symantec Endpoint Protection licencias del producto. El Asistente para la activacin de licencias es un componente de Symantec Endpoint Protection Manager.
Administracin de licencias de productos Cmo usar el Asistente para la activacin de licencias
117
Se inicia el asistente desde la pantalla de bienvenida de Symantec Endpoint Protection o desde la pgina Administrador de la consola de Symantec Endpoint Protection Manager. En la consola, seleccione Licencias y, a continuacin, en Tareas, seleccione Activar licencia. El asistente contiene instrucciones e informacin adicional para ayudarle a completar el proceso de activacin. Nota: La primera vez que obtiene la licencia de Symantec Endpoint Protection, el Asistente para la activacin de licencias comienza pidindole que seleccione qu forma de informacin de para la licencia tiene. Despus de eso, cuando inicia el asistente, primero se le pregunta si desea activar licencias adicionales o renovar una licencia existente. El Asistente para la activacin de licencias le pide que elija de las siguientes opciones: Tabla 4-2 Opcin
Activar una licencia nueva
Opciones de la activacin de licencias Cundo usar

Eligi esta opcin para activar una nueva licencia.
Nota: Si no se ha activado ninguna licencia previamente en

Symantec Endpoint Protection Manager, se asume que se trata de una nueva licencia y esta opcin no se muestra. Renovar una licencia existente Use esta opcin para renovar una licencia existente.
Nota: Cuando se renueva una licencia, la licencia anterior

se elimina y se reemplaza con la nueva licencia.
Tengo un nmero de serie
En muchos casos, una vez que compra una licencia, puede recibir solamente el nmero de serie de la licencia por parte del distribuidor. Use esta opcin para activar su licencia usando el nmero de serie de la licencia de producto.
Tengo un archivo de licencia Al completar su compra de la licencia, se le puede enviar un de Symantec (.slf) archivo de Licencia de Symantec. Los archivos de licencia de Symantec usan la extensin .SLF. Si recibi un archivo .SLF de Symantec o de un distribuidor de Symantec, use esta opcin para activar su licencia de producto.
Nota: El archivo .SLF se adjunta generalmente a un correo

electrnico como archivo .zip comprimido.
En algunos casos, se le puede pedir que proporcione la informacin de contacto durante el proceso de activacin.
118
Administracin de licencias de productos Informacin de contacto necesaria para las licencias
Ver "Informacin de contacto necesaria para las licencias" en la pgina 118. Ver "Concesin de licencias de Symantec Endpoint Protection" en la pgina 112.
Informacin de contacto necesaria para las licencias

Durante el proceso de activacin, se le pide proporcionar cualquier informacin de contacto inexistente para la licencia. Las declaraciones de privacidad se proporcionan en el asistente que describe cmo se usa esta informacin. Es necesario indicar que las condiciones de privacidad son aceptables antes de que pueda completar el proceso de activacin. Tabla 4-3 incluye la informacin que se necesita. Tabla 4-3 Informacin de contacto para la licencia Descripcin
Informacin de contacto para la persona que es responsable de las actividades tcnicas relacionada con instalar o mantener su infraestructura de seguridad del endpoint. El nombre, la direccin de correo electrnico y el nmero de telfono del contacto son necesarios. Informacin de contacto para la persona que representa su compaa. El nombre, la direccin de correo electrnico y el nmero de telfono del contacto son necesarios.
Tipo de informacin
Contacto tcnico
Contacto principal
Nota: Se proporciona una casilla de verificacin que le

permite indicar cundo el contacto tcnico y el contacto principal son la misma persona. Informacin de la empresa Incluye el nombre, la ubicacin, el nmero de telfono y la direccin de correo electrnico de la empresa.
Ver "Concesin de licencias de Symantec Endpoint Protection" en la pgina 112.
Acerca de actualizar desde software de prueba

Cuando se instala inicialmente Symantec Endpoint Protection, una licencia del software de prueba se proporciona y se activa automticamente. Para continuar usando Symantec Endpoint Protection ms all del perodo de prueba, es necesario comprar una licencia. No es necesario reinstalar el software. El perodo de la licencia de prueba es de 60 das.
Administracin de licencias de productos Acerca de renovar su licencia de Symantec Endpoint Protection
119
Se realiza la actualizacin de la licencia real usando el Asistente para la activacin de licencias. Ver "Cmo usar el Asistente para la activacin de licencias" en la pgina 116. Las licencias se pueden comprar en la tienda de Symantec, a travs de su partner de Symantec o de su revendedor preferido de Symantec. Para obtener informacin sobre la tienda de Symantec, visite el sitio web de la tienda de Symantec Ver "Acerca de la licencia del software de prueba" en la pgina 114. Ver "Concesin de licencias de Symantec Endpoint Protection" en la pgina 112.
Acerca de renovar su licencia de Symantec Endpoint Protection

Cuando su licencia actual est a punto de caducar, Symantec Endpoint Protection Manager comienza a enviar notificaciones de la expiracin de la licencia al administrador de Symantec Endpoint Protection. Symantec recomienda encarecidamente que renueve su licencia antes de que caduque. Cuando se renueva una licencia, la licencia que caduc se elimina y se reemplaza con una nueva licencia. Para comprar renovaciones de licencias, visite la tienda de Symantec o contacte con su partner de Symantec o revendedor preferido de Symantec. Visite la tienda de Symantec en la ubicacin en lnea siguiente: http://store.symantec.com/ Ver "Cmo usar el Asistente para la activacin de licencias" en la pgina 116. En caso de que se elimine accidentalmente una licencia, se puede recuperar de la consola de Symantec Endpoint Protection Manager. Ver "Cmo recuperar una licencia eliminada" en la pgina 123.
Acerca del Portal de licencias de Symantec

Es posible usar el portal de licencias de Symantec para comprar y para activar licencias de producto. Sin embargo, se pueden activar licencias desde la consola de Symantec Endpoint Protection Manager, que es ms simple y ms rpido. Ver "Cmo activar su licencia de producto" en la pgina 116. El portal de licencias de Symantec est en la ubicacin siguiente:
120
Administracin de licencias de productos Mantener sus licencias del producto
https://licensing.symantec.com Hay informacin adicional acerca de cmo usar el portal de licencias de Symantec para administrar licencias disponible en el sitio web del servicio al cliente de Symantec http://customercare.symantec.com/app/answers/list. Nota: Es necesario crear una cuenta antes de usar el portal de licencias. Si no tiene una cuenta del portal de licencias de Symantec, un vnculo se proporciona en la pgina principal para crear uno. Ver "Concesin de licencias de Symantec Endpoint Protection" en la pgina 112.
Mantener sus licencias del producto

El mantenimiento de licencias es una parte crtica de mantener su infraestructura de seguridad actualizada. Las siguientes tareas forman parte de mantener sus licencias del producto de Symantec:
Hacer copia de seguridad de sus licencias del producto. Ver "Hacer copias de seguridad de los archivos de licencia" en la pgina 122. Realizar un seguimiento del estado de las licencias. Ver "Comprobar el estado de la licencia" en la pgina 120. Renovar su licencia. Ver "Acerca de renovar su licencia de Symantec Endpoint Protection" en la pgina 119. Recuperar una licencia eliminada. Ver "Cmo recuperar una licencia eliminada" en la pgina 123.
Tambin debe familiarizarse con las reglas que rigen cmo se implementan las licencias del producto. Ver "Reglas de aplicacin de concesin de licencias" en la pgina 121.
Comprobar el estado de la licencia

Es posible obtener el estado de cada licencia paga que usted import en la consola. Es posible obtener la informacin de licencia siguiente:
el nmero de serie de la licencia, cantidad total de puestos, fecha de vencimiento Nmero de puestos vlidos
Administracin de licencias de productos Reglas de aplicacin de concesin de licencias
121
Nmero de puestos implementados Nmero de puestos que caducan en 60 das y 30 das Nmero de puestos caducados Nmero de clientes sobreimplementados Nmeros de serie asociados de menor duracin(licencias de varios aos)
El estado de la licencia no est disponible para una licencia de software de prueba. Para determinar si la instalacin usa una licencia paga o una licencia de software de prueba
1 2
En la consola, haga clic en Administrador. En la pgina Administrador, haga clic en Licencias.
Para comprobar el estado de la licencia para licencias pagas
1 2
En la consola, haga clic en Pgina principal. En la pgina principal, haga clic en Detalles de la licencia.
Ver "Concesin de licencias de Symantec Endpoint Protection" en la pgina 112. Ver "Importacin de una licencia" en la pgina 123.
Reglas de aplicacin de concesin de licencias

Las licencias de Symantec Endpoint Protection se aplican segn las reglas siguientes: Tabla 4-4 Dnde se aplica
Trmino de la licencia
Reglas de aplicacin de concesin de licencias Regla

El plazo de la licencia rige a partir de la hora y de la fecha de activacin hasta la medianoche del ltimo da del plazo de concesin de la licencia. La hora y la fecha de caducidad de la licencia se basan en la hora y la fecha para Symantec Endpoint Protection Manager donde ocurre la activacin. En el caso de varios sitios, la fecha de caducidad de la licencia se basa en la base de datos Symantec Endpoint Protection Manager que se encuentra ms al Oeste.
122
Administracin de licencias de productos Hacer copias de seguridad de los archivos de licencia
Dnde se aplica
Cobertura de la licencia de los componentes Symantec Endpoint Protection
Regla
Una licencia de Symantec Endpoint Protection se aplica a los clientes de Symantec Endpoint Protection. Por ejemplo, en una red con 50 endpoints, la licencia debe proporcionar un mnimo de 50 puestos. Las sesiones Symantec Endpoint Protection Manager no necesitan una licencia. Una licencia de producto de Symantec Endpoint Protection se aplica a una instalacin completa sin importar el nmero de sitios o de dominios reproducidos que componen la instalacin. Por ejemplo, una licencia para 100 puestos cubre una instalacin de dos sitios en donde cada sitio tiene 50 puestos. Los sitios que no se conectan a travs de la replicacin se consideran instalaciones independientes y necesitan licencias aparte.
Cobertura de la licencia de sitios y dominios
Cobertura de la licencia de plataformas Los puestos de concesin de licencias se aplican sin importar la plataforma. Por ejemplo, la licencia no hace ninguna distincin entre un equipo que usa Windows y uno que usa Mac OS X. Cobertura de la licencia de productos y Los puestos de licencia se aplican igualmente a versiones travs de versiones del producto. Por ejemplo, una licencia cubre las instalaciones donde se implementan las versiones de clientes 11.x y 12.x dentro del mismo sitio.
Ver "Mantener sus licencias del producto" en la pgina 120.
Hacer copias de seguridad de los archivos de licencia

Symantec recomienda que se haga una copia de seguridad de los archivos de licencia. Al hacer copias de seguridad de los archivos de licencia, se conservan los archivos en caso de que se daen la base de datos o el disco duro de la consola del equipo. Los archivos de licencia se encuentran en el directorio donde guard los archivos. Si coloc incorrectamente los archivos de licencia, se pueden descargar los archivos del sitio web del Portal de licencias de Symantec. Ver "Concesin de licencias de Symantec Endpoint Protection" en la pgina 112.
Administracin de licencias de productos Cmo recuperar una licencia eliminada
123
Para hacer copias de seguridad de los archivos de licencia
Con Windows, copie los archivos de licencia .slf del directorio donde guard los archivos en otro equipo de su opcin. Consulte el procedimiento de su compaa para hacer copias de seguridad de los archivos.
Cmo recuperar una licencia eliminada

En caso de que se elimine accidentalmente un archivo de licencia, se puede recuperar de la consola de Symantec Endpoint Protection Manager. Para recuperar una licencia eliminada
En la pgina Administrador de la consola de Symantec Endpoint Protection Manager, haga clic en Licencias y, a continuacin, en Tareas, haga clic en Recuperar una licencia eliminada. En el panel Recuperacin de licencias, ponga una marca de verificacin al lado de la licencia eliminada que desee recuperar y despus haga clic en Enviar.
Ver "Mantener sus licencias del producto" en la pgina 120.
Importacin de una licencia

La importacin de una licencia guarda el archivo de licencia en la base de datos de Symantec Endpoint Protection Manager. Ver "Concesin de licencias de Symantec Endpoint Protection" en la pgina 112. Es posible importar los siguientes tipos de licencias:

Licencia para una primera instalacin Licencia para actualizar software de prueba Renovacin de licencia Licencia para los clientes sobreimplementados Licencia de su software de proteccin contra virus de versin anterior de Symantec
Es posible importar un archivo de licencia que usted recibi de los orgenes siguientes:

Portal de licencias de Symantec Partner de Symantec
124
Administracin de licencias de productos Acerca de los clientes obsoletos y su impacto sobre las licencias
Equipo de ventas de Symantec Almacn de Symantec Business Software heredado de proteccin contra virus de Symantec
Ver "Cmo migrar de Symantec Client Security o de Symantec AntiVirus" en la pgina 154. Para importar una licencia
1 2 3
Guarde el archivo de licencia en un equipo o en una red que sea accesible desde el equipo de la consola. En la consola, haga clic en Administrador > Licencias y en Tareas, haga clic en Activar licencia. Siga las indicaciones en el Asistente para la activacin de licencias para importar y para activar su licencia. La informacin adicional sobre sus opciones se proporciona en el asistente.
Acerca de los clientes obsoletos y su impacto sobre las licencias

A lo largo del tiempo, es posible que la base de datos de Symantec Endpoint Protection Manager adquiera clientes obsoletos. Estas son entradas de base de datos para los clientes que ya no funcionan en el entorno protegido. Los clientes pueden ser considerados obsoletos cuando se actualizan los sistemas operativos o cuando se cambia el Id. de un equipo. Los clientes obsoletos cuentan para la licencia del producto, de forma que es importante depurar los clientes obsoletos tan pronto como se creen. Si los informes de licencia muestran que hay ms puestos con licencia de los que se sabe que estn implementados, es necesario depurar la base de datos de clientes obsoletos. De forma predeterminada, la depuracin ocurre cada 30 das. Acorte el intervalo entre los ciclos de depuracin para depurar ms rpidamente los clientes obsoletos. Restablezca el intervalo como sea necesario para adaptarlo a sus necesidades a largo plazo una vez que el ciclo de depuracin se complete. Ver "Cmo depurar clientes obsoletos de la base de datos" en la pgina 125.
Administracin de licencias de productos Cmo depurar clientes obsoletos de la base de datos
125
Cmo depurar clientes obsoletos de la base de datos

Cmo depurar clientes obsoletos
1 2 3 4 5
En Symantec Endpoint Protection Manager, en la pgina Administrador, haga clic en Servidores. En el rbol Servidores, seleccione el servidor de la base de datos y despus haga clic en Editar propiedades de la base de datos. En la ficha Propiedades de base de datos > General, cambie el intervalo para eliminar los clientes que no se han conectado en X das a 1 da. Haga clic en Aceptar. Espere 24 horas y despus revierta la configuracin a 30 das o a otro intervalo que se adapte a sus requisitos.
Ver "Acerca de los clientes obsoletos y su impacto sobre las licencias" en la pgina 124.
Acerca de licencias de varios aos

Cuando se compra una licencia de varios aos, se recibe a un conjunto de archivos de licencia iguales al nmero de aos que su licencia es vlida. Por ejemplo, una licencia de tres aos incluye tres archivos de licencia aparte. Cuando se activa una licencia de varios aos, se importan todos los archivos de licencia durante la misma sesin de activacin. Symantec Endpoint Protection Manager fusiona los diferentes archivos de licencia en una nica licencia activada que es vlida mientras dure el producto comprado. Si bien no es recomendable, es posible activar menos que el complemento completo de archivos de licencia. En ese caso, Symantec Endpoint Protection Manager fusiona los archivos y aplica la duracin del archivo de licencia que caduca por ltimo. Por ejemplo, una licencia de tres aos que se activa con solamente los primeros dos archivos indica una duracin de solamente dos aos. Cuando el tercer archivo se activa en una fecha posterior, la duracin completa de la licencia se informa exactamente como tres aos. En todos los casos, el nmero de puestos sigue siendo coherente con el nmero de puestos que usted compr. Cuando Symantec Endpoint Protection Manager fusiona los archivos, los archivos de la duracin ms corta y el archivo de la duracin ms larga se guardan para las funciones de mantenimiento de licencias internas. Si piensa que una licencia fue eliminada por error, use el procedimiento de Recuperar una licencia eliminada para recuperar y para reactivar la licencia eliminada. Ver "Cmo recuperar una licencia eliminada" en la pgina 123.
126
Administracin de licencias de productos Acerca de licencias de varios aos
Es posible ver los nmeros de serie de la licencia de una duracin ms corta que se asocian a la licencia activa. En la ficha Administrador, haga clic en Licencias y a continuacin haga clic con el botn derecho en la licencia activada y seleccione Detalles. Ver "Concesin de licencias de Symantec Endpoint Protection" en la pgina 112.
Captulo
Preparacin para la instalacin de clientes


Preparacin para la instalacin de clientes Acerca de firewalls y puertos de comunicaciones Cmo preparar los sistemas operativos Windows para la implementacin remota Administracin de los paquetes de instalacin de clientes Agregar actualizaciones de paquetes de instalacin de clientes
Preparacin para la instalacin de clientes

Tabla 5-1 enumera las acciones que se necesitan generalmente para preparar los equipos para la instalacin del cliente. Tabla 5-1 Accin Descripcin Preparacin del equipo cliente
Identificar los equipos cliente Identifique los equipos en los cuales desea instalar el software de cliente. Todos los equipos deben ejecutar un sistema operativo admitido. Ver "Requisitos del sistema" en la pgina 84. Ver "Acerca de clientes administrados y clientes no administrados" en la pgina 144.
Nota: Symantec recomienda que, adems, instale el cliente en el equipo que alberga
Symantec Endpoint Protection Manager.
128
Preparacin para la instalacin de clientes Preparacin para la instalacin de clientes
Accin
Identifique los grupos del equipo
Descripcin
Identifique los grupos del equipo que se deben usar durante la instalacin del cliente. Es posible tambin importar una estructura del grupo existente tal como una estructura de Active Directory. Ver "Cmo administrar los grupos de clientes" en la pgina 193. Ver "Importacin de una estructura de organizacin existente" en la pgina 197. Ver "Cmo asignar clientes a los grupos antes de instalar el software de cliente" en la pgina 199.
Desinstale el software de proteccin antivirus actualmente instalado
Elimine el software de proteccin contra virus de otro fabricante. Desinstale cualquier software heredado de proteccin antivirus de Symantec si no planea migrar la configuracin. Ver "Acerca de la migracin a Symantec Endpoint Protection" en la pgina 152. Consulte la documentacin de Symantec de su software de proteccin contra virus de versin anterior de Symantec para obtener informacin sobre la desinstalacin.
Prepare los equipos para la implementacin remota
Prepare los equipos para la implementacin del cliente remoto.
Modifique la configuracin del firewall para permitir la comunicacin entre los componentes de Symantec Endpoint Protection. Ver "Acerca de firewalls y puertos de comunicaciones" en la pgina 129. Ver "Cmo preparar los sistemas operativos Windows para la implementacin remota" en la pgina 131. Configure los derechos de administrador para sus equipos cliente.
Nota: Si no desea proporcionarles a los usuarios los derechos de administrador

para sus equipos, use la instalacin remota para instalar remotamente el software de cliente. La instalacin remota requiere que el usuario tenga derechos de administrador locales para los equipos. Ver "Cmo implementar clientes usando transferencia remota " en la pgina 140. Implementar el software de cliente Considerar las opciones posteriores a la instalacin Se implementa el software de cliente usando uno de los tres mtodos disponibles. Ver "Acerca de los mtodos de implementacin del cliente" en la pgina 137. Es posible tomar medidas adicionales para proteger los equipos no administrados y optimizar el rendimiento de su instalacin de Symantec Endpoint Protection. Ver "Instalar un cliente no administrado" en la pgina 145. Ver "Encendido y ejecucin de Symantec Endpoint Protection por primera vez" en la pgina 57.
Preparacin para la instalacin de clientes Acerca de firewalls y puertos de comunicaciones
129
Acerca de firewalls y puertos de comunicaciones

Si su Symantec Endpoint Protection Manager y los equipos cliente ejecutan software del firewall, es necesario abrir ciertos puertos para la comunicacin entre el servidor de administracin y los clientes. Consulte la documentacin del producto de software del firewall para obtener instrucciones sobre cmo abrir puertos o permitir aplicaciones para usar puertos. Advertencia: El firewall de Symantec Endpoint Protection Manager se deshabilita de forma predeterminada en la instalacin inicial. Para asegurar la proteccin mediante firewall, deje el Firewall de Windows habilitado en los clientes hasta que el software est instalado y se reinicie el cliente. El firewall Symantec Endpoint Protection deshabilita automticamente el Firewall de Windows cuando el equipo se reinicia. Tabla 5-2 Funcin
Implementacin mediante transferencia
Puertos para la comunicacin y la instalacin de servidores y clientes Protocolo y puerto

TCP 139 y 445 en servidores de administracin y clientes UDP 137 y 138 en servidores de administracin y clientes Puertos TCP efmeros en servidores de administracin y clientes
Componente
Servidor de administracin y cliente
Comunicacin del Proveedor de actualizaciones de grupo
Servidor de administracin y TCP 2967 en todos los dispositivos proveedor de actualizaciones de Nota: Es posible cambiar este puerto predeterminado. grupo Proveedor de actualizaciones de grupo y clientes
130
Preparacin para la instalacin de clientes Acerca de firewalls y puertos de comunicaciones
Funcin
Componente
Protocolo y puerto
Para los servidores de administracin y los clientes: TCP 8014 para los servidores de administracin, de forma predeterminada. Es posible cambiar TCP 8014 (HTTP) a TCP 443 (HTTPS). Puerto TCP efmero en clientes.
Comunicacin general Servidor de administracin y cliente
Para los servidores y las consolas de administracin remotos: TCP 8443 para los servidores y la consola de administracin remotos Puertos TCP efmeros y 9090 en las consolas

TCP 8445 para las consolas de elaboracin de informes remotas
Comunicacin de replicacin Instalacin de la consola de Symantec Endpoint Protection Manager
Sitio a sitio entre los servidores de bases de datos Servidor de administracin y consola remota del servidor de administracin
TCP 8443 entre los servidores de bases de datos
TCP 9090 en servidores de administracin remotos Puertos TCP efmeros en consolas remotas
Nota: Es posible cambiar el puerto.
Comunicacin de base Servidores remotos de Microsoft TCP 1433 en los servidores remotos de Microsoft SQL de datos externa SQL y servidor de administracin Puertos efmeros TCP en servidores de administracin
Nota: El puerto 1433 es el puerto predeterminado.

Comunicacin de Symantec Network Access Control Enforcer Servidor de administracin y Enforcer TCP 1812 en servidores de administracin Puertos TCP efmeros en Enforcers
Nota: Los servidores Radius adems usan el puerto 1812

y no instalan el servidor de administracin en el mismo servidor. No es posible cambiar el puerto en el servidor de administracin. Autenticacin del cliente por Enforcer en UDP 39,999
Migracin e implementacin del cliente
Symantec Endpoint Protection Manager y servidor de administracin de una versin anterior de Symantec
TCP 139, TCP 445, puertos TCP efmeros y UDP 137 en los servidores de administracin TCP 139, TCP 445, puertos TCP efmeros y UDP 137 en los servidores de administracin de Symantec de versiones anteriores
Preparacin para la instalacin de clientes Cmo preparar los sistemas operativos Windows para la implementacin remota
131
Funcin
LiveUpdate
Componente
Servidor y cliente LiveUpdate
Protocolo y puerto
Puertos TCP efmeros en clientes TCP 80 en los servidores de LiveUpdate
Windows Vista, Windows Server 2008 y Windows 7 contienen un firewall que est habilitado de forma predeterminada. Si se habilita el firewall, es posible que no pueda instalar o implementar el software de cliente remotamente. Si tiene problemas al implementar el cliente en los equipos que ejecutan estos sistemas operativos, configure sus firewalls para permitir el trfico necesario. Si tiene software de proteccin contra virus de versin anterior de Symantec en su entorno, abra el puerto UDP 2967. Si decide usar el Firewall de Windows despus de la implementacin, se debe configurar para permitir el uso compartido de archivos e impresoras (puerto 445).
Para obtener ms informacin acerca del establecimiento de la configuracin del Firewall de Windows, consulte la documentacin de Windows. Ver "Cmo habilitar y deshabilitar una poltica de firewall" en la pgina 406. Ver "Supervisin de proteccin de endpoints" en la pgina 595. Ver "Preparacin para la instalacin de clientes" en la pgina 127.
Cmo preparar los sistemas operativos Windows para la implementacin remota

La Tabla 5-3 enumera las tareas asociadas que es necesario realizar en los sistemas operativos del equipo cliente para instalar correctamente el cliente de forma remota. Tabla 5-3 Acciones de implementacin remota Tareas
Los equipos con Windows XP que estn instalados en grupos de trabajo no aceptan la implementacin remota. Para permitir la implementacin remota, deshabilite el uso compartido de archivos simple.
Sistema operativo
Prepare los equipos con Windows XP que estn instalados en grupos de trabajo
Nota: Esta limitacin no se aplica a los equipos que son

parte de un dominio de Windows.
132
Preparacin para la instalacin de clientes Administracin de los paquetes de instalacin de clientes
Sistema operativo
Preparar los equipos con Windows Vista, Windows Server 2008 o Windows 7
Tareas
El control de acceso de usuarios de Windows bloquea las cuentas administrativas locales remotamente de modo que no puedan acceder a los recursos compartidos administrativos remotos, tales como C$ y Admin$. Para transferir el software de cliente a los equipos, es necesario usar una cuenta de administrador del dominio si el equipo cliente es parte de un dominio de Active Directory. La implementacin remota, adems, necesita privilegios de administrador para poder instalarse. Realice las siguientes tareas: Deshabilitar el asistente para el uso compartido de archivos. Habilitar la deteccin de redes mediante el Centro de redes y recursos compartidos. Habilite la cuenta de administrador incorporada y asigne una contrasea a la cuenta. Verifique que la cuenta tenga privilegios de administrador.
Preparar los equipos con Windows Server 2003 para la instalacin usando una conexin de escritorio remoto
Symantec Endpoint Protection Manager necesita acceso al registro del sistema para la instalacin y la operacin normal. Para preparar un equipo para instalar Symantec Endpoint Protection Manager usando una conexin de escritorio remoto, realice las siguientes tareas: Configure un servidor que ejecute Windows Server 2003 para permitir el control remoto. Conctese al servidor de un equipo remoto usando una sesin de consola remota o una sombra de la sesin de consola.
Consulte la documentacin de Windows para obtener ms informacin. Ver "Preparacin para la instalacin de clientes" en la pgina 127.
Administracin de los paquetes de instalacin de clientes

Para administrar los equipos con Symantec Endpoint Protection Manager, es necesario exportar por lo menos un paquete de instalacin de clientes a un servidor
Preparacin para la instalacin de clientes Administracin de los paquetes de instalacin de clientes
133
de administracin en el sitio. Despus de exportar el paquete de instalacin de clientes, se instalan los archivos del paquete en los equipos cliente. Es posible exportar paquetes para clientes administrados por Symantec, clientes administrados por terceros y clientes no administrados. Es posible exportar estos paquetes como nico archivo ejecutable o como una serie de archivos en un directorio. El mtodo que se elige depende del mtodo de implementacin y de si desea actualizar el software de cliente en grupos. Tpicamente, si utiliza un objeto de polticas de grupo de Active Directory, elige no exportar a un solo archivo ejecutable. Symantec proporciona de vez en cuando paquetes actualizados de archivos de instalacin. Cuando el software de cliente se instala en los equipos cliente, es posible actualizar automticamente el software de cliente en todos los clientes de un grupo con la funcin de actualizacin automtica. No es necesario volver a distribuir el software con las herramientas de implementacin de instalacin. Tabla 5-4 Tarea
Configurar paquetes de instalacin de clientes
Tareas relacionadas con los paquetes de instalacin de clientes Descripcin

Es posible seleccionar tecnologas de proteccin de clientes especficas para instalar y se puede especificar cmo la instalacin interacciona con los usuarios finales. Ver "Configuracin de funciones de paquetes de instalacin de clientes" en la pgina 148.
Exportar paquetes de instalacin de clientes
Es posible exportar paquetes para clientes administrados por Symantec, clientes administrados por terceros y clientes no administrados. Ver "Exportar paquetes de instalacin de clientes" en la pgina 148.
Agregar actualizaciones de paquetes de instalacin de clientes
Cuando recibe las actualizaciones de paquetes de instalacin de clientes de Symantec, se agregan a la base de datos para ponerlas a disposicin para la distribucin de Symantec Endpoint Protection Manager. Es posible exportar los paquetes durante este procedimiento para poner el paquete a disposicin para su implementacin en equipos que no ejecutan el software de cliente. Ver "Agregar actualizaciones de paquetes de instalacin de clientes" en la pgina 134.
134
Preparacin para la instalacin de clientes Agregar actualizaciones de paquetes de instalacin de clientes
Tarea
Descripcin
Actualizar clientes en uno o Es posible instalar los paquetes exportados en equipos uno ms grupos a la vez o implementar los archivos exportados en varios equipos simultneamente. Cuando Symantec proporciona actualizaciones para los paquetes de instalacin de clientes, usted primero los aade a Symantec Endpoint Protection Manager y los hace disponibles para exportar. Sin embargo, no es necesario reinstalarlos con herramientas de distribucin de clientes. La manera ms fcil de actualizar los clientes en los grupos con el ltimo software es utilizar la consola para actualizar el grupo que contiene los clientes. Se debe primero actualizar un grupo con una pequea cantidad de equipos de prueba. Es posible adems actualizar clientes con LiveUpdate si se permite que los clientes ejecuten LiveUpdate y si la poltica de configuracin de LiveUpdate permite actualizaciones. Eliminar paquetes de instalacin de clientes Es posible eliminar paquetes de instalacin de clientes ms viejos para ahorrar espacio en disco.
Agregar actualizaciones de paquetes de instalacin de clientes

Se reciben actualizaciones de los paquetes de instalacin de clientes de Symantec y, entonces, se las agrega a la base de datos de Symantec Endpoint Protection para que estn disponibles para su distribucin desde Symantec Endpoint Protection Manager. Es posible exportar los paquetes durante este paso para poner el paquete a disposicin para su implementacin en equipos que no tienen el software de cliente. Nota: Un paquete de instalacin que se importa consiste en dos archivos. Un archivo denominado nombre_producto.dat y otro archivo denominado nombre_producto.info. Para agregar una actualizacin de un paquete de instalacin de clientes
1 2
Copie el paquete a un directorio en el equipo que ejecuta Symantec Endpoint Protection Manager. En la consola, haga clic en Administrador y, a continuacin, en el margen inferior izquierdo, haga clic en Paquetes de instalacin.
135
3 4 5 6
En Tareas, haga clic en Agregar paquete de instalacin de clientes. En el cuadro de dilogo Agregar un paquete de instalacin de clientes, escriba un nombre y una descripcin para el paquete. Haga clic en Examinar. En el cuadro de dilogo Seleccionar carpeta, localice y seleccione el archivo nombre_producto.info para el nuevo paquete y, despus, haga clic en Seleccionar. Cuando se indica que se complet correctamente, realice una de las siguientes acciones:
Si no desea exportar los archivos de instalacin y hacerlos disponibles para la implementacin, haga clic en Cerrar. Se ha terminado con este procedimiento. Si desea exportar los archivos de instalacin y hacerlos disponibles para la implementacin, haga clic en Exportar este paquete y despus finalice este procedimiento.
8 9
En el cuadro de dilogo Exportar paquete, haga clic en Examinar. En el cuadro de dilogo Seleccionar carpeta de exportacin, vaya al directorio que contendr el paquete exportado y seleccinelo, y despus haga clic en Aceptar. configure las otras opciones segn sus objetivos de instalacin. Para obtener informacin acerca de la configuracin de otras opciones en este cuadro de dilogo, haga clic en Ayuda.
10 En el cuadro de dilogo Exportar paquete, seleccione un grupo y, despus,
11 Haga clic en Aceptar.

Ver "Administracin de los paquetes de instalacin de clientes" en la pgina 132.
136
Captulo
Instalacin del cliente de Symantec Endpoint Protection


Acerca de los mtodos de implementacin del cliente Cmo reiniciar equipos cliente Acerca de clientes administrados y clientes no administrados Instalar un cliente no administrado Desinstalacin del cliente Acerca de la configuracin de la instalacin del cliente Configuracin de funciones de paquetes de instalacin de clientes Exportar paquetes de instalacin de clientes Acerca de los paquetes cliente que cumplen con los requisitos de configuracin de la base de escritorio (FDCC) federal
Acerca de los mtodos de implementacin del cliente

Se implementa el cliente de Symantec Endpoint Protection usando el Asistente de implementacin del cliente. Se implementa el software de cliente una vez que Symantec Endpoint Protection Manager est instalado. Antes de ejecutar el Asistente de implementacin del cliente, se debe identificar la configuracin de la instalacin de clientes.
138
Instalacin del cliente de Symantec Endpoint Protection Acerca de los mtodos de implementacin del cliente
Ver "Preparacin para la instalacin de clientes" en la pgina 127. Tabla 6-1 muestra los mtodos de implementacin del cliente que se pueden usar. Tabla 6-1 Opciones Opciones de implementacin del cliente Descripcin
Correo electrnico y vnculos Los usuarios reciben un mensaje de correo electrnico que web contiene un vnculo para descargar e instalar el software de cliente. Los usuarios deben tener derechos de administrador locales para sus equipos. El vnculo web y la instalacin de notificacin por correo electrnico es el mtodo de implementacin recomendado. Ver "Cmo implementar clientes usando un vnculo web y un correo electrnico" en la pgina 138. Transferencia remota La instalacin remota le permite controlar la instalacin de clientes. La instalacin remota transfiere el software de cliente a los equipos que se especifican. La instalacin comienza automticamente. Ver "Cmo preparar los sistemas operativos Windows para la implementacin remota" en la pgina 131. Ver "Cmo implementar clientes usando transferencia remota " en la pgina 140. Guardar paquete La instalacin personalizada crea un paquete de instalacin ejecutable que se guarda en el servidor de administracin y despus se distribuye a los equipos cliente. Los usuarios ejecutan un archivo setup.exe para instalar el software de cliente. Ver "Cmo implementar clientes usando la funcin Guardar paquete" en la pgina 142.
Cmo implementar clientes usando un vnculo web y un correo electrnico

El mtodo del vnculo web y del correo electrnico crea una URL para cada paquete de instalacin de clientes. Se enva el vnculo a los usuarios en un mensaje de correo electrnico o lo pone a disposicin en la ubicacin de red. Se realiza este procedimiento en dos fases:
Seleccione y configure los paquetes de instalacin de clientes. Los paquetes de instalacin de clientes se crean para equipos Windows de 32 bits y de 64
139
bits. Los paquetes de instalacin se almacenan en el equipo que ejecuta Symantec Endpoint Protection Manager.
Notifique a los usuarios del equipo sobre los paquetes de instalacin de clientes. Un mensaje de correo electrnico se enva a los usuarios del equipo seleccionados. El mensaje de correo electrnico contiene instrucciones para descargar y para instalar los paquetes de instalacin de clientes. Los usuarios siguen las instrucciones para instalar el software de cliente.
El paquete de instalacin de clientes de Mac se exporta automticamente como un archivo .zip. Para expandir el paquete al formato de instalacin .mpkg de Apple, es necesario usar la utilidad Archive de Mac o el comando ditto. No es posible usar el comando unzip de Mac ni ninguna aplicacin para descomprimir de Windows. Para implementar clientes usando un vnculo web y un correo electrnico
1 2
En la pgina Inicio, en el men Tareas comunes, seleccione Instalar el cliente de proteccin en los equipos. Seleccione el tipo de implementacin que desee usar y despus haga clic en Siguiente. La opcin Nueva implementacin del paquete usa los paquetes que estn almacenados en Symantec Endpoint Protection Manager. De forma predeterminada, dos paquetes estn disponibles. Es posible crear opcionalmente nuevos paquetes con configuracin y funciones personalizadas. La opcin Implementacin del paquete existente le permite usar los paquetes que se han exportado previamente.
Para un nuevo paquete, seleccione el paquete, el grupo, el conjunto de funciones de instalacin y las opciones de contenido y despus haga clic en Siguiente. El servidor de administracin incluye los paquetes configurados previamente. Ver "Acerca de la configuracin de la instalacin del cliente" en la pgina 147. Ver "Configuracin de funciones de paquetes de instalacin de clientes" en la pgina 148.
Haga clic en Correo electrnico y vnculos web y despus haga clic en Siguiente.
140
En el panel Destinatarios y mensaje de correo electrnico, especifique los destinatarios de correo electrnico y el asunto y despus haga clic en Siguiente. Es posible especificar quin recibe la URL por correo electrnico o copiar la URL y publicarla en una ubicacin en lnea conveniente. Para especificar varios destinatarios de correo electrnico, escriba una coma despus de cada direccin de correo electrnico.
Si desea enviar el vnculo por correo electrnico, acepte el asunto y el cuerpo predeterminados del correo electrnico o edite el texto y despus haga clic en Siguiente. Haga clic en Finalizar. Los usuarios del equipo o usted deben reiniciar los equipos cliente. Ver "Cmo reiniciar equipos cliente" en la pgina 143.
7 8
Confirme que los usuarios del equipo recibieron el mensaje de correo electrnico e instalaron el software de cliente. Ver "Visualizacin del inventario de clientes" en la pgina 603.
Cmo implementar clientes usando transferencia remota

La transferencia remota le permite controlar la instalacin de clientes. La transferencia remota transfiere el software de cliente a los equipos que se especifican. Para usar la transferencia remota se necesita conocimiento de cmo buscar las redes para localizar los equipos por la direccin IP o los nombres de equipos. Ver "Acerca de los mtodos de implementacin del cliente" en la pgina 137. La transferencia remota realiza las acciones siguientes:
Seleccione un paquete de instalacin de clientes existente o cree un nuevo paquete de instalacin. Para los nuevos paquetes de instalacin, establezca la configuracin de la implementacin de paquetes Localice los equipos en su red. La transferencia remota localiza los equipos que se especifican o los equipos que se detectan para ser desprotegidos. Transfiera el software de cliente a los equipos que se especifican. Para transferir el software de cliente, es necesario usar una cuenta administrativa del dominio si el equipo cliente es parte de un dominio de Active Directory. La instalacin remota requiere privilegios elevados.
141
Ver "Cmo preparar los sistemas operativos Windows para la implementacin remota" en la pgina 131.
Instale el software de cliente en los equipos. La instalacin comienza automticamente en los equipos.
Es posible iniciar la implementacin del cliente desde la consola. Para implementar clientes usando la transferencia remota
1 2
En la consola, haga clic en Pgina principal. En la pgina Inicio, en el men Tareas comunes, seleccione Instalar el cliente de proteccin en los equipos. Se inicia el Asistente de implementacin del cliente. En el panel Bienvenido al asistente de implementacin del cliente, seleccione si se usa un paquete nuevo o existente y haga clic en Siguiente. Para un nuevo paquete de instalacin, seleccione la versin del cliente, el conjunto de funciones, las opciones de contenido y el grupo de clientes y despus haga clic en Siguiente. Haga clic en Transferencia remota y despus haga clic en Siguiente. Localice los equipos para recibir el software de cliente y despus haga clic en >> para agregar los equipos a la lista. Para navegar la red de los equipos, haga clic en Examinar red. Para encontrar los equipos por direccin IP o nombre del equipo, haga clic en Buscar en la red y despus haga clic en Buscar equipos. Autentique con el dominio o el grupo de trabajo si se lo solicita. Nota: Es posible configurar un valor de tiempo de espera para definir la cantidad de tiempo que el servidor se aplica a una bsqueda.
3 4
5 6
7 8 9
Haga clic en Siguiente. Haga clic en Enviar para transferir el software de cliente a los equipos seleccionados. Espere mientras el software de cliente se transfiere a los equipos seleccionados.
10 Haga clic en Finalizar.

La instalacin comienza automticamente en los equipos cliente. La instalacin tarda varios minutos en completarse.
142
11 Dependiendo de la configuracin de reinicio del cliente implementado, los

usuarios o el equipo pueden necesitar reiniciar los equipos cliente. Ver "Cmo reiniciar equipos cliente" en la pgina 143.
12 Confirme el estado de los clientes implementados.

Ver "Visualizacin del inventario de clientes" en la pgina 603.
Cmo implementar clientes usando la funcin Guardar paquete

La funcin Guardar paquete crea paquetes de instalacin que se pueden instalar usando software de implementacin de otro fabricante o un script de inicio de sesin. La funcin Guardar paquete realiza las acciones siguientes:
Cree el paquete de instalacin ejecutable de 32 bits o de 64 bits. El paquete de instalacin puede abarcar un archivo setup.exe o una recopilacin de archivos que incluye un archivo setup.exe. A los usuarios de los equipos a menudo les resulta ms fcil usar un archivo setup.exe. Guarde el paquete de instalacin en el directorio predeterminado o un directorio de su eleccin. El directorio predeterminado es el siguiente: C:\temp\Symantec\ClientPackages Es necesario proporcionar el paquete de instalacin a los usuarios del equipo. Los usuarios ejecutan el archivo setup.exe para instalar el software de cliente. Los usuarios del equipo o usted deben reiniciar los equipos despus de la instalacin.
Ver "Acerca de los mtodos de implementacin del cliente" en la pgina 137. Es posible iniciar la implementacin del cliente desde la consola. Para implementar clientes usando la funcin Guardar paquete
1 2 3
En la consola, haga clic en Pgina principal. En la pgina Inicio, en el men Tareas comunes, seleccione Instalar el cliente de proteccin en los equipos. En el Asistente de implementacin del cliente, seleccione Nueva implementacin del paquete para seleccionar un paquete de instalacin que ya est en el servidor. Seleccione Implementacin del paquete existente para elegir un paquete que fue exportado previamente. Haga clic en Siguiente. Seleccione el paquete, el grupo, el conjunto de funciones de instalacin y las opciones de contenido, y despus haga clic en Siguiente. Ver "Acerca de la configuracin de la instalacin del cliente" en la pgina 147.
Instalacin del cliente de Symantec Endpoint Protection Cmo reiniciar equipos cliente
143
5 6
Haga clic en Examinar y especifique la carpeta para recibir el paquete. Seleccione nico archivo .exe o Archivos independientes. Nota: Si se implementan clientes con un objeto de poltica de grupo de Windows, no se usa un nico archivo ejecutable.
Si tiene clientes en ejecucin en los equipos que no son compatibles con Symantec Endpoint Protection 12.x, se puede elegir crear los paquetes compatibles con los sistemas de versin anterior. Para crear un paquete para los clientes de una versin anterior, haga clic en Cree un paquete para clientes con sistemas no admitidos por paquetes de la versin 12.x. En el cuadro Carpeta de exportacin, acepte el directorio predeterminado o especifique otro directorio y despus haga clic en Siguiente. Revise el resumen de la configuracin y despus haga clic en Siguiente. Finalizar.
8 9
10 Espere mientras se crea el paquete de instalacin y despus haga clic en 11 Guarde el paquete de instalacin en una red compartida o enve por correo
electrnico el paquete de instalacin a los usuarios del equipo.
12 Confirme que los usuarios del equipo instalaron el paquete de instalacin

personalizada. Nota: Los usuarios del equipo o usted deben reiniciar los equipos cliente.
13 Ver "Cmo reiniciar equipos cliente" en la pgina 143. 14 Confirme el estado de los clientes implementados.
Ver "Visualizacin del inventario de clientes" en la pgina 603.
Cmo reiniciar equipos cliente

Es necesario reiniciar los equipos cliente una vez que se instala el software de cliente o el otro software de otro fabricante. Es posible reiniciar los equipos cliente en cualquier momento ejecutando un comando de reinicio del servidor de administracin. Es posible tambin programar los equipos cliente para reiniciarlos durante un perodo que sea conveniente para los usuarios. Ver "Acerca de los comandos que puede ejecutar en los equipos cliente" en la pgina 213.
144
Instalacin del cliente de Symantec Endpoint Protection Acerca de clientes administrados y clientes no administrados
Ver "Ejecucin de comandos en el equipo cliente desde la consola" en la pgina 215. Para configurar opciones de reinicio en los equipos cliente
1 2 3 4
En la consola, haga clic en Clientes. En la pgina Clientes, seleccione un grupo y despus haga clic en Polticas. En la ficha Polticas, haga clic en Configuracin general. En el cuadro de dilogo Configuracin general, en la ficha Configuracin de reinicio, seleccione el mtodo de reinicio y la programacin. Es posible tambin agregar una notificacin que aparezca en el equipo cliente antes de que ocurra el reinicio.
Haga clic en Aceptar.
Para reiniciar un equipo cliente seleccionado
1 2 3
En la consola, haga clic en Clientes. En la pgina Clientes, en la ficha Clientes, seleccione un grupo. En la ficha Clientes, seleccione un cliente, haga clic con el botn secundario en Ejecutar comando en el grupo y, despus, haga clic en Reiniciar equipos cliente.
Para reiniciar los equipos cliente en un grupo seleccionado
1 2
En la consola, haga clic en Clientes. En la pgina Clientes, en la ficha Clientes, seleccione un grupo, haga clic en Ejecutar comando en el grupo y, despus, haga clic en Reiniciar equipos cliente. Haga clic en S y despus especifique las opciones de reinicio que se necesitan. Algunas opciones de reinicio son aplicables solamente a los clientes Windows. Para obtener informacin, consulte la ayuda contextual.
Acerca de clientes administrados y clientes no administrados

Se puede instalar el software de cliente como cliente administrado o como cliente no administrado.
Instalacin del cliente de Symantec Endpoint Protection Instalar un cliente no administrado
145
Tabla 6-2 Tipo
Tipos de equipos cliente Descripcin

Se administran los clientes de la consola. Los equipos cliente administrados se conectan a la red. Se usa la consola para actualizar el software de cliente, las polticas de seguridad y las definiciones de virus en los equipos cliente administrados. En la mayora de los casos, se instala el software de cliente como cliente administrado. Es posible instalar un cliente administrado de cualquiera de las siguientes maneras:

Cliente administrado
Durante la instalacin inicial del producto. Desde la consola despus de la instalacin.
Cliente no administrado
El usuario del equipo principal debe administrar el equipo cliente. Un cliente no administrado no se puede administrar desde la consola. El usuario del equipo principal debe actualizar el software de cliente, las polticas de seguridad y las definiciones de virus en los equipos cliente no administrados. Se instala un cliente no administrado directamente desde el disco del producto. Ver "Instalar un cliente no administrado" en la pgina 145.
Ver "Convertir un cliente no administrado en un cliente administrado" en la pgina 219.
Instalar un cliente no administrado

Los clientes no administrados no se conectan a Symantec Endpoint Protection Manager. Los principales usuarios del equipo o usted deben administrar los equipos. En la mayora de los casos, los clientes no administrados se conectan a la red intermitentemente o no se conectan en absoluto. Los principales usuarios del equipo o usted deben mantener los equipos. Este mantenimiento incluye la supervisin y el ajuste de la proteccin en los equipos, y la actualizacin de polticas de seguridad, definiciones de virus y software. Ver "Acerca de clientes administrados y clientes no administrados" en la pgina 144.
146
Instalacin del cliente de Symantec Endpoint Protection Desinstalacin del cliente
Para instalar un equipo no administrado
En el equipo, inserte el disco del producto. La instalacin se inicia automticamente. Si no se inicia automticamente, haga doble clic en Setup.exe.
2 3 4
Haga clic en Instalar un cliente no administrado y despus haga clic en Siguiente. En el panel Contrato de licencia, haga clic en Acepto los trminos del contrato de licencia y, a continuacin, en Siguiente. Confirme que el equipo no administrado est seleccionado y despus haga clic en Siguiente. Este panel aparece cuando se instala el software de cliente por primera vez en un equipo.
En el panel Opciones de proteccin, seleccione los tipos de proteccin y despus haga clic en Siguiente. Ver "Acerca de la configuracin de la instalacin del cliente" en la pgina 147.
6 7
En el panel Preparado para instalar el programa, haga clic en Instalar. En el panel de Asistente finalizado, haga clic en Finalizar.
Desinstalacin del cliente

Se desinstala Symantec Endpoint Protection cliente usando la utilidad Agregar o quitar programas de Windows. Si el software de cliente usa una poltica que bloquea los dispositivos de hardware, los dispositivos son bloqueados una vez que se haya desinstalado el software. Use el Administrador de dispositivos de Windows para desbloquear los dispositivos. Consulte la documentacin de Windows para obtener ms informacin. Ver "Cmo implementar clientes usando un vnculo web y un correo electrnico" en la pgina 138. Para desinstalar el cliente
1 2 3
En el equipo cliente, en el men Inicio, haga clic en Panel de control > Agregar o quitar programas. En el cuadro de dilogo Agregar o quitar programas, seleccione Symantec Endpoint Protection y despus haga clic en Quitar. Siga las indicaciones en pantalla para quitar el software de cliente.
Instalacin del cliente de Symantec Endpoint Protection Acerca de la configuracin de la instalacin del cliente
147
Acerca de la configuracin de la instalacin del cliente

El Asistente de implementacin del cliente le solicita especificar los nombres de grupos de equipos y los tipos de proteccin. Cambie la configuracin de la instalacin de clientes para personalizar los tipos de proteccin que estn activos en el equipo cliente. Los tipos de proteccin son asignados segn el grupo de clientes. Tabla 6-3 Configuracin
Grupo
Configuracin de instalacin de clientes Descripcin

El grupo que contiene los equipos cliente. Ver "Cmo administrar los grupos de clientes" en la pgina 193.
Valor predeterminado
Mi empresa >Grupo predeterminado
Tipo de proteccin
Las tecnologas de Las tecnologas de proteccin que desee instalar en los equipos proteccin cliente. predeterminadas Las tecnologas de proteccin son las siguientes: siguientes estn instaladas: Proteccin antivirus y antispyware Proteccin antivirus y Comprobar esta opcin instala Auto-Protect para el sistema antispyware de archivos y Proteccin proactiva contra amenazas. Proteccin contra La proteccin proactiva contra amenazas est deshabilitada amenazas de red en los equipos que ejecutan sistemas operativos admitidos por Windows Server. Incluir proteccin de correo electrnico Comprobar esta opcin instala Auto-Protect para Microsoft Outlook y Auto-Protect para correo electrnico de Internet. Por motivos de rendimiento, Auto-Protect para Microsoft Outlook no est instalado en los sistemas operativos admitidos por Microsoft Server. Proteccin contra amenazas de red Comprobar esta opcin instala la proteccin del firewall y la proteccin de prevencin de intrusiones. Despus de la instalacin, se pueden habilitar o deshabilitar las tecnologas de proteccin en las polticas de seguridad. Ver "Acerca de cmo habilitar y deshabilitar la proteccin" en la pgina 211. Ver "Cmo realizar tareas que son comunes a todas las polticas de seguridad" en la pgina 257.
148
Instalacin del cliente de Symantec Endpoint Protection Configuracin de funciones de paquetes de instalacin de clientes
Configuracin de funciones de paquetes de instalacin de clientes

Las funciones de instalacin son los componentes de clientes que estn disponibles para la instalacin. Por ejemplo, si se crean paquetes de Symantec Endpoint Protection, es posible seleccionar instalar las funciones antivirus, antispyware y del firewall. O es posible seleccionar instalar la funcin de antivirus y antispyware solamente. Es necesario dar un nombre a cada grupo de selecciones. A continuacin, seleccione un grupo de funciones con nombre cuando se exportan los paquetes de software de cliente de 32 bits y de 64 bits. Ver "Administracin de los paquetes de instalacin de clientes" en la pgina 132. Para configurar funciones de paquetes de instalacin de clientes
1 2 3 4 5
En la consola, haga clic en Administrador y, luego, haga clic en Paquetes de instalacin. En Paquetes de instalacin, haga clic en Conjunto de funciones de instalacin de clientes. En Tareas haga clic en Agregar conjunto de funciones de instalacin de clientes. En el cuadro de dilogo Agregar conjunto de funciones de instalacin de clientes, en el cuadro Nombre, escriba un nombre. En el cuadro Descripcin, escriba una descripcin del conjunto de funciones de instalacin de clientes. Para obtener informacin acerca de la configuracin de otras opciones en este cuadro de dilogo, haga clic en Ayuda.
Exportar paquetes de instalacin de clientes

Es posible que desee exportar un paquete de instalacin cliente si desea usar un sistema de distribucin de otro fabricante. Cuando se exportan paquetes de software de cliente, usted crea los archivos de instalacin de clientes para la implementacin. Cuando se exportan los paquetes, se debe ir a un directorio que contendr los paquetes exportados. Si especifica un directorio que no existe, ste se crea automticamente. El proceso de exportacin crea subdirectorios con nombres descriptivos en este directorio y pone los archivos de instalacin en estos subdirectorios.
Instalacin del cliente de Symantec Endpoint Protection Exportar paquetes de instalacin de clientes
149
Por ejemplo, si se crea un paquete de instalacin para un grupo denominado Mi grupo debajo de Mi empresa, un directorio denominado Mi empresa_Mi grupo se crea. Este directorio contiene el paquete de instalacin exportado. Nota: Esta convencin de nomenclatura no hace una distincin entre los paquetes de instalacin de clientes para Symantec Endpoint Protection y Symantec Network Access Control. El nombre del paquete exportado para un solo ejecutable es Setup.exe para Symantec Endpoint Protection y Symantec Network Access Control. Por lo tanto, asegrese de crear una estructura de directorios que le permita distinguir entre los archivos de instalacin de Symantec Endpoint Protection y de Symantec Network Access Control. Tiene una decisin importante para tomar cuando se exportan los paquetes. Es necesario decidir si crear un paquete de instalacin para los clientes administrados o para los no administrados. Si crea un paquete para los clientes administrados, se puede administrarlos con la consola de Symantec Endpoint Protection Manager. Si crea un paquete para los clientes no administrados, no es posible administrarlos desde la consola. Nota: Si exporta los paquetes de instalacin de clientes de una consola remota, los paquetes se crean en el equipo desde el cual se ejecuta la consola remota. Adems, si se utilizan varios dominios, es necesario exportar los paquetes para cada dominio. Si no, no aparecen como disponibles para los grupos del dominio. Despus de exportar uno o ms paquetes de instalacin de archivos, implemente los archivos de instalacin en los equipos cliente. Nota: En los equipos que ejecutan Microsoft Windows Server 2008 o Microsoft Vista (x64), los paquetes de instalacin de clientes se deben implementar con la opcin silenciosa o sin intervencin del usuario. Use solamente la opcin silenciosa para los paquetes de instalacin que se implementan en equipos que ejecutan Microsoft Vista (x86). Cuando se usa una implementacin silenciosa, las aplicaciones que se conectan a Symantec Endpoint Protection, tal como Microsoft Outlook y Lotus Notes, se deben reiniciar. Ver "Administracin de los paquetes de instalacin de clientes" en la pgina 132. Ver "Cmo implementar clientes usando un vnculo web y un correo electrnico" en la pgina 138.
150
Instalacin del cliente de Symantec Endpoint Protection Acerca de los paquetes cliente que cumplen con los requisitos de configuracin de la base de escritorio (FDCC) federal
Para exportar paquetes de instalacin de clientes
1 2 3
En la consola, haga clic en Administrador y, luego, haga clic en Paquetes de instalacin. En Paquetes de instalacin, haga clic en Paquetes de instalacin de clientes. En el panel Paquetes de instalacin de clientes, en Nombre del paquete, haga clic con el botn derecho en el paquete para exportar y, a continuacin, haga clic en Exportar. En Exportar paquete: el cuadro de dilogo, junto al cuadro de texto Carpeta de exportacin, vaya y seleccione el directorio que contiene el paquete exportado y, a continuacin, haga clic en Aceptar. Nota: Los directorios con caracteres de doble byte o high-ASCII no se admiten y se bloquean.
En Exportar paquete: el cuadro de dilogo, configura las otras opciones en funcin de los objetivos de instalacin. Para obtener informacin acerca de la configuracin de otras opciones en este cuadro de dilogo, haga clic en Ayuda.
Acerca de los paquetes cliente que cumplen con los requisitos de configuracin de la base de escritorio (FDCC) federal
Es posible crear los paquetes de instalacin de clientes que se pueden usar en los entornos que cumplen con los requisitos de configuracin de la base de escritorio (FDCC) federal. Los componentes de proteccin antivirus y antispyware se han probado y se han certificado para el uso en entornos que cumplen con FDCC. De forma predeterminada, el paquete FDCC de la lnea base proporciona proteccin antivirus y antispyware. Es posible agregar proteccin adicional seleccionando otras funciones no certificadas. Ver "Configuracin de funciones de paquetes de instalacin de clientes" en la pgina 148. Ver "Exportar paquetes de instalacin de clientes" en la pgina 148.
Captulo
Actualizacin y migracin a Symantec Endpoint Protection


Acerca de la migracin a Symantec Endpoint Protection Cmo migrar de Symantec Client Security o de Symantec AntiVirus Migrar una instancia de instalacin que utiliza varias bases de datos integradas y servidores de administracin Cmo actualizar a una nueva versin Desactivar la replicacin antes de la migracin Cmo activar la replicacin despus de una migracin o actualizacin Migrar un servidor de administracin Cmo detener e iniciar el servicio del servidor de administracin Cmo deshabilitar LiveUpdate en Symantec AntiVirus antes de la migracin Cmo deshabilitar anlisis programados en Symantec System Center cuando se migran los equipos cliente Desactivacin del servicio mvil Desinstalar y eliminar servidores de informes Cmo desbloquear grupos de servidores en Symantec System Center Acerca de la actualizacin del software de cliente
152
Actualizacin y migracin a Symantec Endpoint Protection Acerca de la migracin a Symantec Endpoint Protection
Cmo actualizar clientes mediante AutoUpgrade Actualizacin del software de cliente con una poltica de configuracin de LiveUpdate Cmo migrar los proveedores de actualizaciones de grupo
Acerca de la migracin a Symantec Endpoint Protection

Symantec Endpoint Protection detecta y migra software heredado de proteccin contra virus de Symantec.
Actualizacin y migracin a Symantec Endpoint Protection Acerca de la migracin a Symantec Endpoint Protection
153
Tabla 7-1 Producto
Migraciones admitidas Descripcin

Es posible migrar opcionalmente software heredado de proteccin contra virus de Symantec. La migracin detecta y migra las instalaciones del software heredado de proteccin contra virus de Symantec:

Software heredado de proteccin contra virus de Symantec
Symantec AntiVirus Corporate Edition 9.x y 10.x. Symantec Client Security 2.x y 3.x
Symantec Endpoint Protection Small Business Edition 12.0 Symantec Endpoint Protection 11.x.

Symantec Sygate Enterprise Protection Symantec AntiVirus for Mac
Ver "Cmo migrar de Symantec Client Security o de Symantec AntiVirus" en la pgina 154. Adems consulte la siguiente informacin: Sitio web sobre migracin Ver "Acerca de la implementacin y migracin del cliente" en la pgina 1097. Es posible omitir la migracin de la siguiente manera: Desinstale el software heredado de proteccin contra virus de Symantec de sus servidores y equipos cliente. Durante la instalacin de Symantec Endpoint Protection Manager, cancele la opcin de la migracin. Despus de la instalacin inicial del producto, use Symantec Endpoint Protection Manager para ajustar la configuracin del grupo y la configuracin de polticas. Instale el cliente de Symantec Endpoint Protection en los equipos de versin anterior desprotegidos.
Symantec Endpoint Protection
La instalacin detecta y actualiza Symantec Endpoint Protection a una nueva versin de mantenimiento. Ver "Cmo actualizar a una nueva versin" en la pgina 159.
Cliente de Symantec Endpoint Protection
Es posible instalar el cliente de Symantec Endpoint Protection en los equipos que actualmente ejecutan el cliente de Symantec Endpoint Protection 11.x (Enterprise Edition) .y 12.0 (Small Business Edition) Ver "Preparacin para la instalacin de clientes" en la pgina 127.
154
Actualizacin y migracin a Symantec Endpoint Protection Cmo migrar de Symantec Client Security o de Symantec AntiVirus
Cmo migrar de Symantec Client Security o de Symantec AntiVirus

Es posible migrar los clientes que ejecutan software heredado de proteccin contra virus de Symantec. Durante la migracin, la base de datos de Symantec Endpoint Protection se rellena con los datos de grupos y los datos de polticas de la instalacin heredada. Los paquetes de instalacin se crean para los clientes de una versin anterior. Nota: Los servidores de administracin migran a los clientes de una versin anterior. Ver "Acerca de la migracin a Symantec Endpoint Protection" en la pgina 152.
155
Tabla 7-2 Paso

1
Resumen de la migracin
Accin
Descripcin
Prepare Symantec Prepare su instalacin de versin anterior para la migracin de la siguiente Client Security o el manera: antivirus de Symantec Deshabilite los anlisis programados. para la migracin La migracin puede fallar si un anlisis se est ejecutando durante la migracin. Ver "Cmo deshabilitar anlisis programados en Symantec System Center cuando se migran los equipos cliente" en la pgina 165. Deshabilite LiveUpdate. Pueden ocurrir conflictos si LiveUpdate se ejecuta en los equipos cliente durante la migracin. Ver "Cmo deshabilitar LiveUpdate en Symantec AntiVirus antes de la migracin" en la pgina 164. Desactive el servicio mvil. La migracin puede colgar y no completarse si el servicio mvil se est ejecutando en equipos cliente. Ver "Desactivacin del servicio mvil" en la pgina 166. Desbloquee los grupos de servidores. Si est migrando de Symantec AntiVirus, resultados imprevisibles pueden ocurrir si los grupos de servidores estn bloqueados. Ver "Cmo desbloquear grupos de servidores en Symantec System Center" en la pgina 167. Desactive la proteccin contra intervenciones. Proteccin contra intervenciones puede ocasionar resultados imprevisibles durante la migracin. Desinstale y elimine servidores de informes. Desinstale los servidores de elaboracin de informes y elimine opcionalmente los archivos de base de datos. Ver "Desinstalar y eliminar servidores de informes" en la pgina 166. Consulte la documentacin de software heredado de proteccin contra virus de Symantec para obtener ms informacin.
Migrar la configuracin de polticas y grupos de versiones anteriores
Migre la configuracin de polticas y grupos de versiones anteriores. Ver "Acerca de migrar los grupos del equipo" en la pgina 156. Ver "Cmo migrar configuraciones de grupo y de polticas" en la pgina 156. Ver "Cmo migrar los proveedores de actualizaciones de grupo" en la pgina 171.
Verificar los datos migrados
Verifique y ajuste opcionalmente la configuracin de polticas y grupos migrados. Ver "Visualizacin de equipos asignados" en la pgina 201. Ver "Mover un equipo cliente a otro grupo" en la pgina 201.
156
Paso
4
Accin
Descripcin
Importar la licencia de Importe el archivo de licencia de versin anterior en Symantec Endpoint versin anterior Protection. Ver "Importacin de una licencia" en la pgina 123.
Implementar el software de cliente
Implemente el cliente en equipos de versin anterior. Ver "Acerca de los mtodos de implementacin del cliente" en la pgina 137.
Nota: Cuando se actualiza Symantec Endpoint Protection Small Business Edition, su licencia de actualizacin activa nuevas funciones en los clientes previamente instalados.
Acerca de migrar los grupos del equipo

La migracin crea un grupo secundario Mi empresa para cada grupo heredado. El nombre de grupo secundario de Mi empresa es una concatenacin de cada grupo heredado y de sus grupos secundarios heredados. Por ejemplo, suponga que el grupo heredado Clientes contiene los grupos secundarios heredados ClientGroup1 y ClientGroup2. Los nombres de grupo secundario de Mi empresa son Clientes, Clientes.ClientGroup1 y Clientes.ClientGroup2. Ver "Cmo migrar de Symantec Client Security o de Symantec AntiVirus" en la pgina 154.
Cmo migrar configuraciones de grupo y de polticas

El procedimiento siguiente usa el Asistente de migracin para migrar la configuracin del grupo y la configuracin de polticas de Symantec AntiVirus Corporate Edition y de Symantec Client Security. El Asistente de migracin se ejecuta automticamente durante la instalacin inicial del producto. Es posible tambin ejecutar el Asistente de migracin desde el men Inicio en el equipo que alberga Symantec Endpoint Protection Manager. Ver "Cmo migrar de Symantec Client Security o de Symantec AntiVirus" en la pgina 154.
157
Para migrar configuraciones de grupo y de polticas
Inicie el Asistente para migracin si es necesario. Para iniciar el Asistente de migracin desde el equipo de consola, en el men Inicio, haga clic en Todos los programas > Symantec Endpoint Protection Manager > Symantec Endpoint Protection Manager Herramientas > Asistente de migracin.
2 3
En el panel Asistente de migracin, haga clic en Siguiente. En el panel Asistente de migracin, especifique la siguiente configuracin:
Configuracin de la poltica del servidor Especifica dnde se establece la configuracin de la poltica del servidor. Seleccione una de las siguientes opciones:

Grupo de servidores Cada servidor principal
Configuracin de polticas de clientes
Especifica dnde se establece la configuracin de la poltica de clientes. Seleccione una de las siguientes opciones:

Grupo de servidores o grupo de clientes Cada servidor principal
4 5
Haga clic en Siguiente. En el panel Asistente de migracin, seleccione una de las siguientes opciones:
Detectar servidores automticamente Esta opcin importa la configuracin de todos los servidores. Escriba la direccin IP de un equipo que ejecute Symantec System Center. Esta opcin importa la configuracin de un servidor nico y de los clientes que administra. Escriba la direccin IP de un equipo que ejecute un servidor.
Agregar servidor
6 7
Haga clic en Siguiente. Siga las indicaciones que se muestran en la pantalla para completar la migracin.
158
Actualizacin y migracin a Symantec Endpoint Protection Migrar una instancia de instalacin que utiliza varias bases de datos integradas y servidores de administracin
Migrar una instancia de instalacin que utiliza varias bases de datos integradas y servidores de administracin
Migrar una instancia de instalacin que utiliza varias bases de datos integradas y servidores de administracin tiene las implicaciones siguientes:
No se realiza conmutacin por error ni balanceo de carga porque la base de datos integrada no admite servidores de conmutacin por error o balanceo de carga. Los servidores de administracin estn configurados solamente para replicacin, porque no es posible instalar varios servidores de bases de datos integradas sin instalarlos como servidores de replicacin.
Todos los sitios tienen un equipo en el cual primero se instal el servidor de administracin. Solamente uno de estos servidores de administracin fue instalado con una licencia y un secreto previamente compartido. Es necesario migrar este servidor de administracin primero. A continuacin, migre los otros servidores de administracin instalados para la replicacin. Para migrar una instancia de instalacin que utiliza varias bases de datos integradas y servidores de administracin
En todos los servidores de administracin, deshabilite la replicacin. Ver "Desactivar la replicacin antes de la migracin" en la pgina 160.
Realice la autenticacin e inicie sesin en el equipo que contiene Symantec Endpoint Protection Manager instalado con la licencia y el secreto previamente compartido. No inicie sesin en Symantec Endpoint Protection Manager.
Migre el servidor de administracin. Ver "Migrar un servidor de administracin" en la pgina 161.
4 5
Migre todos los servidores de administracin adicionales uno por uno. Despus de migrar los servidores, habilite la replicacin en cada servidor. Ver "Cmo activar la replicacin despus de una migracin o actualizacin" en la pgina 161.
Actualizacin y migracin a Symantec Endpoint Protection Cmo actualizar a una nueva versin
159
Cmo actualizar a una nueva versin

Es posible actualizar a la ltima versin del producto. Para instalar una versin ms reciente del software, es necesario realizar ciertas tareas para asegurar una actualizacin correcta. La informacin de esta seccin es especfica para actualizar el software Symantec Sygate 5.1 o Symantec Endpoint Protection 11.x en los entornos donde una versin de Symantec Endpoint Protection o Symantec Network Access Control 11.x ya est instalada. Tabla 7-3 Accin Descripcin Proceso para actualizar a la ltima versin de Enterprise Edition
Hacer copia de Haga una copia de seguridad de la base de datos usada por Symantec Endpoint Protection seguridad de la base de Manager para garantizar la integridad de la informacin del cliente. datos Ver "Hacer copia de seguridad de la base de datos y los registros" en la pgina 729. Desactivar replicacin Desactive la replicacin en todos los sitios configurados como partners de replicacin. Esto impide cualquier intento de actualizar la base de datos durante la instalacin. Ver "Desactivar la replicacin antes de la migracin" en la pgina 160. Si tiene Symantec Network Access Control instalado, habilite la autenticacin local Los dispositivos de Enforcer no pueden autenticar clientes durante una actualizacin. Para evitar problemas con la autenticacin del cliente, Symantec recomienda que se habilite la autenticacin local antes de que se actualice. Una vez que la actualizacin haya terminado, se puede volver a la configuracin de autenticacin anterior. Ver "Habilitar la autenticacin local en Integrated Enforcer" en la pgina 995. Ver "Habilitar la autenticacin local en un dispositivo Gateway Enforcer" en la pgina 875. Ver "Habilitar la autenticacin local en el dispositivo LAN Enforcer" en la pgina 934. Detener el servicio de Symantec Endpoint Protection Manager Es necesario detener el servicio de Symantec Endpoint Protection Manager antes de la instalacin. Ver "Cmo detener e iniciar el servicio del servidor de administracin" en la pgina 163.
Actualizar el software Instale la versin ms reciente de Symantec Endpoint Protection Manager en todos los de Symantec Endpoint sitios en su red. La versin existente se detecta automticamente y toda la configuracin Protection Manager se guarda durante la actualizacin. Ver "Cmo instalar el servidor de administracin y la consola" en la pgina 99. Activar la replicacin despus de la actualizacin Active la replicacin cuando la instalacin haya finalizado para restaurar su configuracin. Ver "Cmo activar la replicacin despus de una migracin o actualizacin" en la pgina 161.
160
Actualizacin y migracin a Symantec Endpoint Protection Desactivar la replicacin antes de la migracin
Accin
Descripcin
Actualizar el software Actualice su software de cliente a la ltima versin. de cliente de Symantec Ver "Acerca de la actualizacin del software de cliente" en la pgina 168. Cuando Symantec proporciona actualizaciones para los paquetes de instalacin de clientes, usted primero los aade a Symantec Endpoint Protection Manager y los pone a disposicin para exportar. Sin embargo, no es necesario reinstalar el cliente con herramientas de implementacin de clientes. La manera ms fcil de actualizar clientes en grupos con el ltimo software es usar AutoUpgrade. Se debe primero actualizar un grupo con una pequea cantidad de equipos de prueba antes de actualizar la red de produccin entera. Ver "Cmo actualizar clientes mediante AutoUpgrade" en la pgina 169. Es posible adems actualizar clientes con LiveUpdate si se permite que los clientes ejecuten LiveUpdate y si la poltica de configuracin de LiveUpdate lo permite. Ver "Cmo administrar actualizaciones de contenido" en la pgina 534.
Desactivar la replicacin antes de la migracin

Si tiene sitios de versiones anteriores de Symantec configurados para la replicacin, es necesario desactivar la replicacin antes de la migracin. No desea que los sitios intenten reproducir datos entre las bases de datos de versin anterior y actualizadas durante la migracin o despus de ella. Es necesario desactivar la replicacin en cada sitio que se replique, lo que significa que es necesario iniciar sesin y desactivar la replicacin en un mnimo de dos sitios. Ver "Cmo activar la replicacin despus de una migracin o actualizacin" en la pgina 161. Para deshabilitar la replicacin antes de la migracin
1 2 3 4 5
En la consola, haga clic en Administrador > Servidores. En Servidores, expanda Partners de replicacin y seleccione un sitio. Haga clic con el botn derecho en el sitio y, a continuacin, haga clic en Eliminar. Haga clic en S. Cierre sesin en la consola y repita este procedimiento en todos los sitios que repliquen datos.
Actualizacin y migracin a Symantec Endpoint Protection Cmo activar la replicacin despus de una migracin o actualizacin
161
Cmo activar la replicacin despus de una migracin o actualizacin

Una vez que migre o actualice los servidores que usaron la replicacin, es necesario activar la replicacin. Despus de la migracin, agregue un partner de replicacin para habilitar la replicacin. Solo debe agregar partners de replicacin en el equipo en el que primero instal el servidor de administracin. Los partners de replicacin aparecen automticamente en los otros servidores de administracin. Ver "Desactivar la replicacin antes de la migracin" en la pgina 160. Ver "Cmo actualizar a una nueva versin" en la pgina 159. Para activar la replicacin despus de la migracin o de la actualizacin
1 2 3 4 5
En la consola, haga clic en Administrador > Servidores. En Servidores, expanda Partners de replicacin y seleccione un sitio. Haga clic con el botn derecho en el sitio y, a continuacin, en Agregar partner. En el panel Agregar partner de replicacin, haga clic en Siguiente. En el panel Informacin del sitio remoto, escriba la informacin que identifica al partner de replicacin, escriba la informacin de autenticacin y, luego, haga clic en Siguiente. En el panel Programar replicacin, configure la programacin para cuando ocurra la replicacin automticamente y haga clic en Siguiente. En el panel Replicacin de paquetes cliente y archivos de registro, active los elementos para replicar y haga clic en Siguiente. La replicacin de paquetes usa cantidades grandes de trfico y de espacio en el disco duro.
6 7
8 9
En el panel Completar el Asistente para agregar partners de replicacin, haga clic en Finalizar. Repita este paso para todos los equipos que replican datos con este equipo.
Migrar un servidor de administracin

Es necesario migrar todos los servidores de administracin antes de migrar cualquier cliente. Si migra los servidores de administracin en un entorno que admita balanceo de carga, conmutacin por error o replicacin, es necesario preparar y migrar los servidores de administracin en un orden muy especfico.
162
Actualizacin y migracin a Symantec Endpoint Protection Migrar un servidor de administracin
Advertencia: Es necesario seguir la situacin que aplica a su tipo de instalacin o su migracin puede fallar. El proceso de la migracin es similar a una instalacin completamente nueva. Ver "Cmo configurar la conmutacin por error y el balanceo de carga" en la pgina 719. Ver "Cmo administrar sitios y replicacin" en la pgina 173. Tabla 7-4 enumera las tareas para migrar Symantec Endpoint Protection Manager. Tabla 7-4 Tarea
Deshabilitar comunicacin segura entre el servidor y los clientes
Tareas de migracin Descripcin

Si los clientes y el servidor usan la opcin de comunicacin segura, deber deshabilitar esta opcin antes de la migracin o de la actualizacin. Se extiende una poltica a los clientes para realizar este cambio.
Nota: Despus de la migracin o de la actualizacin, se extiende

otra poltica para habilitar la comunicacin segura. Ver "Cmo configurar comunicaciones seguras para evitar dejar hurfanos a los clientes" en la pgina 685. Instalar el nuevo servidor de administracin Instale el servidor de administracin con el Asistente para la configuracin del servidor de administracin. Para migrar a los servidores de Symantec Sygate Enterprise Protection que usan la proteccin de las Polticas de integridad del host o de Enforcer, instale primero el servidor de administracin para Symantec Endpoint Protection. A continuacin, repita el procedimiento de instalacin e instale el servidor de administracin para Symantec Network Access Control a fin de acceder a la funcionalidad de Integridad del host y de Enforcer. Ver "Cmo instalar el servidor de administracin y la consola" en la pgina 99. Configurar el servidor de Se inicia automticamente el Asistente de actualizaciones del administracin servidor de administracin. Siga las instrucciones en el asistente para configurar el nuevo servidor. Registrar en el servidor de administracin Cuando aparece el panel de inicio de sesin de Symantec Endpoint Protection Manager, inicie sesin en la consola usando las credenciales de inicio de sesin de una versin anterior.
Actualizacin y migracin a Symantec Endpoint Protection Cmo detener e iniciar el servicio del servidor de administracin
163
Tarea
(Opcional) Instale el servidor de administracin para Symantec Network Access Control
Descripcin
Cierre sesin en Symantec Endpoint Protection Manager. A continuacin, repita este proceso e instale Symantec Endpoint Protection Manager para Symantec Network Access Control desde el disco del producto Symantec Network Access Control.
Nota: No es necesario reiniciar el equipo despus de la migracin, pero puede notar mejoras en el rendimiento si lo reinicia y luego inicia sesin.
Cmo detener e iniciar el servicio del servidor de administracin

Antes de la actualizacin, se debe detener manualmente el servicio de Symantec Endpoint Protection Manager en cada servidor de administracin en su sitio. Despus de que realice la actualizacin, el servicio se inicia automticamente. Advertencia: Si no detiene el servicio de Symantec Endpoint Protection Manager antes de actualizar el servidor, se arriesga a corromper su base de datos de Symantec Endpoint Protection existente.
Nota: Si detiene el servicio del servidor de administracin, los clientes ya no pueden conectarse a l. Si los clientes deben comunicarse con el servidor de administracin para conectarse a la red, se les niega el acceso hasta que se reinicie el servicio del servidor de administracin. Por ejemplo, un cliente debe comunicarse con el servidor de administracin para aprobar una comprobacin de integridad del host. Ver "Cmo actualizar a una nueva versin" en la pgina 159. Para detener el servicio de Symantec Endpoint Protection Manager
1 2 3
Haga clic en Inicio > Configuracin > Panel de control > Herramientas administrativas > Servicios. En la ventana Servicios, en Nombre, desplcese hasta Symantec Endpoint Protection Manager y haga clic con el botn secundario en l. Haga clic en Detener.
164
Actualizacin y migracin a Symantec Endpoint Protection Cmo deshabilitar LiveUpdate en Symantec AntiVirus antes de la migracin
Cierre la ventana Servicios. Advertencia: Cierre la ventana Servicios o la actualizacin puede fallar.
Repita este procedimiento para todas las instalaciones de Symantec Endpoint Protection Manager.
Para iniciar el servicio de Symantec Endpoint Protection Manager usando la lnea de comandos
Desde una lnea de comandos, escriba:

net start semsrv
Para detener el servicio de Symantec Endpoint Protection Manager usando la lnea de comandos

net stop semsrv
Cmo deshabilitar LiveUpdate en Symantec AntiVirus antes de la migracin

Si LiveUpdate se ejecuta en los equipos cliente durante la migracin, pueden ocurrir conflictos. Por lo tanto, es necesario desactivar LiveUpdate en los equipos cliente durante la migracin. Ver "Cmo migrar de Symantec Client Security o de Symantec AntiVirus" en la pgina 154. Para deshabilitar LiveUpdate en Symantec AntiVirus
1 2 3
En Symantec System Center, haga clic con el botn secundario en un grupo de servidores. Haga clic en Todas las tareas > Symantec AntiVirus > Administrador de definiciones de virus. En el cuadro de dilogo Administrador de definiciones de virus, marque Actualizar solamente el servidor principal de este grupo de servidores y despus haga clic en Configurar. En el cuadro de dilogo Configurar actualizaciones del servidor principal, desactive Programacin para actualizaciones automticas y haga clic en Aceptar.
Actualizacin y migracin a Symantec Endpoint Protection Cmo deshabilitar anlisis programados en Symantec System Center cuando se migran los equipos cliente
165
En el cuadro de dilogo Administrador de definiciones de virus, anule las siguientes selecciones:

Actualizar definiciones de virus del servidor principal Programar actualizaciones automticas en los clientes con LiveUpdate Habilitar LiveUpdate continuo
6 7
Marque No permitir al cliente iniciar LiveUpdate manualmente y despus haga clic en Aceptar. Repita este procedimiento para todos los grupos de servidores, si tiene ms de uno.
Cmo deshabilitar anlisis programados en Symantec System Center cuando se migran los equipos cliente
Si un anlisis est programado para ejecutarse y se est ejecutando al tiempo que ocurre la migracin del cliente, la migracin puede fallar. Se recomienda deshabilitar los anlisis programados durante la migracin y habilitarlos despus de la migracin. Ver "Cmo migrar de Symantec Client Security o de Symantec AntiVirus" en la pgina 154. Para deshabilitar anlisis programados
En Symantec System Center, realice una de las siguientes acciones:

Haga clic con el botn secundario en un servidor de administracin. Haga clic con el botn secundario en un grupo de clientes.
2 3 4 5
Haga clic en Todas las tareas > Symantec AntiVirus > Anlisis programados. En el cuadro de dilogo Anlisis programados, en la ficha Anlisis de servidor, deje sin marcar todos los anlisis programados. En la ficha Anlisis de clientes, deje sin marcar todos los anlisis programados y haga clic en Aceptar. Repita este procedimiento para todos los servidores de administracin primarios, los servidores de administracin secundarios y todos los grupos de clientes.
166
Actualizacin y migracin a Symantec Endpoint Protection Desactivacin del servicio mvil
Desactivacin del servicio mvil

Si el servicio mvil est en ejecucin en los equipos cliente, la migracin puede bloquearse y no terminar. Si el servicio mvil est activado, debe desactivarlo antes de iniciar la migracin. Nota: Si sus clientes mviles ejecutan la versin 10.x de Symantec AntiVirus, debe desbloquear los grupos de servidores antes de deshabilitar el servicio mvil. Esta prctica ayuda a garantizar que los clientes de uso mvil estn autenticados correctamente con certificados en su servidor principal. Para desactivar el servicio mvil
1 2 3 4 5 6 7 8
En Symantec System Center, haga clic con el botn secundario en un grupo de servidores. Haga clic en Todas las tareas > Symantec AntiVirus > Opciones de uso mvil para clientes. En el cuadro de dilogo Opciones de uso mvil para clientes, en el cuadro Validar el servidor principal cada X minutos, escriba 1. En el cuadro Buscar el servidor principal ms cercano cada X minutos, escriba 1 y presione Aceptar. Espere algunos minutos. En Symantec System Center, haga clic con el botn secundario en un grupo de servidores. Haga clic en Todas las tareas > Symantec AntiVirus > Opciones de uso mvil para clientes. En el cuadro de dilogo Opciones de uso mvil para clientes, anule la seleccin de Habilitar uso mvil en clientes con el servicio Symantec AntiVirus Roaming. Haga clic en Aceptar.
Ver "Cmo migrar de Symantec Client Security o de Symantec AntiVirus" en la pgina 154.
Desinstalar y eliminar servidores de informes

Si instal uno o ms servidores de informes, es necesario desinstalar estos servidores de informes y, opcionalmente, eliminar los archivos de la base de datos. Es necesario tambin eliminar los servidores de informes de Symantec System Center. Es posible obtener informacin completa sobre la desinstalacin de
Actualizacin y migracin a Symantec Endpoint Protection Cmo desbloquear grupos de servidores en Symantec System Center
167
servidores de informes en la ayuda en pantalla de Symantec System Center. Las opciones de versiones anteriores se almacenaban en el registro de Windows. Toda la configuracin ahora se almacena en una base de datos, junto con los datos de informes. Ver "Cmo migrar de Symantec Client Security o de Symantec AntiVirus" en la pgina 154. Para desinstalar servidores de informes
1 2 3 4 5
Inicie sesin en un equipo que ejecute el servidor de informes. Haga clic en Inicio > Configuracin > Panel de control > Agregar o quitar programas. En el cuadro de dilogo Agregar o quitar programas, haga clic en Servidor de informes de Symantec y despus haga clic en Quitar. Siga las indicaciones que se muestran en la pantalla hasta que se elimine el servidor de informes. Repita este paso para todos los servidores de informes.
Para eliminar servidores de informes de Symantec System Center
1 2
En Symantec System Center, haga clic con el botn secundario y ample Informes. Haga clic con el botn secundario en cada servidor de informes y haga clic en Eliminar.
Cmo desbloquear grupos de servidores en Symantec System Center

Si no se desbloquean los grupos de servidores antes de la migracin, pueden presentarse resultados imprevisibles. Adems, si el servicio de uso mvil est habilitado para los clientes, el desbloqueo del grupo de servidores garantiza que los clientes se autentiquen correctamente en un servidor principal. Los clientes que se autentican correctamente en un servidor principal se colocan en la base de datos. Los clientes que se colocan en la base de datos aparecen automticamente en el grupo de versiones anteriores correcto de la consola despus de la instalacin.
168
Actualizacin y migracin a Symantec Endpoint Protection Acerca de la actualizacin del software de cliente
Para desbloquear un grupo de servidores
En Symantec System Center, haga clic con el botn secundario en un grupo de servidores bloqueado y despus haga clic en Desbloqueo de grupo de servidores. En el cuadro de dilogo Desbloqueo de grupo de servidores, escriba las credenciales de autenticacin, si es necesario, y haga clic en Aceptar.
Ver "Cmo migrar de Symantec Client Security o de Symantec AntiVirus" en la pgina 154.
Acerca de la actualizacin del software de cliente

Es posible usar varios mtodos para actualizar el software de cliente de Symantec. Algunos mtodos pueden durar hasta 30 minutos. Por lo tanto, es posible actualizar el software de cliente cuando la mayora de los usuarios no han iniciado sesin en sus equipos. Tabla 7-5 Mtodos para actualizar el software de cliente de Symantec Endpoint Protection y Symantec Network Access Control Descripcin
Use AutoUpgrade para actualizar clientes en uno o ms grupos de la consola de Symantec Endpoint Protection Manager. Ver "Cmo actualizar clientes mediante AutoUpgrade" en la pgina 169. Poltica de configuracin de LiveUpdate Configure una poltica de configuracin de LiveUpdate para un grupo que defina un servidor de LiveUpdate y permita que los clientes ejecuten LiveUpdate. Ver "Actualizacin del software de cliente con una poltica de configuracin de LiveUpdate" en la pgina 170. Disco del producto Use el programa de instalacin del disco del producto para instalar una nueva versin del cliente. Otros mtodos Use uno de los otros mtodos admitidos para instalar el software de cliente. Ver "Acerca de los mtodos de implementacin del cliente" en la pgina 137.
Mtodo de la actualizacin
AutoUpgrade
Si el cliente de Symantec Network Access Control tambin est instalado, es necesario actualizar el cliente de Symantec Endpoint Protection y el cliente de Symantec Network Access Control. Es posible asignar el paquete de Symantec
Actualizacin y migracin a Symantec Endpoint Protection Cmo actualizar clientes mediante AutoUpgrade
169
Endpoint Protection y el paquete de Symantec Network Access Control al mismo grupo. En este caso, asegrese de que la opcin Conservar funciones est seleccionada. Ver "Cmo actualizar a una nueva versin" en la pgina 159.
Cmo actualizar clientes mediante AutoUpgrade

El proceso de AutoUpgrade le permite actualizar el software de cliente de Symantec Endpoint Protection automticamente para todos los clientes que se encuentren en un grupo. Por ejemplo, se puede usar AutoUpgrade para actualizar clientes a una nueva versin de mantenimiento o versin del producto. Es necesario probar el proceso de AutoUpgrade antes de tratar de actualizar una gran cantidad de clientes en su red de produccin. Si no tiene una red de prueba, se puede crear un grupo de prueba dentro de su red de produccin. Para esta clase de prueba, se agregan algunos clientes no crticos al grupo de prueba y a continuacin se actualizan usando AutoUpgrade. Se confirma que la actualizacin se complet correctamente verificando el nmero de versin del software de cliente. El nmero de versin se muestra en el panel del cliente Ayuda >Acerca de. Ver "Acerca de la actualizacin del software de cliente" en la pgina 168. Para actualizar clientes mediante AutoUpgrade
1 2 3 4 5 6 7
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Paquetes de instalacin. En Tareas, haga clic en Actualizar clientes con paquetes. En el panel Asistente para actualizar grupos, haga clic en Siguiente. En el panel Seleccionar paquete de instalacin de clientes, seleccione el paquete de instalacin de clientes apropiado y, despus, haga clic en Siguiente. En el panel Especificar grupos, seleccione los grupos que contengan los equipos cliente que desea actualizar y, despus, haga clic en Siguiente. En el panel Configuracin de actualizacin de paquetes, seleccione Descargar del servidor de administracin. Es posible preparar y seleccionar opcionalmente un paquete en un servidor web.
Haga clic en Opciones de actualizacin.
170
Actualizacin y migracin a Symantec Endpoint Protection Actualizacin del software de cliente con una poltica de configuracin de LiveUpdate
En la ficha de General, seleccione Conservar funciones existentes del cliente al actualizar. Es posible agregar o eliminar opcionalmente funciones al actualizar.
10 Opcionalmente, en la ficha de Notificacin, personalice la configuracin de

usuario de la notificacin. Es posible personalizar el mensaje mostrado en el equipo cliente durante la actualizacin. Es posible tambin permitir que el usuario posponga la actualizacin por el tiempo que se especifique. Para obtener ms informacin sobre la configuracin de la programacin y de la notificacin, haga clic en Ayuda.
11 Haga clic en Aceptar. 12 En el panel Finaliz el Asistente para actualizar grupos, haga clic en
Siguiente.
Actualizacin del software de cliente con una poltica de configuracin de LiveUpdate

Es posible actualizar automticamente el software del producto del cliente de Symantec, permitiendo las actualizaciones del producto con una poltica de configuracin de LiveUpdate. Cuando se permiten las actualizaciones de productos, los parches se instalan en los clientes cuando se ejecuta una sesin de LiveUpdate. La sesin se puede programar o se puede iniciar manualmente. Cuando la poltica se configura para denegar las actualizaciones del producto, el software de cliente se puede actualizar solamente de forma manual usando la consola de Symantec Endpoint Protection Manager. Cuando Symantec Endpoint Protection Manager descarga y procesa las actualizaciones de LiveUpdate, crea un delta de contenido para el grupo que actualiza. El delta de contenido aparece de forma automtica como un nuevo paquete. Es posible entonces seleccionar el paquete, y actualizar los grupos y las ubicaciones manualmente con la funcin Actualizar los grupos con el paquete. Ver "Acerca de la actualizacin del software de cliente" en la pgina 168. Ver "Cmo administrar actualizaciones de contenido" en la pgina 534. Para actualizar el software de cliente de Symantec con una poltica de configuracin de LiveUpdate
1 2
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas. En Polticas, haga clic en LiveUpdate.
Actualizacin y migracin a Symantec Endpoint Protection Cmo migrar los proveedores de actualizaciones de grupo
171
3 4 5 6
En el panel derecho, en la ficha Configuracin de LiveUpdate, haga clic en una poltica de LiveUpdate. En el panel inferior izquierdo, bajo Tareas, haga clic en Editar la poltica. Bajo Poltica de LiveUpdate, haga clic en Configuracin avanzada. En el panel Configuracin avanzada, bajo Configuracin de actualizacin de productos, realice una de las siguientes acciones:
Para actualizar automticamente el software de cliente, seleccione Descargar actualizaciones de Symantec Endpoint Protection mediante un servidor de LiveUpdate. Para actualizar manualmente el software de cliente con la funcin Actualizar los grupos con el paquete con la consola de Symantec Endpoint Protection Manager, anule la seleccin de la opcin Descargar actualizaciones de Symantec Endpoint Protection mediante un servidor de LiveUpdate.
Haga clic en Aceptar y, luego, aplique la poltica a un grupo o una ubicacin en un grupo.
Ver "Cmo realizar tareas que son comunes a todas las polticas de seguridad" en la pgina 257.
Cmo migrar los proveedores de actualizaciones de grupo

Use este procedimiento para migrar los clientes que son proveedores de actualizaciones de grupo. Ver "Cmo migrar de Symantec Client Security o de Symantec AntiVirus" en la pgina 154. Para migrar clientes proveedores de actualizaciones de grupo
1 2 3
Actualice el servidor de Symantec Endpoint Protection Manager a la versin ms reciente del software. Actualice los clientes que son proveedores de actualizaciones de grupo a la versin ms reciente del software de cliente. Actualice el resto de los clientes a la versin ms reciente del software de cliente.
172
Actualizacin y migracin a Symantec Endpoint Protection Cmo migrar los proveedores de actualizaciones de grupo
Captulo
Configuracin y administracin de sitios y replicacin


Cmo administrar sitios y replicacin Determinacin de los sitios que necesita Cmo funciona la replicacin Adicin de un partner de replicacin Cmo cambiar la programacin de rplica automtica Replicar datos cuando lo necesite Cmo especificar qu datos reproducir Eliminar sitios remotos
Cmo administrar sitios y replicacin

La unidad principal de organizacin para la administracin de Symantec Endpoint Protection es un sitio. Un sitio incluye una base de datos, uno o ms servidores de administracin y clientes. De forma predeterminada, se implementa Symantec Endpoint Protection con un nico sitio. Organizaciones con ms de un centro de datos o ubicacin fsica con varios sitios. Tabla 8-1 muestra los pasos que debe seguir para configurar sitios adicionales y administrar replicacin.
174
Configuracin y administracin de sitios y replicacin Cmo administrar sitios y replicacin
Tabla 8-1 Pasos Tareas

Paso 1
Proceso para configurar sitios Descripcin

Determine si es necesario agregar otro sitio y decidir qu diseo de sitio funciona para la organizacin. Ver "Determinacin de los sitios que necesita" en la pgina 176.
Determine si es necesario agregar otro sitio.
Paso 2
Instale Symantec Cuando instala Symantec Endpoint Protection por primera Endpoint Protection vez, de forma predeterminada se instala el sitio 1 o el sitio Manager en el primer local. sitio. Ver "Cmo instalar el servidor de administracin y la consola" en la pgina 99. Instale Symantec Es posible instalar el servidor de administracin en el Endpoint Protection segundo sitio mediante el asistente para la configuracin Manager en el del servidor de administracin. segundo sitio. Es posible configurar la replicacin de datos durante la instalacin inicial o en un momento posterior. Cuando se configura la replicacin durante la instalacin inicial, es posible adems configurar una programacin para la sincronizacin de los partners de replicacin. Inicialmente, se instala el primer sitio y despus se instala un segundo sitio como partner de replicacin. Un tercer sitio se puede instalar y configurarse para conectarse a cualquiera de los primeros dos sitios. Es posible agregar tantos sitios como sea necesario a la granja de sitios.
Paso 3
Configuracin y administracin de sitios y replicacin Cmo administrar sitios y replicacin
175
Pasos Tareas
Paso 4 Agregue el segundo sitio como partner.
Descripcin
Comprenda porqu es necesario duplicar los datos entre los sitios. Configure los partners de replicacin mediante el asistente para Agregar asociado de replicacin existente. Ver "Cmo funciona la replicacin" en la pgina 178. Ver "Adicin de un partner de replicacin" en la pgina 180. Es necesario eliminar partners de replicacin antes de migrar o actualizar a la ltima versin del servidor de administracin. Es posible agregar ms tarde ese partner de replicacin nuevamente para que las bases de datos sean coherentes. Sin embargo, algunos cambios pueden ser incompatibles. Ver "Desactivar la replicacin antes de la migracin" en la pgina 160. Ver "Cmo activar la replicacin despus de una migracin o actualizacin" en la pgina 161. Es posible tambin eliminar todos los sitios remotos totalmente. Ver "Eliminar sitios remotos" en la pgina 184.
Paso 5
Programe la replicacin en el primer sitio.
De forma predeterminada, la replicacin se programa automticamente. Es posible modificar la programacin de replicacin en funcin de la cantidad de espacio disponible. Es posible tambin ejecutar la replicacin de forma inmediata. Ver "Cmo cambiar la programacin de rplica automtica" en la pgina 181. Ver "Replicar datos cuando lo necesite" en la pgina 182.
Paso 6
Haga copia de Una vez que configura Symantec Endpoint Protection, es seguridad de la base necesario hacer copia de seguridad de la base de datos que de datos en el primer contiene todos los cambios de configuracin. sitio. Ver "Hacer copia de seguridad de la base de datos y los registros" en la pgina 729.
176
Configuracin y administracin de sitios y replicacin Determinacin de los sitios que necesita
Pasos Tareas
Paso 7 Configure las propiedades para el primer sitio.
Descripcin
Es posible configurar los puntos siguientes para el sitio:

El perodo despus del cual la consola cierra sesin. Nombre y descripcin del sitio.
Independientemente de si elimina a los clientes que no se han conectado despus de cierto perodo. Minimice los tamaos del registro para ahorrar espacio. Ver "Cmo especificar qu datos reproducir" en la pgina 183.
Determinacin de los sitios que necesita

La mayora de las organizaciones de pequeo y mediano tamao necesitan un solo sitio para administrar centralizadamente la seguridad de la red. Dado que cada sitio tiene solo una base de datos, todos los datos se localizan centralizadamente. Incluso una organizacin grande con una nica ubicacin geogrfica y menos de 45 a 50 000 clientes necesita tpicamente un solo sitio. Pero para las organizaciones que son demasiado complejas de administrar de forma centralizada, es necesario usar una arquitectura de administracin distribuida con varios sitios. Se recomienda considerar la posibilidad de tener varios sitios para cualquiera de los siguientes factores:

Un gran nmero de clientes. El nmero de ubicaciones geogrficas y el tipo de enlaces de comunicaciones entre ellos. El nmero de divisiones funcionales o de grupos administrativos. El nmero de datacenters. La mejor prctica consiste en configurar un sitio de Symantec Endpoint Protection para cada centro de datos. Frecuencia con la que desea actualizar el contenido. Cantidad de datos de registro de clientes que necesita conservar, tiempo que necesita guardarlos y lugar donde debe almacenarlos. Un vnculo lento WAN entre dos ubicaciones fsicas. Si configura un segundo sitio con su propio servidor de administracin, puede minimizar el trfico del servidor cliente por medio de ese vnculo lento. Cualquier consideracin de administracin de seguridad de TI y de administracin corporativa general que es nica.
Use las instrucciones de tamao siguientes para decidir cuntos sitios debe instalar:
Configuracin y administracin de sitios y replicacin Determinacin de los sitios que necesita
177
Instale la menor cantidad de sitios posible, hasta un mximo de 20 sitios. Conecte hasta 10 servidores de administracin a una base de datos. Conecte hasta 50 000 clientes a un servidor de administracin.
Una vez que agrega un sitio, debe duplicar la informacin del sitio por medio de varios sitios mediante la replicacin. La replicacin es el proceso de compartir informacin entre bases de datos para asegurarse de que el contenido sea coherente. Tabla 8-2 muestra los diseos de varios sitios que puede elegir. Tabla 8-2 Diseos de varios sitios
Diseo del sitio Descripcin

Distribuidas Cada sitio realiza la replicacin bidireccional para los grupos y las polticas, pero no para los registros y el contenido. Para ver los informes del sitio, use la consola para conectarse a un servidor de administracin en el sitio remoto. Use este diseo cuando no necesite acceder inmediatamente a los datos del sitio remoto. Registro centralizado Alta disponibilidad Todos los registros se envan desde otros sitios a un sitio central. Use este diseo cuando necesite elaborar informes centralizados. Cada sitio tiene varias instalaciones de servidor de administracin y agrupaciones en clster de base de datos. Es posible configurar los equipos cliente para cambiar automticamente a un servidor de administracin alternativo si el servidor de administracin principal no est disponible. Use este diseo para proporcionar redundancia, conmutacin por error y recuperacin despus de un desastre. Ver "Cmo configurar la conmutacin por error y el balanceo de carga" en la pgina 719.
Nota: No agregue sitios para controlar clientes adicionales. En cambio, puede instalar dos o ms servidores de administracin y usar la lista de servidores de administracin. Ver "Cmo funciona la replicacin" en la pgina 178.
178
Configuracin y administracin de sitios y replicacin Cmo funciona la replicacin
Cmo funciona la replicacin

La replicacin habilita los datos que se duplicarn entre sitios de bases de datos independientes, de modo que ambas bases de datos contengan la misma informacin. Si una base de datos falla, puede administrar el sitio entero usando la informacin en la base de datos de otro sitio. Un partner es un servidor de administracin en otro sitio con una base de datos diferente y servidores de administracin. Un sitio puede tener tantos partners como sea necesario. Cada partner o sitio remoto se conecta al sitio principal o al sitio local, que es el sitio en el que se ha iniciado sesin. Se considera que todos los sitios que se configuran como partners estn en la misma granja de sitios. Cada sitio con el que se replican datos un partner de replicacin o un partner del sitio. Tanto los partners de replicacin como los partners del sitio usan varios servidores, pero la base de datos que usan y la manera en que se comunican es diferente:
Los partners de replicacin pueden usar una base de datos integrada o una base de datos de Microsoft SQL Server. Los servidores de administracin no comparten la base de datos. Todos los partners de replicacin comparten una clave de licencia comn. Los partners del sitio comparten una nica base de datos de Microsoft SQL.
Todos los sitios tienen tpicamente el mismo tipo de base de datos. Sin embargo, puede configurar la replicacin entre un sitio que tiene una base de datos integrada y un segundo sitio que tiene una base de datos de Microsoft SQL Server. Si usa una base de datos integrada, puede conectar solamente un Symantec Endpoint Protection Manager. Si usa una base de datos de Microsoft SQL Server, se pueden conectar varios servidores de administracin o compartir una base de datos. Solamente el primer servidor de administracin necesita ser configurado como partner de replicacin. Ver "Determinacin de los sitios que necesita" en la pgina 176. Los cambios que se realizan en cualquier partner se duplican en el resto de los partners. Por ejemplo, es posible configurar un sitio en su oficina principal (sitio 1) y un segundo sitio (sitio 2). El sitio 2 es un partner para el sitio 1. Las bases de datos en el sitio 1 y el sitio 2 se reconcilian mediante la programacin de la replicacin. Si se realiza un cambio en el sitio 1, aparece automticamente en el sitio 2 despus de que ocurra la replicacin. Si se realiza un cambio en el sitio 2, aparece automticamente en el sitio 1 despus de que ocurra la replicacin. Es posible tambin instalar un tercer sitio (sitio 3) que puede reproducir datos desde sitio 1 o el sitio 2. Figura 8-1 ilustra cmo ocurre la replicacin de datos del sitio principal a otros dos sitios.
Configuracin y administracin de sitios y replicacin Cmo funciona la replicacin
179
Figura 8-1
Cmo funciona la replicacin entre el sitio principal y dos sitios remotos

Sitio 2 Symantec Endpoint Protection Manager Base de datos de MS SQ Replicacin
Sitio 1 Symantec Endpoint Protection Manager
Base de datos de MS SQ
Sitio 3 Symantec Endpoint Protection Manager
Base de datos de MS SQ
Siempre se replican grupos y polticas. Es posible elegir replicar registros, contenido actualizado y parches. Ver "Cmo especificar qu datos reproducir" en la pgina 183. Despus de que ocurra la replicacin, la base de datos en el sitio 1 y la base de datos en el sitio 2 son iguales. Solamente la informacin de identificacin del equipo para los servidores se diferencia. Si los administradores modifican la configuracin en los sitios de una granja de sitios, pueden ocurrir conflictos. Tabla 8-3 muestra las maneras en las que Symantec Endpoint Protection Manager controla los conflictos que surgen.
Replicacin
180
Configuracin y administracin de sitios y replicacin Adicin de un partner de replicacin
Tabla 8-3
Cmo el servidor de administracin resuelve los conflictos entre sitios Resolucin
Tipo de conflicto
No pueden coexistir dos diferencias juntas. El servidor de administracin conserva solamente el cambio realizado ms recientemente. Por ejemplo, los administradores para el sitio 1 y el sitio 2 configuran un valor idntico de Por ejemplo, se conserva el cambio del sitio 2. poltica de firewall. En el sitio 1, se habilita la configuracin. En el sitio 2, se deshabilita la configuracin. La misma variable se crea para ambos sitios. El servidor de administracin conserva ambos cambios, ya que agrega un tilde y el nmero 1 (~1) despus de la variable realizada ms Por ejemplo, los administradores en el sitio recientemente. 1 y el sitio 2 agregan un grupo con el mismo nombre. Por ejemplo, con dos grupos denominados Ventas, el grupo recientemente denominado Ventas se convierte en Ventas ~1. Los datos pueden combinarse sin conflicto. El servidor de administracin combina los cambios Por ejemplo, el administrador para el sitio 1 Por ejemplo, el servidor de administracin muestra las siete polticas agrega dos polticas de firewall y el de firewall en ambos sitios. administrador para el sitio 2 agrega cinco polticas de firewall.
Ver "Hacer copia de seguridad de la base de datos y los registros" en la pgina 729.
Adicin de un partner de replicacin

Si desea replicar datos con otro sitio, usted pudo haberlo configurado ya durante la instalacin inicial. Si no configur la replicacin durante la instalacin inicial, es posible hacerlo ms tarde agregando un partner de replicacin. Adems, es posible agregar un partner de replicacin que se elimin previamente como partner. Si agrega un partner eliminado, el servidor de administracin al que desea conectarse debe haber sido previamente un partner en la misma granja de sitios. Ver "Cmo administrar sitios y replicacin" en la pgina 173. Para agregar un partner de replicacin
1 2 3
En la consola, haga clic en Administrador y, luego, haga clic en Servidores. En Servidores, seleccione un sitio. En Tareas, haga clic en Agregar partner de replicacin existente.
Configuracin y administracin de sitios y replicacin Cmo cambiar la programacin de rplica automtica
181
4 5
En Agregar asistente de partner de replicacin existente, haga clic en Siguiente. En el panel Informacin del sitio remoto, escriba la direccin IP o el nombre de host y el nmero de puerto del servidor de administracin que desea convertir en un partner de replicacin. La configuracin predeterminada para el puerto del servidor remoto es 8443.
6 7
Escriba el nombre de usuario y la contrasea del administrador para el servidor de administracin remota y haga clic en Siguiente. En el panel Programar replicacin, especifique la programacin para la replicacin entre los dos partners haciendo una de las siguientes tareas:
Marque Replicar automticamente. Hace que la replicacin frecuente y automtica ocurra entre dos sitios. Para configurar una programacin personalizada para la replicacin, seleccione Replicar automticamente y especifique la programacin.
8 9
Haga clic en Siguiente. En el panel Replicacin de paquetes cliente y archivos de registro, seleccione o anule la seleccin de las opciones dependiendo de si desea replicar los registros. siguientes acciones:
10 En el cuadro de dilogo Agregar partner de replicacin, realice una de las

Si la base de datos se ha restaurado en el sitio de replicacin del partner, haga clic en S. Es necesario restaurar la base de datos en cada sitio del partner de replicacin antes de que contine si es que se va a actualizar o a restaurar una base de datos. Haga clic en No si la base de datos no se ha restaurado. Despus, restaure la base de datos y reinicie este procedimiento.
11 Haga clic en Siguiente. 12 Haga clic en Finalizar.

El partner de replicacin se agrega a Partners de replicacin en la pgina Administrador.
Cmo cambiar la programacin de rplica automtica

La replicacin ocurre normalmente segn la programacin que se configura cuando se agrega un partner de replicacin durante la instalacin inicial. El sitio con el
182
Configuracin y administracin de sitios y replicacin Replicar datos cuando lo necesite
nmero de ID ms pequeo inicia la replicacin programada. Cuando se ha establecido un partner de replicacin, es posible modificar la programacin de replicacin. Cuando se modifica la programacin en un partner de replicacin, la programacin en ambos lados es igual despus de la replicacin siguiente. Ver "Cmo administrar sitios y replicacin" en la pgina 173. Para modificar frecuencias de replicacin
1 2 3 4
En la consola, haga clic en Administrador y, luego, haga clic en Servidores. En Servidores, haga clic en Partners de replicacin. En Tareas, haga clic en Editar partner de replicacin. En el cuadro de dilogo Editar partner de replicacin, especifique la programacin para la replicacin entre los dos partners haciendo una de las siguientes tareas:
Marque Replicar automticamente. Hace que la replicacin frecuente y automtica ocurra entre dos sitios. Esta es la opcin predeterminada. Por lo tanto, no es posible configurar una programacin personalizada para la replicacin. Nota: La opcin Replicar automticamente realiza el proceso de replicacin cada dos horas. Las versiones anteriores del producto se replican de forma automtica cada cinco minutos. Desactive Replicar automticamente Es posible ahora configurar una programacin personalizada para la replicacin.

Seleccione una Frecuencia de replicacin cada hora, diaria o semanal. Seleccione el da especfico durante el cual debe ocurrir la replicacin en la lista Da de semana para configurar una programacin semanal.
Replicar datos cuando lo necesite

La replicacin ocurre normalmente segn la programacin que se configura cuando se agrega un partner de replicacin durante la instalacin. El sitio con el nmero de ID ms pequeo inicia la replicacin programada. Puede ser recomendable que la replicacin se produzca de forma inmediata.
Configuracin y administracin de sitios y replicacin Cmo especificar qu datos reproducir
183
Si utiliza una base de datos de Microsoft SQL Server con ms de un servidor, es posible iniciar solamente la replicacin desde el primer servidor en ese sitio. Ver "Cmo administrar sitios y replicacin" en la pgina 173. Programar la replicacin manual
1 2 3 4 5
En la consola, haga clic en Administrador y, luego, haga clic en Servidores. En Servidores, expanda Partners de replicacin y seleccione el partner cuya base de datos desea replicar de forma inmediata. En Tareas, haga clic en Replicar ahora. Haga clic en S. Haga clic en Aceptar.
Cmo especificar qu datos reproducir

Es posible elegir replicar o duplicar los paquetes cliente, contenido de LiveUpdate y los registros entre el sitio local y el sitio remoto. El administrador en el sitio remoto puede implementar el paquete cliente y el contenido de LiveUpdate. Si decide replicar los paquetes cliente y el contenido de LiveUpdate, es posible duplicar una gran cantidad de datos. Los datos en un paquete cliente pueden tener un tamao de 5 GB. Los paquetes de instalacin de Symantec Endpoint Protection y Symantec Network Access Control de 32 bits y de 64 bits pueden ocupar hasta 500 MB del espacio libre en el disco. Si planea replicar registros, asegrese de que tiene suficiente espacio libre en el disco para registros adicionales en todos los servidores de partners de replicacin. Para especificar qu datos replicar
1 2 3 4 5 6
En la consola, haga clic en Administrador y, luego, haga clic en Servidores. En Servidores, haga clic en Partners de replicacin. Expanda Partners de replicacin y seleccione el partner de replicacin con el cual desee replicar los paquetes cliente. En Tareas, haga clic en Editar propiedades del partner de replicacin. En el cuadro de dilogo Propiedades del partner de replicacin, haga clic en Replicar paquetes cliente entre el sitio local y el sitio asociado. Haga clic en Aceptar.
Ver "Acerca de los mtodos de implementacin del cliente" en la pgina 137.
184
Configuracin y administracin de sitios y replicacin Eliminar sitios remotos
Eliminar sitios remotos

Cuando quita un servidor de administracin de un sitio remoto, necesita eliminarlo manualmente de todos los sitios. La desinstalacin del software de la consola de un servidor de administracin no logra que el icono desaparezca del panel Servidores en otras consolas. Ver "Cmo administrar sitios y replicacin" en la pgina 173. Para eliminar sitios remotos
1 2 3 4 5
En la consola, haga clic en Administrador. En Tareas, haga clic en Servidores. Expanda los Sitios remotos y seleccione el sitio que planea eliminar. En Tareas, haga clic en Eliminar sitio remoto. Haga clic en S.
Captulo
Administracin de Symantec Endpoint Protection en Protection Center


Acerca de Symantec Endpoint Protection y Protection Center Acerca de actualizar a la versin 2 de Protection Center Acerca de la configuracin de Symantec Endpoint Protection en Protection Center Acerca de la configuracin de varios dominios de Symantec Endpoint Protection en Protection Center Configuracin de la comunicacin entre Symantec Endpoint Protection Manager y Protection Center
Acerca de Symantec Endpoint Protection y Protection Center

Protection Center le permite administrar Symantec Endpoint Protection junto con otros productos de Symantec en un nico entorno. Symantec Endpoint Protection se integra con Protection Center mediante una serie de servicios web. Estos servicios web proporcionan comunicacin entre el servidor de Symantec Endpoint Protection Manager y el servidor de Protection Center.
186
Administracin de Symantec Endpoint Protection en Protection Center Acerca de actualizar a la versin 2 de Protection Center
Es posible realizar las siguientes tareas en Protection Center:
Ejecute la consola de Symantec Endpoint Protection Manager desde Protection Center junto con otras consolas del producto de Symantec. La consola de Symantec Endpoint Protection Manager en Protection Center es casi idntica a la consola independiente. Las opciones de funcin principal que aparecen a la izquierda de la ventana de la consola en la versin independiente, sin embargo, aparecen en la parte superior en Protection Center. Ejecute los informes que contengan datos de Symantec Endpoint Protection y de otros productos, tales como Symantec Messaging Gateway. Los servicios web de la fuente de datos definen los datos de Symantec Endpoint Protection que se escriben en la base de datos de Protection Center. Para obtener ms informacin, consulte la datos de la Symantec Endpoint ProtectionGua de referencia de Protection Center, que est disponible en el Soporte tcnico de Symantec. Inicie los flujos de trabajo de Protection Center que incluyen tareas de Symantec Endpoint Protection. Protection Center proporciona los siguientes flujos de trabajo de Symantec Endpoint Protection:

Ponga en cuarentena el flujo de trabajo de endpoint Mueva el flujo de trabajo de endpoint Actualice las definiciones de virus en el flujo de trabajo de endpoint Actualice las definiciones de virus y el flujo de trabajo de endpoint
Otros productos pueden proporcionar tareas o conjuntos de integracin de puntos diferentes. Para obtener ms informacin sobre cmo los productos se pueden integrar con Protection Center, consulte la documentacin de Protection Center. Ver "Acerca de actualizar a la versin 2 de Protection Center" en la pgina 186. Ver "Acerca de la configuracin de Symantec Endpoint Protection en Protection Center" en la pgina 187.
Acerca de actualizar a la versin 2 de Protection Center

Para actualizar a la versin 2 de Protection Center, se realiza una nueva instalacin. A continuacin, agregue Symantec Endpoint Protection a Protection Center. El proceso de agregar es similar a agregar productos en versin 1. Ver "Acerca de la configuracin de Symantec Endpoint Protection en Protection Center" en la pgina 187.
Administracin de Symantec Endpoint Protection en Protection Center Acerca de la configuracin de Symantec Endpoint Protection en Protection Center
187
Sin embargo, las cuentas de usuario en Protection Center para acceder a los productos integrados se configuran de manera diferente. Para obtener ms informacin, consulte la documentacin de Protection Center.
Acerca de la configuracin de Symantec Endpoint Protection en Protection Center

Para configurar Symantec Endpoint Protection en Protection Center, debe realizar las siguientes tareas:
Agregue el servidor de Symantec Endpoint Protection Manager a Protection Center y habilite el servidor. Cree las cuentas de Protection Center para acceder a Symantec Endpoint Protection y sus otros productos integrados. Asigne las cuentas de Protection Center a las cuentas correspondientes en Symantec Endpoint Protection y sus otros productos integrados.
Para obtener informacin detallada sobre cmo agregar productos y crear cuentas, consulte la documentacin de Protection Center. Es necesario configurar dominios varios individualmente. Si su Symantec Endpoint Protection Manager incluye solamente el dominio predeterminado, no es necesario especificar ninguna informacin del dominio en Protection Center. Ver "Acerca de la configuracin de varios dominios de Symantec Endpoint Protection en Protection Center" en la pgina 188. Nota: En la versin 1 de Protection Center, se puede agregar Symantec Endpoint Protection usando una cuenta de administrador limitado que tenga derechos de elaboracin de informes. En la versin 2, es necesario usar una cuenta de administrador del sistema o de administrador del dominio. Protection Center puede descubrir automticamente los servidores de Symantec Endpoint Protection Manager en su red. Esta deteccin de redes se habilita en Symantec Endpoint Protection Manager de forma predeterminada. Si la deshabilit, se puede agregar Symantec Endpoint Protection Manager manualmente. Para obtener ms informacin sobre cmo agregar un producto manualmente, consulte la documentacin de Protection Center. Ver "Configuracin de la comunicacin entre Symantec Endpoint Protection Manager y Protection Center" en la pgina 189.
188
Administracin de Symantec Endpoint Protection en Protection Center Acerca de la configuracin de varios dominios de Symantec Endpoint Protection en Protection Center
Acerca de la configuracin de varios dominios de Symantec Endpoint Protection en Protection Center

Para administrar varios dominios de Symantec Endpoint Protection en Protection Center, es necesario agregar cada dominio a Protection Center de forma separada. Es necesario especificar el dominio como parte del nombre de usuario con el formato <nombre_dominio>\nombre_cuenta. Nota: Los dominios de Symantec Endpoint Protection son equivalentes a los arrendatarios en Protection Center. Adems proporciona el nombre de dominio en el campo de arrendatario cuando agrega un dominio de Symantec Endpoint Protection a Protection Center. Cuando configura Symantec Endpoint Protection Manager, se configuran los puertos para el sistema completo. Es posible usar los puertos predeterminados o especificar puertos personalizados. Cuando agrega varios dominios en Protection Center, debe especificar estos puertos para cada dominio que agrega. Los nmeros de puerto son iguales, pero Protection Center necesita que los proporcione para cada dominio. Tabla 9-1 muestra los trminos que usa Protection Center para hacer referencia a los puertos de Symantec Endpoint Protection Manager. Tabla 9-1 Nombres de puertos Nombre del puerto de Symantec Endpoint Protection Manager
Puerto de servicios web Puerto de servicios web Puerto del servidor
Nombre del puerto de Protection Center

Puerto de fuente de datos Puerto de registro Puerto de la consola
Ver "Acerca de la configuracin de Symantec Endpoint Protection en Protection Center" en la pgina 187. Ver "Configuracin de la comunicacin entre Symantec Endpoint Protection Manager y Protection Center" en la pgina 189.
Administracin de Symantec Endpoint Protection en Protection Center Configuracin de la comunicacin entre Symantec Endpoint Protection Manager y Protection Center
189
Configuracin de la comunicacin entre Symantec Endpoint Protection Manager y Protection Center

Es posible agregar un Symantec Endpoint Protection Manager a Protection Center usando la configuracin de comunicacin predeterminada que est instalada cuando se instala Symantec Endpoint Protection Manager. En algunos casos, sin embargo, es posible que sea necesario cambiar alguna de estas configuraciones. Para configurar la comunicacin entre Symantec Endpoint Protection Manager y Protection Center
1 2
En la consola, vaya a Administrador > Servidores > Nombre del servidor > Editar propiedades del sitio. En la ficha Servicios web, cambie cualquiera de las siguientes opciones de configuracin:
Fuentes de datos Si encuentra que las fuentes de datos de Protection Center consumen demasiado su ancho de banda de red, se puede cambiar esta configuracin.
Nota: Las fuentes de datos son transferidas continuamente a

Protection Center. Tamao de flujo de Los flujos de trabajo de Protection Center son activados por trabajo eventos. Son por lo tanto menos frecuentes que las fuentes de datos. Es posible an querer usar esta configuracin para perfeccionar cuntos datos de Symantec Endpoint Protection solicitan los flujos de trabajo de Protection Center. Deteccin de redes Si se deshabilita la deteccin de redes, deber agregar Symantec Endpoint Protection Manager a Protection Center manualmente. Consulte la documentacin de Protection Center para obtener ms informacin. Autenticacin Habilite la autenticacin basada en sesin para permitir que el soporte tcnico de Symantec o los ingenieros de ventas escriban las herramientas basadas en servicio web para ayudar a optimizar su entorno.
Para obtener ms informacin detallada sobre esta configuracin, consulte la ayuda contextual para el panel Servicios web.
190
Administracin de Symantec Endpoint Protection en Protection Center Configuracin de la comunicacin entre Symantec Endpoint Protection Manager y Protection Center
Ver "Acerca de la configuracin de Symantec Endpoint Protection en Protection Center" en la pgina 187.
Seccin
Administracin de proteccin en Symantec Endpoint Protection
Captulo 10. Administracin de grupos de equipos cliente Captulo 11. Administracin de clientes Captulo 12. Administracin de clientes remotos Captulo 13. Uso de polticas para administrar seguridad Captulo 14. Administracin de proteccin antivirus y antispyware Captulo 15. Personalizacin de anlisis Captulo 16. Administracin de SONAR Captulo 17. Administracin de proteccin contra intervenciones Captulo 18. Administracin de proteccin mediante firewall Captulo 19. Administracin de prevencin de intrusiones Captulo 20. Administracin del control de aplicaciones y dispositivos Captulo 21. Administracin de excepciones
192
Captulo 22. Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Captulo 23. Supervisin de proteccin con los informes y los registros Captulo 24. Administracin de notificaciones Captulo 25. Administracin de dominios Captulo 26. Administracin de cuentas de administrador
Captulo
10
Administracin de grupos de equipos cliente


Cmo administrar los grupos de clientes Cmo se pueden estructurar los grupos Importacin de una estructura de organizacin existente Adicin de un grupo Cmo asignar clientes a los grupos antes de instalar el software de cliente Desactivar y activar la herencia de un grupo Bloquear clientes para que no se agreguen a grupos Visualizacin de equipos asignados Mover un equipo cliente a otro grupo
Cmo administrar los grupos de clientes

En Symantec Endpoint Protection Manager, los grupos funcionan como contenedores para endpoints que ejecutan el software de cliente. Estos endpoints pueden ser equipos o usuarios. Se ordenan los clientes que tienen necesidades de seguridad similares en grupos para hacer ms fcil administrar la seguridad de la red. Symantec Endpoint Protection Manager contiene los grupos predeterminados siguientes:
194
Administracin de grupos de equipos cliente Cmo administrar los grupos de clientes
El grupo Mi empresa es el grupo de nivel superior o grupo principal. Contiene un rbol plano de grupos secundarios. El Grupo predeterminado es un subgrupo de Mi empresa. Asignan los clientes primero al Grupo predeterminado cuando primero se registran en Symantec Endpoint Protection Manager, a menos que pertenezcan a un grupo predefinido. No es posible crear subgrupos en el Grupo predeterminado.
Nota: No es posible cambiar el nombre de los grupos predeterminados ni eliminarlos. Tabla 10-1 Tarea
Crear o eliminar grupos
Acciones de la administracin de grupos Descripcin

Ver "Cmo se pueden estructurar los grupos" en la pgina 195. Ver "Adicin de un grupo" en la pgina 198.
Nota: Es posible que tambin desee planear ubicaciones

cuando se planean los grupos. Ver "Cmo administrar las ubicaciones para los clientes remotos" en la pgina 235. Importar grupos existentes Si su organizacin ya tiene una estructura de grupos existentes, se pueden importar los grupos como unidades organizativas.
Nota: No es posible administrar las unidades organizativas

importadas de la misma manera que se pueden administrar los grupos que se crean en Symantec Endpoint Protection Manager. Ver "Importacin de una estructura de organizacin existente" en la pgina 197. Deshabilitar herencia para subgrupos Los subgrupos heredan la misma configuracin de seguridad del grupo principal de forma predeterminada. Es posible deshabilitar la herencia. Ver "Desactivar y activar la herencia de un grupo" en la pgina 200.
Administracin de grupos de equipos cliente Cmo se pueden estructurar los grupos
195
Tarea
Realice el mantenimiento bsico
Descripcin
Es posible mover los grupos para una administracin ms fcil, mover clientes entre los grupos y revisar o cambiar cierta informacin bsica sobre los clientes. Es posible tambin bloquear clientes para que no sean agregados a un grupo determinado. Ver "Bloquear clientes para que no se agreguen a grupos" en la pgina 200.
Crear ubicaciones dentro de Es posible configurar los clientes para que cambien los grupos automticamente a una poltica de seguridad diferente si la ubicacin fsica de los clientes cambia. Ver "Cmo administrar las ubicaciones para los clientes remotos" en la pgina 235. Algunas opciones de configuracin de seguridad son especficas del grupo y otras, de la ubicacin. Es posible personalizar cualquier configuracin especfica de la ubicacin. Ver "Configurar las opciones de configuracin para una ubicacin" en la pgina 247. Asignar clientes a los grupos Ver "Cmo asignar clientes a los grupos antes de instalar el antes de instalar el software software de cliente" en la pgina 199. de cliente Administrar polticas de seguridad para los grupos Es posible crear polticas de seguridad segn las necesidades de cada grupo. Luego, es posible asignar diferentes polticas a diferentes grupos o ubicaciones. Ver "Acerca de consolidar las polticas de seguridad para los clientes remotos" en la pgina 248. Ver "Cmo realizar tareas que son comunes a todas las polticas de seguridad" en la pgina 257.
Cmo se pueden estructurar los grupos

Es posible crear varios grupos y subgrupos para que coincidan con la estructura de organizacin de su empresa. Es posible basar su estructura de grupo en la funcin, el rol, la regin geogrfica o una combinacin de criterios.
196
Administracin de grupos de equipos cliente Cmo se pueden estructurar los grupos
Tabla 10-2 Criterio

Funcin
Criterios para crear los grupos Descripcin

Es posible crear los grupos segn los tipos de equipos que se administrarn, por ejemplo, los equipos porttiles, los equipos de escritorio y los servidores. Alternativamente, se pueden crear varios grupos segn el tipo de uso. Por ejemplo, se puede crear un grupo Mvil para los clientes que viajan y un grupo Local para los clientes que permanecen en la oficina. Es posible crear los grupos para los roles de departamentos, tales como ventas, ingeniera, finanzas y comercializacin. Es posible crear los grupos segn las oficinas, las ciudades, los estados, las regiones o los pases donde se encuentran los equipos.
Rol
Regin geogrfica
Combinacin Es posible crear los grupos segn una combinacin de criterios. Por ejemplo, se puede usar la funcin y el rol. Es posible agregar un grupo principal por rol y agregar subgrupos secundarios por la funcin, como en la siguiente situacin:

Ventas, con los subgrupos de equipos porttiles, de escritorio y servidores. Ingeniera, con subgrupos de equipos porttiles, de escritorio y servidores.
Por ejemplo, supongamos que una empresa tiene departamentos de televenta y de contabilidad. Estos departamentos tienen empleados en las oficinas de Nueva York, Londres y Frankfurt de la compaa. Todos los equipos de ambos departamentos estn asignados al mismo grupo de modo que reciban las actualizaciones de las definiciones de virus y de riesgo para la seguridad de la misma fuente. Sin embargo, los informes de TI indican que el departamento de televenta es ms vulnerable a los riesgos que el departamento de contabilidad. Como resultado, el administrador del sistema crea los grupos de televenta y de contabilidad por separado. Los clientes de televenta comparten las opciones de configuracin que limitan terminantemente cmo los usuarios pueden interaccionar con la proteccin antivirus y contra riesgos para la seguridad. Si tiene instalados clientes de Symantec Endpoint Protection y de Symantec Network Access Control, mantenga los clientes de Symantec Endpoint Protection y de Symantec Network Access Control en grupos separados. Consulte el artculo de la base de conocimientos Prcticas recomendadas para la creacin de estructuras de grupos Ver "Cmo administrar los grupos de clientes" en la pgina 193.
Administracin de grupos de equipos cliente Importacin de una estructura de organizacin existente
197
Importacin de una estructura de organizacin existente

Es posible importar y sincronizar informacin sobre cuentas de usuario y cuentas de equipo desde un servidor de Active Directory o de un servidor de directorios LDAP. Es posible importar las estructuras del grupo o las unidades organizativas (OU). Symantec Endpoint Protection puede entonces sincronizar automticamente los grupos en la ficha Clientes con esos en el servidor de directorios. No es posible utilizar la ficha Clientes para administrar estos grupos despus de que se importan. No es posible agregar, eliminar o mover los grupos dentro de una OU importada. Es posible asignar las polticas de seguridad a la OU importada. Es posible adems copiar usuarios de una unidad organizativa importada a otros grupos que se enumeren en el panel Ver clientes. Tiene prioridad la poltica que fue asignada a un grupo antes de importar el grupo. Una cuenta de usuario puede existir en la OU y en un grupo externo. Tiene prioridad la poltica que fue aplicada al grupo externo. Tabla 10-3 Tarea
Plan para importar las unidades organizativas
Tareas para importar las unidades organizativas Descripcin

Es posible planear cmo desea que Symantec Endpoint Protection Manager sincronice automticamente los usuarios, los equipos y la estructura entera del grupo en una OU de un servidor de Active Directory o LDAP. Ver "Acerca de las unidades organizativas y el servidor LDAP" en la pgina 693.
Agregar un servidor de directorios
No es posible filtrar los usuarios de un servidor de Active Directory antes de que importe datos. Con los servidores LDAP, es posible filtrar los usuarios antes de importar datos. Por lo tanto, es posible agregar un servidor de Active Directory compatible con LDAP como servidor LDAP si es necesario filtrar los datos. Ver "Agregar servidores de directorios" en la pgina 700.
198
Administracin de grupos de equipos cliente Adicin de un grupo
Tarea
Sincronizar la informacin sobre cuentas de usuario y cuentas de equipo entre los servidores de directorios y Symantec Endpoint Protection Manager
Descripcin
Es posible importar y sincronizar la informacin sobre cuentas de usuario y cuentas de equipo entre los servidores de directorios y Symantec Endpoint Protection Manager. Ver "Sincronizacin de cuentas de usuario entre servidores de directorio y Symantec Endpoint Protection Manager" en la pgina 695.
Buscar usuarios en un servidor de directorios LDAP
Cuando se importa la informacin sobre los usuarios al servidor de administracin, es necesario buscar usuarios en un servidor LDAP. Ver "Buscar usuarios en un servidor de directorios LDAP" en la pgina 696.
Importar usuarios de la lista de Es posible importar usuarios desde una lista de resultados de una bsqueda del servidor resultados de bsqueda de un servidor LDAP. de directorios LDAP Ver "Importar usuarios desde una lista de resultados de bsqueda de un servidor de directorios LDAP" en la pgina 698. Importar las unidades organizativas de Es posible importar OU de un servidor de Active un servidor de Active Directory o de un Directory o de un servidor de directorios LDAP. servidor de directorios LDAP Ver "Importacin de las unidades organizativas de un servidor de Active Directory o de LDAP" en la pgina 699. Importar la cuenta de usuario e informacin de cuenta de un equipo desde un servidor de LDAP Es posible importar la informacin de cuenta de usuario y de cuenta de equipo de un servidor de LDAP. Ver "Acerca de la importacin de la informacin del usuario y de la cuenta de equipo de un servidor de directorios LDAP" en la pgina 694. Sincronizar las unidades organizativas Es posible sincronizar las OU. Ver "Acerca de la sincronizacin de unidades organizativas" en la pgina 694.
Adicin de un grupo
Es posible agregar grupos despus de definir la estructura de grupo para su organizacin.
Administracin de grupos de equipos cliente Cmo asignar clientes a los grupos antes de instalar el software de cliente
199
Las descripciones de grupo pueden tener hasta 1024 caracteres. Los nombres de grupo pueden contener cualquier carcter excepto los caracteres siguientes: [/\*? < > | :] Las descripciones del grupo no estn restringidas. Nota: No es posible agregar grupos al grupo predeterminado. Ver "Cmo se pueden estructurar los grupos" en la pgina 195. Para agregar un grupo
1 2 3 4 5
En la consola, haga clic en Clientes. En Clientes, seleccione el grupo al que desea agregar un nuevo subgrupo. En la ficha Clientes, bajo Tareas, haga clic en Agregar grupo. En el cuadro de dilogo Agregar grupo para nombre de grupo, escriba el nombre de grupo y una descripcin. Haga clic en Aceptar.
Cmo asignar clientes a los grupos antes de instalar el software de cliente

Es posible asignar clientes a sus grupos antes de instalar el software de cliente. Si realiza esta tarea primero, se pueden asignar las polticas de seguridad al cliente por separado de la instalacin. En este caso, el cliente no recibe las polticas de seguridad del grupo que se especifica en el paquete de instalacin de clientes. En su lugar, el cliente es asignado al grupo que usted especific antes de la instalacin. Se aade al cliente segn el nombre de usuario o el nombre del equipo. No es posible aadir un cliente a ms de un grupo. Ver "Alternar un cliente entre modo de usuario y modo de equipo" en la pgina 216. Nota: Asegrese de que el servidor de administracin no bloquee la adicin de clientes nuevos a un grupo. Ver "Bloquear clientes para que no se agreguen a grupos" en la pgina 200. Para asignar clientes a los grupos antes de instalar el software de cliente
1 2
En la consola, haga clic en Clientes. En la pgina Clientes, en Clientes, ubique el grupo en el que desea agregar un cliente.
200
Administracin de grupos de equipos cliente Desactivar y activar la herencia de un grupo
En la ficha Clientes, en Tareas, realice una de las siguientes acciones:
Para el modo de usuario, haga clic en Agregar cuenta de usuario. Escriba el nombre de usuario. Si el usuario es parte de un dominio de Windows, escriba el nombre de dominio. Si el usuario es parte de un grupo de trabajo, haga clic en Equipo local de inicio de sesin. Para el modo de equipo, haga clic en Agregar cuenta de equipo. Escriba el nombre del equipo y despus escriba el nombre de dominio o el grupo de trabajo de Windows.
Desactivar y activar la herencia de un grupo

En la estructura del grupo, los subgrupos inicialmente y automticamente heredan las ubicaciones, las polticas y la configuracin de su grupo principal. De forma predeterminada, la herencia se activa para cada grupo. Es posible desactivar la herencia de modo que se pueda definir la configuracin de seguridad separada de un subgrupo. Si realiza cambios y activa ms tarde la herencia, se sobrescribe cualquier cambio realizado en la configuracin del subgrupo. Ver "Cmo administrar los grupos de clientes" en la pgina 193. Para desactivar y activar la herencia de un grupo
1 2
En la consola, haga clic en Clientes. En la pgina Clientes, en Clientes, seleccione el grupo para el cual desea habilitar o deshabilitar la herencia. Es posible seleccionar cualquier grupo excepto el grupo de nivel superior, Mi empresa.
En el panel nombre de grupo, en la ficha Polticas, realice una de las siguientes tareas:
Para desactivar la herencia, desactive Heredar polticas y configuracin del grupo principal "nombre de grupo". Para activar la herencia, active Heredar polticas y configuracin del grupo principal " nombre de grupo" y despus haga clic en S cuando se le solicite para proceder.
Bloquear clientes para que no se agreguen a grupos

Es posible configurar paquetes de instalacin de clientes con su calidad de miembro de grupo definida ya. Si define un grupo en el paquete, el cliente se agrega
Administracin de grupos de equipos cliente Visualizacin de equipos asignados
201
automticamente al grupo apropiado. El cliente se agrega la primera vez que efecta una conexin con el servidor de administracin. Ver "Administracin de los paquetes de instalacin de clientes" en la pgina 132. Es posible activar el bloqueo si no desea que los clientes se agreguen automticamente a un grupo especfico cuando se conectan a la red. La opcin de bloqueo evita que se agreguen usuarios a un grupo automticamente. Es posible bloquear un nuevo cliente para que no se agregue al grupo al que fue asignado en el paquete de instalacin de clientes. En este caso, el cliente se agrega al grupo predeterminado. Es posible mover manualmente un equipo a un grupo bloqueado. Para bloquear clientes para que no se agreguen a grupos
1 2 3 4 5
En la consola, haga clic en Clientes. En Clientes, haga clic con el botn derecho en un grupo y en Propiedades. En la ficha Detalles, en Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Propiedades de grupo para nombre de grupo, haga clic en Bloquear nuevos clientes. Haga clic en Aceptar.
Visualizacin de equipos asignados

Es posible verificar que sus equipos estn asignados a los grupos correctos. Para ver los equipos asignados
1 2
En la consola, haga clic en Clientes. En la pgina Clientes, en la ficha Equipos, haga clic en un grupo.
Mover un equipo cliente a otro grupo

Si sus equipos cliente no estn en el grupo correcto, puede moverlos a otro grupo. Para mover un equipo cliente a otro grupo
1 2
En la consola, haga clic en Equipos. En la pgina Clientes, en la ficha Equipos, seleccione un grupo.
202
Administracin de grupos de equipos cliente Mover un equipo cliente a otro grupo
En la ficha Clientes, en el grupo seleccionado, seleccione el equipo y despus haga clic con el botn derecho en Mover. Use la tecla Mays o la tecla Ctrl para seleccionar varios equipos.
4 5
En el cuadro de dilogo Mover clientes, seleccione el nuevo grupo. Haga clic en Aceptar.
Captulo
11
Administracin de clientes

Cmo administrar los equipos cliente Acerca de los iconos de estado de proteccin de los clientes Visualizar el estado de proteccin de los clientes y equipos cliente Cmo filtrar qu clientes se pueden ver en la ficha Clientes Bsqueda de informacin sobre equipos cliente Consulta de las propiedades de un cliente Acerca de cmo habilitar y deshabilitar la proteccin Acerca de los comandos que puede ejecutar en los equipos cliente Ejecucin de comandos en el equipo cliente desde la consola Alternar un cliente entre modo de usuario y modo de equipo Configuracin de un cliente para detectar dispositivos desconocidos Convertir un cliente no administrado en un cliente administrado Acerca del acceso a la interfaz del cliente Acerca del control mixto Modificar el nivel de control del usuario Configurar opciones de la interfaz de usuario Recopilacin de informacin de usuarios Proteger el cliente con contrasea
204
Administracin de clientes Cmo administrar los equipos cliente
Cmo administrar los equipos cliente

Tabla 11-1 enumera las tareas que se deben realizar con los equipos una vez que se instala el software de cliente. Es posible realizar tareas adicionales en otro momento. Tabla 11-1 Tarea Descripcin Tareas para administrar los equipos cliente
Configurar la conexin entre Una vez que se instalan los equipos cliente del software de cliente de forma automtica el cliente y el servidor se conectan al servidor de administracin en el latido siguiente. Es posible consultar el estado de la conexin y se puede solucionar cualquier problema de conexin que pueda presentarse. Ver "Cmo administrar la conexin entre el servidor de administracin y los equipos cliente" en la pgina 677. Comprobar que el software de cliente est instalado en sus endpoints Es posible configurar un equipo cliente para detectar que otros dispositivos no tienen el software de cliente instalado. Algunos de estos dispositivos pueden ser equipos sin proteccin. Es posible entonces instalar el software de cliente en estos equipos. Ver "Configuracin de un cliente para detectar dispositivos desconocidos" en la pgina 217. Es posible mostrar los equipos en cada grupo que no tienen el software de cliente instalado an. Ver "Cmo filtrar qu clientes se pueden ver en la ficha Clientes " en la pgina 208. Es posible agregar un cliente a un grupo e instalar el software de cliente ms tarde.
Ver "Acerca de los mtodos de implementacin del cliente" en la pgina 137. Comprobar que los equipos Es posible comprobar si el software de cliente est instalado y si los clientes cliente tengan el nivel proporcionan el nivel correcto de proteccin. correcto de proteccin Es posible ver el estado de cada tecnologa de proteccin en sus equipos cliente. Ver "Visualizar el estado de proteccin de los clientes y equipos cliente" en la pgina 207. Ver "Acerca de los iconos de estado de proteccin de los clientes" en la pgina 205. Es posible ejecutar informes o ver registros para consultar si es necesario aumentar la proteccin o mejorar el rendimiento. Por ejemplo, los anlisis pueden causar falsos positivos. Es posible tambin identificar los equipos cliente que necesitan proteccin. Ver "Supervisin de proteccin de endpoints" en la pgina 595. Es posible modificar la proteccin basada en los atributos especficos del software de cliente o de los equipos cliente. Ver "Bsqueda de informacin sobre equipos cliente" en la pgina 209.
Administracin de clientes Acerca de los iconos de estado de proteccin de los clientes
205
Tarea
Descripcin
Ajustar la proteccin en los Es posible aumentar o disminuir cada tipo de proteccin segn los resultados en equipos cliente los informes y los registros. Ver "Tipos de polticas de seguridad" en la pgina 254. Ver "Acerca de los tipos de proteccin contra amenazas que Symantec Endpoint Protection proporciona" en la pgina 51. Es posible deshabilitar temporalmente la proteccin en los equipos cliente si es necesario diagnosticar un problema o mejorar el rendimiento. Ver "Acerca de cmo habilitar y deshabilitar la proteccin" en la pgina 211. Ver "Ejecucin de comandos en el equipo cliente desde la consola" en la pgina 215. Es posible que se requiera una contrasea en el cliente. Ver "Proteger el cliente con contrasea" en la pgina 230. Mover los endpoint de un Para cambiar el nivel de proteccin de un equipo cliente, se puede mover a un grupo grupo a otro para modificar que proporcione ms proteccin o menos proteccin. la proteccin (opcional) Ver "Mover un equipo cliente a otro grupo" en la pgina 201. Permitir que los usuarios controlen la proteccin del equipo (opcional) Es posible especificar la clase de control que los usuarios ejercen sobre la proteccin en los equipos cliente. Para la proteccin antivirus y antispyware, y la proteccin proactiva contra amenazas, se puede bloquear o desbloquear una casilla de seleccin para especificar si los usuarios pueden cambiar opciones de configuracin individuales. Ver "Cmo bloquear y desbloquear la configuracin de polticas" en la pgina 264. Para las polticas de firewall y la poltica IPS y para cierta configuracin de la interfaz de usuario del cliente, se puede cambiar el nivel de control del usuario ms generalmente. Ver "Modificar el nivel de control del usuario" en la pgina 223. Si los usuario necesitan pleno control del cliente, se puede instalar un cliente no administrado. Ver "Convertir un cliente no administrado en un cliente administrado" en la pgina 219.
Eliminar el software de cliente de los equipos (opcional)
Si ya no se usa un equipo y desea usar la licencia para otro equipo, se puede eliminar el cliente de la base de datos despus de algunos das. Al eliminar un cliente, usted adems ahorra espacio en la base de datos. Ver "Desinstalacin del cliente" en la pgina 146.
Acerca de los iconos de estado de proteccin de los clientes

Es posible comprobar si el cliente y el servidor se comunican.
206
Administracin de clientes Acerca de los iconos de estado de proteccin de los clientes
Tabla 11-2 Icono
Iconos de estado del cliente en la consola de administracin Descripcin

Este icono indica el estado siguiente: El cliente puede comunicarse con Symantec Endpoint Protection Manager. El cliente est en modo de equipo.
Este icono indica el estado siguiente: El cliente no puede comunicarse con Symantec Endpoint Protection Manager. El cliente est en modo de equipo.

El cliente se pudo haber agregado desde la consola y puede no tener ningn software de cliente de Symantec instalado.
Este icono indica el estado siguiente: El cliente puede comunicarse con Symantec Endpoint Protection Manager. El cliente est en modo de equipo.

El cliente es un detector no administrado.
Este icono indica el estado siguiente: El cliente no puede comunicarse con Symantec Endpoint Protection Manager. El cliente est en modo de equipo.

Este icono indica el estado siguiente: El cliente puede comunicarse con Symantec Endpoint Protection Manager. El cliente est en modo de usuario.
Este icono indica el estado siguiente: El cliente no puede comunicarse con Symantec Endpoint Protection Manager. El cliente est en modo de usuario.

El cliente se pudo haber agregado desde la consola y puede no tener ningn software de cliente de Symantec instalado.
Administracin de clientes Visualizar el estado de proteccin de los clientes y equipos cliente
207
Icono
Descripcin
Este icono indica el estado siguiente: El cliente puede comunicarse con Symantec Endpoint Protection Manager en otro sitio. El cliente est en modo de equipo.
Este icono indica el estado siguiente: El cliente puede comunicarse con Symantec Endpoint Protection Manager en otro sitio. El cliente est en modo de equipo.

Este icono indica el estado siguiente: El cliente puede comunicarse con Symantec Endpoint Protection Manager en otro sitio. El cliente est en modo de usuario.
Ver "Visualizar el estado de proteccin de los clientes y equipos cliente" en la pgina 207.
Visualizar el estado de proteccin de los clientes y equipos cliente

Es posible ver la informacin sobre el estado operativo y de proteccin de los clientes y los equipos de la red en tiempo real. Es posible ver:
Una lista de equipos cliente administrados que no tienen el cliente instalado. Es posible ver el nombre del equipo, el nombre de dominio y el nombre del usuario que ha iniciado sesin. Qu protecciones se habilitan y se deshabilitan. Qu equipos cliente tienen las ltimas polticas y definiciones. El nmero de serie de las polticas del grupo y el nmero de versin del cliente. La informacin sobre los componentes de red del equipo cliente, como la direccin MAC de la tarjeta de red que usa el equipo. La informacin del sistema sobre el equipo cliente, como la cantidad de espacio libre en el disco disponible y el nmero de versin del sistema operativo.
208
Administracin de clientes Cmo filtrar qu clientes se pueden ver en la ficha Clientes
Una vez que se conoce el estado de un cliente determinado, es posible resolver cualquier problema de seguridad de los equipos cliente. Es posible resolver muchos problemas mediante la ejecucin de comandos en los grupos. Por ejemplo, se puede actualizar el contenido o habilitar Auto-Protect. Nota: Si administra clientes de una versin anterior, algunas tecnologas de proteccin ms nuevas se pueden detallar como no informadas. Este es el comportamiento previsto. No significa que es necesario tomar medidas en estos clientes. Ver "Acerca de los iconos de estado de proteccin de los clientes" en la pgina 205. Ver "Ejecucin de comandos en el equipo cliente desde la consola" en la pgina 215. Ver "Consulta de las propiedades de un cliente" en la pgina 211. Ver "Cmo filtrar qu clientes se pueden ver en la ficha Clientes " en la pgina 208. Para visualizar el estado de proteccin de los clientes y equipos cliente
1 2 3
En la consola, haga clic en Clientes. En la pgina Clientes, en Clientes, ubique el grupo que contiene los clientes de los cuales desea obtener informacin. En la ficha Clientes, haga clic en la lista desplegable Ver. A continuacin, seleccione una categora. Es posible ir directamente a una pgina determinada escribiendo el nmero de pgina en el cuadro de texto, en la esquina derecha inferior.
Cmo filtrar qu clientes se pueden ver en la ficha Clientes

Es posible mostrar qu clientes en un grupo aparecen en la ficha Clientes, segn el tipo de sistema operativo o cuenta. Es posible mostrar u ocultar qu equipos estn conectados al servidor de administracin. Es posible tambin configurar cuntos clientes aparecen en cada pgina para que la lista sea ms fcil de administrar.
Administracin de clientes Bsqueda de informacin sobre equipos cliente
209
Nota: Es posible mostrar qu clientes en un grupo aparecen en la ficha Clientes, segn el tipo de sistema operativo o cuenta. Es posible mostrar u ocultar qu equipos estn conectados al servidor de administracin. Es posible tambin configurar cuntos clientes aparecen en cada pgina para que la lista sea ms fcil de administrar. Ahora hay una nueva configuracin de filtro de consultas del cliente que conserva el servidor de administracin y se almacena con el nombre de inicio de sesin del administrador individual o del administrador limitado. Si un administrador establece una condicin de filtrado, esa condicin se conserva para ese administrador. Varios administradores consultarn solamente los filtros que han configurado. Ver "Visualizar el estado de proteccin de los clientes y equipos cliente" en la pgina 207. Ver "Acerca de los iconos de estado de proteccin de los clientes" en la pgina 205. Para mostrar qu usuarios y equipos se pueden ver en la ficha Clientes
1 2 3 4
En la consola, haga clic en Clientes. En el panel Clientes, elija el grupo en el que desea realizar bsquedas. En la ficha Clientes, en Tareas, haga clic en Configurar filtro de pantalla. En el cuadro de dilogo Configurar filtro de pantalla, en Tipo de plataforma, seleccione si desea mostrar los equipos con Windows, los equipos con Mac o ambos. En Tipo de cliente, seleccione si desea mostrar los clientes en modo de usuario o en modo de equipo. Ver "Alternar un cliente entre modo de usuario y modo de equipo" en la pgina 216.
6 7
Seleccione o anule la seleccin de Equipos o usuarios nuevos que no tienen el software de cliente instalado. Para acortar la lista, haga clic en Resultados por pgina y escriba el nmero de resultados para mostrar en cada pgina. Los valores vlidos van de 1 a 1000.
Bsqueda de informacin sobre equipos cliente

Es posible buscar la informacin sobre los clientes, los equipos cliente y los usuarios para tomar decisiones informadas sobre la seguridad de la red. Por ejemplo, es posible encontrar qu equipos del grupo de ventas ejecutan el ltimo sistema
210
Administracin de clientes Bsqueda de informacin sobre equipos cliente
operativo. O es posible descubrir que es necesario instalar las definiciones antivirus ms recientes en los equipos cliente del grupo de finanzas. Es posible ver la informacin sobre cada cliente del grupo en la pgina Clientes. Es posible restringir la bsqueda si hay demasiados clientes. Ver "Visualizar el estado de proteccin de los clientes y equipos cliente" en la pgina 207. Es posible exportar los datos de la consulta a un archivo de texto. Nota: Para buscar la mayor parte de la informacin sobre los usuarios, es necesario recopilar la informacin del usuario durante la instalacin del software de cliente o despus. Esta informacin de usuario tambin se visualiza en la ficha General y la ficha Informacin del usuario en el cuadro de dilogo Editar propiedades del cliente. Ver "Recopilacin de informacin de usuarios" en la pgina 229. Para buscar informacin sobre usuarios, clientes y equipos
1 2 3 4 5 6 7 8
En la consola, haga clic en Clientes. En la ficha Clientes, en Ver clientes, elija el grupo que desea buscar. En Tareas, haga clic en Buscar clientes. En el cuadro de dilogo Buscar clientes, en la lista desplegable Buscar, haga clic en Equipos o Usuarios. Haga clic en Examinar para seleccionar un grupo que no sea el grupo predeterminado. En el cuadro de dilogo Seleccionar grupo, seleccione el grupo y haga clic en Aceptar. En Criterios de bsqueda, haga clic en la lista desplegable Campo de bsqueda y, a continuacin, seleccione los criterios mediante los cuales desea buscar. Haga clic en la lista desplegable Operador de comparacin y, luego, seleccione un operador de comparacin. Es posible utilizar operadores booleanos estndar en sus criterios de bsqueda.
En la celda Valor, escriba la cadena de bsqueda.
10 Haga clic en Buscar.

Es posible exportar los resultados en un archivo de texto.
11 Haga clic en Cerrar.
Administracin de clientes Consulta de las propiedades de un cliente
211
Consulta de las propiedades de un cliente

Cada usuario y cada equipo tienen una pgina de propiedades. El nico campo que puede editar es el campo Descripcin en la ficha General. La pgina incluye las fichas siguientes:
General Visualiza la informacin sobre el grupo, el dominio, el nombre de inicio de sesin y la configuracin de hardware del equipo. Red Muestra la informacin sobre el servidor DNS, el servidor DHCP, el servidor WINS y la direccin IP del equipo. Clientes Visualiza la informacin que se recopila del equipo cliente. Esta informacin incluye el tipo de cliente que se ejecuta en el equipo. Adems, enumera informacin especfica del software y de las polticas. Esta informacin incluye la versin del software del cliente, el nmero de serie del perfil actual, el nmero de serie de la firma actual y la ltima vez que estuvo en lnea. Informacin del usuario Visualiza la informacin sobre la persona que inici sesin actualmente el equipo. Se completa esta informacin cuando el administrador elige habilitar la recopilacin de informacin del usuario.
Ver "Recopilacin de informacin de usuarios" en la pgina 229. Para consultar las propiedades de un equipo cliente
1 2 3 4 5
En la consola, haga clic en Clientes. Elija el grupo con los clientes cuyas propiedades desea consultar. En la ficha Clientes, haga clic con el botn derecho en el cliente y seleccione Editar propiedades. En el cuadro de dilogo nombre de cliente, es posible ver la informacin sobre el cliente. Haga clic en Aceptar.
Acerca de cmo habilitar y deshabilitar la proteccin

Generalmente, se recomienda mantener siempre las tecnologas de proteccin habilitadas en el equipo cliente. Puede ser recomendable deshabilitar temporalmente todas las tecnologas de proteccin o las tecnologas de proteccin individuales si tiene un problema con
212
Administracin de clientes Acerca de cmo habilitar y deshabilitar la proteccin
el equipo cliente. Por ejemplo, si una aplicacin no se ejecuta o no se ejecuta correctamente, puede ser recomendable deshabilitar Proteccin contra amenazas de red. Si el problemas persiste una vez que se deshabilitan todas las tecnologas de proteccin, ya sabe que el problema no es el cliente. Advertencia: Asegrese de habilitar las protecciones cuando haya finalizado la solucin del problema para que su equipo permanezca protegido. La Tabla 11-3 describe los motivos por los que puede ser recomendable deshabilitar cada tecnologa de proteccin. Tabla 11-3 Tecnologa de proteccin Propsito de deshabilitar una tecnologa de proteccin
Propsito de deshabilitar la tecnologa de proteccin
Proteccin antivirus y Si deshabilita esta proteccin, se deshabilita Auto-Protect solamente. antispyware Los anlisis programados o de inicio se ejecutan de todos modos si usted o el usuario as lo han establecido. Es posible que tenga que habilitar o deshabilitar Auto-Protect por los siguientes motivos: Auto-Protect puede impedir que abra un documento. Por ejemplo, si abre un documento de Microsoft Word que tiene una macro, es posible que Auto-Protect no permita que la abra. Si sabe que el documento es seguro, puede deshabilitar Auto-Protect. Auto-Protect puede alertar acerca de una actividad propia de virus que el usuario sepa con seguridad que no est ocasionada por un virus. Por ejemplo, es posible que se muestre un aviso cuando se instalan nuevas aplicaciones informticas. Si planea instalar ms aplicaciones y desea evitar el aviso, es posible deshabilitar temporalmente Auto-Protect. Auto-Protect puede interferir con el reemplazo de controladores de Windows.

Auto-Protect puede ralentizar el equipo cliente.
Nota: Si deshabilita Auto-Protect, usted adems deshabilita Diagnstico Insight de

descargas, incluso si est habilitado. SONAR adems no puede detectar amenazas heursticas. La deteccin de SONAR de cambios de archivos de host y de sistema contina funcionando. Ver "Ejecucin de comandos en el equipo cliente desde la consola" en la pgina 215. Si Auto-Protect causa un problema con una aplicacin, es mejor crear una excepcin que deshabilitar permanentemente la proteccin. Ver "Cmo crear las excepciones para Symantec Endpoint Protection" en la pgina 519.
Administracin de clientes Acerca de los comandos que puede ejecutar en los equipos cliente
213
Tecnologa de proteccin
Proteccin proactiva contra amenazas
Propsito de deshabilitar la tecnologa de proteccin

Puede ser recomendable deshabilitar la Proteccin proactiva contra amenazas por los siguientes motivos:

Observa demasiadas advertencias sobre amenazas que sabe que no son amenazas. La Proteccin proactiva contra amenazas puede ralentizar el equipo cliente.
Ver "Cmo ajustar la configuracin de SONAR en los equipos cliente" en la pgina 386. Proteccin contra amenazas de red Puede ser recomendable deshabilitar la Proteccin contra amenazas de red por los siguientes motivos:

Instala una aplicacin que el firewall puede bloquear.
El firewall o el sistema de prevencin de intrusiones causa problemas relacionados con la conectividad de red. El firewall puede ralentizar el equipo cliente.
No es posible abrir una aplicacin.
Ver "Cmo habilitar o deshabilitar la prevencin contra intrusiones del navegador o de la red" en la pgina 461. Si no est seguro de que Proteccin contra amenazas de red causa el problema, se recomienda deshabilitar todas las tecnologas de proteccin. Es posible configurar Proteccin contra amenazas de red de modo que los usuarios no puedan habilitarla ni deshabilitarla. Es posible tambin establecer los lmites siguientes para cundo y cunto tiempo se deshabilita la proteccin:

Si el cliente permite todo el trfico o todo el trfico saliente solamente. La duracin del perodo durante el que se deshabilita la proteccin. Cuntas veces es posible deshabilitar la proteccin antes de reiniciar el cliente.
Ver "Configurar opciones de la interfaz de usuario" en la pgina 226. Proteccin contra intervenciones Tpicamente es necesario mantener Proteccin contra intervenciones habilitada. Es posible que desee deshabilitar temporalmente la Proteccin contra intervenciones si obtiene muchas detecciones de falsos positivos. Es posible crear excepciones para detecciones de falsos positivos. Ver "Cmo cambiar la configuracin de Proteccin contra intervenciones" en la pgina 396.
Acerca de los comandos que puede ejecutar en los equipos cliente

Es posible ejecutar comandos remotamente en clientes individuales o un grupo entero desde la consola.
214
Administracin de clientes Acerca de los comandos que puede ejecutar en los equipos cliente
Es posible habilitar y deshabilitar la proteccin para solucionar problemas en el equipo cliente. Ver "Acerca de cmo habilitar y deshabilitar la proteccin" en la pgina 211. Tabla 11-4 Comandos
Analizar
Comandos que es posible ejecutar en equipos cliente Descripcin

Ejecuta anlisis cuando lo necesita en los equipos cliente. Si ejecuta un comando de anlisis y selecciona un Anlisis personalizado, el anlisis utiliza la configuracin del anlisis de comando que usted configur en la pgina Anlisis definido por el administrador. El comando usa la configuracin que est en la poltica de proteccin antivirus y antispyware que se aplica a los equipos cliente seleccionados. Ver "Cmo ejecutar anlisis manuales en equipos cliente" en la pgina 318.
Cancelar todos los anlisis
Cancela todos los anlisis que estn en ejecucin en los equipos cliente.
Actualizar contenido Actualiza el contenido en clientes iniciando una sesin de LiveUpdate en los equipos cliente. Los clientes reciben el contenido ms reciente de Symantec LiveUpdate. Ver "Configurar la programacin de descarga de LiveUpdate para Symantec Endpoint Protection Manager" en la pgina 553. Actualizar contenido Actualiza el contenido iniciando una sesin de LiveUpdate y y anlisis ejecuta un anlisis manual en los equipos cliente. Reiniciar equipos cliente Reinicia los equipos cliente. Si hay usuarios conectados al cliente, se les advierte sobre el reinicio, de acuerdo con las opciones de reinicio que el administrador configur para ese cliente. Es posible configurar opciones de reinicio de clientes en la ficha Configuracin general. Ver "Cmo reiniciar equipos cliente" en la pgina 143.
Nota: Algunas opciones de reinicio se aplican de manera diferente

a los clientes Mac y a los clientes Windows.
Administracin de clientes Ejecucin de comandos en el equipo cliente desde la consola
215
Comandos
Habilitar Auto-Protect
Descripcin
Habilita Auto-Protect para el sistema de archivos en los equipos cliente. De forma predeterminada, Auto-Protect para el sistema de archivos est habilitado. Es posible que necesite habilitar Auto-Protect desde la consola, si permite que los usuarios modifiquen esta opcin o si deshabilita Auto-Protect. Es posible bloquear la configuracin, de forma que los usuarios de los equipos cliente no puedan deshabilitar Auto-Protect. Ver "Cmo personalizar Auto-Protect para los clientes Windows" en la pgina 353. Ver "Acerca de los comandos que puede ejecutar en los equipos cliente"en la pgina 355 en la pgina 355. Si desea habilitar o deshabilitar Auto-Protect para el correo electrnico, debe incluir la configuracin en la poltica de proteccin antivirus y antispyware.
Habilitar proteccin Habilita y deshabilita el firewall y la prevencin de intrusiones en contra amenazas de los equipos cliente. red y Deshab. protec. Nota: El equipo cliente Mac no procesa este comando. contra amen. red
Ver "Ejecucin de comandos en el equipo cliente desde la consola" en la pgina 215. Ver "Ejecucin de comandos en el equipo cliente desde los registros" en la pgina 623. Es posible configurar un administrador limitado para tener derechos a alguno o a ninguno de estos comandos. Ver "Configurar los derechos de acceso para un administrador limitado" en la pgina 658.
Ejecucin de comandos en el equipo cliente desde la consola

En clientes administrados, los comandos que usted ejecuta anulan los comandos que el usuario ejecuta. El orden en el cual se procesan los comandos y las acciones en el equipo cliente vara de un comando a otro. Sin importar dnde se inicia el comando, los comandos y las acciones se procesan de la misma manera. Es posible tambin ejecutar estos comandos en clientes desde el registro Estado del equipo.
216
Administracin de clientes Alternar un cliente entre modo de usuario y modo de equipo
Ver "Ejecucin de comandos en el equipo cliente desde los registros" en la pgina 623. Ver "Acerca de los comandos que puede ejecutar en los equipos cliente" en la pgina 213. Para ejecutar comandos en el equipo cliente desde la consola
1 2
En la consola, haga clic en Clientes y a continuacin en Equipos, seleccione el grupo que incluye los equipos para los cuales desea ejecutar un comando. Realice una de las acciones siguientes:
En el panel izquierdo, en Equipos, haga clic con el botn derecho en el grupo para el cual desea ejecutar el comando. En el panel derecho, en la ficha Clientes, seleccione y haga clic con el botn derecho en los equipos o los usuarios para los cuales desea ejecutar el comando.
Haga clic en uno de los siguientes comandos:

Ejecutar comando en el grupo > comando Ejecutar comando en los clientes > comando
En el mensaje que aparece, haga clic en Aceptar.
Alternar un cliente entre modo de usuario y modo de equipo

Se agregan clientes en el modo de usuario o en el modo de equipo, segn cmo se desee aplicar las polticas a los clientes en los grupos. Despus de agregar un usuario o un equipo a un grupo, se asume la poltica que fue asignada al grupo. Cuando se aade un cliente, se establece de forma predeterminada el modo de equipo, que toma precedencia sobre el modo usuario. Modo
Modo de equipo
Descripcin
El equipo cliente obtiene las polticas del grupo al que pertenece el equipo. El cliente protege el equipo con las mismas polticas, sin importar qu usuario ha iniciado sesin en el equipo. La poltica sigue el grupo en el que se incluye el equipo. El modo de equipo es la configuracin predeterminada. Muchas organizaciones configuran una mayora de clientes en modo de equipo. De acuerdo con su entorno de red, puede ser recomendable configurar algunos clientes con requisitos especiales como usuarios.
Administracin de clientes Configuracin de un cliente para detectar dispositivos desconocidos
217
Modo
Modo de usuario
Descripcin
El equipo cliente obtiene las polticas del grupo al que pertenece el usuario. Las polticas cambian, segn qu usuario ha iniciado sesin en el cliente. La poltica depende del usuario.
Ver "Cmo asignar clientes a los grupos antes de instalar el software de cliente" en la pgina 199. No es posible alternar del modo de usuario al modo de equipo si el nombre del equipo ya est en otro grupo. La conmutacin al modo de equipo elimina el nombre de usuario del cliente del grupo y agrega el nombre del equipo del cliente en el grupo. No es posible alternar del modo de equipo al modo de usuario si el nombre de inicio de sesin del usuario y el nombre del equipo ya estn en algn grupo. La conmutacin al modo de usuario elimina el nombre del equipo del cliente del grupo. A continuacin agrega el nombre de usuario del cliente al grupo. Los clientes que se agregan en el modo de equipo se pueden habilitar como detectores no administrados y usar para detectar los dispositivos no autorizados. Ver "Configuracin de un cliente para detectar dispositivos desconocidos" en la pgina 217. Para alternar un cliente entre modo de usuario y modo de equipo
1 2 3
En la consola, haga clic en Clientes. En la pgina Clientes, en Clientes, seleccione el grupo que contiene al usuario o al equipo. En la ficha Clientes, haga clic con el botn secundario en el equipo o el nombre de usuario en la tabla y active Cambiar al modo de equipo o Cambiar al modo de usuario. Este modo es una configuracin que alterna entre una u otra opcin, as que siempre se visualiza una o la otra. La informacin de la tabla se modifica para reflejar la nueva configuracin.
Configuracin de un cliente para detectar dispositivos desconocidos

Los dispositivos no autorizados pueden conectarse a la red de diversas maneras, por ejemplo, mediante el acceso fsico en una sala de conferencias o puntos de acceso inalmbricos no deseados. Para imponer polticas en cada endpoint, es necesario poder detectar rpidamente la presencia de dispositivos nuevos. Los
218
Administracin de clientes Configuracin de un cliente para detectar dispositivos desconocidos
dispositivos desconocidos son dispositivos no administrados que no ejecutan el software de cliente. Es necesario determinar si los dispositivos son seguros. Es posible activar cualquier cliente como detector no administrado para detectar dispositivos desconocidos. Cuando un dispositivo se inicia, su sistema operativo enva trfico ARP a la red para permitir a otros equipos saber de la presencia del dispositivo. Un cliente activado como detector no administrado recopila y enva informacin del paquete ARP al servidor de administracin. El servidor de administracin busca el paquete ARP a fin de detectar la direccin MAC y la direccin IP del dispositivo. El servidor compara estas direcciones con la lista de direcciones MAC y direcciones IP existentes de la base de datos de servidor. Si el servidor no puede encontrar una direccin que coincida, este registra el dispositivo como nuevo. De esta manera, es posible decidir si el dispositivo es seguro. Debido a que el cliente solo transmite informacin, no usa recursos adicionales. Es posible configurar el detector no administrado para ignorar ciertos dispositivos, como una impresora. Tambin es posible configurar notificaciones de correo electrnico para recibir notificaciones cuando el detector no administrado detecta un dispositivo desconocido. Para configurar el cliente como detector no administrado, realice las siguientes tareas:
Active la proteccin contra amenazas de red. Ver "Ejecucin de comandos en el equipo cliente desde la consola" en la pgina 215. Cambie el cliente al modo de equipo. Ver "Alternar un cliente entre modo de usuario y modo de equipo" en la pgina 216. Instale el cliente en un equipo que se ejecute todo el tiempo. Active solamente a clientes de Symantec Endpoint Protection como detectores no administrados. Un detector no administrado no puede ser cliente de Symantec Network Access Control.
Para configurar un cliente a fin de detectar dispositivos no autorizados
1 2 3
En la consola, haga clic en Clientes. En Ver clientes, seleccione el grupo que contiene el cliente que desea activar como detector no administrado. En la ficha Clientes, haga clic con el botn secundario en el cliente que desee activar como detector no administrado y, a continuacin, haga clic en Activar como detector no administrado.
Administracin de clientes Convertir un cliente no administrado en un cliente administrado
219
4 5 6
Para especificar uno o ms dispositivos para exclusin de la deteccin por el detector no administrado, haga clic en Configurar detector no administrado. En el cuadro de dilogo Excepciones del detector no administrado para nombre del cliente, haga clic en Agregar. En el cuadro de dilogo Agregar excepcin de detector no administrado, haga clic en una de las siguientes opciones:
Excluir la deteccin de un intervalo de direcciones IP y, a continuacin, escriba el intervalo de direcciones IP para varios dispositivos. Excluir la deteccin de una direccin MAC y escriba la direccin MAC del dispositivo.
7 8
Haga clic en Aceptar. Haga clic en Aceptar.
Para visualizar la lista de dispositivos no autorizados que detecta el cliente
1 2 3 4
En la consola, haga clic en Pgina principal. En la Pgina principal, en la seccin Estado de seguridad, haga clic en Ms detalles. En el cuadro de dilogo Detalles del estado de seguridad, desplcese a la tabla Errores de dispositivos desconocidos. Cierre el cuadro de dilogo.
Convertir un cliente no administrado en un cliente administrado

Si un usuario instal un cliente desde el disco del producto, el cliente se instala como cliente no administrado y no se comunica con el servidor de administracin. Es posible convertir un cliente no administrado en un cliente administrado usando cualquiera de los siguientes mtodos:
Instalar el cliente como equipo administrado. Este mtodo convierte un cliente no administrado en un cliente administrado reinstalando el software de cliente. Ver "Preparacin para la instalacin de clientes" en la pgina 127. Importar la configuracin de las comunicaciones del servidor. Este mtodo convierte un cliente no administrado en un cliente administrado al importar la configuracin de las comunicaciones del servidor.
220
Administracin de clientes Convertir un cliente no administrado en un cliente administrado
Si importa la configuracin de las comunicaciones del servidor, se sigue este proceso:
Se exporta un archivo que incluye todas las opciones de comunicacin del grupo al que desea que pertenezca el cliente. El nombre predeterminado del archivo es nombre de grupo _sylink.xml. Se implementa el archivo en el equipo cliente. Es posible guardar el archivo en una ubicacin de red o enviarlo a un usuario individual en el equipo cliente. En el equipo cliente, usted o el usuario importa el archivo. No es necesario reiniciar el equipo cliente. El cliente se conecta de forma inmediata al servidor de administracin. El servidor de administracin coloca al cliente en el grupo especificado en el archivo de comunicacin. El cliente se actualiza mediante las polticas y la configuracin del grupo. Una vez que el cliente y el servidor de administracin se comunican, el icono del rea de notificacin con el punto verde aparece en la barra de tareas del equipo cliente.
Los clientes no administrados no estn protegidos por contrasea, as que el usuario no necesita una contrasea en el cliente. Sin embargo, si el usuario intenta importar un archivo en un cliente administrado que est protegido por contrasea, el usuario debe escribir una contrasea. La contrasea es la misma que se usa para importar o exportar una poltica. Ver "Proteger el cliente con contrasea" en la pgina 230. Tambin es posible que necesite redirigir un cliente administrado a otro servidor. Ver "Cmo recuperar la configuracin de comunicacin de los clientes usando la herramienta SylinkDrop" en la pgina 1070. Ver "Asignar una lista de servidores de administracin a un grupo y a una ubicacin" en la pgina 724. Para exportar la configuracin de las comunicaciones del servidor
1 2 3 4 5
En la consola, haga clic en Clientes. En Ver clientes, seleccione el grupo donde desea que aparezca el cliente. Haga clic con el botn secundario en el grupo y, despus, haga clic en Exportar configuracin de comunicaciones. En el cuadro de dilogo Exportar configuracin de comunicaciones para nombre de grupo, haga clic en Examinar. En el cuadro de dilogo Seleccionar archivo de exportacin, ubique la carpeta donde desee exportar el archivo .xml y, luego, haga clic en Aceptar.
Administracin de clientes Acerca del acceso a la interfaz del cliente
221
En el cuadro de dilogo Exportar configuracin de comunicaciones para nombre de grupo, seleccione una de las siguientes opciones:
Para aplicar las polticas del grupo del cual el equipo es miembro, haga clic en Modo de equipo. Para aplicar las polticas del grupo del cual el equipo es miembro, haga clic en Modo de usuario.
Haga clic en Exportar. Si ya existe el nombre de archivo, haga clic en Aceptar para sobrescribirlo o en Cancelar para guardar el archivo con un nuevo nombre. Para finalizar la conversin, usted o un usuario debe importar la configuracin de comunicaciones en el equipo cliente.
Para importar la configuracin de comunicaciones en el cliente
1 2 3 4 5
Abra Symantec Endpoint Protection en el equipo que desee convertir en cliente administrado. En el sector superior derecho, haga clic en Ayuda y soporte y despus haga clic en Solucin de problemas. En el cuadro de dilogo Solucin de problemas, en Configuracin de comunicaciones, haga clic en Importar. En el cuadro de dilogo Importar configuracin de comunicaciones, localice el archivo nombre de grupo_sylink.xml y despus haga clic en Abrir. Haga clic en Cerrar para cerrar el cuadro de dilogo Solucin de problemas. Una vez que se importa el archivo de comunicaciones y el cliente y el servidor de administracin se comunican, el icono del rea de notificacin con el punto verde aparece en la barra de tareas del equipo. El punto verde indica que el cliente y el servidor de administracin estn comunicados.
Acerca del acceso a la interfaz del cliente

Es posible determinar el nivel de interaccin que se desea que los usuarios tengan en el cliente de Symantec Endpoint Protection. Elija las funciones que estn disponibles para que los usuarios configuren. Por ejemplo, es posible controlar el nmero de notificaciones que aparecen y limitar la capacidad de los usuarios para crear reglas de firewall y anlisis de spyware y virus. Es posible adems dar a los usuarios acceso completo a la interfaz de usuario. Las funciones que los usuarios pueden personalizar para la interfaz de usuario se llaman opciones administradas. El usuario no tiene acceso a todas las funciones del cliente, como proteccin mediante contrasea.
222
Administracin de clientes Acerca del control mixto
Para determinar el nivel de interaccin del usuario, es posible personalizar la interfaz de usuario de las siguientes maneras:
Para la configuracin de antivirus y antispyware, es posible bloquear o desbloquear las opciones. Para las opciones de firewall, las opciones de prevencin de intrusiones y algunas opciones de la interfaz de usuario del cliente, es posible configurar el nivel de control del usuario y configurar las opciones asociadas. Es posible proteger el cliente con contrasea. Ver "Proteger el cliente con contrasea" en la pgina 230.
Acerca del control mixto

Para los clientes en control mixto, es posible determinar qu opciones administradas se desea que los usuarios configuren o no. Las opciones administradas incluyen valores en una poltica de firewall, una poltica de prevencin de intrusiones y la configuracin de la interfaz de usuario del cliente. Es posible asignar cada opcin al control de servidor o al control del cliente. En control de clientes, solamente el usuario puede activar o desactivar la configuracin. En control de servidores, solamente usted puede activar o desactivar la configuracin. La opcin Control de clientes es el nivel de control de usuario predeterminado. Si asigna una opcin al control de servidores, a continuacin, establezca la configuracin en la pgina o el cuadro de dilogo correspondiente en la consola de Symantec Endpoint Protection Manager. Por ejemplo, es posible activar la configuracin del firewall en la poltica de firewall. Es posible configurar los registros en el cuadro de dilogo Configuracin de registros de clientes en la ficha Polticas de la pgina Clientes. Es posible configurar los siguientes tipos de opciones:
Opciones de interfaz de usuario Ver "Cmo habilitar o deshabilitar la prevencin contra intrusiones del navegador o de la red" en la pgina 461. Opciones de proteccin general contra amenazas de red Ver "Configuracin del firewall para el control mixto" en la pgina 408. Configuracin de poltica de firewall Ver "Acerca del firewall de Symantec Endpoint Protection" en la pgina 402. Opciones de polticas de prevencin de intrusiones Ver "Cmo habilitar o deshabilitar la prevencin contra intrusiones del navegador o de la red" en la pgina 461.
Administracin de clientes Modificar el nivel de control del usuario
223
Modificar el nivel de control del usuario

Es posible determinar si ciertas funciones de la tecnologa de proteccin y de la configuracin de la interfaz de usuario del cliente estn disponibles para que los usuarios las configuren en el cliente de Symantec Endpoint Protection. Para determinar qu opciones estn disponibles, debe especificar el nivel de control del usuario. El nivel de control del usuario determina si el cliente puede ser totalmente invisible, mostrar un grupo parcial de funciones o mostrar una interfaz de usuario completa. En versiones de Symantec Endpoint Protection anteriores a 12.1, un cambio del control de clientes al control de servidores hace que toda la configuracin, sin importar su estado de bloqueo, se revierta a los valores predeterminados del control de servidores la prxima vez que las polticas se distribuyan a los clientes. En 12.1, los bloqueos entran en efecto en todos los modos de control. La configuracin desbloqueada se comporta de la siguiente manera en los modos de control de servidores y de control de clientes:
En Control de servidores se pueden realizar cambios en la configuracin desbloqueada, pero se sobrescriben cuando se aplica la siguiente poltica. En Control de clientes, la configuracin modificada por el cliente toma precedencia sobre la configuracin del servidor. No se sobrescriben cuando se aplica la nueva poltica, a menos que la configuracin haya estado bloqueada en la nueva poltica.
Nota: El cliente de Symantec Network Access Control se ejecuta solamente en el control de servidores. Los usuarios no pueden configurar ninguna opcin de la interfaz de usuario.
224
Tabla 11-5
Niveles de control del usuario Descripcin

Proporciona a los usuarios el control ms bajo sobre el cliente. El control de servidores bloquea la configuracin administrada de modo que los usuarios no puedan modificarla. El control de servidores tiene las caractersticas siguientes: Los usuarios no pueden configurar o activar reglas de firewall, opciones especficas de la aplicacin, opciones del firewall, opciones de la prevencin de intrusiones o registros de la proteccin contra amenazas de red y de administracin de clientes. Se configuran todas las reglas de firewall y la configuracin de seguridad para el cliente en Symantec Endpoint Protection Manager. Los usuarios pueden ver los registros, el historial de trfico del cliente y la lista de aplicaciones que se ejecutan en el cliente. Es posible modificar la configuracin de la interfaz de usuario y las notificaciones de firewall para que aparezcan o no en el cliente. Por ejemplo, es posible ocultar la interfaz de usuario del cliente.
Nivel de control del usuario

Control de servidores
La configuracin que establece para el control de servidores aparece atenuada o no se ve en la interfaz de usuario del cliente. Cuando se crea una nueva ubicacin, se establece automticamente el control de servidores para ella. Control de clientes Proporciona a los usuarios el control ms alto sobre el cliente. El control de clientes desbloquea la configuracin administrada de modo que los usuarios puedan configurarla. El control de clientes tiene las caractersticas siguientes: Los usuarios pueden modificar o activar reglas de firewall, notificaciones de firewall, opciones de firewall, opciones especficas de la aplicacin, opciones de la prevencin de intrusiones y opciones de la interfaz de usuario del cliente. El cliente omite las reglas de firewall que usted configura para el cliente.
Es posible otorgar control de clientes a los equipos cliente que los empleados utilizan en una ubicacin remota o desde su casa.
225

Control mixto
Descripcin
Proporciona al usuario un control mixto sobre el cliente. El control mixto tiene las caractersticas siguientes: Los usuarios pueden modificar las reglas de firewall y la configuracin especfica a la aplicacin. Es posible configurar las reglas de firewall, que pueden o no pueden reemplazar las reglas que los usuarios configuran. La posicin de las reglas del servidor en la lista de reglas de las polticas de firewall determina si las reglas del servidor reemplazan las reglas del cliente. Es posible especificar ciertas opciones para que estn disponibles o no en el cliente para que los usuarios puedan activarlas y configurarlas. Estas opciones incluyen los registros de la proteccin contra amenazas de red, los registros de administracin de clientes, las opciones del firewall, las opciones de la prevencin de intrusiones y algunas opciones de la interfaz de usuario. Es posible configurar las opciones de antivirus y antispyware para que reemplacen la configuracin del cliente, incluso si la configuracin est desbloqueada. Por ejemplo, si usted desbloquea la funcin Auto-Protect y el usuario la deshabilita, es posible habilitar Auto-Protect.
La configuracin que se establece para el control de clientes est disponible para el usuario. La configuracin que establece para el control de servidores aparece atenuada o no se ve en la interfaz de usuario del cliente. Ver "Acerca del control mixto" en la pgina 222.
Algunas opciones administradas tienen elementos dependientes. Por ejemplo, los usuarios pueden tener permiso para configurar reglas de firewall, pero no pueden acceder a la interfaz de usuario del cliente. Dado que los usuarios no tienen acceso al cuadro de dilogo Configurar reglas de firewall, no pueden crear reglas. Es posible configurar un nivel de control de usuario distinto para cada ubicacin. Nota: Los clientes que se ejecutan en control de clientes o control mixto pasan al control de servidores cuando el servidor aplica una poltica de cuarentena.
226
Administracin de clientes Configurar opciones de la interfaz de usuario
Para modificar el nivel de control del usuario
1 2 3 4 5 6
En la consola, haga clic en Clientes. En Ver clientes, seleccione el grupo cuya ubicacin desea modificar. Haga clic en la ficha Polticas. En Configuracin y polticas especficas de la ubicacin, en la ubicacin que desea modificar, expanda Configuracin especfica de la ubicacin. A la derecha de Configuracin de los controles de la interfaz de usuario del cliente, haga clic en Tareas > Editar configuracin. En el cuadro de dilogo Configuracin de los controles de la interfaz de usuario del cliente, realice una de las siguientes opciones:
Haga clic en Control de servidores y despus haga clic en Personalizar. Configure cualquiera de las opciones y despus haga clic en Aceptar. Haga clic en Control de clientes. Haga clic en Control mixto y a continuacin haga clic en Personalizar. Configure cualquiera de las opciones y despus haga clic en Aceptar. Para el cliente de Symantec Network Access Control, es posible hacer clic en Mostrar el cliente y Mostrar el icono del rea de notificacin.
Ver "Configurar opciones de la interfaz de usuario" en la pgina 226. Ver "Cmo bloquear y desbloquear la configuracin de polticas" en la pgina 264.
Configurar opciones de la interfaz de usuario

Es posible configurar opciones de la interfaz de usuario en el cliente si se hace una de las siguientes tareas:

Configure el nivel de control del usuario del cliente en control del servidor. Configure el nivel de control del usuario del cliente en control mixto y configure la funcin principal en la ficha Configuracin de control de clientes y servidores en Servidor. Por ejemplo, es posible configurar la opcin Mostrar u ocultar icono del rea de notificacin en Cliente. El icono del rea de notificacin aparece en el cliente, y el usuario puede elegir mostrar u ocultar el icono. Si configura la opcin Mostrar u ocultar icono del rea de notificacin en Servidor, puede elegir si desea visualizar el icono del rea de notificacin en el cliente.
227
Para configurar las opciones de la interfaz de usuario en control mixto
Modifique el nivel de control del usuario por control mixto. Ver "Modificar el nivel de control del usuario" en la pgina 223.
2 3
En el cuadro de dilogo Config. de controles de interfaz de usuario del cliente para nombre de la ubicacin, junto a Control mixto, haga clic en Personalizar. En el cuadro de dilogo Configuracin del control mixto de la interfaz de usuario del cliente, en la ficha Configuracin de control de clientes y servidores, realice una de las siguientes acciones:
Bloquee una opcin de modo que se pueda configurar solamente desde el servidor. Para la opcin que desee bloquear, haga clic en Servidor. Cualquier configuracin de la Proteccin antivirus y antispyware que establezca en Servidor anula la configuracin del cliente. Desbloquee una opcin de modo que el usuario pueda configurarla en el cliente. Para la opcin que desee, haga clic en Cliente. Cliente est seleccionado de forma predeterminada para todas las opciones, excepto para la configuracin antivirus y antispyware.
228
Para las siguientes opciones que configura en Servidor, haga clic en la ficha Configuracin de la interfaz de usuario del cliente para configurarlas:
Mostrar u ocultar icono del rea de notificacin Mostrar el icono del rea de notificacin
Habilitar y deshabilitar la Proteccin Permitir a los usuarios habilitar y contra amenazas de red deshabilitar la Proteccin contra amenazas de red Comando de men Prueba de seguridad de red Configurar las opciones de configuracin del trfico IP no coincidentes Mostrar/ocultar notificaciones de prevencin de intrusiones Permitir a los usuarios realizar prueba de seguridad. Permita el trfico IP o solamente el trfico de aplicaciones, y avise al usuario antes de permitir el trfico de aplicaciones Mostrar notificaciones de prevencin de intrusiones
Para obtener informacin sobre en qu parte de la consola se configuran las opciones restantes que usted establece en Servidor, haga clic en Ayuda. Para habilitar la configuracin del firewall y la configuracin de prevencin de intrusiones, configrelas en las polticas de firewall y de prevencin de intrusiones. Ver "Permitir automticamente las comunicaciones para los servicios de red esenciales" en la pgina 407. Ver "Cmo detectar ataques potenciales e intentos de falsificacin" en la pgina 410. Ver "Cmo habilitar o deshabilitar la prevencin contra intrusiones del navegador o de la red" en la pgina 461.
En la ficha Configuracin de la interfaz de usuario del cliente, marque la casilla de seleccin de la opcin de modo que la opcin est disponible en el cliente. Haga clic en Aceptar. Haga clic en Aceptar.
6 7
Administracin de clientes Recopilacin de informacin de usuarios
229
Para configurar las opciones de la interfaz de usuario en control de servidor
Modifique el nivel de control del usuario por control mixto. Ver "Modificar el nivel de control del usuario" en la pgina 223.
En el cuadro de dilogo Config. de controles de interfaz de usuario del cliente para nombre de la ubicacin, junto a Control de servidores, haga clic en Personalizar. En el cuadro de dilogo Configuracin de la interfaz de usuario del cliente, marque la casilla de verificacin de una opcin de modo que la opcin aparezca en el cliente para que el usuario la utilice. Haga clic en Aceptar. Haga clic en Aceptar.
4 5
Recopilacin de informacin de usuarios

Es posible solicitar a usuarios en los equipos cliente que escriban informacin sobre s mismos durante el proceso de instalacin del software de cliente o durante las actualizaciones de polticas. Es posible recopilar informacin como el nmero de telfono mvil del empleado, el cargo y la direccin de correo electrnico. Despus de que usted recoja esta informacin, debe conservarla y actualizarla manualmente. Nota: Despus de habilitar la visualizacin del mensaje en el equipo cliente por primera vez y que el usuario responda con la informacin solicitada, el mensaje no aparece de nuevo. Incluso si se editan campos o se deshabilita y se vuelve a permitir el mensaje, el cliente no visualiza un nuevo mensaje. Sin embargo, el usuario puede editar la informacin en cualquier momento, y el servidor de administracin extrae esa informacin. Ver "Administracin de los paquetes de instalacin de clientes" en la pgina 132. Para recopilar informacin de usuarios
1 2 3
En la consola, haga clic en Administrador y, luego, haga clic en Paquetes de instalacin. En Ver paquetes de instalacin, haga clic en Paquetes de instalacin de clientes. En el panel Paquetes de instalacin de clientes, haga clic en el paquete para el cual desee recopilar informacin de usuarios.
230
Administracin de clientes Proteger el cliente con contrasea
4 5 6 7
En Tareas, haga clic en Configurar la recopilacin de informacin de usuarios. En el cuadro de dilogo Configurar la recopilacin de informacin de usuarios, seleccione Recopilar informacin del usuario. En el cuadro de texto Mensaje emergente, escriba el mensaje que desea que los usuarios lean cuando se les pida informacin. Si desea que el usuario tenga la posibilidad de posponer la recopilacin de informacin del usuario, seleccione Habilitar Recordrmelo ms tarde y establezca un tiempo en minutos. En Seleccione los campos que se mostrarn para que el usuario proporcione informacin, elija el tipo de informacin para recopilar y, luego, haga clic en Agregar. Es posible seleccionar uno o ms campos simultneamente presionando la tecla Mays o la tecla Control.
En la columna Opcional, active la casilla de verificacin junto a cada campo que se desee definir como opcional para que el usuario complete.
Proteger el cliente con contrasea

Es posible aumentar la seguridad corporativa solicitando la proteccin mediante contrasea en el equipo cliente siempre que los usuarios realicen ciertas tareas. Es posible solicitar a los usuarios que escriban una contrasea cuando intentan realizar una de las siguientes acciones:

Abra la interfaz de usuario del cliente. Detener el cliente. Importar y exportar la poltica de seguridad. Desinstalar el cliente.
Es posible modificar la configuracin de la proteccin mediante contrasea solamente para los subgrupos que no heredan de un grupo principal. Ver "Acerca del acceso a la interfaz del cliente" en la pgina 221. Para proteger el cliente con contrasea
1 2
En la consola, haga clic en Clientes. En Clientes, seleccione al grupo para el que desee configurar la proteccin mediante contrasea.
231
3 4 5
En la ficha Polticas, en Configuracin y polticas independientes de la ubicacin, haga clic en Configuracin general. Haga clic en Configuracin de seguridad. En la ficha Configuracin de seguridad, elija una de las siguientes casillas de verificacin:

Solicitar una contrasea para abrir la interfaz de usuario del cliente Solicitar una contrasea para detener el servicio de cliente Solicitar una contrasea para importar o exportar una poltica Solicitar una contrasea para desinstalar el cliente
En el cuadro de texto Contrasea, escriba la contrasea. La contrasea se limita a 15 caracteres o menos.
7 8
En el cuadro de texto Confirmar contrasea, vuelva a escribir la contrasea. Haga clic en Aceptar.
232
Captulo
12
Administracin de clientes remotos


Cmo administrar clientes remotos Cmo administrar las ubicaciones para los clientes remotos Cmo habilitar el reconocimiento de la ubicacin para un cliente Cmo agregar una ubicacin a un grupo Cmo cambiar una ubicacin predeterminada Eliminar la ubicacin de un grupo Cmo configurar las condiciones del reconocimiento de la ubicacin de la situacin uno Cmo configurar las condiciones del reconocimiento de la ubicacin de la situacin dos Configurar las opciones de configuracin para una ubicacin Acerca de consolidar las polticas de seguridad para los clientes remotos Acerca de activar las notificaciones para los clientes remotos Cmo personalizar configuraciones de administracin de registros para clientes remotos Cmo administrar el balanceo de carga y el uso mvil para clientes remotos Acerca de la supervisin de clientes remotos
234
Administracin de clientes remotos Cmo administrar clientes remotos
Cmo administrar clientes remotos

Su red puede incluir algunos clientes que se conectan a la red desde ubicaciones diferentes. Es posible que sea necesario administrar estos clientes de manera diferente de los clientes que se conectan solamente dentro de la red. Es posible que sea necesario administrar algunos clientes que se conectan siempre remotamente mediante una VPN o clientes que se conectan desde varias ubicaciones porque los empleados viajan. Es posible tambin que necesite administrar la seguridad para algunos equipos que estn fuera de su control de administracin. Por ejemplo, es posible permitir que clientes, contratistas, distribuidores o partners comerciales tengan un acceso limitado a su red. Algunos empleados pueden conectarse a su red usando sus propios equipos personales y es posible que sea necesario administrar estos clientes de manera diferente. En todos estos casos, debe ocuparse de un mayor riesgo para la seguridad. Las conexiones pueden ser menos seguras o los equipos cliente pueden ser menos seguros y se puede tener menos control sobre algunos clientes. Para reducir al mnimo estos riesgos para la seguridad de toda su red, es necesario evaluar las diversas clases de acceso remoto que tienen los clientes para su red. Es posible entonces aplicar polticas de seguridad ms rigurosas basadas en su evaluacin. Para administrar los clientes que se conectan a su red de manera diferente debido a los riesgos para la seguridad que plantean, puede trabajar con el reconocimiento de la ubicacin de Symantec Endpoint Protection. Se aplican diversas polticas a los clientes que plantean un mayor riesgo a su red segn su ubicacin. Una ubicacin en Symantec Endpoint Protection se define como el tipo de conexin que un equipo cliente usa para conectarse a su red. Una ubicacin puede adems incluir informacin sobre si la conexin se encuentra dentro o fuera de su red corporativa. Se definen ubicaciones para un grupo de clientes. A continuacin, asigne diversas polticas para cada ubicacin. Ciertas configuraciones de seguridad se pueden asignar al grupo entero sin importar la ubicacin. Ciertas configuraciones son diferentes dependiendo de la ubicacin. Tabla 12-1 Tarea Cmo administrar clientes remotos Descripcin
Configurar grupos basados en la Ver "Cmo administrar los grupos de clientes" evaluacin del riesgo para la en la pgina 193. seguridad Configurar ubicaciones para grupos de clientes remotos Ver "Cmo administrar las ubicaciones para los clientes remotos" en la pgina 235.
Administracin de clientes remotos Cmo administrar las ubicaciones para los clientes remotos
235
Tarea
Configurar la configuracin de comunicacin para las ubicaciones Reforzar sus polticas de seguridad
Descripcin
Ver "Configurar las opciones de configuracin para una ubicacin" en la pgina 247.
Ver "Acerca de consolidar las polticas de seguridad para los clientes remotos" en la pgina 248.
Activar notificaciones del cliente Ver "Acerca de activar las notificaciones para los clientes remotos" en la pgina 250. Personalizar la configuracin de Ver "Cmo personalizar configuraciones de la administracin del registro del administracin de registros para clientes remotos" cliente en la pgina 251. Administrar el balanceo de carga Ver "Cmo administrar el balanceo de carga y el uso y el uso mvil mvil para clientes remotos" en la pgina 251. Supervisar a los clientes remotos Ver "Acerca de la supervisin de clientes remotos" en la pgina 252.
Cmo administrar las ubicaciones para los clientes remotos

Se agregan ubicaciones una vez que se configuran los grupos que es necesario administrar. Cada grupo puede tener diversas ubicaciones, si su estrategia de seguridad lo necesita. En la consola de Symantec Endpoint Protection Manager, se configuran las condiciones que activan la conmutacin de polticas automtica basada en la ubicacin. La conciencia de la ubicacin aplica automticamente la poltica de seguridad que se especifica para un cliente, sobre la base de las condiciones de ubicacin que el cliente cumple. Las condiciones de ubicacin se pueden basar en varios criterios diferentes. Estos criterios incluyen las direcciones IP, el tipo de conexin de red, si el equipo cliente puede conectarse al servidor de administracin y ms. Es posible permitir o bloquear las conexiones de los clientes segn los criterios que se especifican. Ver "Cmo administrar clientes remotos" en la pgina 234. Una ubicacin se aplica al grupo para el que usted lo cre y a cualquier subgrupo que herede del grupo. Se recomienda crear ubicaciones que cualquier cliente pueda utilizar en el nivel de grupo Mi empresa. A continuacin, cree las ubicaciones para un grupo determinado en el nivel del subgrupo. Es ms simple administrar las polticas de seguridad y la configuracin si se crean menos grupos y ubicaciones. La complejidad de su red y sus requisitos de seguridad,
236
sin embargo, pueden necesitar ms grupos y ubicaciones. El nmero de diferentes opciones de configuracin de seguridad, de configuracin relacionada con los registros, de configuracin de las comunicaciones y de polticas que usted necesidad determina cuntos grupos y ubicaciones se crean. Algunas de las opciones de configuracin que es posible personalizar para sus clientes remotos son independientes de la ubicacin. Estas opciones se heredan del grupo principal o se configuran independientemente. Si crea un solo grupo para contener a todos los clientes remotos, esta configuracin independiente de la ubicacin es igual para todos los clientes del grupo. La configuracin siguiente es independiente de la ubicacin:

Firma de prevenciones personalizadas contra intrusiones Configuracin de bloqueo del sistema Configuracin de la supervisin de aplicaciones de red Configuracin de la poltica de contenido de LiveUpdate Configuracin de registros de clientes Configuracin de las comunicaciones del servidor-cliente Configuracin relacionada con la seguridad general, incluidos reconocimiento de la ubicacin y proteccin contra intervenciones
Para personalizar cualquiera de estas configuraciones independientes de la ubicacin; por ejemplo, cmo se manejan los registros de los clientes, es necesario crear grupos separados. Cierta configuracin es especfica a las ubicaciones. Ver "Configurar las opciones de configuracin para una ubicacin" en la pgina 247. Como prctica recomendada, no es necesario permitir que los usuarios desactiven las protecciones siguientes:

Auto-Protect SONAR Para los clientes de una versin anterior, anlisis de amenazas proactivos TruScan Proteccin contra intervenciones Las reglas de firewall que se han creado
237
Tabla 12-2 Tareas
Tareas de reconocimiento de la ubicacin que se puede realizar Descripcin

Sera recomendable que tome en consideracin los diversos tipos de polticas de seguridad que se necesitan en su entorno para determinar las ubicaciones que es necesario usar. Es posible entonces determinar los criterios para usar a fin de definir cada ubicacin. Se recomienda planificar los grupos y las ubicaciones al mismo tiempo. Ver "Cmo administrar los grupos de clientes" en la pgina 193. Es posible que los ejemplos siguientes sean tiles: Ver "Cmo configurar las condiciones del reconocimiento de la ubicacin de la situacin uno" en la pgina 242. Ver "Cmo configurar las condiciones del reconocimiento de la ubicacin de la situacin dos" en la pgina 244.
Planear ubicaciones
Habilitar reconocimiento Para controlar las polticas que se asignan a los clientes segn de ubicacin la ubicacin desde la que se conectan los clientes, se puede activar el reconocimiento de la ubicacin. Ver "Cmo habilitar el reconocimiento de la ubicacin para un cliente" en la pgina 238. Agregar ubicaciones Es posible aadir ubicaciones a los grupos. Ver "Cmo agregar una ubicacin a un grupo" en la pgina 239. Asignar ubicaciones predeterminadas Todos los grupos deben tener una ubicacin predeterminada. Cuando se instala la consola, solamente hay una ubicacin, llamada Predeterminado. Cuando se crea un nuevo grupo, su ubicacin predeterminada es siempre Predeterminado. Es posible modificar la ubicacin predeterminada ms tarde despus de agregar otras ubicaciones. Se utiliza la ubicacin predeterminada si uno de los siguientes casos ocurren: Una de las varias ubicaciones cumple los criterios de la ubicacin y la ltima ubicacin no cumple los criterios de la ubicacin. Se utiliza el reconocimiento de ubicacin y ninguna ubicacin cumple los criterios. La ubicacin cambia de nombre o se modifica en la poltica. El cliente vuelve a la ubicacin predeterminada cuando recibe la nueva poltica.
Ver "Cmo cambiar una ubicacin predeterminada" en la pgina 240.
238
Administracin de clientes remotos Cmo habilitar el reconocimiento de la ubicacin para un cliente
Tareas
Descripcin
Configurar la Es posible tambin configurar las opciones de comunicacin configuracin de entre un servidor de administracin y el cliente segn la comunicaciones para las ubicacin. ubicaciones Ver "Configurar las opciones de configuracin para una ubicacin" en la pgina 247. Eliminar ubicaciones Es posible eliminar cualquier ubicacin que sea obsoleta o que ya no sea til en su red. Ver "Eliminar la ubicacin de un grupo" en la pgina 241.
Consulte el artculo de la base de conocimientos Prcticas recomendadas para el reconocimiento de la ubicacin de Symantec Endpoint Protection.
Cmo habilitar el reconocimiento de la ubicacin para un cliente

Para hacer las polticas que se asignan a los clientes segn la ubicacin de conexin del cliente, se puede activar el reconocimiento de la ubicacin para el cliente. Ver "Cmo administrar las ubicaciones para los clientes remotos" en la pgina 235. Ver "Cmo agregar una ubicacin a un grupo" en la pgina 239. Si activa Recordar la ltima ubicacin, cuando un cliente se conecta a la red, se asigna la poltica de la ltima ubicacin usada. Si se activa el reconocimiento de ubicacin, el cliente cambia automticamente a la poltica apropiada despus de algunos segundos. La poltica asociada a una ubicacin especfica determina la conexin de red de un cliente. Si se desactiva el reconocimiento de ubicacin, el cliente puede alternar manualmente entre las ubicaciones, incluso si est en modo de control de servidores. Si se activa una ubicacin de cuarentena, el cliente puede alternar a la poltica de cuarentena despus de algunos segundos. Si desactiva Recordar la ltima ubicacin, cuando un cliente se conecta a la red, se asigna la poltica de la ubicacin predeterminada. El cliente no puede conectarse a la ltima ubicacin usada. Si se activa el reconocimiento de ubicacin, el cliente cambia automticamente a la poltica apropiada despus de algunos segundos. La poltica asociada a una ubicacin especfica determina la conexin de red de un cliente. Si se desactiva el reconocimiento de ubicacin, el usuario puede alternar manualmente entre las ubicaciones, incluso si el cliente est en modo de control de servidores. Si se activa una ubicacin de cuarentena, el cliente puede alternar a la poltica de cuarentena despus de algunos segundos.
Administracin de clientes remotos Cmo agregar una ubicacin a un grupo
239
Para activar el reconocimiento de la ubicacin para un cliente
1 2 3 4 5
En la consola, haga clic en Clientes. En la pgina Clientes, en Clientes, seleccione el grupo para el cual desea implementar la conmutacin automtica de ubicaciones. En la ficha Polticas, anule la seleccin de Heredar polticas y configuracin del grupo principal "nombre de grupo". En Configuracin y polticas independientes de la ubicacin, haga clic en Configuracin general. En el cuadro de dilogo Configuracin general, en la ficha Configuracin general, en Configuracin de ubicacin, active Recordar la ltima ubicacin. De forma predeterminada, esta opcin est habilitada. Se asigna inicialmente el cliente a la poltica asociada con la ubicacin desde la que el cliente se conect por ltima vez a la red.
Active Activar reconocimiento de ubicacin. De forma predeterminada, se activa el reconocimiento de ubicacin. El cliente se asigna automticamente a la poltica asociada a la ubicacin desde la cual el usuario intenta conectarse a la red.
Cmo agregar una ubicacin a un grupo

Cuando agrega una ubicacin a un grupo, especifica las condiciones que activan a los clientes del grupo para cambiar a la ubicacin. El reconocimiento de la ubicacin es eficaz solamente si usted adems aplica las polticas y la configuracin apropiadas a cada ubicacin. Ver "Cmo administrar los grupos de clientes" en la pgina 193. Ver "Acerca de consolidar las polticas de seguridad para los clientes remotos" en la pgina 248. Para agregar una ubicacin a un grupo
1 2
En la consola, haga clic en Clientes. En la pgina Clientes, en Clientes, seleccione el grupo para el cual desea agregar una o ms ubicaciones.
240
Administracin de clientes remotos Cmo cambiar una ubicacin predeterminada
En la ficha Polticas, anule la seleccin de Heredar polticas y configuracin del grupo principal "nombre de grupo". Es posible agregar ubicaciones solamente a los grupos que no heredan polticas del grupo principal. Es posible tambin hacer clic en Agregar ubicacin para ejecutar al asistente de Agregar ubicacin.
4 5 6 7 8
En la pgina Cliente, en Tareas, haga clic en Administrar ubicaciones. En el cuadro de dilogo Administrar ubicaciones, en Ubicaciones, haga clic en Agregar. En el cuadro de dilogo Agregar ubicacin, escriba el nombre y la descripcin de la nueva ubicacin y despus haga clic en Aceptar. A la derecha del cuadro Pasar a esta ubicacin cuando, haga clic en Agregar. En la lista Tipo, seleccione una condicin y despus seleccione la definicin apropiada para la condicin. El equipo cliente pasa a la ubicacin si el equipo tiene los criterios especificados.
Haga clic en Aceptar. Criterios con relacin Y o Criterios con relacin O.
10 Para agregar ms condiciones, haga clic en Agregar y despus seleccione 11 Repita los pasos 8 y 9. 12 Haga clic en Aceptar.
Cmo cambiar una ubicacin predeterminada

Cuando Symantec Endpoint Protection Manager est instalado inicialmente, solo existe una ubicacin llamada Predeterminada. En ese momento, la ubicacin predeterminada de cada grupo es Predeterminada. Cada grupo debe tener una ubicacin predeterminada. Cuando se crea un nuevo grupo, la consola de Symantec Endpoint Protection Manager convierte automticamente a Predeterminada en su ubicacin predeterminada. Ver "Cmo administrar las ubicaciones para los clientes remotos" en la pgina 235. Es posible especificar otra ubicacin para que sea la ubicacin predeterminada para un grupo una vez que se aaden otras ubicaciones. Puede preferir designar una ubicacin como Hogar o Calle como ubicacin predeterminada. Se utiliza la ubicacin predeterminada de un grupo si uno de los siguientes casos ocurren:
Administracin de clientes remotos Eliminar la ubicacin de un grupo
241
Una de las varias ubicaciones cumple los criterios de la ubicacin y la ltima ubicacin no cumple los criterios de la ubicacin. Se utiliza el reconocimiento de ubicacin y ninguna ubicacin cumple los criterios. La ubicacin cambia de nombre o se modifica en la poltica. El cliente vuelve a la ubicacin predeterminada cuando recibe la nueva poltica.
Para cambiar una ubicacin predeterminada
1 2 3 4 5 6
En la consola, haga clic en Clientes. En la pgina Clientes, en Clientes, haga clic en el grupo al cual desee asignar una ubicacin predeterminada diferente. En la ficha Polticas, anule la seleccin de Heredar polticas y configuracin del grupo principal "nombre de grupo". En Tareas, haga clic en Administrar ubicaciones. En el cuadro de dilogo Administrar ubicaciones, en Ubicaciones, seleccione la ubicacin que desea establecer como ubicacin predeterminada. En Descripcin, active Establecer esta ubicacin como ubicacin predeterminada en caso de conflicto. La ubicacin Predeterminada es siempre la ubicacin predeterminada hasta que se asigne otra al grupo.
Eliminar la ubicacin de un grupo

Es posible que sea necesario eliminar la ubicacin de un grupo porque ya no se aplica. Ver "Cmo administrar las ubicaciones para los clientes remotos" en la pgina 235. Para eliminar una ubicacin
1 2 3
En la consola, haga clic en Clientes. En la pgina Clientes, en Clientes, seleccione el grupo que contiene la ubicacin que desea eliminar. En la ficha Polticas, desactive Heredar polticas y configuracin del grupo principal "nombre de grupo". Es posible eliminar ubicaciones solamente de los grupos que no heredan polticas de sus grupos principales.
En la pgina Clientes, en Tareas, haga clic en Administrar ubicaciones.
242
Administracin de clientes remotos Cmo configurar las condiciones del reconocimiento de la ubicacin de la situacin uno
En el cuadro de dilogo Administrar ubicaciones, en Ubicaciones, seleccione la ubicacin que desea eliminar y despus haga clic en Eliminar. No es posible eliminar la ubicacin configurada como ubicacin predeterminada.
En el cuadro de dilogo Eliminar condicin, haga clic en S.
Cmo configurar las condiciones del reconocimiento de la ubicacin de la situacin uno

Si tiene clientes remotos, en el caso ms simple, es una prctica comn usar el grupo de Mi empresa y tres ubicaciones. Esta es la situacin uno. Para administrar la seguridad de los clientes en esta situacin, se pueden crear las ubicaciones siguientes en el grupo Mi empresa para usar:

Clientes de la oficina que inician sesin en la oficina. Los clientes remotos que inician sesin en la red corporativa remotamente por VPN. Los clientes remotos que inician sesin en Internet remotamente, pero no por VPN.
Como la ubicacin remota sin conexin VPN es la menos segura, se recomienda siempre hacer que esta ubicacin sea la ubicacin predeterminada. Nota: Si desactiva la herencia del grupo Mi empresa y a continuacin se agregan los grupos, los grupos agregados no heredan las ubicaciones que se configuran para el grupo Mi empresa. Las sugerencias siguientes representan las prcticas recomendadas para la situacin uno. Para configurar la ubicacin de oficina para los clientes situados en la oficina
1 2 3 4 5
En la pgina Clientes, seleccione el grupo para el que desee agregar una ubicacin. En la ficha Polticas, en Tareas, haga clic en Agregar ubicacin. En el Asistente para agregar ubicaciones, haga clic en Siguiente. Escriba un nombre para la ubicacin, agregue opcionalmente una descripcin de ella y despus haga clic en Siguiente. En el cuadro de lista, haga clic en El cliente puede conectarse con el servidor de administracin de la lista y a continuacin haga clic en Siguiente.
Administracin de clientes remotos Cmo configurar las condiciones del reconocimiento de la ubicacin de la situacin uno
243
6 7 8 9
Haga clic en Finalizar y despus haga clic en Aceptar. En Tareas, haga clic en Administrar ubicaciones y despus seleccione la ubicacin que usted cre. Haga clic en Agregar y despus haga clic en Criterios con relacin Y. En el cuadro de dilogo Especificar criterios de ubicacin, de la lista Tipo, haga clic en Tipo de conexin de red. especificado a continuacin.
10 Haga clic en Si el equipo cliente no utiliza el tipo de conexin de red 11 En el cuadro de lista inferior, seleccione el nombre del cliente de VPN que su
organizacin usa y despus haga clic en Aceptar.
12 Haga clic en Aceptar para salir del cuadro de dilogo Administrar

ubicaciones. Para configurar la ubicacin remota para los clientes que inician sesin por VPN
1 2 3 4 5 6 7 8
En la pgina Clientes, seleccione el grupo para el que desee agregar una ubicacin. En la ficha Polticas, en Tareas, haga clic en Agregar ubicacin. En el Asistente para agregar ubicaciones, haga clic en Siguiente. Escriba un nombre para la ubicacin, agregue opcionalmente una descripcin de ella y despus haga clic en Siguiente. En el cuadro de lista, haga clic en Tipo de conexin de red. En el cuadro de lista Tipo de conexin, seleccione el nombre del cliente de VPN que su organizacin usa y despus haga clic en Siguiente. Haga clic en Finalizar. Haga clic en Aceptar.
Para configurar la ubicacin remota para los clientes que no inician sesin por VPN
1 2 3 4
En la pgina Clientes, seleccione el grupo para el que desee agregar una ubicacin. En la ficha Polticas, en Tareas, haga clic en Agregar ubicacin. En el Asistente para agregar ubicaciones, haga clic en Siguiente. Escriba un nombre para la ubicacin, agregue opcionalmente una descripcin de ella y despus haga clic en Siguiente.
244
Administracin de clientes remotos Cmo configurar las condiciones del reconocimiento de la ubicacin de la situacin dos
En el cuadro de lista, mantenga No hay ninguna condicin especfica y a continuacin haga clic en Siguiente. Usando esta configuracin, las polticas de esta ubicacin, que deben ser las ms estrictas y ms seguras, se usan como las polticas de la ubicacin predeterminada.
Haga clic en Finalizar y despus haga clic en Aceptar.
Cmo configurar las condiciones del reconocimiento de la ubicacin de la situacin dos

En la situacin dos, se usan las mismas dos ubicaciones remotas que se especificaron en la situacin uno y dos ubicaciones de oficina, es decir, un total de cuatro ubicaciones. Ver "Cmo configurar las condiciones del reconocimiento de la ubicacin de la situacin uno" en la pgina 242. Se agregaran las ubicaciones siguientes de oficina:

Clientes en la oficina que inician sesin con una conexin de Ethernet. Clientes en la oficina que inician sesin con una conexin inalmbrica.
Simplifica la administracin para dejar a todos los clientes en modo de control de servidor predeterminado. Si desea control granular sobre lo que pueden y no pueden hacer sus usuarios, un administrador experimentado puede usar el control mixto. Una configuracin de control mixto da al usuario final cierto control sobre la configuracin de seguridad, pero se pueden anular sus cambios, si es necesario. El control de cliente permite a los usuarios ampliar el alcance de lo que pueden hacer y de esa forma se convierte en un mayor riesgo para la seguridad de la red. Sugerimos que usted use el control de cliente solamente en las situaciones siguientes:

Si sus usuarios estn bien informados sobre la seguridad del equipo. Si tiene una razn convincente para usarlo.
Nota: Es posible tener algunos clientes que usen las conexiones de Ethernet en la oficina mientras los clientes en la oficina usan conexiones inalmbricas. Por este motivo, usted configura la ltima condicin en el procedimiento para los clientes inalmbricos en la oficina. Esta condicin le permite crear una regla de la poltica de firewall de la ubicacin de Ethernet para bloquear todo el trfico inalmbrico cuando ambas clases de conexiones se usan simultneamente.
245
Para configurar la ubicacin de oficina para los clientes que han iniciado sesin por Ethernet
1 2 3 4 5 6 7 8 9
En la pgina Clientes, seleccione el grupo para el que desee agregar una ubicacin. En Tareas, haga clic en Agregar ubicacin. En el Asistente para agregar ubicaciones, haga clic en Siguiente. Escriba un nombre para la ubicacin, agregue opcionalmente una descripcin de ella y despus haga clic en Siguiente. En el cuadro de lista, seleccione El cliente puede conectarse con el servidor de administracin y a continuacin haga clic en Siguiente. Haga clic en Finalizar. Haga clic en Aceptar. En Tareas, haga clic en Administrar ubicaciones y despus seleccione la ubicacin que usted cre. Al lado de Pasar a esta ubicacin cuando, haga clic en Agregar y despus seleccione Criterios con relacin Y. haga clic en Tipo de conexin de red.
10 En el cuadro de dilogo Especificar criterios de ubicacin, de la lista Tipo, 11 Haga clic en Si el equipo cliente no utiliza el tipo de conexin de red
especificado a continuacin.
12 En el cuadro de lista inferior, seleccione el nombre del cliente de VPN que su

13 Haga clic en Agregar y despus haga clic en Criterios con relacin Y. 14 En el cuadro de dilogo Especificar criterios de ubicacin, de la lista Tipo,
haga clic en Tipo de conexin de red.
15 Haga clic en Si el equipo cliente utiliza el tipo de conexin de red especificado

a continuacin.
16 En el cuadro de lista inferior, seleccione Ethernet y a continuacin haga clic

en Aceptar.
17 Haga clic en Aceptar para salir del cuadro de dilogo Administrar ubicaciones.
Para configurar la ubicacin de oficina para los clientes que han iniciado sesin con una conexin inalmbrica
1 2
En la pgina Clientes, seleccione el grupo para el que desee agregar una ubicacin. En Tareas, haga clic en Agregar ubicacin.
246
3 4 5 6 7 8 9
En el Asistente para agregar ubicaciones, haga clic en Siguiente. Escriba un nombre para la ubicacin, agregue opcionalmente una descripcin de ella y despus haga clic en Siguiente. En el cuadro de lista, haga clic en El cliente puede conectarse con el servidor de administracin y a continuacin haga clic en Siguiente. Haga clic en Finalizar. Haga clic en Aceptar. En Tareas, haga clic en Administrar ubicaciones y despus seleccione la ubicacin que usted cre. Al lado de Pasar a esta ubicacin cuando, haga clic en Agregar y despus haga clic en Criterios con relacin Y. haga clic en Tipo de conexin de red.
10 En el cuadro de dilogo Especificar criterios de ubicacin, de la lista Tipo, 11 Haga clic en Si el equipo cliente no utiliza el tipo de conexin de red
12 En el cuadro de lista inferior, seleccione el nombre del cliente de VPN que su

15 Haga clic en Si el equipo cliente no utiliza el tipo de conexin de red

16 En el cuadro de lista inferior, haga clic en Ethernet y a continuacin haga

clic en Aceptar.
19 Haga clic en Si el equipo cliente utiliza el tipo de conexin de red especificado

a continuacin.
20 En el cuadro de lista inferior, haga clic en Inalmbrica y a continuacin haga

clic en Aceptar.
21 Haga clic en Aceptar para salir del cuadro de dilogo Administrar

ubicaciones.
Administracin de clientes remotos Configurar las opciones de configuracin para una ubicacin
247
Configurar las opciones de configuracin para una ubicacin

De forma predeterminada, se configura la configuracin de comunicacin entre el servidor de administracin y el cliente en el nivel de grupo. Sin embargo, se pueden tambin configurar estas ubicaciones individuales en un grupo. Por ejemplo, es posible usar un servidor de administracin separado para una ubicacin en donde los equipos cliente se conectan a travs de la VPN. Para reducir al mnimo el nmero de clientes que se conectan al servidor de administracin al mismo tiempo, es posible especificar un latido diferente para cada ubicacin. Ver "Configurar el modo de transferencia o al modo de obtencin para actualizar las polticas de los clientes y el contenido" en la pgina 274. Ver "Cmo administrar las ubicaciones para los clientes remotos" en la pgina 235. Ver "Cmo administrar los grupos de clientes" en la pgina 193. Es posible configurar las opciones de comunicacin siguientes para las ubicaciones:

El modo de control en el que los clientes ejecutan. La lista de servidores de administracin que los clientes utilizan. El modo de descarga en el que los clientes ejecutan. Permite recopilar una lista de todas las aplicaciones que se ejecutan en los clientes y enviar la lista al servidor de administracin. Los intervalos de latidos que los clientes utilizan para las descargas. Independientemente de si el servidor de administracin calcula aleatoriamente las descargas de contenido del servidor de administracin predeterminado o de un proveedor de actualizaciones de grupo.
Nota: Solamente parte de esta configuracin se puede configurar para clientes Mac. Para configurar las opciones de comunicacin para una ubicacin
1 2 3 4
En la consola, haga clic en Clientes. En la pgina Clientes, seleccione un grupo. En la ficha Polticas, en Configuracin y polticas especficas de la ubicacin, en una ubicacin, expanda Configuracin especfica de la ubicacin. A la derecha de Configuracin de comunicaciones, haga clic en Tareas y, despus, anule la seleccin de Usar configuracin de comunicaciones de grupo.
248
Administracin de clientes remotos Acerca de consolidar las polticas de seguridad para los clientes remotos
5 6
Haga clic en Tareas y, despus, en Editar configuracin. En el cuadro de dilogo Configuracin de comunicaciones para nombre de la ubicacin, modifique la configuracin de la ubicacin especificada solamente. Haga clic en Aceptar.
Acerca de consolidar las polticas de seguridad para los clientes remotos

Cuando se administran usuarios remotos, se toma la forma de alguna de las siguientes de posiciones:
Deje las polticas predeterminadas aplicadas, de modo que usted no impida que los usuarios remotos utilicen sus equipos. Consolide sus polticas de seguridad predeterminadas para proporcionar ms proteccin para su red, incluso si restringe lo que pueden hacer los usuarios remotos.
En la mayora de las situaciones, se recomienda consolidar sus polticas de seguridad para los clientes remotos. Las polticas se pueden crear como compartidas o no compartidas, y asignar a grupos o a ubicaciones. Una poltica compartida es una que se aplica a cualquier grupo y ubicacin, y puede ser heredada. Una poltica no compartida es una que se aplica solamente a una ubicacin especfica en un grupo. Tpicamente, se recomienda crear polticas compartidas porque hace ms fcil modificar las polticas en varios grupos y ubicaciones. Pero, cuando se necesitan polticas nicas y especficas de la ubicacin, se necesita crearlas como polticas no compartidas o convertirlas a las polticas no compartidas.
Prcticas recomendadas para la configuracin de las polticas de firewall

Tabla 12-3 describe situaciones y recomendaciones de prcticas recomendadas.
Administracin de clientes remotos Acerca de consolidar las polticas de seguridad para los clientes remotos
249
Tabla 12-3 Situacin
Prcticas recomendadas de polticas de firewall Recomendacin
Ubicacin remota La configuracin siguiente se recomienda como prctica donde los usuarios recomendada para la poltica de firewall: inician sesin sin VPN Asigne las polticas de seguridad ms estrictas a los clientes que inician sesin remotamente sin usar VPN. Habilite la proteccin de NetBIOS
Nota: No habilite la proteccin de NetBIOS para la ubicacin

en donde un cliente remoto ha iniciado sesin en la red corporativa a travs de una VPN. Esta regla es apropiada solamente cuando clientes remotos se conectan a Internet, no a la red corporativa.
Para aumentar la seguridad, tambin bloquee todo el trfico local TCP en los puertos 135, 139 y 445 de NetBIOS.
Ubicacin remota donde los usuarios inician sesin por medio de VPN
La configuracin siguiente se recomienda como prctica recomendada para la poltica de firewall: Deje como estn todas las reglas que bloquean el trfico en todos los adaptadores. No modifique esas reglas. Deje como est la regla que permite el trfico VPN en todos los adaptadores. No modifique esa regla. Para todas las reglas que utilicen la accin Permitir, modifique la columna Adaptador de todos los adaptadores al nombre del adaptador VPN que se utiliza. Habilite la regla que bloquea el resto del trfico.
Nota: Es necesario realizar todos estos cambios si desea evitar

la posibilidad de tnel dividido a travs de la VPN. Ubicaciones de oficina donde los usuarios inician sesin a travs de Ethernet o de conexiones inalmbricas Use sus polticas de firewall predeterminadas. Para la conexin inalmbrica, asegrese de que la regla para permitir EAPOL inalmbrico est habilitada. 802.1x utiliza Protocolo de autenticacin extensible sobre LAN (EAPOL) para la autenticacin de la conexin.
Ver "Creacin de polticas de firewall" en la pgina 403. Ver "Permitir automticamente las comunicaciones para los servicios de red esenciales" en la pgina 407.
250
Administracin de clientes remotos Acerca de activar las notificaciones para los clientes remotos
Acerca de las prcticas recomendadas para la configuracin de la poltica de LiveUpdate

Si mantiene un control estricto sobre el contenido y las actualizaciones del producto de Symantec para sus clientes, sera recomendable evaluar la posibilidad de modificar su poltica de LiveUpdate para los clientes remotos. Para la ubicacin remota en donde los usuarios inician sesin sin una VPN, sugerimos las prcticas recomendadas siguientes:
Modifique la configuracin de la poltica de LiveUpdate para utilizar el servidor predeterminado de Symantec LiveUpdate. Esta configuracin permite que los clientes remotos se actualicen siempre que se conectan a Internet. Modifique la configuracin de frecuencia de la programacin de LiveUpdate a una hora para hacer que sea ms probable que los clientes actualicen su proteccin cuando se conectan a Internet.
Para el resto de las ubicaciones, se recomienda utilizar Symantec Endpoint Protection Manager para distribuir actualizaciones de contenido y de software del producto. Un paquete de actualizacin distribuido a travs de la consola de administracin es incremental, en lugar de un paquete completo. Los paquetes de actualizacin son ms pequeos que los paquetes que se descargan directamente del servidor de Symantec LiveUpdate.
Acerca de activar las notificaciones para los clientes remotos

Para sus clientes remotos que no inician sesin sobre VPN, se recomienda activar las notificaciones de los clientes para las situaciones siguientes:
Detecciones de intrusiones Es posible activar estas notificaciones usando el servidor especfico de la ubicacin o se puede seleccionar la opcin Control mixto en Configuracin de los controles de la interfaz de usuario del cliente. Es posible personalizar la configuracin en la ficha Configuracin de la interfaz de usuario del cliente. Virus y riesgos para la seguridad Es posible activar estas notificaciones en la poltica de Proteccin antivirus y antispyware.
Activar notificaciones ayuda a asegurarse de que los usuarios remotos sean conscientes de cuando ocurre un problema de seguridad.
Administracin de clientes remotos Cmo personalizar configuraciones de administracin de registros para clientes remotos
251
Cmo personalizar configuraciones de administracin de registros para clientes remotos

Es posible que desee personalizar la configuracin de administracin de registros para clientes remotos. La personalizacin puede ser especialmente til si los clientes estn desconectados por varios das. La configuracin siguiente puede ayudar a reducir el ancho de banda y la carga en los servidores de administracin:

Los clientes no cargan los registros al servidor de administracin. Los clientes cargan solamente los registros de seguridad de los clientes. Filtre los eventos de registro para cargar solamente eventos especificados. Los eventos sugeridos para cargar incluyen actualizaciones de definiciones o errores secundarios de reparaciones. Ample el tiempo de retencin de registros. Los tiempos de retencin ms extensos permiten revisar ms datos de eventos de polticas antivirus y antispyware.
Nota: Una determinada configuracin de registro del cliente es especfica para un grupo. La configuracin del registro especfico de la ubicacin forma parte de una poltica de proteccin antivirus y antispyware. En funcin de la configuracin del registro que desee personalizar, es posible que sea necesario usar los grupos en lugar de ubicaciones para administrar los clientes remotos. Ver "Ver registros" en la pgina 616.
Cmo administrar el balanceo de carga y el uso mvil para clientes remotos

Si configura varios sitios, puede equilibrar la carga en los servidores que se pueden crear mediante el uso mvil de clientes remotos. Los procedimientos siguientes pueden ayudar a admitir el balanceo de carga para los clientes de uso mvil y remotos:
Configure todos los servidores DNS para los sitios de la organizacin a fin de usar el mismo nombre de dominio. Configure cada servidor DNS para usar la direccin IP del servidor de administracin ms cercano. En Symantec Endpoint Protection Manager, cree una lista de servidores de administracin personalizada para los clientes remotos. La lista debe contener
252
Administracin de clientes remotos Acerca de la supervisin de clientes remotos
solamente el nombre de dominio completo de los servidores DNS. Asigne la lista al grupo que contiene las ubicaciones para los clientes remotos. Ver "Configuracin de una lista de servidores de administracin" en la pgina 722. Ver "Cmo configurar la conmutacin por error y el balanceo de carga" en la pgina 719.
Acerca de la supervisin de clientes remotos

Las notificaciones y los registros son esenciales para mantener un entorno seguro. Generalmente, es necesario supervisar sus clientes remotos de la misma manera que se supervisa a sus otros clientes. Es necesario comprobar siempre si sus protecciones estn actualizadas y si su red no est actualmente bajo ataque. Si su red est bajo ataque, deber descubrir quin est detrs del ataque y cmo atacaron. Incluso si se restringen algunos de los datos de registro de los clientes que los clientes mviles cargan, puede comprobar lo siguiente:
En la pgina principal, vea la Distribucin de definiciones de virus y las Firmas de prevencin de intrusiones, para ver el contenido actualizado. En la pgina principal, vea el Resumen del estado, para ver si las protecciones estn apagadas en los equipos. En la pgina principal, vea los Riesgos por hora, los Ataques por hora y las Infecciones por hora para ver si su red est bajo ataque. Si la red est bajo ataque, en la ficha Resumen de supervisin, vea el resumen de la proteccin contra amenazas de red, que muestra los principales destinos y orgenes de ataques.
Es posible comprobar las pantallas siguientes para supervisar la seguridad de su entorno: Los datos en la pgina principal en las siguientes pantallas representan solamente a los clientes que se conectaron en las ltimas 12 horas o 24 horas:

Distribucin de definiciones de virus Firmas de prevencin de intrusiones Resumen del estado
La configuracin de preferencia de pgina principal determina el perodo durante el cual Symantec Endpoint Protection Manager muestra los datos. Si tiene muchos clientes que estn frecuentemente sin conexin, su mejor opcin de supervisin es ir a los registros y a los informes. En los registros y los informes, filtre los datos para incluir los clientes sin conexin.
Captulo
13
Uso de polticas para administrar seguridad


Tipos de polticas de seguridad Cmo realizar tareas que son comunes a todas las polticas de seguridad Acerca de las polticas compartidas y no compartidas Agregar una poltica Copiar y pegar una poltica en la pgina Polticas Copiar y pegar una poltica en la pgina Clientes Editar una poltica Cmo bloquear y desbloquear la configuracin de polticas Asignacin de una poltica a un grupo Cmo probar una poltica de seguridad Reemplazar una poltica Cmo exportar e importar polticas Convertir una poltica compartida en una poltica no compartida Retirar una poltica Cmo eliminar una poltica permanentemente Cmo los equipos cliente obtienen actualizaciones de polticas
254
Uso de polticas para administrar seguridad Tipos de polticas de seguridad
Configurar el modo de transferencia o al modo de obtencin para actualizar las polticas de los clientes y el contenido Cmo usar el nmero de serie de la poltica para comprobar la comunicacin de servidor a cliente Cmo supervisar las aplicaciones y los servicios ejecutados en los equipos cliente Configuracin del servidor de administracin para recopilar la informacin sobre las aplicaciones que los equipos cliente ejecutan Cmo buscar la informacin sobre las aplicaciones que ejecutan los equipos Guardar los resultados de una bsqueda de aplicaciones
Tipos de polticas de seguridad

Sus polticas de seguridad definen cmo las tecnologas de proteccin protegen sus equipos contra amenazas conocidas y desconocidas. Se usan diferentes tipos de polticas de seguridad para administrar la seguridad de la red. Se crea la mayora de los tipos de polticas automticamente durante la instalacin. Es posible usar las polticas predeterminadas o es posible personalizar las polticas para adaptarlas a un entorno especfico. Ver "Cmo realizar tareas que son comunes a todas las polticas de seguridad" en la pgina 257.
255
Tabla 13-1 Tipo de poltica
Tipos de polticas de seguridad Descripcin

La Poltica de proteccin antivirus y antispyware proporciona la proteccin siguiente: Detecta, elimina y repara los efectos secundarios del virus y los riesgos para la seguridad usando firmas. Detecta las amenazas en los archivos que los usuarios intentan descargar usando datos de reputacin de Diagnstico Insight de descargas. Detecte las aplicaciones que exhiben comportamiento sospechoso usando la heurstica de SONAR y los datos de reputacin. La Poltica de proteccin antivirus y antispyware busca anomalas del comportamiento con su tecnologa de SONAR. Para los clientes de una versin anterior, busca anomalas del comportamiento por medio de anlisis de amenazas proactivos TruScan.
Poltica de proteccin antivirus y antispyware
Nota: Diagnstico Insight de descargas y la tecnologa de

SONAR estn disponibles solamente en clientes Windows. Ver "Cmo administrar anlisis en los equipos cliente" en la pgina 293. Poltica de firewall La Poltica de firewall proporciona la proteccin siguiente: Bloquea el acceso de usuarios no autorizados a los equipos y las redes que se conectan a Internet. Detecta los ataques de los hackers.

Elimina los orgenes no deseados del trfico de red.
Nota: Las polticas de firewall se pueden aplicar solamente

a los clientes de Windows. Ver "Cmo administrar la proteccin mediante firewall" en la pgina 399. Poltica de prevencin de intrusiones La Poltica de prevencin de intrusiones detecta y bloquea automticamente ataques de red y ataques en los navegadores.
Nota: Las polticas de prevencin de intrusiones se pueden

aplicar solamente a los clientes de Windows. Ver "Cmo administrar la prevencin de intrusiones en sus equipos cliente" en la pgina 453.
256
Tipo de poltica
Poltica de LiveUpdate
Descripcin
La Poltica de contenidos de LiveUpdate y la Poltica de configuracin de LiveUpdate contienen la configuracin que determina cmo y cundo los equipos cliente descargan actualizaciones de contenido de LiveUpdate. Es posible definir los equipos con los que los clientes contactan para comprobar la existencia de actualizaciones y programar cundo y cuntas veces los equipos cliente comprueban si hay actualizaciones. Ver "Cmo administrar actualizaciones de contenido" en la pgina 534.
Control de aplicaciones y dispositivos
La Poltica de control de aplicaciones y dispositivos protege los recursos de un sistema contra aplicaciones y administra los dispositivos perifricos que se pueden conectar a los equipos. Ver "Cmo configurar el control de aplicaciones y dispositivos" en la pgina 479.
Nota: Las polticas de control de aplicaciones y dispositivos

se pueden aplicar solamente a los clientes de Windows. Integridad del host La Poltica de integridad del host proporciona la capacidad de definir, de imponer y de restaurar la seguridad de equipos cliente para mantener las redes de la empresa y los datos seguros. Se usa esta poltica para verificar que los clientes que acceden a su red ejecuten el software antivirus, las parches y los criterios de la aplicacin que define. Ver "Acciones que pueden llevarse a cabo con polticas de integridad del host" en la pgina 758. Poltica de excepciones La Poltica de excepciones proporciona la capacidad de excluir aplicaciones y procesos de la deteccin de anlisis antivirus y antispyware y de SONAR. Tambin es posible excluir aplicaciones del control de aplicaciones. Ver "Cmo administrar las excepciones para Symantec Endpoint Protection" en la pgina 516.
Uso de polticas para administrar seguridad Cmo realizar tareas que son comunes a todas las polticas de seguridad
257
Cmo realizar tareas que son comunes a todas las polticas de seguridad
Es posible administrar sus polticas de seguridad de Symantec Endpoint Protection de varias maneras. Por ejemplo, es posible crear copias de las polticas de seguridad y despus personalizar las copias para sus necesidades especficas. Es posible bloquear y desbloquear la configuracin de modo que los usuarios no puedan cambiarla en el equipo cliente. LaTabla 13-2 describe muchas de las tareas de polticas que se pueden realizar. Tabla 13-2 Tarea
Agregar una poltica
Tareas comunes a todas las polticas Descripcin

Si no desea usar una de las polticas predeterminadas, se puede aadir una nueva poltica. Es posible aadir las polticas compartidas o las polticas no compartidas.
Nota: Si agrega o edita polticas compartidas en la pgina

Polticas, debe adems asignar las polticas a un grupo o a una ubicacin. Si no, las polticas no se aplicarn. Ver "Acerca de las polticas compartidas y no compartidas" en la pgina 259. Ver "Agregar una poltica" en la pgina 261. Bloquear y desbloquear la configuracin de polticas Es posible bloquear y desbloquear cierta configuracin de Poltica de proteccin antivirus y antispyware. Los usuarios del equipo no pueden cambiar la configuracin de polticas bloqueada. Un icono de un candado aparece al lado de una configuracin de polticas que se puede bloquear. Ver "Cmo bloquear y desbloquear la configuracin de polticas" en la pgina 264. Editar una poltica Si desea cambiar la configuracin de una poltica existente, puede editarla. Es posible aumentar o disminuir la proteccin en los equipos modificando las polticas de seguridad. No es necesario reasignar una poltica modificada, a menos que se cambie la asignacin del grupo. Ver "Editar una poltica" en la pgina 263. Asignar una poltica Para poner una poltica en uso, se la debe asignar a uno o ms grupos o ubicaciones. Ver "Asignacin de una poltica a un grupo" en la pgina 265.
258
Uso de polticas para administrar seguridad Cmo realizar tareas que son comunes a todas las polticas de seguridad
Tarea
Pruebe una poltica
Descripcin
Symantec recomienda siempre probar una poltica nueva antes de usarla en un entorno de produccin. Ver "Cmo probar una poltica de seguridad" en la pgina 266.
Actualizar las polticas en clientes
De acuerdo con el ancho de banda disponible, se puede configurar un cliente para usar el modo de transferencia o el modo de extraccin como mtodo de actualizacin de polticas. Ver "Cmo los equipos cliente obtienen actualizaciones de polticas" en la pgina 273. Ver "Configurar el modo de transferencia o al modo de obtencin para actualizar las polticas de los clientes y el contenido" en la pgina 274.
Reemplazar una poltica
Es posible reemplazar una poltica compartida con otra poltica compartida. Es posible sustituir la poltica compartida en todas las ubicaciones o en una ubicacin. Ver "Reemplazar una poltica" en la pgina 267.
Copiar y pegar una poltica
En vez de aadir una nueva poltica, es conveniente copiar una poltica existente para usar como la base para la nueva poltica. Es posible copiar y pegar las polticas en la pgina Polticas o la ficha Polticas en la pgina Clientes.
Nota: Es posible tambin copiar todas las polticas de un

grupo y pegarlas en otro grupo, desde la ficha Polticas en la pgina Clientes. Ver "Copiar y pegar una poltica en la pgina Clientes " en la pgina 262. Ver "Copiar y pegar una poltica en la pgina Polticas " en la pgina 261.
Uso de polticas para administrar seguridad Acerca de las polticas compartidas y no compartidas
259
Tarea
Convertir una poltica compartida en una poltica no compartida
Descripcin
Es posible copiar el contenido de una poltica compartida y crear una poltica no compartida de ese contenido. Ver "Acerca de las polticas compartidas y no compartidas" en la pgina 259. Una copia le permite modificar el contenido de una poltica compartida en una ubicacin y no en el resto de las ubicaciones. La copia anula la poltica no compartida existente. Es posible convertir una poltica compartida a una poltica no compartida si la poltica ya no se aplica a todos los grupos o a todas las ubicaciones. Cuando finaliza la conversin, la poltica convertida con su nuevo nombre aparece en Configuracin y polticas especficas de la ubicacin. Ver "Convertir una poltica compartida en una poltica no compartida " en la pgina 269.
Exporte e importe una poltica
Es posible exportar una poltica existente si desea usarla en un sitio diferente. Es posible despus importar la poltica y aplicarla a un grupo o a una ubicacin especfica. Ver "Cmo exportar e importar polticas" en la pgina 268.
Retirar una poltica
Si elimina una poltica, Symantec Endpoint Protection quita la poltica de la base de datos. Si no desea eliminar una poltica, pero ya no desea usarla, la puede retirar. Es posible retirar cualquier tipo de poltica excepto una Poltica de proteccin antivirus y antispyware y una Poltica de configuracin de LiveUpdate. Ver "Retirar una poltica" en la pgina 270.
Eliminar una poltica
Si una poltica ya no es til y usted no desea mantenerla en la base de datos, puede eliminarla. Ver "Cmo eliminar una poltica permanentemente" en la pgina 272.
Acerca de las polticas compartidas y no compartidas

Las polticas son compartidas o no compartidas. Se comparte una poltica si se la aplica a ms de un grupo o una ubicacin. Si se crean polticas compartidas, es posible editar y sustituir fcilmente una poltica en todos los grupos y ubicaciones que la utilicen. Es posible aplicar polticas compartidas en el nivel de grupo Mi
260
Uso de polticas para administrar seguridad Acerca de las polticas compartidas y no compartidas
empresa y los subgrupos de grupo ms bajo pueden heredar las polticas. Es posible tener varias polticas compartidas. Si necesita una poltica especializada para un grupo o una ubicacin determinados, se crea una poltica que sea nica. Se asigna esta poltica nica no compartida a un grupo o ubicacin especficos. Es posible solamente tener una poltica de cada tipo de polticas por ubicacin. Por ejemplo, aqu estn algunas situaciones posibles:
Un grupo de usuarios en Finanzas necesita conectarse a una red de la empresa usando ubicaciones diferentes cuando est en la oficina y en el hogar. Es posible que sea necesario aplicar una poltica de firewall diferente con su propio conjunto de reglas y configuracin a cada ubicacin para ese grupo. Tiene usuarios remotos que usan tpicamente ADSL e ISDN, para los cuales pueden necesitar una conexin VPN. Tiene otros usuarios remotos que quieren cuando utilizar el acceso telefnico cuando se conectan a la red de la empresa. Sin embargo, los grupos de ventas y marketing adems quieren usar conexiones inalmbricas. Cada uno de estos grupos puede necesitar sus propias polticas de firewall para las ubicaciones desde las cuales se conectan a la red de la empresa. Desea implementar una poltica restrictiva con respecto a la instalacin de aplicaciones no certificadas en la mayora de las estaciones de trabajo de los empleados para proteger la red de la empresa contra ataques. El grupo de TI puede necesitar acceso a aplicaciones adicionales. Por lo tanto, este grupo puede necesitar una poltica de seguridad menos restrictiva que los empleados tpicos. En este caso, es posible crear una poltica de firewall diferente para el grupo de TI.
Tpicamente se agrega cualquier poltica que los grupos y las ubicaciones compartan en la pgina Polticas en la ficha Polticas. Sin embargo, se agrega cualquier poltica que no sea compartida entre grupos y se aplique solamente a una ubicacin especfica en la pgina Clientes. Si decide agregar una poltica en la pgina Clientes, es posible agregar una nueva poltica mediante los siguientes mtodos:

Agregue una nueva poltica. Copie una poltica existente en la cual se basar la nueva poltica. Importe una poltica que fue exportada previamente de otro sitio.
Ver "Cmo realizar tareas que son comunes a todas las polticas de seguridad" en la pgina 257.
Uso de polticas para administrar seguridad Agregar una poltica
261
Agregar una poltica

Es posible crear varias versiones de cada tipo de poltica. Las polticas que se crean se almacenan en la base de datos. Ver "Cmo realizar tareas que son comunes a todas las polticas de seguridad" en la pgina 257. Symantec recomienda probar todas las polticas nuevas antes de usarlas en un entorno de produccin. Ver "Cmo probar una poltica de seguridad" en la pgina 266. Para agregar una nueva poltica
1 2 3 4 5
En la consola, haga clic en Polticas. En la pgina Polticas, seleccione un tipo de polticas y despus haga clic en el vnculo para agregar una nueva poltica. Modifique la configuracin de polticas para aumentar o disminuir la proteccin. Haga clic en Aceptar para guardar la poltica. Asigne opcionalmente la nueva poltica a un grupo. Es posible asignar una nueva poltica a un grupo durante una creacin de polticas o despus de ella. La nueva poltica reemplaza la poltica actualmente asignada del mismo tipo de la proteccin. Ver "Asignacin de una poltica a un grupo" en la pgina 265.
Copiar y pegar una poltica en la pgina Polticas

Es posible copiar y pegar una poltica en la pgina Polticas. Por ejemplo, es posible que desee editar la configuracin de polticas levemente para aplicarla a otro grupo. Ver "Cmo realizar tareas que son comunes a todas las polticas de seguridad" en la pgina 257. Para copiar una poltica en la pgina Polticas
1 2 3
En la consola, haga clic en Polticas. En la pgina Polticas, en Polticas, haga clic en el tipo de poltica que desee copiar. En el panel Polticas de tipo de poltica, haga clic en la poltica especfica que desea copiar.
262
Uso de polticas para administrar seguridad Copiar y pegar una poltica en la pgina Clientes
4 5
En la pgina Polticas, en Tareas, haga clic en Copiar la poltica. En el cuadro de dilogo Copiar poltica, seleccione No volver a mostrar este mensaje si ya no desea ser notificado sobre este proceso. El mensaje indica que la poltica se ha copiado al portapapeles y que est lista para ser pegada. Haga clic en Aceptar.
Para pegar una poltica en la pgina Polticas
1 2 3 4
En la consola, haga clic en Polticas. En la pgina Polticas, en Polticas, haga clic en el tipo de poltica que desee pegar. En el panel Polticas de tipo de poltica, haga clic en la poltica especfica que desea pegar. En la pgina Polticas, en Tareas, haga clic en Pegar una poltica.
Copiar y pegar una poltica en la pgina Clientes

Es posible copiar y pegar una poltica en vez de tener que agregar una nueva poltica. Es posible copiar una poltica compartida o no compartida en la pgina Clientes. Ver "Cmo realizar tareas que son comunes a todas las polticas de seguridad" en la pgina 257. Para copiar una poltica en la pgina Clientes
1 2 3
En la consola, haga clic en Clientes. En la pgina Clientes, en Clientes, seleccione el grupo para el cual desee copiar una poltica. En la ficha Polticas, en Configuracin y polticas especficas de la ubicacin, desplcese para encontrar el nombre de la ubicacin desde la cual desea copiar una poltica. Localice la poltica especfica para la ubicacin que desee copiar. A la derecha de la poltica, haga clic en Tareas y despus haga clic en Copiar. Haga clic en Aceptar.
4 5 6
Para pegar una poltica en la pgina Clientes
1 2
En la consola, haga clic en Clientes. En la pgina Clientes, en Clientes, seleccione el grupo para el cual desee pegar una poltica.
Uso de polticas para administrar seguridad Editar una poltica
263
En la ficha Polticas, anule la seleccin de Heredar polticas y configuracin del grupo principal " nombre de grupo". Es necesario desactivar la herencia para este grupo. Si no desactiva la herencia, no es posible pegar una poltica.
4 5 6 7
En Configuracin y polticas especficas de la ubicacin, desplcese para encontrar el nombre de la ubicacin cuya poltica desee pegar. Localice la poltica especfica para la ubicacin que desee pegar. A la derecha de la poltica, haga clic en Tareas y despus haga clic en Pegar. Cuando se le pregunte si desea sobrescribir la poltica existente, haga clic en S.
Editar una poltica

Es posible editar las polticas compartidas y no compartidas en la ficha Polticas en la pgina Clientes as como en la pgina Polticas. Tanto las ubicaciones como los grupos pueden compartir la misma poltica. Es necesario asignar una poltica compartida despus de que se la edita. Ver "Cmo realizar tareas que son comunes a todas las polticas de seguridad" en la pgina 257. Para editar una poltica en la pgina Polticas
1 2 3 4 5 6
En la consola, haga clic en Polticas. En la pgina Polticas, en Polticas, haga clic en el tipo de polticas. En el panel Polticas de tipo de poltica, haga clic en la poltica especfica que desea editar. En Tareas, haga clic en Editar la poltica. En el panel Descripcin general de tipo de poltica, edite el nombre y la descripcin de la poltica, si es necesario. Para editar la poltica, haga clic en cualquiera de las pginas Poltica de tipo de poltica para las polticas.
Para editar una poltica en la pgina Clientes
1 2
En la consola, haga clic en Clientes. En la pgina Clientes, en Clientes, seleccione el grupo para el cual desee editar una poltica.
264
Uso de polticas para administrar seguridad Cmo bloquear y desbloquear la configuracin de polticas
En la ficha Polticas, anule la seleccin de Heredar polticas y configuracin del grupo principal "nombre de grupo". Es necesario desactivar la herencia para este grupo. Si no desactiva la herencia, no es posible editar una poltica.
4 5 6 7
En Configuracin y polticas especficas de la ubicacin, desplcese para encontrar el nombre de la ubicacin cuya poltica desee editar. Localice la poltica especfica para la ubicacin que desee editar. A la derecha de la poltica seleccionada, haga clic en Tareas y despus haga clic en Editar poltica. Realice una de las siguientes tareas:

Para editar una poltica no compartida, vaya al paso 8. Para editar una poltica compartida, en el cuadro de dilogo Editar poltica, haga clic en Editar compartidas para editar la poltica en todas las ubicaciones.
Es posible hacer clic en un vnculo para el tipo de poltica que desee editar.
Cmo bloquear y desbloquear la configuracin de polticas

Es posible bloquear y desbloquear cierta configuracin de Poltica de proteccin antivirus y antispyware. Los usuarios finales no pueden cambiar la configuracin bloqueada. Un icono de un candado aparece al lado de una configuracin que se puede bloquear. Ver "Cmo realizar tareas que son comunes a todas las polticas de seguridad" en la pgina 257. Para bloquear o desbloquear una configuracin de polticas
1 2
En la consola, abra una poltica de proteccin antivirus y antispyware. Seleccione una de las opciones pginas:

Auto-Protect Proteccin de descargas Auto-Protect para correo electrnico de Internet Auto-Protect para Microsoft Outlook Lotus Notes, Auto-Protect SONAR
Uso de polticas para administrar seguridad Asignacin de una poltica a un grupo
265
Opciones de anlisis global Otros
3 4
Haga clic en un icono de un candado para bloquear o desbloquear la opcin correspondiente. Haga clic en Aceptar.
Es posible tambin bloquear y desbloquear la configuracin de la proteccin contra intervenciones y la configuracin de los envos. Ver "Cmo cambiar la configuracin de Proteccin contra intervenciones" en la pgina 396. Ver "Cmo habilitar o deshabilitar envos de los clientes a Symantec Security Response" en la pgina 335.
Asignacin de una poltica a un grupo

Se asigna una poltica a un equipo cliente a travs de un grupo. Cada grupo tiene exactamente una poltica de cada tipo de proteccin que se asigna siempre a l. Si tiene clientes Windows y clientes Mac, puede ponerlos en grupos diferentes o puede administrarlos en el mismo grupo. Si los pone en el mismo grupo y aplica una poltica, cada tipo de cliente aplica la configuracin de polticas apropiada. Los equipos Windows omiten la configuracin que se aplica solamente a equipos Mac y los equipos Mac omiten la configuracin que aplica solamente a los equipos Windows. Las polticas no asignadas no se descargan a los equipos cliente en grupos y ubicaciones. Si no asigna la poltica cuando se agrega la poltica, es posible asignarla a grupos y ubicaciones ms tarde. Es posible tambin reasignar una poltica a un grupo o ubicacin diferente. Las polticas se asignan a los grupos de equipos de la siguiente manera:
En la instalacin inicial, las polticas de seguridad predeterminadas de Symantec se asignan al grupo principal Mi empresa. Las polticas de seguridad del grupo principal Mi empresa se asignan automticamente a cada grupo secundario creado recientemente. Se reemplaza una poltica en un grupo asignando otra poltica del mismo tipo. Es posible reemplazar una poltica que se asigne al grupo principal Mi empresa o a cualquier grupo secundario.
Los grupos nuevos heredan siempre de su grupo principal inmediato. Si se crea una jerarqua de subgrupos, cada uno hereda de su servidor principal inmediato, no del servidor principal de nivel superior.
266
Uso de polticas para administrar seguridad Cmo probar una poltica de seguridad
La interfaz de usuario en el cuadro de dilogo Asignar poltica transmite la informacin adicional siguiente: Un icono de carpeta indica un grupo.
Un icono circular indica una ubicacin.
En un icono de grupo, una marca de verificacin en un crculo verde indica que esta poltica est asignada a todas las ubicaciones en el grupo. En un icono de ubicacin, una marca de verificacin en un crculo verde indica que esta poltica est asignada a esta ubicacin. El texto bloqueado significa que el grupo o la ubicacin hereda su poltica de su grupo principal.
Ver "Cmo realizar tareas que son comunes a todas las polticas de seguridad" en la pgina 257. Para asignar una poltica a un grupo
1 2 3 4
En la consola, haga clic en Polticas. En la pgina Polticas, seleccione una poltica y despus haga clic en Asignar la poltica. En el cuadro de dilogo Asignar poltica, seleccione los grupos y despus haga clic en Asignar. Haga clic en Aceptar para confirmar.
Cmo probar una poltica de seguridad

Symantec recomienda probar una poltica antes de usarla en un entorno de produccin. Ver "Cmo realizar tareas que son comunes a todas las polticas de seguridad" en la pgina 257. Para probar una poltica
1 2
Cree un grupo para usar para la prueba de polticas. Asigne la poltica de prueba al grupo de prueba.
Uso de polticas para administrar seguridad Reemplazar una poltica
267
Identifique tres o cuatro equipos administrados para usar para la prueba de polticas. Si es necesario, instale el software de cliente en los equipos. Instale los equipos como equipos administrados.
4 5
Mueva los equipos de prueba al grupo de prueba. Efecte las pruebas en los equipos para verificar que funcionen correctamente.
Reemplazar una poltica

Es posible que desee sustituir una poltica compartida por otra. Es posible sustituir la poltica compartida en todas las ubicaciones o en ubicaciones individuales. Cuando se reemplaza una poltica para todas las ubicaciones, el servidor de administracin sustituye solamente la poltica para las ubicaciones que la tienen. Por ejemplo, suponga que el grupo de ventas utiliza la poltica de ventas para tres de sus cuatro ubicaciones. Si reemplaza la poltica de ventas por la poltica de marketing, solo esas tres ubicaciones reciben la poltica de marketing. Es posible que un grupo de clientes utilice la misma configuracin sin importar la ubicacin en la que estn. En este caso, es posible tambin reemplazar una poltica no compartida por una poltica compartida. Se sustituye una poltica no compartida por una poltica compartida para cada ubicacin individualmente. Ver "Cmo realizar tareas que son comunes a todas las polticas de seguridad" en la pgina 257. Para reemplazar una poltica compartida para todas las ubicaciones
1 2 3 4 5
En la consola, haga clic en Polticas. En la pgina Polticas, en Polticas, haga clic en el tipo de poltica que desea reemplazar. En el panel Polticas de tipo de poltica, haga clic en la poltica. En la pgina Polticas, en Tareas, haga clic en Reemplazar la poltica. En el cuadro de dilogo Reemplazar poltica de tipo de polticas, en el cuadro de lista Nueva poltica de tipo de polticas, seleccione la poltica compartida que reemplaza el anterior. Seleccione los grupos y las ubicaciones para los que desee reemplazar la poltica existente. Haga clic en Reemplazar. Cuando el sistema le solicite que confirme el reemplazo de la poltica para los grupos y las ubicaciones, haga clic en S.
6 7 8
268
Uso de polticas para administrar seguridad Cmo exportar e importar polticas
Para reemplazar una poltica compartida o una poltica no compartida para una ubicacin
1 2 3
En la consola, haga clic en Clientes. En la pgina Clientes, en Clientes, seleccione el grupo para el cual desee reemplazar una poltica. En la ficha Polticas, anule la seleccin de Heredar polticas y configuracin del grupo principal "nombre de grupo". Es necesario desactivar la herencia para este grupo. Si no desactiva la herencia, no es posible reemplazar una poltica.
4 5 6 7
En Configuracin y polticas especficas de la ubicacin, desplcese para encontrar la ubicacin que contiene la poltica. Al lado de la poltica que desee sustituir, haga clic en Tareas y, despus, en Reemplazar poltica. En el cuadro de dilogo Reemplazar poltica, en el cuadro de lista Nueva poltica, seleccione la poltica del reemplazo. Haga clic en Aceptar.
Cmo exportar e importar polticas

Puede exportar polticas existentes a un archivo .dat. Toda la configuracin asociada a la poltica se exporta automticamente. Por ejemplo, es posible que desee exportar una poltica para utilizarla en un sitio distinto. Una vez que se exporta un archivo, se puede importar de otro sitio y aplicar a un grupo o solamente a una ubicacin. Es posible exportar una poltica compartida o no compartida para una ubicacin especfica en la pgina Clientes. Es posible importar un archivo de poltica en la pgina Polticas y aplicarlo a un grupo o solamente a una ubicacin. Ver "Cmo realizar tareas que son comunes a todas las polticas de seguridad" en la pgina 257. Para exportar una poltica en la pgina Polticas
1 2 3
En la consola, haga clic en Polticas. En la pgina Polticas, en Polticas, haga clic en el tipo de poltica que desea exportar. En el panel Polticas de tipo de poltica, haga clic en la poltica especfica que desea exportar.
Uso de polticas para administrar seguridad Convertir una poltica compartida en una poltica no compartida
269
4 5
En la pgina Polticas, en Tareas, haga clic en Exportar la poltica. En el cuadro de dilogo Exportar poltica, localice la carpeta donde desea exportar el archivo de polticas y despus haga clic en Exportar.
Para exportar una poltica compartida o no compartida en la pgina Clientes
1 2 3
En la consola, haga clic en Clientes. En la pgina Clientes, en Clientes, seleccione el grupo para el cual desee exportar una poltica. En la ficha Polticas, anule la seleccin de Heredar polticas y configuracin del grupo principal "nombre de grupo". Es necesario desactivar la herencia para este grupo. Si no desactiva la herencia, no es posible exportar una poltica.
4 5 6 7 8
En Configuracin y polticas especficas de la ubicacin, desplcese para encontrar el nombre de la ubicacin cuya poltica desee exportar. Localice la poltica especfica para la ubicacin que desea exportar. A la derecha de la poltica, haga clic en Tareas y despus haga clic en Exportar poltica. En el cuadro de dilogo Exportar poltica, busque la carpeta a la que desea exportar la poltica. En el cuadro de dilogo Exportar poltica, haga clic en Exportar.
Para importar una poltica
1 2 3 4 5
En la consola, haga clic en Polticas. En la pgina Polticas, en Polticas, haga clic en el tipo de poltica que desea importar. En el panel Polticas de tipo de poltica, haga clic en la poltica que desea importar. En la pgina Polticas, en Tareas, haga clic en Importar una poltica de tipo de poltica. En el cuadro de dilogo Importar poltica, vaya al archivo de polticas que desee importar y haga clic en Importar.
Convertir una poltica compartida en una poltica no compartida

Es posible copiar el contenido de una poltica compartida y crear una poltica no compartida de ese contenido. Una copia le permite modificar el contenido de una
270
Uso de polticas para administrar seguridad Retirar una poltica
poltica compartida en una ubicacin y no en el resto de las ubicaciones. La copia anula la poltica compartida existente. Cuando finaliza la conversin, la poltica convertida con su nuevo nombre aparece en Configuracin y polticas especficas de la ubicacin. Ver "Copiar y pegar una poltica en la pgina Polticas " en la pgina 261. Para convertir una poltica compartida en una poltica no compartida
1 2 3 4
En la consola, haga clic en Clientes. En la pgina Clientes, en Ver clientes, seleccione el grupo para el cual desee convertir una poltica. En el panel asociado al grupo que usted seleccion en el paso anterior, haga clic en Polticas. En la ficha Polticas, anule la seleccin de Heredar las polticas y la configuracin del grupo principal nombre de grupo. Es necesario desactivar la herencia para este grupo. Si no desactiva la herencia, no es posible reemplazar una poltica.
En Configuracin y polticas especficas de la ubicacin, desplcese para encontrar el nombre de la ubicacin y de la poltica especfica de la ubicacin que desee convertir. Al lado de la poltica especfica, haga clic en Tareas y, a continuacin, en Convertir en poltica no compartida. En el cuadro de dilogo Descripcin general, edite el nombre y la descripcin de la poltica. Modifique la otra configuracin de polticas segn lo desee. Haga clic en Aceptar.
6 7 8 9
Retirar una poltica

Puede ser necesario retirar una poltica de un grupo o una ubicacin en ciertas circunstancias. Por ejemplo, un grupo especfico pudo haber experimentado problemas despus de que usted introdujo una nueva poltica. Si desea que la poltica permanezca en la base de datos, se puede retirar la poltica en vez de eliminarla. Si retira una poltica, esta se retira automticamente de los grupos y las ubicaciones que usted seal. El nmero de ubicaciones para las cuales una poltica se usa aparece en el panel Polticas de tipo de polticas en la pgina Polticas.
Uso de polticas para administrar seguridad Retirar una poltica
271
Nota: Es necesario retirar una poltica de todos los grupos y ubicaciones para eliminarla. Ver "Cmo realizar tareas que son comunes a todas las polticas de seguridad" en la pgina 257. Es posible retirar todas las polticas en la pgina Polticas de una ubicacin o un grupo a excepcin de las siguientes polticas:

Proteccin antivirus y antispyware Configuracin de LiveUpdate
Es posible reemplazarla solamente con otra Poltica de proteccin antivirus y antispyware o Poltica de LiveUpdate. Para retirar una poltica compartida en la pgina Polticas
1 2 3 4 5 6 7
En la consola, haga clic en Polticas. En la pgina Polticas, en Polticas, haga clic en el tipo de poltica que desea retirar. En el panel Polticas de tipo de poltica, haga clic en la poltica especfica que desea retirar. En la pgina Polticas, en Tareas, haga clic en Retirar la poltica. En el cuadro de dilogo Retirar poltica, seleccione los grupos y las ubicaciones de los cuales desee retirar la poltica. Haga clic en Retirar. Cuando el sistema le solicite que confirme que desea retirar la poltica para los grupos y las ubicaciones, haga clic en S.
Para retirar una poltica compartida o no compartida en la pgina Clientes
1 2 3
En la consola, haga clic en Clientes. En la pgina Clientes, en Clientes, seleccione el grupo para el cual desee retirar una poltica. En la ficha Polticas, anule la seleccin de Heredar polticas y configuracin del grupo principal "nombre de grupo". Es necesario desactivar la herencia para este grupo. Si no desactiva la herencia, no es posible retirar una poltica.
4 5
En Configuracin y polticas especficas de la ubicacin, busque el nombre de la ubicacin para la cual desea retirar una poltica. Localice la poltica para la ubicacin que desee retirar.
272
Uso de polticas para administrar seguridad Cmo eliminar una poltica permanentemente
6 7
Haga clic en Tareas y, despus, en Retirar poltica. En el cuadro de dilogo Retirar poltica, haga clic en S.
Cmo eliminar una poltica permanentemente

Es posible que sea necesario eliminar una poltica. Por ejemplo, las guas de consulta corporativas pueden modificarse y requerir la implementacin de diferentes polticas. A medida que se agregan nuevos grupos corporativos, es posible que deba eliminar los grupos anteriores y sus polticas asociadas. Ver "Cmo realizar tareas que son comunes a todas las polticas de seguridad" en la pgina 257. Si una poltica es asignada a uno o ms grupos, no se puede eliminar hasta que usted haya anulado la asignacin de todos los grupos. Si una poltica es asignada a uno o ms grupos y ubicaciones, no se puede eliminar hasta que usted anule la asignacin de todos los grupos y ubicaciones. Puede ser necesario eliminar una poltica compartida o una poltica no compartida. Para eliminar una poltica en la pgina Polticas
1 2
En la consola, haga clic en Polticas. En la pgina Polticas, en Polticas, seleccione el tipo de poltica que desea eliminar. La poltica se pudo haber asignado a uno o ms grupos y a una o ms ubicaciones.
3 4 5
En el panel Polticas de tipo de poltica, haga clic en la poltica especfica que desea eliminar. En la pgina Polticas, en Tareas, haga clic en Eliminar la poltica. Cuando se le solicite que confirme que desea eliminar la poltica seleccionada, haga clic en S.
Para eliminar una poltica no compartida en la pgina Clientes
1 2 3
En la consola, haga clic en Clientes. En la pgina Clientes, en Clientes, seleccione el grupo para el cual desee eliminar una poltica. En la ficha Polticas, anule la seleccin de Heredar polticas y configuracin del grupo principal "nombre de grupo". Es necesario desactivar la herencia para este grupo. Si no desactiva la herencia, no es posible eliminar una poltica.
Uso de polticas para administrar seguridad Cmo los equipos cliente obtienen actualizaciones de polticas
273
4 5 6
En Configuracin y polticas especficas de la ubicacin, desplcese para encontrar el nombre de la ubicacin cuya poltica desee eliminar. Localice la poltica especfica para la ubicacin que desea eliminar. A la derecha de la poltica seleccionada, haga clic en Tareas y despus haga clic en Retirar poltica. No es posible eliminar una Poltica de proteccin antivirus y antispyware o una Poltica de configuracin de LiveUpdate de una ubicacin. Solo es posible sustituirla por otra poltica.
Haga clic en S.
Cmo los equipos cliente obtienen actualizaciones de polticas

Cuando se configuran las polticas en el servidor de administracin, es necesario descargar las polticas actualizadas en los equipos cliente. En la consola, se pueden configurar los equipos cliente para usar cualquiera de los siguientes mtodos de actualizacin:
Modo de obtencin El equipo cliente se conecta al servidor peridicamente, segn la frecuencia de la configuracin del latido. El equipo cliente comprueba el estado del servidor de administracin cuando el cliente se conecta. Modo de transferencia El equipo cliente establece una conexin HTTP constante con el servidor de administracin. Siempre que un cambio ocurra en el estado del servidor de administracin, notifica al equipo cliente inmediatamente.
En cualquier modo, el equipo cliente toma la medida correspondiente basada en el cambio en el estado del servidor de administracin. Dado que necesita una conexin constante, el modo de transferencia necesita una gran cantidad de ancho de banda de red. Los equipos cliente que estn configurados para usar el modo de extraccin necesitan menos ancho de banda. Ver "Configurar el modo de transferencia o al modo de obtencin para actualizar las polticas de los clientes y el contenido" en la pgina 274. Un protocolo de latido define la frecuencia con la cual los equipos cliente cargan datos, como entradas de registro, y descargan polticas. El primer latido ocurre inmediatamente despus de que el cliente inicia su equipo. El latido siguiente ocurre en la frecuencia de latidos que el usuario configura. La frecuencia de latidos es un factor clave en el nmero de clientes que cada Symantec Endpoint Protection Manager puede admitir. Si configura una frecuencia
274
Uso de polticas para administrar seguridad Configurar el modo de transferencia o al modo de obtencin para actualizar las polticas de los clientes y el contenido
de latidos a 30 minutos o menos, se limita el nmero total de clientes que Symantec Endpoint Protection Manager puede admitir. Para la implementacin de 1000 clientes o ms, Symantec recomienda que usted configure la frecuencia de latidos a la cantidad de tiempo mxima posible. Symantec recomienda que se use el intervalo ms largo que an cumpla los requisitos de seguridad de su compaa. Por ejemplo, si desea actualizar polticas de seguridad y reunir registros a diario, entonces, es posible configurar la frecuencia de latidos a 24 horas. Consulte a Symantec Professional Services y a Symantec Enterprise Support para evaluar la configuracin, el hardware y la arquitectura de red adecuados y necesarios para su entorno de red. Nota: Es posible tambin actualizar las polticas manualmente en el equipo cliente. Ver "Cmo usar el nmero de serie de la poltica para comprobar la comunicacin de servidor a cliente" en la pgina 276.
Configurar el modo de transferencia o al modo de obtencin para actualizar las polticas de los clientes y el contenido
Es posible especificar si el servidor de administracin transfiere la poltica a los clientes o si los clientes obtienen la poltica del servidor de administracin. El modo de transferencia es la configuracin predeterminada. Si selecciona el modo de extraccin, de forma predeterminada, los clientes se conectan al servidor de administracin cada 5 minutos, pero es posible modificar este intervalo de latidos predeterminado. Ver "Cmo los equipos cliente obtienen actualizaciones de polticas" en la pgina 273. Ver "Cmo realizar tareas que son comunes a todas las polticas de seguridad" en la pgina 257. Es posible configurar el modo para un grupo o para una ubicacin. Para configurar el modo de transferencia o el modo de obtencin para un grupo
1 2 3
En la consola, haga clic en Clientes. En Clientes, seleccione el grupo para el cual desee especificar si transferir o extraer las polticas. Haga clic en la ficha Polticas.
Uso de polticas para administrar seguridad Configurar el modo de transferencia o al modo de obtencin para actualizar las polticas de los clientes y el contenido
275
4 5 6
Anule la seleccin de Heredar polticas y configuracin del grupo principal nombre de grupo. En el panel Configuracin y polticas independientes de la ubicacin, en Configuracin, haga clic en Configuracin de comunicaciones. En el cuadro de dilogo Configuracin de comunicaciones para nombre de grupo, en Descarga, verifique que Descargar polticas y contenido del servidor de administracin est seleccionado. Realice una de las siguientes tareas:

Haga clic en Modo de transferencia. Haga clic en Modo de obtencin y en Intervalo de latidos, configure el nmero de minutos o de horas.
Para especificar el modo de transferencia o el modo de extraccin para una ubicacin
1 2 3 4 5
En la consola, haga clic en Clientes. En Clientes, seleccione el grupo para el cual desee especificar si transferir o extraer las polticas. Haga clic en la ficha Polticas. Anule la seleccin de Heredar polticas y configuracin del grupo principal nombre de grupo. En Configuracin y polticas especficas de la ubicacin, en Polticas especficas de la ubicacin para la ubicacin que desea modificar, expanda Configuracin especfica de la ubicacin. En Configuracin especfica de la ubicacin, a la derecha de Configuracin de comunicaciones, haga clic en Tareas y anule la seleccin Usar configuracin de comunicaciones de grupo. A la derecha de Configuracin de comunicaciones, haga clic en Local: transferir o ( Local: obtener ). Realice una de las siguientes tareas:

7 8
Haga clic en Modo de transferencia. Haga clic en Modo de obtencin y en Intervalo de latidos, configure el nmero de minutos o de horas.
276
Uso de polticas para administrar seguridad Cmo usar el nmero de serie de la poltica para comprobar la comunicacin de servidor a cliente
Cmo usar el nmero de serie de la poltica para comprobar la comunicacin de servidor a cliente
Es posible actualizar manualmente las polticas y usar los nmeros de serie de polticas para comprobar si sus equipos cliente administrados pueden comunicarse con su servidor de administracin. Si el cliente no recibe la actualizacin, puede haber un problema de comunicacin. Primero, es necesario comprobar el nmero de serie de polticas en el cliente para ver si coincide con el nmero de serie que aparece en la consola. Si el cliente se comunica con el servidor de administracin y recibe actualizaciones de polticas regulares, los nmeros de serie deben coincidir. Si los nmeros de serie de polticas no coinciden, es posible intentar actualizar manualmente las polticas en el equipo cliente y comprobar los registros de la solucin de problemas. Ver "Cmo realizar tareas que son comunes a todas las polticas de seguridad" en la pgina 257. Para ver el nmero de serie de polticas en la consola
1 2
En la consola, haga clic en Clientes. En Clientes, seleccione el grupo relevante. La fecha y el nmero de serie de la poltica aparece en la esquina superior derecha de la ventana del programa. Nota: El nmero de serie de polticas y la fecha de polticas adems aparecen en la parte inferior de la lista de detalles en la ficha Detalles.
Para ver el nmero de serie de polticas en el equipo cliente
En el equipo cliente, en el cliente, haga clic en Ayuda > Solucin de problemas. En la ficha Administracin, busque el nmero de serie de polticas. El nmero de serie debe coincidir con el nmero de serie en la consola para el grupo en que el equipo cliente est.
Uso de polticas para administrar seguridad Cmo supervisar las aplicaciones y los servicios ejecutados en los equipos cliente
277
Para actualizar las polticas manualmente del equipo cliente
1 2 3
En el equipo cliente, en la interfaz de usuario del cliente, haga clic en Ayuda > Solucin de problemas. En el cuadro de dilogo Solucin de problemas, en la columna izquierda, haga clic en Servidor de administracin. En el panel Servidor de administracin, en Perfil de polticas, haga clic en Actualizar.
Para actualizar las polticas manualmente desde la consola
1 2
En la consola, haga clic en Clientes. En Clientes, haga clic con el botn derecho en un grupo que est configurado para el modo de extraccin y despus haga clic en Ejecutar un comando en el grupo. Los equipos cliente que estn configurados para el modo de transferencia reciben actualizaciones de polticas de forma inmediata, de modo que no es necesario actualizarlo manualmente.
3 4
Haga clic en Actualizar contenido. Compruebe los nmeros de serie de polticas en la consola y en un equipo cliente para ver si los nmeros coinciden.
Cmo supervisar las aplicaciones y los servicios ejecutados en los equipos cliente
El cliente Symantec Endpoint Protection de Windows supervisa y recopila informacin sobre las aplicaciones y los servicios que se ejecutan en cada equipo. Puede configurar el cliente para que recopile la informacin en una lista y para enviar la lista al servidor de administracin. La lista de aplicaciones y sus caractersticas se llama aplicaciones reconocidas.
278
Uso de polticas para administrar seguridad Cmo supervisar las aplicaciones y los servicios ejecutados en los equipos cliente
Nota: El cliente Mac no supervisa las aplicaciones y los servicios ejecutados en los equipos Mac. El cliente Symantec Network Access Control no registra informacin sobre las aplicaciones que ejecutan los clientes Symantec Network Access Control. La funcin de las aplicaciones reconocidas no est disponible en la consola si instala solo Symantec Network Access Control. Si integra Symantec Network Access Control con Symantec Endpoint Protection, puede utilizar la herramienta de las aplicaciones reconocidas con las Polticas de integridad del host. Es necesario instalar el mdulo de proteccin contra amenazas de red y el mdulo de control de aplicaciones y dispositivos en el cliente para que esta caracterstica funcione. Es posible utilizar esta informacin para descubrir qu aplicaciones estn ejecutando los usuarios. Es posible tambin utilizar la informacin cuando se necesita informacin sobre aplicaciones de las reas siguientes:

Polticas de firewall Polticas de control de aplicaciones y dispositivos Tecnologa de SONAR Para los clientes de una versin anterior, anlisis de amenazas proactivos TruScan Polticas de integridad del host Supervisin de aplicaciones de red Listas de huellas digitales de archivos
Es posible realizar varias tareas para configurar y usar las aplicaciones reconocidas. Tabla 13-3 Pasos
Activar aplicaciones reconocidas
Pasos para supervisar las aplicaciones Descripcin

Configure el servidor de administracin para recopilar la informacin sobre las aplicaciones que los equipos cliente ejecutan. Ver "Configuracin del servidor de administracin para recopilar la informacin sobre las aplicaciones que los equipos cliente ejecutan" en la pgina 279.
Uso de polticas para administrar seguridad Configuracin del servidor de administracin para recopilar la informacin sobre las aplicaciones que los equipos cliente ejecutan
279
Pasos
Buscar aplicaciones
Descripcin
Es posible usar una herramienta de consulta para buscar la lista de aplicaciones que los equipos cliente ejecutan. Es posible buscar en criterios basados en aplicaciones o criterios basados en equipos. Por ejemplo, puede descubrir la versin de Internet Explorer que cada equipo cliente utiliza. Ver "Cmo buscar la informacin sobre las aplicaciones que ejecutan los equipos" en la pgina 281. Es posible guardar los resultados de una bsqueda de aplicaciones para revisarlos. Ver "Guardar los resultados de una bsqueda de aplicaciones" en la pgina 283.
Nota: En algunos pases, es posible que no est permitido por ley local utilizar la herramienta de aplicaciones reconocidas en ciertas circunstancias, por ejemplo, para obtener informacin de uso de una aplicacin desde un equipo porttil cuando un empleado inicia sesin en la red de la oficina desde su domicilio con el equipo porttil de la empresa. Antes de utilizar esta herramienta, confirme que est permitido utilizarla para sus propsitos en su jurisdiccin. Si no se permite, siga las instrucciones para desactivar la herramienta.
Configuracin del servidor de administracin para recopilar la informacin sobre las aplicaciones que los equipos cliente ejecutan
Es posible habilitar las aplicaciones reconocidas para un grupo o una ubicacin. Los clientes despus realizan un seguimiento de cada aplicacin que se ejecuta y envan esos datos al servidor de administracin. Nota: El cliente Mac no supervisa las aplicaciones y los servicios ejecutados en los equipos Mac. Es posible configurar una notificacin que se enviar a su direccin de correo electrnico cuando cada cliente de un grupo o una ubicacin ejecute una aplicacin. Ver "Cmo configurar notificaciones de administrador" en la pgina 638.
280
Uso de polticas para administrar seguridad Configuracin del servidor de administracin para recopilar la informacin sobre las aplicaciones que los equipos cliente ejecutan
Nota: Es posible modificar esta opcin solamente para los subgrupos que no heredan sus polticas y opciones de un grupo principal. Para enviar la lista de aplicaciones reconocidas al servidor de administracin para un grupo
1 2 3 4
En la consola, haga clic en Clientes. En Ver clientes, seleccione un grupo. En la ficha Polticas, haga clic en Configuracin de comunicaciones. En el cuadro de dilogo Configuracin de comunicaciones para nombre del grupo, asegrese de que Aprender aplicaciones que se ejecutan en los equipos cliente est seleccionado. Haga clic en Aceptar.
Para enviar aplicaciones reconocidas al servidor de administracin para una ubicacin
1 2 3 4
En la consola, haga clic en Clientes. En Ver clientes, seleccione un grupo. En Configuracin y polticas especficas de la ubicacin, seleccione la ubicacin y despus expanda Configuracin especfica de la ubicacin. A la derecha de Configuracin de comunicaciones, haga clic en Tareas y, despus, anule la seleccin de Usar configuracin de comunicaciones de grupo. Esta opcin permite crear una opcin de ubicacin en lugar de una opcin de grupo.
5 6
Haga clic en Tareas y despus haga clic en Editar configuracin. En el cuadro de dilogo Configuracin de comunicaciones para nombre de la ubicacin, seleccione Aprender aplicaciones que se ejecutan en los equipos cliente. Haga clic en Aceptar.
Ver "Cmo supervisar las aplicaciones y los servicios ejecutados en los equipos cliente" en la pgina 277.
Uso de polticas para administrar seguridad Cmo buscar la informacin sobre las aplicaciones que ejecutan los equipos
281
Cmo buscar la informacin sobre las aplicaciones que ejecutan los equipos
Una vez que el servidor de administracin recibe la lista de aplicaciones de los clientes, se pueden ejecutar consultas para descubrir los detalles sobre las aplicaciones. Por ejemplo, es posible encontrar todos los equipos cliente que utilizan una aplicacin no autorizada. Es posible entonces crear una regla de firewall para bloquear la aplicacin en el equipo cliente. O es posible actualizar todos los equipos cliente para que utilicen la versin ms actual de Microsoft Word. Es posible usar la tarea Buscar aplicaciones de cualquier tipo de poltica. Nota: El cliente Mac no supervisa las aplicaciones y los servicios ejecutados en los equipos Mac. Es posible buscar una aplicacin de las siguientes maneras:
Por aplicacin. Es posible limitar la bsqueda a aplicaciones o detalles de aplicaciones especficos, como el nombre, la huella digital de archivos, la ruta, el tamao, la versin o la hora de la ltima modificacin. Por cliente o equipo cliente. Es posible buscar las aplicaciones que un usuario o un equipo especfico ejecuta. Por ejemplo, es posible buscar la direccin IP del equipo.
Es posible tambin buscar nombres de aplicacin para agregarlos a una regla de firewall, directamente dentro de la poltica de firewall. Ver "Definicin de la informacin sobre aplicaciones" en la pgina 423. Nota: La informacin en el cuadro Buscar no se recopila hasta que se habilita la funcin que realiza un seguimiento de todas las aplicaciones que los clientes ejecutan. Es posible ir a la pgina Clientes, al cuadro de dilogo Configuracin de comunicaciones para cada grupo o ubicacin para habilitar esta funcin. Para buscar la informacin sobre las aplicaciones que ejecutan los equipos
1 2 3
En la consola, haga clic en Polticas. En la pgina Polticas, en Tareas, haga clic en Buscar aplicaciones. En el cuadro de dilogo Buscar aplicaciones, a la derecha del campo Buscar aplicaciones en, haga clic en Examinar.
282
Uso de polticas para administrar seguridad Cmo buscar la informacin sobre las aplicaciones que ejecutan los equipos
En el cuadro de dilogo Seleccionar grupo o ubicacin, seleccione un grupo de clientes para el cual desee ver aplicaciones y haga clic en Aceptar. Es posible especificar solamente un grupo por vez.
5 6
Asegrese de que Buscar subgrupos est seleccionado. Realice una de las acciones siguientes:
Para buscar informacin por usuario o equipo, haga clic en A partir de informacin del equipo/cliente. Para buscar por aplicacin, haga clic en A partir de aplicaciones.
Haga clic en la celda vaca en Campo de bsqueda y despus seleccione el criterio de bsqueda de la lista. La celda Campo de bsqueda muestra los criterios para la opcin que usted seleccion. Para obtener informacin sobre estos criterios, haga clic en Ayuda.
8 9
Haga clic en la celda vaca en Operador de comparacin y despus seleccione uno de los operadores. Haga clic en la celda vaca en Valor y a continuacin seleccione o escriba un valor. La celda Valor puede proporcionar un formato o un valor de la lista desplegable, de acuerdo con el criterio que usted haya seleccionado en la celda Campo de bsqueda.
10 Para agregar un criterio de bsqueda adicional, haga clic en la segunda fila

y despus escriba informacin en las celdas Campo de bsqueda, Operador de comparacin y Valor. Si escribe ms de una fila de criterios de bsqueda, la consulta busca coincidencias con todas las condiciones.
11 Haga clic en Buscar. 12 En la tabla Resultados de la consulta, realice una de las siguientes tareas:
Haga clic en las flechas de desplazamiento para ver filas y columnas adicionales. Haga clic en Atrs y Siguiente para ver pantallas de informacin adicionales. Seleccione una fila y despus haga clic en Ver detalles para ver informacin adicional sobre la aplicacin.
Los resultados no se guardan a menos que usted los exporte a un archivo.
13 Para eliminar los resultados de la consulta, haga clic en Borrar todo. 14 Haga clic en Cerrar.
Uso de polticas para administrar seguridad Guardar los resultados de una bsqueda de aplicaciones
283
Ver "Cmo supervisar las aplicaciones y los servicios ejecutados en los equipos cliente" en la pgina 277.
Guardar los resultados de una bsqueda de aplicaciones

Despus de ejecutar la consulta, es posible guardar los resultados en un archivo de texto o un archivo delimitado por comas. La herramienta de consulta exporta todos los resultados de la consulta, en lugar de una fila seleccionada. Para guardar los resultados de una bsqueda de aplicaciones
Busque los detalles sobre una aplicacin o un equipo cliente. Ver "Cmo buscar la informacin sobre las aplicaciones que ejecutan los equipos" en la pgina 281.
2 3
En el cuadro de dilogo Buscar aplicaciones, en Resultados de la consulta, haga clic en Exportar. En el cuadro de dilogo Exportar resultados, escriba el nmero para la pgina que contiene los detalles de la aplicacin y los detalles del equipo cliente que desee exportar. Seleccione o escriba el nombre de ruta y el nombre de archivo al cual desee exportar el archivo y, luego, haga clic en Exportar. Para confirmar, haga clic en Aceptar. Cuando haya terminado de buscar aplicaciones, haga clic en Cerrar.
4 5 6
284
Uso de polticas para administrar seguridad Guardar los resultados de una bsqueda de aplicaciones
Captulo
14
Administracin de proteccin antivirus y antispyware


Cmo evitar y controlar ataques del virus y de spyware en los equipos cliente Cmo reparar riesgos en los equipos en su red Cmo administrar anlisis en los equipos cliente Cmo configurar anlisis programados que se ejecutan en equipos Windows Cmo configurar anlisis programados que se ejecutan en equipos Mac Cmo ejecutar anlisis manuales en equipos cliente Cmo ajustar el anlisis para mejorar rendimiento del equipo Ajuste de anlisis para aumentar la proteccin en sus equipos cliente Cmo administrar las detecciones de Diagnstico Insight de descargas Cmo Symantec Endpoint Protection usa datos de reputacin para tomar decisiones sobre los archivos Cmo funcionan en conjunto las funciones de proteccin de Symantec Endpoint Protection Cmo habilitar o deshabilitar envos de los clientes a Symantec Security Response
286
Administracin de proteccin antivirus y antispyware Cmo evitar y controlar ataques del virus y de spyware en los equipos cliente
Especificar un servidor proxy para los envos de los clientes y otras comunicaciones externas Cmo administrar la cuarentena Cmo administrar las notificaciones de virus y spyware que aparecen en los equipos cliente
Cmo evitar y controlar ataques del virus y de spyware en los equipos cliente
Es posible evitar y manejar ataques de virus y de spyware en los equipos cliente siguiendo algunas instrucciones importantes. Tabla 14-1 Tarea
Asegurarse de que los equipos tengan instalado Symantec Endpoint Protection
Proteccin de equipos contra ataques de virus y de spyware Descripcin

Todos los equipos en su red y todos sus servidores deben tener instalado Symantec Endpoint Protection. Asegrese de que Symantec Endpoint Protection est funcionando correctamente.
Mantener las definiciones actualizadas Asegrese de que las ltimas definiciones de virus estn instaladas en los equipos cliente. Es posible comprobar la fecha de las definiciones en la ficha Clientes. Es posible ejecutar un comando para actualizar las definiciones que son obsoletas. Es posible tambin ejecutar un informe de estado para comprobar la ltima fecha de las definiciones. Ver "Cmo administrar actualizaciones de contenido" en la pgina 534.
287
Tarea
Ejecutar los anlisis regulares
Descripcin
De forma predeterminada, Auto-Protect y SONAR se ejecutan en los equipos cliente. Un anlisis activo programado predeterminado tambin se ejecuta en los equipos cliente. Es posible ejecutar los anlisis disponibles segn sea necesario. La configuracin del anlisis se puede personalizar. Ver "Cmo ejecutar anlisis manuales en equipos cliente" en la pgina 318. Puede ser recomendable crear y personalizar anlisis programados. Tpicamente, es posible que desee crear un anlisis programado completo para que se ejecute una vez por semana y un anlisis activo que se ejecute una vez por da. De forma predeterminada, Symantec Endpoint Protection genera Active Scan que se ejecuta a las 12:30 p. m. En los equipos no administrados, Symantec Endpoint Protection adems incluye un anlisis de inicio predeterminado que est deshabilitado. Se debe asegurar de que se ejecute un anlisis activo diariamente en los equipos en su red. Puede ser recomendable programar un anlisis completo una vez por semana o una vez al mes si se sospecha que tiene una amenaza inactiva en su red. Los anlisis completo consumen ms recursos del equipo y pueden ejercer un impacto en el rendimiento del equipo. Ver "Cmo configurar anlisis programados que se ejecutan en equipos Windows" en la pgina 316. Ver "Cmo configurar anlisis programados que se ejecutan en equipos Mac" en la pgina 317.
288
Tarea
Descripcin
Comprobar o modificar la configuracin De forma predeterminada, los anlisis de virus y del anlisis para mayor proteccin spyware detectan, quitan y reparan los efectos secundarios de los virus y los riesgos para la seguridad. La configuracin predeterminada de anlisis optimiza el rendimiento de los equipos cliente mientras an proporciona un alto nivel de proteccin. Es posible aumentar el nivel de proteccin, sin embargo. Por ejemplo, puede ser recomendable aumentar la proteccin heurstica de Bloodhound. Adems puede ser que desee habilitar los anlisis de unidades de red. Ver "Ajuste de anlisis para aumentar la proteccin en sus equipos cliente" en la pgina 323. Permitir que los clientes enven informacin sobre detecciones a Symantec Los clientes pueden enviar informacin sobre detecciones a Symantec. La informacin enviada ayuda a Symantec a enfrentar las amenazas. Ver "Cmo habilitar o deshabilitar envos de los clientes a Symantec Security Response" en la pgina 335. Ejecutar la prevencin de intrusiones Symantec recomienda que se ejecute la prevencin de intrusiones en los equipos cliente, as como la Proteccin antivirus y antispyware. Ver "Cmo administrar la prevencin de intrusiones en sus equipos cliente" en la pgina 453. Reparar las infecciones si es necesario Una vez que los anlisis se ejecutan, los equipos cliente podran an tener infecciones. Por ejemplo, una nueva amenaza podra no tener una firma, o Symantec Endpoint Protection no pudo quitar totalmente la amenaza. En algunos casos, los equipos cliente necesitan un reinicio para que Symantec Endpoint Protection complete el proceso de limpieza. Ver "Cmo reparar riesgos en los equipos en su red" en la pgina 289.
Administracin de proteccin antivirus y antispyware Cmo reparar riesgos en los equipos en su red
289
Cmo reparar riesgos en los equipos en su red

Se reparan riesgos como parte de controlar ataques de virus y spyware en sus equipos. Ver "Cmo evitar y controlar ataques del virus y de spyware en los equipos cliente" en la pgina 286. Para obtener ms informacin sobre la administracin de virus y ataques en una red, consulte el artculo de la base de conocimientos Prcticas recomendadas para la solucin de problemas de virus en una red Se usan las funciones Informes y Supervisin en la consola para determinar qu equipos estn infectados y ver los resultados de la reparacin. Ver "Supervisin de proteccin de endpoints" en la pgina 595. Tabla 14-2 Paso
Paso 1
Cmo reparar riesgos en los equipos cliente Descripcin

Es posible conseguir informacin sobre los equipos infectados y en peligro de Symantec Endpoint Protection Manager. En la pgina principal, compruebe las cantidades de Recientemente infectado y An infectado en el Resumen de actividad de virus y riesgos. La cantidad de Recientemente infectado es un subconjunto de la cantidad de An infectado. La cantidad de Recientemente infectado muestra el nmero de equipos infectados y en peligro durante el intervalo de tiempo que se especifica en el resumen.
Tarea
Identificar los equipos infectados y en peligro
Nota: Las detecciones no reparadas de SONAR no se cuentan como An

infectado. Son parte de la cantidad de Sospechoso en el resumen. Los equipos an se consideran infectados si un anlisis subsiguiente los detecta como infectados. Por ejemplo, un anlisis programado podra limpiar parcialmente un archivo. Auto-Protect detecta posteriormente el archivo como riesgo. Se vuelven a analizar los archivos que se consideran an infectados cuando llegan las nuevas definiciones o tan pronto como el equipo cliente est inactivo. Ver "Identificar los equipos infectados y en riesgo" en la pgina 291.
290
Paso
Paso 2
Tarea
Descripcin
Actualizar definiciones Se debe asegurar de que los clientes usen las ltimas definiciones de virus y volver a analizar y spyware. Para los clientes que se ejecutan en equipos Windows, debe adems asegurarse de que sus anlisis programados y manuales usen la funcin Bsqueda de Insight. Es posible comprobar la fecha de las definiciones en el informe Equipos infectados y en riesgo. Es posible ejecutar el comando Actualizar contenido y Analizar del registro de riesgos Cuando Resumen de actividad de virus y riesgos en la pgina principal muestra que las cantidades de An infectado y Recientemente infectado estn en cero, todos los riesgos se eliminan. Ver "Cmo administrar actualizaciones de contenido" en la pgina 534.
Paso 3
Comprobar las acciones Los anlisis podran estar configurados para no aplicar ninguna accin de anlisis y volver a para el riesgo. Puede ser recomendable editar la poltica de proteccin analizar antivirus y antispyware y cambiar la accin para la categora de riesgo. La prxima vez que el anlisis se ejecuta, Symantec Endpoint Protection aplica la accin. Configure la accin en la ficha Acciones para el tipo determinado de anlisis (anlisis definido por el administrador o manual, o Auto-Protect). Es posible tambin cambiar la accin de deteccin para Diagnstico Insight de descargas y SONAR. Ver "Cmo comprobar la accin de anlisis y volver a analizar los equipos identificados" en la pgina 292.
Paso 4
Reiniciar equipos si es Los equipos pueden seguir en riesgo o infectados porque necesitan ser necesario para reiniciados para finalizar la reparacin de un virus o de un riesgo para la completar la reparacin seguridad. Es posible ver el registro de riesgos para determinar si algunos equipos necesitan un reinicio. Es posible ejecutar un comando desde los registros para reiniciar los equipos. Ver "Ejecucin de comandos en el equipo cliente desde los registros" en la pgina 623.
291
Paso
Paso 5
Tarea
Descripcin
Investigar y eliminar los Si sigue habiendo riesgos, debe investigarlos ms profundamente. riesgos restantes Tambin puede consultar las pginas web de Symantec Security Response para obtener informacin actualizada sobre virus y riesgos para la seguridad. http://www.symantec.com/es/mx/security_response/ http://www.symantec.com/enterprise/security_response/ En el equipo cliente, se puede tambin acceder al sitio web de Security Response desde el cuadro de dilogo de resultados del anlisis. El Soporte tcnico de Symantec adems ofrece una herramienta experta en amenazas que proporciona rpidamente un anlisis detallado de amenazas. Es posible tambin ejecutar una herramienta de anlisis de punto de carga que pueda ayudarle a solucionar problemas.
Paso 6
Comprobar el registro de estado del equipo
Consulte el registro de estado del equipo para asegurarse de que los riesgos se reparen o se quiten de los equipos cliente. Ver "Ver registros" en la pgina 616.
Identificar los equipos infectados y en riesgo

Es posible usar la pgina principal de Symantec Endpoint Protection Manager y un informe de riesgo para identificar los equipos que estn infectados y en peligro. Ver "Cmo reparar riesgos en los equipos en su red" en la pgina 289. Para identificar los equipos infectados
En la consola, haga clic en Inicio y vea el Resumen de actividad de virus y riesgos. Si es administrador del sistema, ver la cantidad de equipos recientemente infectados y an infectados que hay en su sitio. Si es administrador del dominio, ver la cantidad de equipos recientemente infectados y an infectados que hay en su dominio. La categora An infectado es un subconjunto de Recientemente infectado, y la cantidad de equipos an infectados disminuye a medida que elimina los riesgos de la red. Los equipos estn an infectados si un anlisis posterior informa que estn infectados. Por ejemplo, Symantec Endpoint Protection pudo haber limpiado un riesgo de un equipo solo parcialmente, por lo tanto, Auto-Protect an detecta el riesgo.
2 3
En la consola, haga clic en Informes. En el cuadro de lista Tipo de informe, haga clic en Riesgo.
292
4 5
En el cuadro de lista Seleccionar un informe, haga clic en Equipos infectados y en riesgo. Haga clic en Crear informe y observe las listas de los equipos infectados y en riesgo que aparecen.
Cmo comprobar la accin de anlisis y volver a analizar los equipos identificados

Si tiene equipos infectados y en peligro, deber identificar por qu los equipos todava estn infectados o en peligro. Compruebe la medida que se llev a cabo para cada riesgo en los equipos infectados y en peligro. Puede ser que la medida que se tom y se configur haya sido la opcin Ignorado. Si la accin fue Ignorado, debe eliminar el riesgo del equipo, quitar el equipo de la red o aceptar el riesgo. Para los clientes Windows, puede ser recomendable editar la Poltica de proteccin antivirus y antispyware, y cambiar la accin de anlisis para esta categora de riesgos o para este riesgo especfico. Ver "Cmo reparar riesgos en los equipos en su red" en la pgina 289. Para identificar las acciones que necesitan ser modificadas y volver a analizar los equipos identificados
1 2
En la consola, haga clic en Supervisin. En la ficha Registros, seleccione el registro de riesgos y despus haga clic en Ver registro. Desde la columna de eventos del registro de riesgos, es posible ver qu sucedi y qu medida se tom. Desde la columna de nombre de riesgo, es posible ver los nombres de los riesgos que siguen activos. Desde la columna de usuario de grupo de dominio, es posible ver a qu grupo pertenece el equipo. Si un cliente est en peligro porque un anlisis tom la medida Ignorado, es posible que deba modificar la Poltica de proteccin antivirus y antispyware para el grupo. Desde la columna Equipo, es posible ver los nombres de los equipos que an tienen riesgos activos. Ver "Cmo cambiar la accin que Symantec Endpoint Protection toma cuando realiza una deteccin" en la pgina 366. Si su poltica se configura para utilizar modo de transferencia, se transfiere a los clientes del grupo en el latido siguiente. Ver "Cmo los equipos cliente obtienen actualizaciones de polticas" en la pgina 273.
Haga clic en Volver.
Administracin de proteccin antivirus y antispyware Cmo administrar anlisis en los equipos cliente
293
4 5 6
En la ficha Registros, seleccione el registro Estado del equipo y despus haga clic en Ver registro. Si modific una accin y elimin una nueva poltica, seleccione los equipos que necesitan volver a analizarse con la nueva configuracin. Desde el cuadro de lista Comando, seleccione Analizar y despus haga clic en Iniciar para volver a analizar los equipos. Es posible supervisar el estado del comando Analizar desde la ficha Estado del comando.
Cmo administrar anlisis en los equipos cliente

Algunos anlisis se ejecutan de forma predeterminada, pero puede ser recomendable cambiar la configuracin o configurar sus propios anlisis programados. Es posible tambin personalizar anlisis y cambiar cunta proteccin proporcionan en sus equipos cliente. Tabla 14-3 Tarea
Revisar los tipos de anlisis y la configuracin predeterminada
Cmo administrar anlisis en los equipos cliente Descripcin

Compruebe su configuracin de anlisis. Es posible revisar los valores predeterminados y determinar si desea realizar cambios. Ver "Acerca de los tipos de anlisis y de proteccin en tiempo real" en la pgina 296. Ver "Acerca de la configuracin predeterminada de anlisis de la poltica de proteccin antivirus y antispyware" en la pgina 310.
294
Tarea
Descripcin
Crear anlisis programados y ejecutar Se utilizan anlisis programados y anlisis anlisis manuales manuales para complementar la proteccin que proporciona Auto-Protect. Auto-Protect proporciona la proteccin cuando lee y escribe los archivos. Los anlisis programados y los anlisis manuales pueden analizar cualquier archivo que exista en los equipos cliente. Pueden tambin proteger memoria, los puntos de carga y otras ubicaciones importantes en sus equipos cliente.
Nota: Para los clientes administrados, Symantec

Endpoint Protection proporciona un anlisis programado predeterminado que analiza todos los archivos, carpetas y ubicaciones en los equipos cliente. Ver "Cmo configurar anlisis programados que se ejecutan en equipos Windows" en la pgina 316. Ver "Cmo configurar anlisis programados que se ejecutan en equipos Mac" en la pgina 317. Ver "Cmo ejecutar anlisis manuales en equipos cliente" en la pgina 318. Personalizar la configuracin de anlisis para su entorno Es posible personalizar la configuracin de Auto-Protect as como las opciones en anlisis definidos por administrador. Puede ser recomendable cambiar la configuracin de anlisis para administrar detecciones de falsos positivos, optimizar el rendimiento del equipo o del anlisis o cambiar las acciones o las notificaciones de anlisis. Para anlisis programados, se pueden establecer tambin las opciones para los anlisis no realizados, anlisis aleatorios o la opcin para analizar las unidades de red. Ver "Cmo personalizar los anlisis de virus y spyware que se ejecutan en equipos Windows" en la pgina 350. Ver "Cmo personalizar los anlisis antivirus y antispyware que se ejecutan en equipos Mac" en la pgina 352.
295
Tarea
Ajustar los anlisis para mejorar el rendimiento de equipo cliente
Descripcin
De forma predeterminada, Symantec Endpoint Protection proporciona un alto nivel de seguridad mientras reduce al mnimo el efecto sobre el rendimiento de equipos cliente. Es posible cambiar parte de la configuracin, sin embargo, para optimizar el rendimiento del equipo an ms. La optimizacin es importante en entornos virtualizados.
Nota: Cuando se ajusta la configuracin para

optimizar el rendimiento de equipo cliente, usted puede disminuir en parte la seguridad en sus equipos cliente. Ver "Cmo ajustar el anlisis para mejorar rendimiento del equipo" en la pgina 319. Ajustar los anlisis para aumentar la proteccin en sus equipos cliente La configuracin predeterminada de anlisis optimiza el rendimiento de los equipos cliente mientras an proporciona un alto nivel de proteccin. Es posible aumentar el nivel de proteccin, sin embargo. Ver "Ajuste de anlisis para aumentar la proteccin en sus equipos cliente" en la pgina 323. Administrar las detecciones de Diagnstico Insight de descargas El Diagnstico Insight de descargas examina los archivos que los usuarios intentan descargar a travs de los navegadores web, de los clientes de mensajera de texto y de otros portales. El Diagnstico Insight de descargas usa la informacin de reputacin de Symantec Insight para tomar decisiones sobre los archivos. Ver "Cmo administrar las detecciones de Diagnstico Insight de descargas" en la pgina 326. Administrar SONAR SONAR es parte de la Proteccin proactiva contra amenazas en sus equipos cliente. Sin embargo, la configuracin de SONAR es parte de una poltica de proteccin antivirus y antispyware. Ver "Cmo administrar SONAR" en la pgina 381.
296
Tarea
Configurar las excepciones para los anlisis
Descripcin
Es posible crear las excepciones para los archivos y las aplicaciones que se sabe que son seguras. Symantec Endpoint Protection adems excluye algunos archivos y carpetas automticamente. Ver "Cmo administrar las excepciones para Symantec Endpoint Protection" en la pgina 516. Ver "Acerca de los archivos y las carpetas que Symantec Endpoint Protection excluye de los anlisis antivirus y antispyware" en la pgina 304.
Administrar archivos en cuarentena
Es posible supervisar y eliminar los archivos que estn puestos en cuarentena en sus equipos cliente. Es posible tambin especificar la configuracin de cuarentena. Ver "Cmo administrar la cuarentena" en la pgina 338.
Permitir que los clientes enven informacin sobre detecciones a Symantec
De forma predeterminada, los clientes envan informacin sobre detecciones a Symantec. Es posible desactivar los envos o elegir los tipos de informacin que los clientes envan. Symantec recomienda que se permita siempre que los clientes enven envos. La informacin ayuda a Symantec a enfrentar las amenazas. Ver "Cmo habilitar o deshabilitar envos de los clientes a Symantec Security Response" en la pgina 335.
Administrar las notificaciones de virus Es posible decidir si las notificaciones aparecen y spyware que aparecen en los equipos o no en los equipos cliente para eventos de virus cliente y de spyware. Ver "Cmo administrar las notificaciones de virus y spyware que aparecen en los equipos cliente" en la pgina 345.
Acerca de los tipos de anlisis y de proteccin en tiempo real

Symantec Endpoint Protection incluye diversos tipos de anlisis y de proteccin en tiempo real para detectar diversos tipos de virus, amenazas y riesgos.
297
De forma predeterminada, Symantec Endpoint Protection ejecuta un anlisis activo diariamente a las 12:30 p. m. Symantec Endpoint Protection adems ejecuta un anlisis activo cuando las nuevas definiciones llegan al equipo cliente. En los equipos no administrados, Symantec Endpoint Protection adems incluye un anlisis de inicio predeterminado que est deshabilitado. Se debe asegurar de que se ejecute un anlisis activo diariamente en los equipos en su red. Puede ser recomendable programar un anlisis completo una vez por semana o una vez al mes si se sospecha que tiene una amenaza inactiva en su red. Los anlisis completo consumen ms recursos del equipo y pueden ejercer un impacto en el rendimiento del equipo. Ver "Cmo administrar anlisis en los equipos cliente" en la pgina 293. Tabla 14-4 Tipo de anlisis
Auto-Protect
Tipos de anlisis
Descripcin
Auto-Protect examinan los archivos y los datos de correo electrnico continuamente cuando se escriben o se leen en un equipo. Auto-Protect neutraliza o elimina automticamente virus detectados y riesgos para la seguridad.
Nota: Los clientes Mac soportan Auto-Protect para el sistema de archivos solamente.
Ver "Acerca de los tipos de Auto-Protect" en la pgina 299. Diagnstico Insight de descargas Diagnstico Insight de descargas impulsa la seguridad de los anlisis de Auto-Protect examinando los archivos cuando los usuarios intentan descargarlos de los navegadores y de otros portales. Diagnstico Insight de descargas usa la informacin de reputacin para tomar decisiones sobre los archivos. Una tecnologa de Symantec que se llama Insight determina la reputacin del archivo. Insight usa no solo el origen de un archivo, sino adems su contexto para determinar la reputacin de un archivo. Insight proporciona una calificacin de seguridad que Diagnstico Insight de descargas usa para tomar decisiones sobre los archivos. Diagnstico Insight de descargas funciona como parte de Auto-Protect y necesita que Auto-Protect est habilitado. Ver "Cmo Symantec Endpoint Protection usa datos de reputacin para tomar decisiones sobre los archivos" en la pgina 331.
298
Tipo de anlisis
Descripcin
Anlisis definidos por el Los anlisis definidos por el administrador detectan virus y riesgos para la seguridad administrador examinando los archivos y los procesos en el equipo cliente. Los anlisis definidos por el administrador tambin pueden examinar los puntos de memoria y de carga. Los siguientes tipos de anlisis definidos por el administrador estn disponibles:
Anlisis programados Un anlisis programado se ejecuta en los equipos cliente en las horas sealadas. Cualquier anlisis programado en paralelo se ejecuta secuencialmente. Si un equipo est apagado durante un anlisis programado, el anlisis no se ejecuta a menos que se configure para volver a intentar los anlisis no realizados. Es posible ejecutar un anlisis activo, completo o personalizado.
Nota: Solamente los anlisis personalizados estn disponibles para los clientes Mac.
Es posible guardar su configuracin de anlisis programados como plantilla. Es posible usar cualquier anlisis que se guarde como plantilla como base para otro anlisis. Las plantillas de anlisis pueden ahorrar tiempo cuando configura varias polticas. Una plantilla de anlisis programado est incluida en la poltica de forma predeterminada. El anlisis programado predeterminado analiza todos los archivos y directorios. Anlisis de inicio y anlisis activados Los anlisis de inicio se ejecutan cuando los usuarios inician sesin en los equipos. Los anlisis activados se ejecutan cuando nuevas definiciones de virus se descargan a los equipos.
Nota: Los anlisis de inicio y los anlisis activados estn disponibles solamente para
los clientes Windows.
Anlisis manuales Los anlisis manuales son los anlisis que se ejecutan de forma inmediata cuando se selecciona el comando de anlisis en Symantec Endpoint Protection Manager. Es posible seleccionar el comando de la ficha Clientes o de los registros.
SONAR
SONAR ofrece proteccin en tiempo real contra ataques de da cero. SONAR puede detener ataques incluso antes de que las definiciones basadas en firmas tradicionales detecten una amenaza. SONAR usa datos heursticos y datos de reputacin de archivos para tomar decisiones sobre aplicaciones o archivos. Como los anlisis de amenazas proactivos, SONAR detecta registradores de pulsaciones, spyware y cualquier otra aplicacin que pudiera ser maliciosa o potencialmente maliciosa.
Nota: SONAR se admite solamente en los equipos Windows que ejecutan Symantec
Endpoint Protection versin 12.1 y posterior. Ver "Acerca de SONAR" en la pgina 379.
299
Tipo de anlisis
Anlisis de amenazas proactivos TruScan
Descripcin
Admitido en los equipos Windows que ejecutan Symantec Endpoint Protection versin 11.x. SONAR no se admite en ningn equipo que ejecute la versin 11.x. Los anlisis de amenazas proactivos TruScan proporcionan proteccin a los clientes de una versin anterior contra ataques de da cero. Los anlisis de amenazas proactivos TruScan determinan si una aplicacin o un proceso exhibe caractersticas de amenazas conocidas. Estos anlisis detectan troyanos, gusanos, registradores de pulsaciones, publicidad no deseada y spyware, y aplicaciones que se usan para propsitos maliciosos. A diferencia de SONAR, que se ejecuta en el tiempo real, los anlisis de amenazas proactivos TruScan se ejecutan en una frecuencia configurada.
Acerca de los tipos de Auto-Protect

Auto-Protect analiza archivos as como ciertos tipos de correo electrnico y archivos adjuntos de correo electrnico. De forma predeterminada, se habilitan todos los tipos de Auto-Protect. Si los equipos cliente ejecutan otros productos de seguridad de correo electrnico, como Symantec Mail Security, es posible que no necesite habilitar Auto-Protect para el correo electrnico. Los clientes Mac no admiten los anlisis de Auto-Protect de correo electrnico. Ver "Acerca de los tipos de anlisis y de proteccin en tiempo real" en la pgina 296.
300
Tabla 14-5 Tipo de Auto-Protect

Auto-Protect
Tipos de Auto-Protect Descripcin

Analiza continuamente los archivos como se leen o se escriben en el equipo cliente Auto-Protect se habilita de forma predeterminada para el sistema de archivos. Se carga en el inicio del equipo. Examina todos los archivos en busca de virus y riesgos para la seguridad, y bloquea la instalacin de los riesgos para la seguridad. Puede analizar opcionalmente los archivos por la extensin de archivo, analizar los archivos en los equipos remotos y analizar los disquetes en busca de virus de arranque. Puede hacer copia de seguridad de los archivos opcionalmente antes de intentar reparar los archivos, y puede finalizar procesos y detener los servicios. Es posible configurar Auto-Protect para que analice solamente las extensiones de archivo seleccionadas. Cuando Auto-Protect analiza las extensiones seleccionadas, puede tambin determinar un tipo de archivo, incluso si un virus modifica la extensin del archivo. En clientes Mac o Windows que no ejecutan el correo electrnico de Auto-Protect, los equipos cliente an se protegen cuando habilita Auto-Protect. La mayora de las aplicaciones de correo electrnico guardan los archivos adjuntos en una carpeta temporal cuando los usuarios ejecutan archivos adjuntos de correo electrnico. Auto-Protect analiza el archivo a medida se escribe en la carpeta temporal y detecta cualquier virus o riesgo para la seguridad. Auto-Protect tambin detecta el virus si el usuario intenta guardar el archivo adjunto infectado en una unidad local o de red.
Auto-Protect para correo electrnico de Internet
Analiza archivos adjuntos y correo electrnico de Internet (POP3 o SMTP) en busca de virus y riesgos para la seguridad; adems realiza el anlisis saliente de la heurstica de correo electrnico. De forma predeterminada, Auto-Protect para el correo electrnico de Internet admite contraseas cifradas y correo electrnico sobre conexiones POP3 y SMTP. Si utiliza POP3 o SMTP con Secure Sockets Layer (SSL), el cliente detecta las conexiones seguras, pero no analiza los mensajes cifrados.
Nota: Por motivos de rendimiento, no se admite Auto-Protect para correo

electrnico de Internet para POP3 en los sistemas operativos de servidor. Los equipos de 64 bits no admiten el anlisis de correo electrnico de Internet. El anlisis de correo electrnico no admite correo electrnico basado en IMAP, AOL o HTTP, como correo electrnico de Hotmail o Yahoo!.
301
Tipo de Auto-Protect
Auto-Protect para Microsoft Outlook
Descripcin
Analiza los archivos adjuntos y el correo electrnico de Microsoft Outlook (MAPI e Internet) en busca de virus y riesgos para la seguridad Admite Microsoft Outlook 98/2000/2002/2003/2007/2010 (MAPI e Internet) Si Microsoft Outlook est instalado en el equipo cuando se realiza una instalacin de software de cliente, el software de cliente detecta la aplicacin de correo electrnico. El cliente instala automticamente Auto-Protect para Microsoft Outlook. Si usa Microsoft Outlook mediante MAPI o cliente de Microsoft Exchange y cuenta con Auto-Protect habilitado para correo electrnico, se analizan los archivos adjuntos cuando el usuario abre el archivo adjunto. Si el usuario descarga un archivo adjunto de gran tamao con una conexin lenta, el rendimiento del correo se ver afectado. En el caso de usuarios que reciban con regularidad datos adjuntos extensos, tal vez prefiera deshabilitar esta funcin.
Nota: En Microsoft Exchange Server, no es necesario instalar Auto-Protect

para Microsoft Outlook. Es necesario instalar Symantec Mail Security para Microsoft Exchange. Lotus Notes, Auto-Protect Analiza el correo electrnico y los archivos adjuntos de Lotus Notes en busca de virus y riesgos para la seguridad Admite Lotus Notes 4.5x, 4.6, 5.0 y 6.x Si Lotus Notes est instalado en el equipo cuando se realiza una instalacin de software de cliente, el software de cliente detecta la aplicacin de correo electrnico. El cliente instala automticamente Auto-Protect para Lotus Notes.
Acerca de los virus y los riesgos para la seguridad

Symantec Endpoint Protection realiza anlisis en busca de virus y de riesgos para la seguridad. Los riesgos para la seguridad incluyen spyware, publicidad no deseada, rootkits y otros archivos que pueden poner un equipo o una red en peligro. Los virus y los riesgos para la seguridad pueden llegar en mensajes de correo electrnico o programas de mensajera instantnea. A menudo, un usuario descarga, sin saberlo, un riesgo cuando acepta un acuerdo de licencia de usuario final de un programa de software. Muchos virus y riesgos para la seguridad se instalan como descargas no autorizadas. Estas descargas ocurren generalmente cuando los usuarios visitan sitios web maliciosos o infectados y el descargador de la aplicacin se instala por medio de una vulnerabilidad legtima en el equipo.
302
En clientes Windows, puede cambiar la accin que Symantec Endpoint Protection toma cuando detecta un virus o un riesgo para la seguridad. Las categoras de riesgo para la seguridad son dinmicas y cambian a lo largo del tiempo a medida que Symantec recopila informacin sobre riesgos. Ver "Cmo cambiar la accin que Symantec Endpoint Protection toma cuando realiza una deteccin" en la pgina 366. Es posible ver informacin sobre riesgos especficos en el sitio web de Symantec Security Response. Tabla 14-6 Riesgo
Virus
Virus y riesgos para la seguridad Descripcin

Programa o cdigo que adjunta una copia de s mismo a otro programa informtico o archivo cuando se ejecuta. Cuando el programa infectado se ejecuta, el programa de virus asociado se activa y se adjunta a otros programas y archivos. Los siguientes tipos de amenazas se incluyen en la categora de virus:
Bots maliciosos de Internet Programas que ejecutan tareas automatizadas por Internet. Los bots se pueden utilizar para automatizar ataques en los equipos o para recoger informacin de sitios web. Gusanos Programas que se reproducen sin infectar otros programas. Algunos gusanos se propagan copindose de disco a disco, mientras otros se reproducen en la memoria para reducir el rendimiento del equipo. Troyano Programas que se ocultan en algo benigno, por ejemplo, un juego o una utilidad. Amenazas combinadas Amenazas que combinan las caractersticas de virus, gusanos, troyanos y cdigo con los puntos vulnerables de Internet y de los servidores para iniciar, transmitir y extender un ataque. Las amenazas combinadas usan varios mtodos y tcnicas para propagarse rpidamente y causar dao generalizado. Rootkits Programas que se ocultan del sistema operativo de un equipo.
Publicidad no deseada
Programas que entregan cualquier contenido de publicidad.
303
Riesgo
Marcadores
Descripcin
Programas que utilizan un equipo, sin el permiso ni conocimiento del usuario, para realizar llamadas a travs de Internet a un nmero 900 (de pago especial) o a un sitio FTP. Tpicamente, estos nmeros se marcan para acumular gastos.
Herramientas de hackeo Programas que los hackers usan para obtener acceso no autorizado al equipo de un usuario. Por ejemplo, una clase de herramienta de hackeo es un registrador de pulsaciones del teclado, el cual realiza un seguimiento de las pulsaciones individuales del teclado, las registra y enva esta informacin al hacker. Entonces, el hacker puede realizar anlisis de puerto y de puntos dbiles. Las herramientas de hackeo se pueden emplear tambin para desarrollar virus. Programas broma Programas que alteran o interrumpen el funcionamiento de un equipo con el fin de gastar una broma o asustar al usuario. Por ejemplo, un programa de broma podra mover la papelera de reciclaje lejos del mouse cuando el usuario intenta eliminarlo.
Aplicaciones engaosas Aplicaciones que falsifican intencionalmente el estado de seguridad de un equipo. Estas aplicaciones se disfrazan tpicamente como notificaciones de seguridad acerca de cualquier infeccin falsa que debe quitarse. Programas de control para padres Programas que supervisan o limitan el uso del equipo. Los programas pueden ejecutarse sin ser detectados y transmiten tpicamente informacin de supervisin a otro equipo. Programas que permiten acceder a travs de Internet desde otro equipo, de manera que pueden recopilar informacin del equipo de un usuario, atacarlo o alterar su contenido.
Programas de acceso remoto
Herramienta de Programas que se usan para recopilar informacin para el acceso evaluacin de seguridad no autorizado a un equipo. Spyware Programas independientes que pueden supervisar, de forma secreta, la actividad del sistema, as como detectar contraseas y otro tipo de informacin confidencial para transmitirla a otro equipo. Aplicaciones independientes o anexas a otras que realizan un seguimiento de la ruta del usuario en Internet y envan la informacin al sistema del hacker o del controlador.
Programa de seguimiento
304
Acerca de los archivos y las carpetas que Symantec Endpoint Protection excluye de los anlisis antivirus y antispyware
Cuando Symantec Endpoint Protection detecta la presencia de ciertas aplicaciones de otro fabricante y algunos productos de Symantec, crea automticamente las exclusiones para estos archivos y carpetas. El cliente excluye estos archivos y carpetas de todos los anlisis. Nota: El cliente no excluye las carpetas temporales del sistema de los anlisis, ya que se originara una importante vulnerabilidad del sistema en el equipo. Para mejorar anlisis del rendimiento o reducir las detecciones de falsos positivos, puede excluir los archivos al agregar una excepcin de carpeta o archivo a una poltica de excepciones. Es posible tambin especificar las extensiones de archivo o las carpetas que desea incluir en un anlisis determinado. Ver "Exclusin de un archivo o una carpeta de anlisis" en la pgina 523. Advertencia: Los archivos o las carpetas que se excluyen de anlisis no se protegen contra virus y riesgos para la seguridad. Es posible ver las exclusiones que el cliente crea automticamente. Busque en las ubicaciones siguientes del registro de Windows:
En los equipos de 32 bits, consulte HKEY_LOCAL_MACHINE\Software\Symantec\Symantec Endpoint Protection\AV\Exclusions. En los equipos de 64 bits, consulte HKEY_LOCAL_MACHINE\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\AV\Exclusions.
Advertencia: No edite este registro directamente.
305
Tabla 14-7 Archivos
Exclusiones de archivo y carpeta Descripcin

El software del cliente crea automticamente exclusiones de anlisis de carpetas y archivos para las versiones siguientes de Microsoft Exchange Server:

Microsoft Exchange
Exchange 5.5 Exchange 6.0 Exchange 2000 Exchange 2003 Exchange 2007 Exchange 2007 SP1
Para Exchange 2007, vea la documentacin para el usuario para ver la informacin sobre compatibilidad con software antivirus. En algunas circunstancias, puede ser recomendable crear exclusiones de anlisis para algunas carpetas de Exchange 2007 manualmente. Por ejemplo, en un entorno agrupado, puede ser recomendable crear algunas exclusiones. El software de cliente busca cambios en la ubicacin de los archivos y las carpetas apropiados de Microsoft Exchange a intervalos regulares. Si instala Microsoft Exchange en un equipo donde el software de cliente ya est instalado, se crean las exclusiones cuando el cliente busca cambios. El cliente excluye los archivos y las carpetas; si un solo archivo se mueve desde una carpeta excluida, el archivo permanece excluido. Para obtener ms informacin, consulte el artculo de la base de conocimientos Cmo evitar que Symantec Endpoint Protection analice la estructura de directorios de Microsoft Exchange 2007.
306
Archivos
Microsoft Forefront
Descripcin
El cliente crea automticamente exclusiones de archivo y de carpeta para los productos siguientes de Microsoft Forefront:

Seguridad del servidor Forefront para Exchange Seguridad del servidor Forefront para SharePoint Gateway de administracin de amenazas de Forefront
Compruebe el sitio web de Microsoft para una lista de exclusiones recomendadas. Adems consulte el artculo de la base de conocimientos del soporte tcnico de Symantec Configuracin de exclusiones de Symantec Endpoint Protection para Microsoft Forefront. Controlador de dominio de Active Directory El cliente crea automticamente exclusiones de archivos y carpetas para los registros, los archivos en funcionamiento y la base de datos del controlador de dominio de Active Directory. El cliente supervisa las aplicaciones que estn instaladas en el equipo cliente. Si el software detecta Active Directory en el equipo cliente, el software crea automticamente las exclusiones. El cliente crea automticamente las exclusiones apropiadas de anlisis de archivos y carpetas para ciertos productos de Symantec cuando se detectan. El cliente crea exclusiones para los productos de Symantec siguientes: Symantec Mail Security 4.0, 4.5, 4.6, 5.0 y 6.0 para Microsoft Exchange Symantec AntiVirus/Filtering 3.0 para Microsoft Exchange Norton AntiVirus 2.x para Microsoft Exchange

Ciertos productos de Symantec
Base de datos integrada y registros de Symantec Endpoint Protection Manager
307
Archivos
Descripcin
Extensiones seleccionadas y En cada tipo de anlisis definido por el administrador o carpetas de Microsoft Auto-Protect, puede seleccionar los archivos que desea que incluya la extensin. Para los anlisis definidos por un administrador, es posible tambin seleccionar los archivos para incluir por carpeta. Por ejemplo, es posible especificar que un anlisis programado analice solamente ciertas extensiones y que los anlisis de Auto-Protect analicen todas las extensiones. En los archivos ejecutables y los archivos de Microsoft Office, Auto-Protect puede determinar un tipo de archivo incluso si un virus cambia la extensin del archivo. De forma predeterminada, Symantec Endpoint Protection analiza todas las extensiones y las carpetas. Cualquier extensin o carpeta de la que anula su seleccin, se excluyen de ese anlisis determinado. Symantec no recomienda que se excluya ninguna extensin del anlisis. Si decide excluir archivos por extensin y algunas carpetas Microsoft, sin embargo, se recomienda considerar la cantidad de proteccin que la red necesita. Se debe adems considerar la cantidad de tiempo y los recursos que los equipos cliente necesitan para completar los anlisis.
Nota: Cualquier extensin de archivo que excluye de los

anlisis de Auto-Protect del sistema de archivos tambin excluye las extensiones de Diagnstico Insight de descargas. Si est ejecutando Diagnstico Insight de descargas, debe incluir extensiones para programas comunes y documentos en la lista de extensiones que desea analizar. Se debe adems asegurar de analizar los archivos .msi.
308
Archivos
Excepciones de archivo y carpeta
Descripcin
Use la poltica de excepciones para crear las excepciones para los archivos o las carpetas que desea que Symantec Endpoint Protection excluya de todos los anlisis de virus y spyware.
Nota: De forma predeterminada, los usuarios en los equipos

cliente tambin pueden crear excepciones de archivo y de carpeta. Por ejemplo, se recomiendan crear exclusiones de archivos para una bandeja de entrada de la aplicacin de correo electrnico. Si el cliente detecta un virus en un archivo de bandeja de entrada durante un anlisis programado o manual, el cliente pone en cuarentena la bandeja de entrada completa. Es posible crear una excepcin para excluir el archivo de la bandeja de entrada. Sin embargo, si el cliente detecta un virus cuando un usuario abre un mensaje de correo electrnico, el cliente sigue en cuarentena o elimina el mensaje. Archivos de confianza Los anlisis de virus y spyware incluyen una funcin que se denomina Insight que permite que los anlisis omitan los archivos de confianza. Es posible elegir el nivel de confianza para los archivos que desea omitir o puede deshabilitar la opcin. Si deshabilita la opcin, es posible que tenga que aumentar el tiempo de anlisis. Auto-Protect puede adems omitir los archivos a los que se accede mediante procesos de confianza, como Windows Search.
Acerca de enviar informacin sobre detecciones a Symantec Security Response

Es posible configurar sus equipos cliente para enviar automticamente informacin sobre detecciones a Symantec Security Response para anlisis. Symantec Response y Symantec Global Intelligence Network usan esta informacin enviada para formular rpidamente respuestas a las amenazas para la seguridad nuevas y en desarrollo. Los datos que se envan mejoran la capacidad de Symantec de responder a las amenazas y de personalizar la proteccin. Symantec recomienda que se permitan siempre los envos.
309
Ver "Acerca de los tipos de proteccin contra amenazas que Symantec Endpoint Protection proporciona" en la pgina 51. Es posible elegir enviar cualquiera de los siguientes tipos de datos:
Reputacin de archivos La informacin sobre los archivos que se detectan segn su reputacin. La informacin sobre estos archivos contribuye a la base de datos de reputacin de Symantec Insight para ayudar a proteger sus equipos contra los riesgos nuevos y emergentes. Detecciones de antivirus Informacin sobre detecciones del anlisis de virus y spyware. Detecciones heursticas avanzadas de antivirus La informacin sobre las amenazas potenciales detectadas por Bloodhound y otra heurstica de anlisis de virus y spyware. Estas detecciones son detecciones silenciosas que no aparecen en el registro de riesgos. La informacin sobre estas detecciones se usa para el anlisis estadstico. Detecciones de SONAR Informacin sobre las amenazas que SONAR detecta, que incluye las detecciones de alto o bajo riesgo, eventos de cambios en el sistema y comportamiento sospechoso de aplicaciones de confianza. Heurstica de SONAR Las detecciones heursticas de SONAR son detecciones silenciosas que no aparecen en el registro de riesgos. Esta informacin se usa para el anlisis estadstico.
En el cliente, se puede tambin enviar manualmente una muestra a la respuesta de la cuarentena o a travs del sitio web de Symantec. Para enviar un archivo por medio del sitio web de Symantec, contacte con el soporte tcnico de Symantec. Ver "Cmo habilitar o deshabilitar envos de los clientes a Symantec Security Response" en la pgina 335. Ver "Cmo Symantec Endpoint Protection usa datos de reputacin para tomar decisiones sobre los archivos" en la pgina 331. Ver "Acerca de la aceleracin de envos" en la pgina 309. Ver "Acerca de los archivos y las aplicaciones que SONAR detecta" en la pgina 380.
Acerca de la aceleracin de envos

Los clientes pueden, o no, enviar muestras a Symantec en funcin de la siguiente informacin:
310
La fecha del archivo de control de datos del envo El porcentaje de los equipos que pueden realizar envos
Symantec publica su archivo de datos de control del envo (SCD) y lo incluye como parte de un paquete de LiveUpdate. Cada producto de Symantec tiene su propio archivo SCD. El archivo controla la configuracin siguiente:

Cuntos envos un cliente puede realizar en un da Cunto tiempo se debe esperar para que el software de cliente vuelva a intentar envos Cuntas veces se debe volver a intentar un envo con errores Qu direccin IP del servidor de Symantec Security Response recibe el envo
Si el archivo SCD queda obsoleto, los clientes detienen los envos. Symantec considera que el archivo SCD est desactualizado cuando un equipo cliente no ha descargado contenido de LiveUpdate en 7 das. El cliente detiene los envos despus de 14 das. Si los clientes detienen la transmisin de envos, el software de cliente no recopila la informacin de envos y la enva ms tarde. Cuando los clientes se inician para realizar envos de nuevo, envan solamente la informacin sobre los eventos que ocurren despus del reinicio de la transmisin. Los administradores pueden tambin configurar el porcentaje de equipos que pueden realizar envos. Cada equipo cliente determina si debe enviar informacin o no. El equipo cliente selecciona aleatoriamente un nmero de 1 a 100. Si el nmero es inferior o igual al porcentaje configurado en la poltica de ese equipo, el equipo enva informacin. Si el nmero es mayor que el porcentaje configurado, el equipo no enva la informacin.
Acerca de la configuracin predeterminada de anlisis de la poltica de proteccin antivirus y antispyware

Symantec Endpoint Protection Manager incluye tres polticas predeterminadas.

Poltica equilibrada de proteccin antivirus y antispyware Poltica de seguridad alta de proteccin antivirus y antispyware La poltica de seguridad alta es la ms rigurosa de todas las polticas configurada previamente. Debe tener en cuenta que puede afectar el rendimiento de otras aplicaciones. Poltica de alto rendimiento de proteccin antivirus y antispyware
311
La poltica de alto rendimiento proporciona un mejor rendimiento que la poltica de seguridad elevada, pero no proporciona la misma proteccin. La poltica se basa principalmente en Auto-Protect para analizar los archivos con las extensiones de archivo seleccionadas para detectar amenazas. La poltica de proteccin antivirus y antispyware bsica proporciona un buen equilibrio entre seguridad y rendimiento. Tabla 14-8 Configuracin de anlisis de la poltica equilibrada de proteccin antivirus y antispyware Descripcin
Habilitada La sensibilidad de archivos maliciosos de Diagnstico Insight de descargas est configurada en el nivel 5. La accin Diagnstico Insight de descargas para los archivos sin probar es Omitir. Auto-Protect incluye la configuracin siguiente: Analiza todos los archivos en busca de virus y riesgos para la seguridad. Bloquea la instalacin de los riesgos para la seguridad.
Configuracin
Auto-Protect para el sistema de archivos
Limpia los archivos infectados con virus. Hace copia de seguridad de los archivos antes de los repare. Pone en cuarentena los archivos que no pueden ser limpiados. Pone en cuarentena los archivos con riesgos para la seguridad. Registra los archivos que no pueden ser puestos en cuarentena. Comprueba todos los disquetes en busca de virus de arranque. Registra virus de arranque. Notifica a los usuarios del equipo sobre virus y riesgos para la seguridad.
Auto-Protect para correo electrnico
Habilitada Otros tipos de Auto-Protect incluyen la configuracin siguiente: Analiza todos los archivos, incluso los archivos que estn dentro de archivos comprimidos. Limpia los archivos infectados con virus. Pone en cuarentena los archivos que no pueden ser limpiados. Pone en cuarentena los archivos con riesgos para la seguridad. Registra los archivos que no pueden ser puestos en cuarentena. Enva un mensaje a los usuarios de los equipos sobre virus y riesgos para la seguridad detectados.
312
Configuracin
SONAR
Descripcin
Habilitado para clientes de Symantec Endpoint Protection 12.1 y posterior. os clientes de una versiones anteriores usan la configuracin de TruScan. Se habilita TruScan cuando se habilita SONAR. Las detecciones heursticas de alto riesgo se ponen en cuarentena. Registra cualquier deteccin heurstica de bajo riesgo. El modo intenso est deshabilitado. Mostrar alerta despus de la deteccin est deshabilitada. Se configuran las acciones de deteccin de cambios en el sistema en Omitir. Deteccin de comportamiento sospechoso bloquea amenazas de alto riesgo y omite amenazas de bajo riesgo.
Anlisis definidos por El anlisis programado incluye la configuracin predeterminada el administrador siguiente:
Realiza un anlisis activo diariamente a las 12:30 p. m. Se ordena aleatoriamente el anlisis. Analiza todos los archivos y carpetas, incluso los archivos contenido en archivos comprimidos. Analiza la memoria, ubicaciones comunes de infeccin y ubicaciones conocidas de virus y de riesgos para la seguridad. Limpia los archivos infectados con virus. Hace copia de seguridad de los archivos antes de los repare. Pone en cuarentena los archivos que no pueden ser limpiados. Pone en cuarentena los archivos con riesgos para la seguridad. Registra los archivos que no pueden ser puestos en cuarentena. Vuelve a intentar anlisis no realizados en el plazo de tres das. La Bsqueda de Insight se configura en el nivel 5.
El anlisis manual proporciona la proteccin siguiente: Analiza todos los archivos y carpetas, incluso los archivos contenido en archivos comprimidos. Analiza la memoria y ubicaciones comunes de infeccin.
Limpia los archivos infectados con virus. Hace copia de seguridad de los archivos antes de los repare. Pone en cuarentena los archivos que no pueden ser limpiados. Pone en cuarentena los archivos con riesgos para la seguridad. Registra los archivos que no pueden ser puestos en cuarentena.
La poltica predeterminada de seguridad alta de proteccin antivirus y antispyware proporciona seguridad de alto nivel e incluye muchas de las opciones de
313
configuracin de la poltica de proteccin antivirus y antispyware. La poltica proporciona anlisis creciente. Tabla 14-9 Configuracin de la poltica de seguridad alta de proteccin antivirus y antispyware Descripcin
Lo mismo que la poltica equilibrada de proteccin antivirus y antispyware Auto-Protect adems examina los archivos en los equipos remotos. Lo mismo que la poltica equilibrada de proteccin antivirus y antispyware, pero con los cambios siguientes: Bloquea cualquier evento de cambio en el sistema. Configuracin global Bloodhound se configura en modo intenso.
Configuracin
Auto-Protect para el sistema de archivos y el correo electrnico SONAR
La poltica predeterminada de alto rendimiento de proteccin antivirus y antispyware proporciona rendimiento de alto nivel. La poltica incluye muchas de las opciones de configuracin de la poltica de proteccin antivirus y antispyware. La poltica proporciona seguridad reducida. Tabla 14-10 Configuracin de la poltica de alto rendimiento de proteccin antivirus y antispyware Descripcin
Lo mismo que la poltica equilibrada de proteccin antivirus y antispyware, pero con los cambios siguientes:
Configuracin
Auto-Protect para el sistema de archivos
La sensibilidad de archivos maliciosos de Diagnstico Insight de descargas est configurada en el nivel 1.
Auto-Protect para correo electrnico de Internet Auto-Protect para Microsoft Outlook Lotus Notes, Auto-Protect
Deshabilitado
314
Configuracin
SONAR
Descripcin
Lo mismo que la poltica de proteccin antivirus y antispyware con los cambios siguientes: Omite cualquier evento de cambio en el sistema. Omite cualquier evento de aplicacin de polticas de comportamiento.
Anlisis definidos por Lo mismo que la poltica de proteccin antivirus y antispyware el administrador excepto la configuracin siguiente:
La Bsqueda de Insight se configura en el nivel 1.
Cmo Symantec Endpoint Protection controla detecciones de riesgos para la seguridad y virus
Symantec Endpoint Protection usa acciones predeterminadas para controlar la deteccin de virus y riesgos para la seguridad. Es posible cambiar algunos de los valores predeterminados.
Virus De forma predeterminada, el cliente de Symantec Endpoint Protection primero intenta limpiar un archivo infectado por un virus. Si el software de cliente no puede limpiar el archivo, realiza las acciones siguientes:

Mueve el archivo a la Cuarentena en el equipo infectado Niega el acceso al archivo Registra el evento
315
Riesgos para la seguridad
De forma predeterminada, el cliente mueve cualquier archivo que infectan los riesgos para la seguridad a la cuarentena del equipo infectado. El cliente tambin intenta quitar o reparar los efectos secundarios del riesgo. Si un riesgo para la seguridad no puede ser puesto en cuarentena y ser reparado, la segunda accin es registrar el riesgo. De forma predeterminada, la Cuarentena contiene un registro de todas las acciones que el cliente realiz. Es posible devolver el equipo cliente al estado que existi antes de que el cliente intentara la eliminacin y la reparacin. En los equipos cliente de Windows, puede deshabilitar el anlisis de Auto-Protect en busca de riesgos para la seguridad. Se recomienda deshabilitar temporalmente el anlisis de Auto-Protect en busca de riesgos para la seguridad si la deteccin de un riesgo para la seguridad puede poner en peligro la estabilidad de un equipo. Otros tipos de anlisis continan detectando el riesgo.
Las detecciones realizadas por SONAR se consideran eventos sospechosos. Se configuran acciones para estas detecciones como parte de la configuracin de SONAR. Ver "Cmo administrar SONAR" en la pgina 381. En equipos cliente de Windows, puede asignar una primera y segunda accin para que Symantec Endpoint Protection tome cuando encuentra riesgos. Es posible configurar diversas acciones para virus y riesgos para la seguridad. Es posible usar diversas acciones para anlisis programados, manuales o de Auto-Protect. Nota: En los equipos cliente de Windows, la lista de tipos de deteccin de riesgos para la seguridad es dinmica y cambia cuando Symantec detecta nuevas categoras. Las nuevas categoras se descargan a la consola o al equipo cliente cuando llegan nuevas definiciones. En los equipos cliente de Mac, puede especificar si desea que Symantec Endpoint Protection repare los archivos infectados que encuentra. Es posible tambin especificar si Symantec Endpoint Protection mueve los archivos infectados que no puede reparar en la cuarentena. Es posible establecer la configuracin de todos los anlisis definidos por el administrador o los anlisis de Auto-Protect. Ver "Cmo administrar la cuarentena" en la pgina 338.
316
Administracin de proteccin antivirus y antispyware Cmo configurar anlisis programados que se ejecutan en equipos Windows
Cmo configurar anlisis programados que se ejecutan en equipos Windows

Se configuran anlisis programados como parte de la Poltica de proteccin antivirus y antispyware. La configuracin del anlisis es diferente para los clientes de Windows y para los clientes de Mac. Es posible guardar su configuracin de anlisis programados como plantilla. Las plantillas de anlisis pueden ahorrar tiempo cuando configura varias polticas. Es posible usar cualquier anlisis que guarde como plantilla como base para un nuevo anlisis en otra poltica. Una plantilla de anlisis programado est incluida en la poltica de forma predeterminada. El anlisis programado predeterminado analiza todos los archivos y carpetas. Ver "Cmo administrar anlisis en los equipos cliente" en la pgina 293. Ver "Cmo personalizar anlisis definidos por el administrador para los clientes que se ejecutan en equipos Windows" en la pgina 357. Si un equipo no realiza un anlisis programado por alguna razn, el cliente de Symantec Endpoint Protection intenta realizar el anlisis en un intervalo de tiempo especfico. Si el cliente no puede iniciar el anlisis dentro del intervalo de tiempo, no ejecuta el anlisis. Si el usuario que defini un anlisis no inici sesin, el software de cliente ejecuta el anlisis de todos modos. Es posible especificar que el cliente no ejecute el anlisis si el usuario no est conectado. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en este procedimiento. Para configurar anlisis programados que se ejecutan en equipos Windows
1 2 3 4 5 6
En la consola, abra una poltica de proteccin antivirus y antispyware. En Config. Windows, haga clic en Anlisis definidos por el administrador. En la ficha Anlisis, en Anlisis programados, haga clic en Agregar. En el cuadro de dilogo Agregar anlisis programado, haga clic en Crear un nuevo anlisis programado. Haga clic en Aceptar. En el cuadro de dilogo Agregar anlisis programado, en la ficha Detalles del anlisis, escriba un nombre y una descripcin para este anlisis programado. Haga clic en Anlisis activo, Anlisis completo o Anlisis personalizado.
Administracin de proteccin antivirus y antispyware Cmo configurar anlisis programados que se ejecutan en equipos Mac
317
8 9
Si seleccion Personalizado, en Anlisis, es posible especificar qu carpetas se deben analizar. En Tipos de archivos, haga clic en Analizar todos los archivos o Analizar solo las extensiones seleccionadas. Ubicaciones comunes de infecciones o Ubicaciones conocidas de virus y riesgos para la seguridad.
10 En Comprobar lo siguiente para mejorar el anlisis, seleccione Memoria,
11 En la ficha Programacin, en Programacin de anlisis, configure la

frecuencia y la hora en las cuales el anlisis se debe ejecutar. La configuracin de reintento en Anlisis programados no realizados cambia automticamente segn si selecciona Diariamente, Semanalmente o Mensualmente.
12 En Anlisis programados no realizados, puede deshabilitar la opcin para

ejecutar un anlisis no realizado o puede cambiar el intervalo de reintento. Es posible tambin especificar una duracin mxima de anlisis antes de que el anlisis se interrumpa momentneamente. Es posible tambin ordenar aleatoriamente la hora de inicio del anlisis.
13 Si desea guardar este anlisis como plantilla, seleccione Guardar una copia
como plantilla de anlisis programado.
Cmo configurar anlisis programados que se ejecutan en equipos Mac

Se configuran anlisis programados como parte de la Poltica de proteccin antivirus y antispyware. La configuracin del anlisis es diferente para los clientes de Windows y para los clientes de Mac. Ver "Cmo administrar anlisis en los equipos cliente" en la pgina 293. Ver "Cmo personalizar anlisis definidos por el administrador para los clientes que se ejecutan en equipos Mac" en la pgina 359. Es posible guardar su configuracin de anlisis programados como plantilla. Es posible utilizar cualquier anlisis que guarde como plantilla como base para una poltica de proteccin antivirus y antispyware distinta. Las plantillas de anlisis pueden ahorrar tiempo cuando se configuran nuevas polticas o anlisis. Una plantilla de anlisis programado est incluida en la poltica de forma predeterminada. El anlisis programado predeterminado analiza todos los archivos y directorios.
318
Administracin de proteccin antivirus y antispyware Cmo ejecutar anlisis manuales en equipos cliente
Para configurar un anlisis programado para clientes Mac
1 2 3 4 5 6 7 8 9
En la consola, abra una poltica de proteccin antivirus y antispyware. En Config. Mac, haga clic en Anlisis definidos por el administrador. En la ficha Anlisis, en Anlisis programados, haga clic en Agregar. En el cuadro de dilogo de Agregar anlisis programados, haga clic en Crear un nuevo anlisis programado y, a continuacin, haga clic en Aceptar. En el cuadro de dilogo Agregar anlisis programado, en la ficha Detalles del anlisis, escriba un nombre y una descripcin para el anlisis. En Analizar unidades y carpetas, especifique los elementos para analizar. Personalice cualquier configuracin, incluida la prioridad del anlisis. En la ficha Programacin, en Programacin de anlisis, configure la frecuencia y la hora en las cuales el anlisis se debe ejecutar. Si desea guardar este anlisis como plantilla, seleccione Guardar una copia como plantilla de anlisis programado.
Cmo ejecutar anlisis manuales en equipos cliente

Es posible ejecutar un anlisis manual segn sea necesario en los equipos cliente de forma remota desde la consola de administracin. Es probable que desee ejecutar un anlisis manual como parte de la estrategia para evitar y controlar ataques de virus y spyware en los equipos cliente. De forma predeterminada, se ejecuta automticamente un anlisis activo una vez que se actualizan las definiciones. Es posible configurar un anlisis manual como un anlisis completo o personalizado y, posteriormente, ejecutar el anlisis manual para un anlisis ms exhaustivo. La configuracin de anlisis manuales es similar a la configuracin de anlisis programados. Ver "Cmo administrar anlisis en los equipos cliente" en la pgina 293. Ver "Cmo evitar y controlar ataques del virus y de spyware en los equipos cliente" en la pgina 286. Para los equipos cliente Windows, es posible ejecutar un anlisis manual personalizado o activo y completo. Para los equipos cliente Mac, es posible ejecutar solamente un anlisis manual personalizado.
Administracin de proteccin antivirus y antispyware Cmo ajustar el anlisis para mejorar rendimiento del equipo
319
El anlisis personalizado utiliza las opciones establecidas para los anlisis manuales en la poltica de proteccin antivirus y antispyware. Nota: Si se emite un comando de reinicio en un equipo cliente que ejecuta un anlisis manual, el anlisis se detiene y el equipo cliente se reinicia. El anlisis no se reinicia. Es posible ejecutar un anlisis manual del registro del estado del equipo o de la ficha Clientes en la consola. Es posible cancelar todos los anlisis en curso y en cola para los clientes seleccionados desde el registro de Estado del equipo. Si confirma el comando, la tabla se actualiza y se ve que el comando de cancelacin se agrega a la tabla de estado del comando. Ver "Ejecucin de comandos en el equipo cliente desde los registros" en la pgina 623. Ver "Acerca de los comandos que puede ejecutar en los equipos cliente" en la pgina 213. Para ejecutar un anlisis manual en los equipos cliente
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Clientes. En Clientes, haga clic con el botn derecho en los clientes o en el grupo que desea analizar. Realice una de las acciones siguientes:

Haga clic en Ejecutar comando en el grupo > Anlisis. Haga clic en Ejecutar comando en clientes > Anlisis.
En clientes de Windows, seleccione Anlisis activo, Anlisis completo o Anlisis personalizado y, a continuacin, haga clic en Aceptar.
Cmo ajustar el anlisis para mejorar rendimiento del equipo

De forma predeterminada, los anlisis de virus y spyware minimizan el efecto en los recursos de los equipos cliente. Es posible cambiar una configuracin de anlisis para optimizar el rendimiento an ms. Muchas de las tareas que se sugieren aqu son tiles en los entornos que ejecutan Symantec Endpoint Protection en sistemas operativos invitados, en mquinas virtuales (VM).
320
La configuraciones que estn disponibles son diferentes para los equipos de Windows y Mac. Ver "Cmo administrar anlisis en los equipos cliente" en la pgina 293. Tabla 14-11 Ajustar anlisis para mejorar el rendimiento en los equipos de Windows Descripcin
Es posible ajustar las siguientes opciones para anlisis programados y manuales: Cambiar opciones de ajuste Es posible cambiar el ajuste de anlisis a Mximorendimientodeaplicaciones. Cuando configura un anlisis con estos valores, se puede iniciar el anlisis, pero se ejecuta solamente cuando el equipo cliente est inactivo. Si configura la ejecucin de un anlisis activo cuando llegan nuevas definiciones, es posible que el anlisis no se ejecute por hasta 15 minutos si el usuario est utilizando el equipo. Cambiar el nmero de niveles para analizar archivos comprimidos El nivel predeterminado es 3. Se recomienda cambiar el nivel a 1 2 para reducir el tiempo de anlisis.
Tarea
Modificar las opciones de ajuste y archivos comprimidos para anlisis programados y manuales
Ver "Cmo personalizar anlisis definidos por el administrador para los clientes que se ejecutan en equipos Windows" en la pgina 357.
321
Tarea
Usar anlisis reanudables
Descripcin
En equipos en la red que tienen grandes volmenes, los anlisis programados se pueden configurar como anlisis reanudables. Una opcin de duracin de anlisis proporciona un perodo especificado para ejecutar un anlisis. Si el anlisis no se completa cuando finaliza la duracin especificada, se reanuda cuando se lleva a cabo el siguiente perodo de anlisis programado. El anlisis se reanuda en el lugar donde se detuvo hasta que se analiza el volumen completo. La opcin de duracin del anlisis se usa tpicamente en los servidores.
Nota: No use un anlisis reanudable si que

sospecha que el equipo est infectado. Es necesario realizar un anlisis completo que se ejecute hasta que se analice el equipo completo. Tampoco debe usar un anlisis reanudable si un anlisis se puede completar antes del intervalo especificado. Ver "Cmo configurar anlisis programados que se ejecutan en equipos Windows" en la pgina 316. Ajustar configuracin de Auto-Protect Es posible ajustar algunas configuraciones de anlisis de Auto-Protect del sistema de archivos que puede mejorar el rendimiento de equipos cliente. Es posible configurar las siguientes opciones: Memoria cach de archivo Asegrese de que la memoria cach de archivos se habilite (se habilita la opcin predeterminada). Cuando se habilita la memoria cach de archivos, Auto-Protect recuerda los archivos limpios que analiz y no los vuelve a analizar. Configuracin de red Cuando habilita anlisis de Auto-Protect en equipos remotos, asegrese de que est habilitado Solo cuando se ejecutan los archivos.
Ver "Cmo personalizar Auto-Protect para los clientes Windows" en la pgina 353.
322
Tarea
Descripcin
Permitir que todos los anlisis omitan Los anlisis de virus y spyware incluyen una los archivos de confianza opcin denominada Insight que omite los archivos de confianza. De forma predeterminada, Insight se habilita. Es posible cambiar el nivel de confianza para los tipos de archivos que los anlisis omiten: Symantec y archivos de confianza para la comunidad Este nivel omite los archivos que de confianza de Symantec y la comunidad de Symantec. Archivos de confianza para Symantec Este nivel omite solamente los archivos que son de confianza para Symantec.
Ver "Modificacin de la configuracin de anlisis global para clientes Windows" en la pgina 361. Ordenar aleatoriamente anlisis programados En entornos virtualizados donde se implementan varias mquinas virtuales (VM), los anlisis simultneos crean problemas de recursos. Por ejemplo, un nico servidor puede ejecutar 100 VM o ms. Los anlisis simultneos en esas VM consumen a recursos en el servidor. Es posible ordenar aleatoriamente anlisis para limitar el impacto en el servidor. Ver "Cmo distribuir aleatoriamente anlisis para mejorar el rendimiento del equipo en entornos virtualizados" en la pgina 360. Usar Memoria cach de conocimientos Memoria cach de conocimientos compartida compartida en entornos virtualizados elimina la necesidad de volver a analizar los archivos que Symantec Endpoint Protection ha determinado que estn limpios. Es posible usar Memoria cach de conocimientos compartida para los anlisis programados y manuales en sus equipos cliente. Memoria cach de conocimientos compartida es una aplicacin aparte que se instala en un servidor dedicado o en un entorno virtualizado. Ver "Cmo configurar sus clientes para comunicarse con la memoria cach compartida de diagnstico Insight" en la pgina 373.
Administracin de proteccin antivirus y antispyware Ajuste de anlisis para aumentar la proteccin en sus equipos cliente
323
Tabla 14-12 Tarea
Ajustar anlisis para mejorar el rendimiento en los equipos de Mac Descripcin

Se aplica a anlisis programados de clientes que se ejecutan en equipos de Mac. La prioridad del anlisis en equipos de Mac es equivalente a optimizar o ajustar el rendimiento en equipos de Windows. La prioridad alta significa que el anlisis se ejecuta tan rpido como sea posible, pero las aplicaciones pueden ejecutarse ms lentamente durante el anlisis. La prioridad baja significa que otras aplicaciones se ejecutan tan rpido como sea posible, pero el anlisis puede ejecutarse ms lentamente. La prioridad media equilibra la velocidad en la cual las aplicaciones y los anlisis se ejecutan. Ver "Cmo personalizar anlisis definidos por el administrador para los clientes que se ejecutan en equipos Mac" en la pgina 359.
Ajustar prioridad de anlisis
Modificar la configuracin de archivos Se aplica a Auto-Protect y anlisis manuales. comprimidos Es posible habilitar o deshabilitar la opcin, pero no puede especificar el nivel de archivos comprimidos para analizar. Ver "Acerca de los comandos que puede ejecutar en los equipos cliente"en la pgina 355 en la pgina 355.
Ajuste de anlisis para aumentar la proteccin en sus equipos cliente

Symantec Endpoint Protection proporciona un alto nivel de seguridad de forma predeterminada. Es posible aumentar la proteccin an ms. La configuracin es diferente para los clientes que se ejecutan en equipos Windows y los clientes que se ejecutan en equipos Mac. Nota: Si aumenta la proteccin en sus equipos cliente, es posible que afecte el rendimiento del equipo.
324
Tabla 14-13
Ajuste de anlisis para aumentar la proteccin en los equipos Windows Descripcin

Ciertas opciones de configuracin estn bloqueadas de forma predeterminada; se pueden bloquear opciones de configuracin adicionales de modo que los usuarios no puedan cambiar la proteccin en sus equipos.
Tarea
Bloquear la configuracin de anlisis
Modificar la configuracin para los Es necesario seleccionar o modificar las siguientes anlisis definidos por el administrador opciones: Rendimiento del anlisis Configure el ajuste del anlisis en Mximo rendimiento de anlisis. La configuracin, sin embargo, puede afectar el rendimiento del equipo cliente. Los anlisis se ejecutan incluso si el equipo no est inactivo. Duracin del anlisis programado De forma predeterminada, los anlisis programados se ejecutan hasta que el intervalo de tiempo especificado caduque y, a continuacin, contina cuando el equipo cliente est inactivo. Es posible configurar la duracin del anlisis en Analizar hasta finalizar. Usar Bsqueda de Insight La Bsqueda de Insight usa la ltima definicin configurada de la nube y la informacin de la base de datos de reputacin de Insight para analizar y tomar decisiones sobre los archivos. Se debe asegurar de que Bsqueda de Insight est habilitada. La configuracin de Bsqueda de Insight es similar a la configuracin de Diagnstico Insight de descargas.
Ver "Cmo personalizar anlisis definidos por el administrador para los clientes que se ejecutan en equipos Windows" en la pgina 357.
325
Tarea
Especificar acciones ms fuertes de deteccin del anlisis
Descripcin
Especifique las acciones Cuarentena, Eliminar o Finalizar para las detecciones.
Nota: Tenga cuidado cuando use Eliminar o

Finalizar para las detecciones de riesgos para la seguridad. La accin pueden causar que algunas aplicaciones legtimas pierdan funcionalidad. Ver "Cmo cambiar la accin que Symantec Endpoint Protection toma cuando realiza una deteccin" en la pgina 366. Aumentar el nivel de proteccin de Bloodhound Bloodhound localiza y asla las regiones lgicas de un archivo para detectar comportamiento de virus. Es posible cambiar el nivel de deteccin de Automtico a Modo intenso para aumentar la proteccin en sus equipos. La configuracin Modo intenso, sin embargo, es probable que produzca ms falsos positivos. Ver "Modificacin de la configuracin de anlisis global para clientes Windows" en la pgina 361. Ajustar configuracin de Auto-Protect Es posible cambiar las siguientes opciones: Memoria cach de archivo Es posible deshabilitar la memoria cach de archivos de modo que Auto-Protect vuelva a analizar los archivos buenos. Configuracin de red De forma predeterminada, los archivos en las unidades de la red se analizan solamente cuando se ejecutan. Es posible deshabilitar esta opcin.
Ver "Cmo personalizar Auto-Protect para los clientes Windows" en la pgina 353.
Tabla 14-14 Tarea
Ajuste de anlisis para aumentar la proteccin en los equipos Mac Descripcin

Ciertas opciones de configuracin estn bloqueadas de forma predeterminada; se pueden bloquear opciones de configuracin adicionales de modo que los usuarios no puedan cambiar la proteccin en sus equipos.
Bloquear la configuracin de anlisis
326
Administracin de proteccin antivirus y antispyware Cmo administrar las detecciones de Diagnstico Insight de descargas
Tarea
Especificar acciones ms fuertes de deteccin del anlisis
Descripcin
Especifique las acciones Cuarentena, Eliminar o Finalizar para las detecciones.
Nota: Tenga cuidado cuando use Eliminar o

Finalizar para las detecciones de riesgos para la seguridad. La accin pueden causar que algunas aplicaciones legtimas pierdan funcionalidad. Ver "Cmo cambiar la accin que Symantec Endpoint Protection toma cuando realiza una deteccin" en la pgina 366.
Cmo administrar las detecciones de Diagnstico Insight de descargas

Auto-Protect incluye una funcin que se denomina Diagnstico Insight de descargas, que examina los archivos que los usuarios intentan descargar por medio de navegadores web, clientes de mensajera de texto y otros portales. Los portales admitidos incluyen Internet Explorer, Firefox, Microsoft Outlook, Outlook Express, Windows Live Messenger y Yahoo Messenger. El Diagnstico Insight de descargas determina que un archivo descargado puede constituir un riesgo basado en pruebas sobre la reputacin del archivo. El Diagnstico Insight de descargas se admite solamente para clientes que se ejecutan en equipos Windows. Nota: Si instala Auto-Protect para correo electrnico en los equipos cliente, Auto-Protect adems analiza los archivos que los usuarios reciben como archivos adjuntos de correo electrnico. Ver "Cmo administrar anlisis en los equipos cliente" en la pgina 293.
327
Tabla 14-15
Cmo administrar las detecciones de Diagnstico Insight de descargas Descripcin

El Diagnstico Insight de descargas usa la informacin de reputacin exclusivamente cuando toma decisiones sobre archivos descargados. No usa firmas ni heurstica para tomar decisiones. Si el Diagnstico Insight de descargas habilita un archivo, Auto-Protect o SONAR analizan el archivo cuando el usuario abre o ejecuta el archivo. Ver "Cmo Symantec Endpoint Protection usa datos de reputacin para tomar decisiones sobre los archivos" en la pgina 331.
Tarea
Aprenda cmo el Diagnstico Insight de descargas usa datos de reputacin para tomar decisiones sobre archivos
Consulte el informe de distribucin de riesgos de descarga para ver las detecciones de Diagnstico Insight de descargas
Es posible usar el informe de distribucin de riesgos de descarga para ver los archivos que el Diagnstico Insight de descargas detect en los equipos cliente. Es posible ordenar el informe por URL, dominio web o aplicacin. Es posible tambin ver si un usuario eligi habilitar un archivo detectado.
Nota: Los detalles del riesgo para una deteccin de Diagnstico Insight de
descargas muestran solamente la primera aplicacin del portal que intent la descarga. Por ejemplo, un usuario puede usar Internet Explorer para intentar descargar un archivo que Diagnstico Insight de descargas detecta. Si el usuario entonces usa Firefox para intentar descargar el archivo, los detalles del riesgo muestran Internet Explorer como el portal. Los archivos permitidos por el usuario que aparecen en el informe pueden indicar detecciones de falsos positivos. Es posible tambin especificar que se desea recibir notificaciones por correo electrnico sobre nuevas descargas permitidas por el usuario. Ver "Cmo configurar notificaciones de administrador" en la pgina 638. Los usuarios pueden permitir los archivos respondiendo a las notificaciones que aparecen para las detecciones. Los administradores reciben el informe como parte de un informe semanal que Symantec Endpoint Protection Manager genera y enva por correo electrnico. Es necesario especificar una direccin de correo electrnico para el administrador durante la instalacin o configurarlo como parte de las propiedades del administrador. Es posible tambin generar el informe desde la ficha Informes en la consola. Ver "Ejecucin y personalizacin de informes rpidos" en la pgina 610.
328
Tarea
Cree excepciones para archivos especficos o dominios web
Descripcin
Es posible crear una excepcin para una aplicacin que los usuarios descargan. Es posible tambin crear una excepcin para un dominio web especfico que considera confiable. Ver "Especificar cmo Symantec Endpoint Protection controla una aplicacin que los anlisis detectan o que los usuarios descargan" en la pgina 526. Ver "Exclusin de un dominio web de confianza de anlisis" en la pgina 527.
Nota: Si sus equipos cliente usan un proxy con la autenticacin, deber

especificar las excepciones de dominio web de confianza para las direcciones URL de Symantec. Las excepciones permiten a sus equipos cliente comunicarse con Symantec Insight y otros sitios importantes de Symantec. Para obtener informacin sobre las excepciones recomendadas, consulte el artculo relacionado de la base de conocimientos del soporte tcnico de Symantec Technical Support Knowledge Base article. De forma predeterminada, el Diagnstico Insight de descargas no examina ningn archivo que los usuarios descarguen de sitios de Internet o de la intranet de confianza. Se configuran sitios de confianza y sitios de confianza de la intranet local en la ficha de Windows Panel de control > Opciones de Internet > Seguridad. Cuando la opcin Confiar automticamente en cualquier archivo descargado de un sitio de la intranet est habilitada, Symantec Endpoint Protection habilita cualquier archivo que un usuario descargue de cualquier sitio de la lista.
Nota: El Diagnstico Insight de descargas reconoce solamente los sitios

de confianza explcitamente configurados. Los comodines estn permitidos, pero los intervalos de direcciones IP no enrutables no se admiten. Por ejemplo, el Diagnstico Insight de descargas no reconoce 10.*.*.* como sitio de confianza. El Diagnstico Insight de descargas tampoco admite los sitios detectados por la opcin Opciones de Internet > Seguridad > Detectar redes intranet automticamente. Asegrese de que las Bsquedas de Insight estn habilitadas El Diagnstico Insight de descargas solicita datos de la reputacin de Symantec Insight para tomar decisiones sobre los archivos. Si deshabilita las Bsquedas de Insight, Diagnstico Insight de descargas se ejecuta, pero detecta solamente los archivos con las reputaciones peores. Las Bsquedas de Insight se habilitan de forma predeterminada. Ver "Cmo habilitar o deshabilitar envos de los clientes a Symantec Security Response" en la pgina 335.
329
Tarea
Personalizar la configuracin de Diagnstico Insight de descargas
Descripcin
330
Tarea
Descripcin
Es posible que desee personalizar la configuracin de Diagnstico Insight de descargas por los siguientes motivos: Aumentar o disminuir el nmero de detecciones de Diagnstico Insight de descargas. Es posible ajustar el control deslizante de susceptibilidad del archivo malicioso para aumentar o disminuir el nmero de detecciones. En niveles de sensibilidad ms bajos, el Diagnstico Insight de descargas detecta menos archivos como maliciosos y ms archivos como sin probar. Menos detecciones son detecciones de falsos positivos. En niveles de sensibilidad ms altos, el Diagnstico Insight de descargas detecta ms archivos como maliciosos y menos archivos como sin probar. Ms detecciones son detecciones de falsos positivos. Cambiar la accin para las detecciones maliciosas o de archivo sin probar. Es posible cambiar cmo el Diagnstico Insight de descargas controla los archivos maliciosos o sin probar. La accin especificada afecta no solo la deteccin sino tambin si los usuarios pueden interaccionar con la deteccin. Por ejemplo, es posible que cambie la accin para los archivos sin probar a Omitir. A continuacin, el Diagnstico Insight de descargas habilita los archivos sin probar y no alerta al usuario. Alerta a los usuarios sobre detecciones de Diagnstico Insight de descargas. Cuando se habilitan las notificaciones, la configuracin de la susceptibilidad de archivos maliciosos afecta el nmero de notificaciones que reciben los usuarios. Si aumenta la susceptibilidad, aumenta el nmero de notificaciones de usuario porque se incrementa la cantidad total de detecciones. Es posible desactivar las notificaciones, de modo que los usuarios no tengan una opcin cuando el Diagnstico Insight de descargas realiza una deteccin. Si mantiene las notificaciones habilitadas, puede configurar la accin para archivos sin probar en Omitir, de modo que estas detecciones estn siempre permitidas y no notifiquen a los usuarios. Sin importar si las notificaciones estn habilitadas, cuando Diagnstico Insight de descargas detecta un archivo sin probar y la accin es Solicitud, el usuario puede permitir o bloquear el archivo. Si el usuario permite el archivo, el archivo se ejecuta de forma automtica. Cuando se habilitan las notificaciones y Diagnstico Insight de descargas pone en cuarentena un archivo, el usuario puede deshacer la accin de cuarentena y permitir el archivo.
Nota: Si los usuarios permiten un archivo en cuarentena, el archivo no
Administracin de proteccin antivirus y antispyware Cmo Symantec Endpoint Protection usa datos de reputacin para tomar decisiones sobre los archivos
331
Tarea
Descripcin
se ejecuta de forma automtica. El usuario puede ejecutar el archivo desde la carpeta temporal de Internet. La ubicacin de la carpeta es, por lo general, Unidad:\\Documents and Settings\username\Local Settings\Temporary Internet Files. Ver "Cmo personalizar la configuracin de Diagnstico Insight de descargas" en la pgina 365.
Permite que los clientes enven informacin sobre detecciones de reputacin a Symantec
De forma predeterminada, los clientes envan informacin sobre detecciones de reputacin a Symantec. Symantec recomienda que habilite los envos para detecciones de reputacin. La informacin ayuda a Symantec a enfrentar las amenazas. Ver "Cmo habilitar o deshabilitar envos de los clientes a Symantec Security Response" en la pgina 335.
Cmo Symantec Endpoint Protection usa datos de reputacin para tomar decisiones sobre los archivos
Symantec recopila informacin sobre los archivos de su comunidad global de millones de usuarios y de Global Intelligence Network. La informacin recopilada forma una base de datos de reputacin que Symantec alberga. Los productos de Symantec aprovechan la informacin para proteger los equipos cliente contra amenazas nuevas, dirigidas y que se transforman. Se hace referencia a los datos a veces como que estn en la nube, ya que no residen en el equipo cliente. El equipo cliente debe solicitar o consultar la base de datos de reputacin. Symantec usa una tecnologa llamada Insight para determinar el nivel de riesgo o de calificacin de seguridad de cada archivo. Insight determina la calificacin de seguridad de un archivo examinando las caractersticas siguientes del archivo y de su contexto:

El origen del archivo Cmo es el nuevo archivo Qu tan frecuente es el archivo en la comunidad Otras medidas de seguridad, por ejemplo, cmo el archivo se podra asociar a software malicioso
Las funciones de anlisis en Symantec Endpoint Protection aprovechan Insight para tomar decisiones sobre los archivos y las aplicaciones. La Proteccin antivirus y antispyware incluye una funcin que se llama Diagnstico Insight de descargas.
332
Administracin de proteccin antivirus y antispyware Cmo funcionan en conjunto las funciones de proteccin de Symantec Endpoint Protection
Diagnstico Insight de descargas se basa en la informacin de reputacin para hacer detecciones. Si deshabilita operaciones de bsqueda de la penetracin, Diagnstico Insight de descargas ejecuta pero no puede hacer detecciones. Otras funciones de proteccin, tales como Bsqueda de Insight y SONAR, usan la informacin de reputacin para hacer detecciones; sin embargo, esas funciones pueden usar otras tecnologas para hacer detecciones. De forma predeterminada, un equipo cliente enva informacin sobre detecciones de reputacin a Symantec Security Response para un anlisis. La informacin ayuda a perfeccionar la base de datos de reputacin de Insight. Cuantos ms clientes enven informacin, ms til ser la base de datos de reputacin. Es posible deshabilitar el envo de informacin de reputacin. Symantec recomienda, sin embargo, que se mantengan habilitados los envos. Los equipos cliente adems presentan otros tipos de informacin sobre detecciones a Symantec Security Response. Ver "Cmo administrar las detecciones de Diagnstico Insight de descargas" en la pgina 326. Ver "Cmo funcionan en conjunto las funciones de proteccin de Symantec Endpoint Protection" en la pgina 332. Ver "Cmo habilitar o deshabilitar envos de los clientes a Symantec Security Response" en la pgina 335.
Cmo funcionan en conjunto las funciones de proteccin de Symantec Endpoint Protection

Algunas funciones de polticas se necesitan entre s para proporcionar proteccin completa en los equipos cliente Windows. Advertencia: Symantec recomienda no deshabilitar las Bsquedas de Insight.
333
Tabla 14-16
Cmo funcionan en conjunto las funciones de polticas Notas de interoperabilidad

Proteccin de descargas es parte de Auto-Protect y brinda a Symantec Endpoint Protection la capacidad de realizar un seguimiento de direcciones URL. El seguimiento de las URL es necesario para varias funciones de polticas. Si instala Symantec Endpoint Protection sin Proteccin de descargas, Diagnstico Insight de descargas tiene funcionalidad limitada. Prevencin contra intrusiones de navegador y SONAR necesitan Proteccin de descargas. La opcin Confiar automticamente en cualquier archivo descargado de un sitio web de intranet tambin necesita Proteccin de descargas.
Funcin de poltica
Proteccin de descargas
Diagnstico Insight de descargas
Diagnstico Insight de descargas tiene las dependencias siguientes: Auto-Protect debe estar habilitado. Si deshabilita Auto-Protect, Diagnstico Insight de descargas no puede funcionar incluso si se habilita Diagnstico Insight de descargas. Las Bsquedas de Insight se deben habilitar Symantec recomienda que se mantenga la opcin de las Bsqueda de Insight habilitada. Si deshabilita la opcin, deshabilita Diagnstico Insight de descargas totalmente.
Nota: Si Proteccin de descargas no est

instalado, Diagnstico Insight de descargas se ejecuta en el cliente en el nivel 1. Cualquier nivel que configur en la poltica no se aplica. El usuario, adems, no puede ajustar el nivel de sensibilidad. Incluso si deshabilita Diagnstico Insight de descargas, la opcin Confiar automticamente en cualquier archivo descargado de un sitio web de intranet contina funcionando para Bsqueda de Insight.
334
Funcin de poltica
Bsqueda de Insight
Notas de interoperabilidad
Usa Bsquedas de Insight Bsqueda de Insight usa las ltimas definiciones de la nube y de la base de datos de reputacin de Insight para tomar decisiones sobre los archivos. Si deshabilita las Bsquedas de Insight, Bsqueda de Insight usa las ltimas definiciones solamente para tomar decisiones sobre los archivos. Bsqueda de Insight tambin usa la opcin Confiar automticamente en cualquier archivo descargado de un sitio web de intranet.
Nota: Bsqueda de Insight no se ejecuta en los

anlisis con el botn derecho de carpetas o de unidades en sus equipos cliente. Bsqueda de Insight se ejecuta en los anlisis con el botn derecho de archivos seleccionados. SONAR SONAR tiene las dependencias siguientes:

Proteccin de descargas debe estar instalado.
Auto-Protect debe estar habilitado. Si deshabilita Auto-Protect, SONAR pierde cierta funcionalidad de deteccin y parece funcionar incorrectamente en el cliente. SONAR puede detectar amenazas heursticas, sin embargo, incluso si se deshabilita Auto-Protect. Las Bsquedas de Insight se deben habilitar. Sin las Bsquedas de Insight, SONAR puede ejecutarse, pero no puede hacer detecciones. En algunos casos raros, SONAR puede hacer detecciones sin las Bsquedas de Insight. Si Symantec Endpoint Protection ha ocultado previamente la informacin de la reputacin sobre archivos determinados, SONAR puede usar la informacin de la memoria cach. Prevencin contra intrusiones de navegador Proteccin de descargas debe estar instalado. Diagnstico Insight de descargas puede estar habilitado o deshabilitado.
Administracin de proteccin antivirus y antispyware Cmo habilitar o deshabilitar envos de los clientes a Symantec Security Response
335
Funcin de poltica
Notas de interoperabilidad
Excepcin de dominio web de confianza Proteccin de descargas debe estar instalado. Cuando crea una excepcin de dominio web de confianza, la excepcin se aplica solamente si Proteccin de descargas est instalado.
Ver "Cmo administrar las detecciones de Diagnstico Insight de descargas" en la pgina 326. Ver "Cmo administrar SONAR" en la pgina 381. Ver "Cmo administrar la prevencin de intrusiones en sus equipos cliente" en la pgina 453.
Cmo habilitar o deshabilitar envos de los clientes a Symantec Security Response

Symantec Endpoint Protection puede proteger los equipos enviando informacin sobre detecciones a Symantec Security Response. Symantec Security Response usa esta informacin para tratar amenazas nuevas y cambiantes. Cualquier dato que enva mejora la capacidad de Symantec de responder a las amenazas y de personalizar la proteccin para sus equipos. Symantec recomienda que se opte por enviar tanta informacin de deteccin como sea posible. Ver "Acerca de enviar informacin sobre detecciones a Symantec Security Response" en la pgina 308. Ver "Cmo Symantec Endpoint Protection usa datos de reputacin para tomar decisiones sobre los archivos" en la pgina 331. Ver "Especificar un servidor proxy para los envos de los clientes y otras comunicaciones externas" en la pgina 337. Los equipos cliente envan informacin annima sobre detecciones. Es posible especificar los tipos de detecciones para las cuales los clientes presenten informacin. Es posible tambin habilitar o deshabilitar los envos de los equipos cliente. Symantec recomienda que se habiliten siempre los envos. En algunos casos, sin embargo, puede ser recomendable evitar que sus clientes enven tal informacin. Por ejemplo, sus polticas corporativas pueden impedir que sus equipos cliente enven cualquier informacin de red a las entidades exteriores.
336
Administracin de proteccin antivirus y antispyware Cmo habilitar o deshabilitar envos de los clientes a Symantec Security Response
Para habilitar o deshabilitar envos de los clientes a Symantec Security Response
1 2 3 4
En la consola, seleccione Clientes y luego haga clic en la ficha Polticas. En el panel Configuracin, haga clic en Configuracin de comunicaciones externas. Haga clic en la ficha Envos. Si desea permitir a sus equipos cliente enviar datos para el anlisis, seleccione Permitir que los equipos reenven automticamente informacin de seguridad annima seleccionada a Symantec. Para deshabilitar los envos para el cliente, anule la seleccin de Permitir que los equipos reenven automticamente informacin de seguridad annima seleccionada a Symantec. Si deshabilita los envos para un cliente y bloquea la configuracin, el usuario no puede configurar el cliente para hacer envos. Si los habilita, selecciona sus tipos de envos y bloquea la configuracin, el usuario no puede cambiar su configuracin elegida. Si no bloquea su configuracin, el usuario puede cambiar la configuracin segn lo desee. Symantec recomienda que se enve informacin de amenazas para ayudar a Symantec a proporcionar proteccin contra amenazas personalizada. Sin embargo, es posible que sea necesario deshabilitar esta funcin en respuesta a problemas de ancho de banda de la red o una restriccin en los datos que salen del cliente. Es posible seleccionar Actividad del cliente para ver la actividad de los envos del registro si necesita supervisar su uso del ancho de banda. Ver "Ver registros" en la pgina 616.
Seleccione los tipos de informacin para enviar:
Reputacin de archivos La informacin sobre los archivos que se detectan segn su reputacin. La informacin sobre estos archivos contribuye a la base de datos de reputacin de Symantec Insight para ayudar a proteger sus equipos contra los riesgos nuevos y emergentes. Detecciones de antivirus Informacin sobre detecciones del anlisis de virus y spyware. Detecciones heursticas avanzadas de antivirus La informacin sobre las amenazas potenciales detectadas por Bloodhound y otra heurstica de anlisis de virus y spyware. Estas detecciones son detecciones silenciosas que no aparecen en el registro de riesgos. La informacin sobre estas detecciones se usa para el anlisis estadstico.
Administracin de proteccin antivirus y antispyware Especificar un servidor proxy para los envos de los clientes y otras comunicaciones externas
337
Detecciones de SONAR Informacin sobre las amenazas que SONAR detecta, que incluye las detecciones de alto o bajo riesgo, eventos de cambios en el sistema y comportamiento sospechoso de aplicaciones de confianza. Heurstica de SONAR Las detecciones heursticas de SONAR son detecciones silenciosas que no aparecen en el registro de riesgos. Esta informacin se usa para el anlisis estadstico.
Seleccione Permitir bsquedas de Insight para la deteccin de amenazas para permitir que Symantec Endpoint Protection use la base de datos de reputacin de Symantec Insight para tomar decisiones sobre amenazas. Las Bsquedas de Insight se habilitan de forma predeterminada. Es posible deshabilitar esta opcin si no desea permitir que Symantec Endpoint Protection consulte la base de datos de reputacin de Symantec Insight. Diagnstico Insight de descargas, Bsqueda de Insight y SONAR usan las Bsquedas de Insight para la deteccin de amenazas. Symantec recomienda que se permitan las Bsquedas de Insight. Deshabilitar las bsquedas deshabilita Diagnstico Insight de descargas y puede empeorar la funcionalidad de la heurstica de SONAR y de Bsqueda de Insight.
Especificar un servidor proxy para los envos de los clientes y otras comunicaciones externas
Es posible configurar un servidor proxy para los envos y otras comunicaciones externas que sus clientes Windows usan. Ver "Cmo habilitar o deshabilitar envos de los clientes a Symantec Security Response" en la pgina 335. Nota: Si sus equipos cliente usan un proxy con la autenticacin, deber especificar las excepciones de dominio web de confianza para las direcciones URL de Symantec. Las excepciones permiten a sus equipos cliente comunicarse con Symantec Insight y otros sitios importantes de Symantec. Para obtener informacin sobre las excepciones recomendadas, consulte el artculo relacionado de la base de conocimientos del soporte tcnico de Symantec Technical Support Knowledge Base article. Ver "Cmo crear las excepciones para Symantec Endpoint Protection" en la pgina 519.
338
Administracin de proteccin antivirus y antispyware Cmo administrar la cuarentena
Para configurar un servidor proxy para los envos de los clientes y otras comunicaciones externas
1 2 3 4
En la consola, en la pgina Clientes, seleccione el grupo y despus haga clic en Polticas. En Configuracin o Configuracin especfica de la ubicacin, haga clic en Comunicaciones externas. En la ficha Servidor proxy (Windows), en Configuracin del proxy HTTPS, seleccione Utilizar configuracin de proxy personalizada. Especifique la informacin sobre el servidor proxy que sus clientes usan. Consulte la ayuda en pantalla para obtener ms informacin sobre las opciones. Haga clic en Aceptar.
Cmo administrar la cuarentena

Cuando los anlisis en busca de virus y spyware detectan una amenaza o SONAR detecta una amenaza, Symantec Endpoint Protection pone los archivos en la cuarentena local del equipo cliente. Ver "Cmo administrar anlisis en los equipos cliente" en la pgina 293. Tabla 14-17 Tarea
Controlar archivos en cuarentena
Cmo administrar la cuarentena Descripcin

Es necesario comprobar peridicamente los archivos en cuarentena para evitar la acumulacin de grandes cantidades de archivos. Compruebe los archivos en cuarentena cuando un nuevo ataque de virus aparezca en la red. Deje los archivos con infecciones desconocidas en cuarentena. Cuando el cliente recibe nuevas definiciones, vuelve a analizar los elementos en cuarentena y es posible que elimine o repare el archivo.
339
Tarea
Eliminar archivos en cuarentena
Descripcin
Es posible eliminar un archivo en cuarentena si existe una copia de seguridad o si tiene una copia del archivo de un origen confiable. Es posible eliminar un archivo en cuarentena directamente en el equipo infectado o con el registro de riesgo en la consola de Symantec Endpoint Protection. Ver "Cmo usar el registro de riesgos para eliminar los archivos en cuarentena en sus equipos cliente" en la pgina 344.
Configurar cmo Symantec Endpoint Protection vuelve a analizar los elementos en cuarentena cuando llegan las nuevas definiciones
De forma predeterminada, Symantec Endpoint Protection vuelve a analizar los elementos cuando llegan nuevas definiciones. Repara y restaura automticamente los elementos de manera silenciosa. Tpicamente, es necesario guardar la configuracin predeterminada, pero puede cambiar la accin de repeticin del anlisis en funcin de las necesidades. Ver "Cmo configurar el modo en que la cuarentena controla la capacidad de volver a analizar archivos despus de que llegan nuevas definiciones" en la pgina 343.
340
Tarea
Descripcin
Especificar cmo los clientes Symantec Endpoint Protection permite a los usuarios enviar envan informacin sobre los archivos infectados o sospechosos y los efectos elementos en cuarentena secundarios relacionados a Symantec Security Response para realizar un anlisis adicional. Cuando los usuarios envan informacin, Symantec puede refinar su deteccin y reparacin. Es posible habilitar las detecciones basadas en firmas en cuarentena para que se envan de la Cuarentena local a un servidor de Cuarentena central. Las detecciones de reputacin en la cuarentena local no se pueden enviar a un servidor de Cuarentena central. Es necesario configurar el cliente para que enve elementos si usted utiliza un servidor de Cuarentena central en su red de seguridad. El servidor de Cuarentena central puede enviar la informacin a Symantec Security Response. La informacin que los clientes envan ayuda a Symantec a determinar si una amenaza detectada es verdadera. Los archivos enviados a Symantec Security Response se convierten en propiedad de Symantec Corporation. En ciertos casos, los archivos se comparten con la comunidad de antivirus. Si Symantec comparte los archivos, Symantec utiliza el cifrado estndar de la industria y puede mantener los datos annimos para ayudar a proteger la integridad del contenido y su privacidad. Ver "Cmo configurar clientes para enviar elementos en cuarentena a un servidor de Cuarentena central o a Symantec Security Response" en la pgina 343.
341
Tarea
Descripcin
Administrar el De forma predeterminada, la cuarentena almacena archivos almacenamiento de archivos en cuarentena, reparados y de copia de seguridad en una en cuarentena carpeta predeterminada. Elimina automticamente los archivos despus de 30 das. Es posible administrar el almacenamiento de elementos en cuarentena de las siguientes maneras: Especifique una carpeta local para almacenar los archivos en cuarentena. Es posible usar la carpeta predeterminada o una carpeta que elija. Ver "Cmo especificar una carpeta de cuarentena local" en la pgina 341. Especifique cuando los archivos se eliminan automticamente. La cuarentena elimina automticamente los archivos una vez que transcurre un nmero especificado de das. Tambin es posible configurar la cuarentena para eliminar los archivos cuando la carpeta donde estn almacenados alcanza un tamao especificado. Es posible configurar los valores individualmente para archivos reparados, archivos de copia de seguridad y archivos en cuarentena. Ver "Especifique cuando los archivos en cuarentena se eliminan automticamente" en la pgina 342.
Cmo especificar una carpeta de cuarentena local

Si no desea utilizar la carpeta de cuarentena predeterminada para almacenar los archivos en cuarentena en los equipos cliente, es posible especificar una carpeta local diferente. Es posible utilizar la extensin de ruta, para ello use el signo de porcentaje al escribir la ruta. Por ejemplo, puede escribir %COMMON_APPDATA%. Las rutas relativas no se permiten. Ver "Cmo administrar la cuarentena" en la pgina 338. Para especificar una carpeta de cuarentena local
1 2
En la pgina Poltica de proteccin antivirus y antispyware, haga clic en Cuarentena. En la ficha Otros, en Opciones locales de cuarentena, haga clic en Especifique la carpeta de cuarentena.
342
En el cuadro de texto, escriba el nombre de una carpeta local en los equipos cliente. Es posible utilizar la extensin de ruta, para ello use el signo de porcentaje al escribir la ruta. Por ejemplo, es posible escribir %COMMON_APPDATA%, pero las rutas relativas no se permiten. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
Especifique cuando los archivos en cuarentena se eliminan automticamente

Symantec Endpoint Protection elimina automticamente los archivos en cuarentena cuando superan una antigedad especificada. Es posible configurar la cuarentena para tambin eliminar los archivos cuando la carpeta donde estn almacenados alcanza cierto tamao. Se puede usar una de estas opciones, o ambas. Si se configuran los dos tipos de lmites, se depurarn primero todos los archivos de antigedad mayor a la especificada. Si el tamao de la carpeta an supera el lmite de tamao especificado, se eliminan los archivos anteriores uno por uno. Se eliminan archivos hasta que el tamao de la carpeta sea inferior al lmite. Ver "Cmo administrar la cuarentena" en la pgina 338. Para configurar opciones de limpieza automtica
1 2 3 4
En la consola, abra una poltica de proteccin antivirus y antispyware, y haga clic en Cuarentena. En la ficha Limpieza, en Archivos reparados, seleccione o anule la seleccin de Habilitar la eliminacin automtica de archivos reparados. En el cuadro Suprimir despus de, escriba un valor o haga clic en las flechas para seleccionar el intervalo en das. Seleccione Eliminar los archivos ms antiguos para limitar el tamao de la carpeta en y escriba el tamao de carpeta mximo permitido, en megabytes. La configuracin predeterminada es 50 MB. En Archivos de copia de seguridad, seleccione o anule la seleccin de Habilitar la eliminacin automtica de archivos de copia de seguridad. En el cuadro Suprimir despus de, escriba el intervalo o haga clic en las flechas para seleccionarlo. Seleccione Eliminar los archivos ms antiguos para limitar el tamao de la carpeta en y escriba el tamao de carpeta mximo permitido, en megabytes. El valor predeterminado es 50 MB.
5 6 7
343
En Archivos en cuarentena, seleccione o anule la seleccin de Habilitar la eliminacin automtica de archivos en cuarentena que no se pudieron reparar. En el cuadro Suprimir despus de, escriba un valor o haga clic en las flechas para seleccionar el intervalo en das. carpeta en y escriba el tamao de carpeta mximo permitido, en megabytes. El valor predeterminado es 50 MB.
10 Seleccione Eliminar los archivos ms antiguos para limitar el tamao de la
11 Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
Cmo configurar clientes para enviar elementos en cuarentena a un servidor de Cuarentena central o a Symantec Security Response
Los clientes pueden enviar automticamente elementos en cuarentena a un servidor de Cuarentena central. Es posible tambin permitir que los usuarios en los equipos cliente envan manualmente elementos en cuarentena directamente a Symantec Security Response. Ver "Cmo administrar la cuarentena" en la pgina 338. Para configurar clientes para enviar elementos en cuarentena
1 2
En la consola, abra una poltica de proteccin antivirus y antispyware, y haga clic en Cuarentena. En Elementos en cuarentena, realice una o ambas acciones siguientes:
Seleccione Permitir que los equipos cliente enven automticamente elementos de la cuarentena a un servidor de cuarentena. Escriba el nombre del Servidor de cuarentena. Escriba el nmero de puerto que desea utilizar y seleccione el nmero de segundos para reintentar la conexin. Seleccione Permitir que los equipos cliente enven manualmente elementos de la cuarentena a Symantec Security Response.
Cuando haya terminado de establecer la configuracin para esta poltica, haga clic en Aceptar.
Cmo configurar el modo en que la cuarentena controla la capacidad de volver a analizar archivos despus de que llegan nuevas definiciones
Es posible configurar acciones que desea realizar cuando los equipos cliente reciben nuevas definiciones. De forma predeterminada, el cliente vuelve a analizar los
344
elementos en cuarentena y los repara y restaura automticamente. Por lo general, debe utilizar siempre esta configuracin. Si cre una excepcin para un archivo o una aplicacin en la cuarentena, Symantec Endpoint Protection restaura el archivo una vez que llegan las nuevas definiciones. Ver "Cmo administrar la cuarentena" en la pgina 338. Ver "Cmo reparar riesgos en los equipos en su red" en la pgina 289. Para configurar cmo la cuarentena controla la capacidad de volver a analizar archivos despus de que llegan nuevas definiciones
1 2
En la consola, abra una poltica de proteccin antivirus y antispyware, y haga clic en Cuarentena. En la ficha General, en Cuando lleguen nuevas definiciones de virus, haga clic en una de las siguientes opciones:
Reparar y restaurar automticamente los archivos de la cuarentena de forma silenciosa Reparar los archivos de la cuarentena de forma silenciosa sin restaurarlos Preguntar al usuario No hacer nada
Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
Cmo usar el registro de riesgos para eliminar los archivos en cuarentena en sus equipos cliente
Es posible usar el registro de riesgos en la consola de Symantec Endpoint Protection Manager para eliminar los archivos en cuarentena en sus equipos cliente. Se ejecuta el comando Eliminar de Cuarentena del registro para cualquier archivo en cuarentena que desee eliminar. Ver "Cmo administrar anlisis en los equipos cliente" en la pgina 293. Si Symantec Endpoint Protection detecta riesgos en un archivo comprimido, el archivo comprimido se coloca totalmente en cuarentena. Sin embargo, el registro de riesgos contiene una entrada separada para cada archivo del archivo comprimido. Para eliminar correctamente todos los riesgos en un archivo comprimido, es necesario seleccionar todos los archivos en el archivo comprimido.
Administracin de proteccin antivirus y antispyware Cmo administrar las notificaciones de virus y spyware que aparecen en los equipos cliente
345
Para usar el registro de riesgos para eliminar los archivos de cuarentena en sus equipos cliente
1 2 3
Haga clic en Supervisin. En la ficha Registros, del cuadro de lista Tipo de registro, seleccione el registro de Riesgos y despus haga clic en Ver registro. Realice una de las acciones siguientes:
Seleccione una entrada del registro que tenga un archivo que se haya puesto en cuarentena. Seleccione todas las entradas de los archivos del archivo comprimido. Todas las entradas del archivo comprimido deben estar en la vista del registro. Es posible utilizar la opcin Lmite de Configuracin avanzada para aumentar el nmero de entradas en la vista.
4 5 6 7
Desde el cuadro de lista Accin, seleccione Eliminar de Cuarentena. Haga clic en Start(Iniciar). En el cuadro de dilogo que aparece, haga clic en Eliminar. En el cuadro de dilogo de confirmacin que aparece, haga clic en Aceptar.
Cmo administrar las notificaciones de virus y spyware que aparecen en los equipos cliente
Es posible decidir si las notificaciones aparecen o no en los equipos cliente para eventos de virus y de spyware. Es posible personalizar mensajes sobre detecciones. Ver "Cmo administrar anlisis en los equipos cliente" en la pgina 293.
346
Tabla 14-18
Notificaciones de virus y de spyware que aparecen en los equipos cliente Descripcin

Para los equipos cliente Windows, puede configurar un mensaje de deteccin para los siguientes tipos de anlisis: Todos los tipos de Auto-Protect, incluido Diagnstico Insight de descargas. Anlisis programados y anlisis manuales. Para los anlisis programados, puede configurar un mensaje aparte para cada anlisis.
Notificacin de usuario
Cmo personalizar un mensaje de deteccin del anlisis
Nota: Si un proceso descarga continuamente el

mismo riesgo para la seguridad a un equipo cliente, Auto-Protect detiene automticamente el envo de notificaciones despus de tres detecciones. Auto-Protect adems detiene el registro del evento. En algunas situaciones, sin embargo, Auto-Protect no detiene el envo de notificaciones y el registro de eventos. Auto-Protect contina enviando notificaciones y registrando eventos cuando la accin para la deteccin es No hacer nada (registrar). Para los equipos cliente Mac, puede configurar un mensaje de deteccin que se aplique a todos los anlisis programados y un mensaje que se aplique a los anlisis manuales. Ver "Cmo personalizar anlisis definidos por el administrador para los clientes que se ejecutan en equipos Windows" en la pgina 357. Ver "Cmo personalizar anlisis definidos por el administrador para los clientes que se ejecutan en equipos Mac" en la pgina 359. Cambiar la configuracin para las notificaciones de usuario sobre las detecciones de Diagnstico Insight de descargas Es posible cambiar qu notificaciones reciben los usuarios sobre las detecciones de Diagnstico Insight de descargas. Ver "Cmo administrar las detecciones de Diagnstico Insight de descargas" en la pgina 326.
347
Cambiar la configuracin para las notificaciones de usuario sobre las detecciones de SONAR Elegir si mostrar o no el cuadro de dilogo de resultados de Auto-Protect
Descripcin
Es posible cambiar qu notificaciones reciben los usuarios sobre las detecciones de SONAR. Ver "Cmo administrar SONAR" en la pgina 381. Se aplica solamente a equipos cliente Windows. Se aplica solamente a Auto-Protect para el sistema de archivos. Ver "Cmo personalizar anlisis definidos por el administrador para los clientes que se ejecutan en equipos Windows" en la pgina 357.
Configurar notificaciones por correo electrnico de Auto-Protect
Se aplica solamente a equipos cliente Windows. Cuando los anlisis del correo electrnico de Auto-Protect encuentran un riesgo, Auto-Protect puede enviar notificaciones por correo electrnico para alertar al remitente del correo electrnico y a cualquier otra direccin de correo electrnico que se especifique. Es posible tambin insertar una advertencia en el mensaje de correo electrnico. Para Auto-Protect para correo electrnico de Internet, puede tambin especificar que aparezca una notificacin sobre el progreso del anlisis cuando Auto-Protect analiza un correo electrnico. Ver "Cmo personalizar Auto-Protect para los anlisis de correo electrnico en los equipos Windows" en la pgina 356.
348
Descripcin
Permitir a los usuarios ver el progreso Se aplica solamente a equipos cliente Windows. de los anlisis e iniciar o detener los Es posible configurar que aparezca o no el cuadro anlisis de dilogo de progreso del anlisis. Es posible configurar que los usuarios puedan o no interrumpir o retrasar los anlisis. Cuando permite que los usuarios vean el progreso del anlisis, un vnculo al cuadro de dilogo de progreso del anlisis aparece en las pginas principales de la interfaz de usuario del cliente. Un vnculo para reprogramar el anlisis programado siguiente tambin aparece. Ver "Permitir que los usuarios vean el progreso del anlisis y que interaccionen con los anlisis" en la pgina 369. Configurar advertencias, errores e indicaciones Se aplica solamente a equipos cliente Windows. Es posible habilitar o deshabilitar varios tipos de alertas que aparecen en los equipos cliente sobre los eventos de Proteccin antivirus y antispyware. Ver "Modificacin de la configuracin miscelnea para Proteccin antivirus y antispyware en equipos Windows" en la pgina 362.
Captulo
15
Personalizacin de anlisis
Cmo personalizar los anlisis de virus y spyware que se ejecutan en equipos Windows Cmo personalizar los anlisis antivirus y antispyware que se ejecutan en equipos Mac Cmo personalizar Auto-Protect para los clientes Windows Cmo personalizar Auto-Protect para los clientes Mac Cmo personalizar Auto-Protect para los anlisis de correo electrnico en los equipos Windows Cmo personalizar anlisis definidos por el administrador para los clientes que se ejecutan en equipos Windows Cmo personalizar anlisis definidos por el administrador para los clientes que se ejecutan en equipos Mac Cmo distribuir aleatoriamente anlisis para mejorar el rendimiento del equipo en entornos virtualizados Modificacin de la configuracin de anlisis global para clientes Windows Modificacin de la configuracin miscelnea para Proteccin antivirus y antispyware en equipos Windows Cmo personalizar la configuracin de Diagnstico Insight de descargas Cmo cambiar la accin que Symantec Endpoint Protection toma cuando realiza una deteccin Permitir que los usuarios vean el progreso del anlisis y que interaccionen con los anlisis
350
Personalizacin de anlisis Cmo personalizar los anlisis de virus y spyware que se ejecutan en equipos Windows
Cmo Symantec Endpoint Protection interacciona con el Centro de seguridad de Windows Cmo administrar Symantec Endpoint Protection en entornos virtuales
Cmo personalizar los anlisis de virus y spyware que se ejecutan en equipos Windows
Es posible personalizar las opciones para los anlisis definidos por el administrador (programados y manuales) que se ejecutan en los equipos Windows. Es posible tambin personalizar las opciones para Auto-Protect. Ver "Cmo administrar anlisis en los equipos cliente" en la pgina 293. Tabla 15-1 Tarea
Personalizar la configuracin de Auto-Protect
Personalizar anlisis de virus y spyware en equipos Windows Descripcin

Es posible personalizar Auto-Protect de varias maneras, incluida la configuracin para los siguientes valores:

Los tipos de archivos que analiza Auto-Protect
Medidas que Auto-Protect toma cuando realiza una deteccin Las notificaciones de usuario para las detecciones de Auto-Protect Es posible tambin habilitar o deshabilitar el cuadro de dilogo Resultados del anlisis para los anlisis de Auto-Protect del sistema de archivos. Ver "Cmo personalizar Auto-Protect para los clientes Windows" en la pgina 353. Ver "Cmo personalizar Auto-Protect para los anlisis de correo electrnico en los equipos Windows" en la pgina 356.
Personalizacin de anlisis Cmo personalizar los anlisis de virus y spyware que se ejecutan en equipos Windows
351
Tarea
Personalizar anlisis definidos por el administrador
Descripcin
Es posible personalizar los siguientes tipos de opciones para anlisis programados y manuales.

Archivos comprimidos Opciones de ajuste Bsqueda de Insight Opciones de programacin avanzada Notificaciones de usuario sobre detecciones
Ver "Cmo personalizar anlisis definidos por el administrador para los clientes que se ejecutan en equipos Windows" en la pgina 357. Es posible tambin personalizar acciones del anlisis. Ajustar configuracin de descarga de Insight Se recomienda ajustar la susceptibilidad de archivo malicioso para aumentar o disminuir el nmero de detecciones. Es posible tambin modificar las acciones para detecciones y las notificaciones de usuario para detecciones. Ver "Cmo personalizar la configuracin de Diagnstico Insight de descargas" en la pgina 365. Personalizar las acciones de anlisis Es posible cambiar la accin que Symantec Endpoint Protection toma cuando realiza una deteccin. Ver "Cmo cambiar la accin que Symantec Endpoint Protection toma cuando realiza una deteccin" en la pgina 366. Personalizar la configuracin de anlisis global Se recomienda personalizar la configuracin de anlisis global para aumentar o disminuir la proteccin en equipos cliente. Ver "Modificacin de la configuracin de anlisis global para clientes Windows" en la pgina 361.
352
Personalizacin de anlisis Cmo personalizar los anlisis antivirus y antispyware que se ejecutan en equipos Mac
Tarea
Descripcin
Personalizar diferentes opciones para Es posible especificar los tipos de eventos de Proteccin antivirus y antispyware riesgo que los clientes envan a Symantec Endpoint Protection Manager. Es posible tambin ajustar cmo Symantec Endpoint Protection interacciona con el Centro de seguridad de Windows. Ver "Modificacin de la configuracin miscelnea para Proteccin antivirus y antispyware en equipos Windows" en la pgina 362. Ver "Cmo Symantec Endpoint Protection interacciona con el Centro de seguridad de Windows" en la pgina 370.
Cmo personalizar los anlisis antivirus y antispyware que se ejecutan en equipos Mac
Es posible personalizar las opciones para los anlisis definidos por el administrador (anlisis programados y manuales) que se ejecutan en equipos Mac. Es posible tambin personalizar las opciones para Auto-Protect. Ver "Cmo administrar anlisis en los equipos cliente" en la pgina 293. Tabla 15-2 Cmo personalizar los anlisis antivirus y antispyware que se ejecutan en equipos Mac Descripcin
Es posible personalizar la configuracin de Auto-Protect para los clientes que se ejecutan en equipos Mac. Ver "Acerca de los comandos que puede ejecutar en los equipos cliente"en la pgina 355 en la pgina 355.
Tarea
PersonalizarAuto-Protect
Personalizacin de anlisis Cmo personalizar Auto-Protect para los clientes Windows
353
Tarea
Personalizar anlisis definidos por el administrador
Descripcin
Es posible personalizar la configuracin y las notificaciones comunes, as como la prioridad de anlisis. Es posible tambin habilitar o deshabilitar una advertencia para alertar al usuario cuando las definiciones estn desactualizadas. Ver "Cmo personalizar anlisis definidos por el administrador para los clientes que se ejecutan en equipos Mac" en la pgina 359.
Cmo personalizar Auto-Protect para los clientes Windows

Puede ser recomendable personalizar la configuracin de Auto-Protect para clientes Windows. Ver "Cmo personalizar los anlisis de virus y spyware que se ejecutan en equipos Windows" en la pgina 350. Ver "Cmo administrar anlisis en los equipos cliente" en la pgina 293. Para configurar Auto-Protect para los clientes Windows
1 2 3
En la consola, abra una poltica de proteccin antivirus y antispyware. En Config. Windows, en Tecnologa de proteccin, haga clic en Auto-Protect. En la ficha Detalles del anlisis, seleccione o anule la seleccin de Habilitar Auto-Protect. Nota: Si deshabilita Auto-Protect, Diagnstico Insight de descargas no puede funcionar incluso si se habilita.
En Anlisis, en Tipos de archivos, haga clic en una de las siguientes opciones:
Analizar todos los archivos Esta es la opcin predeterminada y la ms segura. Analizar solo las extensiones seleccionadas Es posible mejorar el rendimiento del anlisis seleccionando esta opcin; sin embargo, es posible que disminuya la proteccin en su equipo.
354
Personalizacin de anlisis Cmo personalizar Auto-Protect para los clientes Windows
En Opciones adicionales, seleccione o anule la seleccin de Analizar en busca de riesgos para la seguridad y Bloquear la instalacin de riesgos para la seguridad. Haga clic en Anlisis y supervisin avanzados para cambiar las opciones para las acciones que activan los anlisis de Auto-Protect y cmo Auto-Protect maneja los anlisis de disquetes. Haga clic en Aceptar. En Configuracin de red, seleccione o anule la seleccin de Analizar archivos de equipos remotos para habilitar o deshabilitar los anlisis de Auto-Protect de archivos de red. De forma predeterminada, Auto-Protect solo analiza los archivos en equipos remotos cuando ejecuta los archivos. Puede ser recomendable deshabilitar el anlisis de red para mejorar el rendimiento del anlisis y del equipo.
7 8
Cuando los anlisis de archivos en los equipos remotos estn habilitados, haga clic en Configuracin de red para modificar las opciones de anlisis de la red. acciones:
10 En el cuadro de dilogo Configuracin de red, realice una de las siguientes

Habilite o deshabilite Auto-Protect para que confe en los archivos de los equipos remotos que ejecutan Auto-Protect. Configure las opciones de memoria cach de la red para los anlisis de Auto-Protect.
11 Haga clic en Aceptar. 12 En la ficha Acciones, configure las opciones.

Ver "Cmo cambiar la accin que Symantec Endpoint Protection toma cuando realiza una deteccin" en la pgina 366. Es posible tambin configurar las opciones de reparacin para Auto-Protect.
13 En la ficha Notificaciones, configure cualquiera de las opciones de

notificacin. Ver "Cmo administrar las notificaciones de virus y spyware que aparecen en los equipos cliente" en la pgina 345.
14 En la ficha Avanzado, configure cualquiera de las siguientes opciones:

Inicio y cierre Opciones de recarga
Personalizacin de anlisis Cmo personalizar Auto-Protect para los clientes Mac
355
15 En Opciones adicionales, haga clic en Memoria cach de archivos o Buscador

de riesgos.
16 Configure la memoria cach de archivos o la configuracin de Buscador de

riesgos y despus haga clic en Aceptar.
17 Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
Cmo personalizar Auto-Protect para los clientes Mac

Puede ser recomendable personalizar la configuracin de Auto-Protect para los clientes que se ejecutan en equipos Mac. Ver "Cmo personalizar los anlisis antivirus y antispyware que se ejecutan en equipos Mac" en la pgina 352. Ver "Cmo cambiar la accin que Symantec Endpoint Protection toma cuando realiza una deteccin" en la pgina 366. Ver "Cmo administrar las notificaciones de virus y spyware que aparecen en los equipos cliente" en la pgina 345. Para configurar Auto-Protect para el sistema de archivos para clientes Mac
1 2 3 4
En la consola, abra una poltica de proteccin antivirus y antispyware. En Config. Mac, en Tecnologa de proteccin, haga clic en Auto-Protect para el sistema de archivos. En la parte superior de la ficha Detalles del anlisis, haga clic en el icono de bloqueo para bloquear o desbloquear toda la configuracin. Seleccionar o anular la seleccin de cualquiera de las siguientes opciones:

Habilitar Auto-Protect para el sistema de archivos Reparar automticamente los archivos infectados Poner en cuarentena los archivos que no pueden ser reparados Analizar archivos comprimidos
En Detalles de anlisis generales, especifique los archivos que Auto-Protect analiza. Nota: Para excluir los archivos del anlisis, es necesario seleccionar Analizar todas las ubicaciones, excepto las carpetas especificadas y, a continuacin, agregar una poltica de excepciones para especificar los archivos que se deben excluir. Ver "Exclusin de un archivo o una carpeta de anlisis" en la pgina 523.
356
Personalizacin de anlisis Cmo personalizar Auto-Protect para los anlisis de correo electrnico en los equipos Windows
6 7
En Detalles de anlisis de disco montado, seleccione o anule la seleccin de cualquiera de las opciones disponibles. En la ficha Notificaciones, configure cualquiera de las opciones de notificacin y, a continuacin, haga clic en Aceptar.
Cmo personalizar Auto-Protect para los anlisis de correo electrnico en los equipos Windows
Es posible personalizar Auto-Protect para los anlisis de correo electrnico en los equipos Windows. Ver "Cmo personalizar los anlisis de virus y spyware que se ejecutan en equipos Windows" en la pgina 350. Ver "Cmo administrar las notificaciones de virus y spyware que aparecen en los equipos cliente" en la pgina 345. Para configurar Auto-Protect para correo electrnico de Internet
1 2
En la consola, abra una poltica de proteccin antivirus y antispyware. En Config. Windows, haga clic en una de las siguientes opciones:

Auto-Protect para correo electrnico de Internet Auto-Protect para Microsoft Outlook Lotus Notes, Auto-Protect
3 4
En la ficha Detalles del anlisis, seleccione o anule la seleccin de Habilitar Auto-Protect para correo electrnico de Internet. En Anlisis, en Tipos de archivos, haga clic en una de las siguientes opciones:
Analizar todos los archivos Esta es la opcin predeterminada y la ms segura. Analizar solo las extensiones seleccionadas Es posible mejorar el rendimiento del anlisis seleccionando esta opcin; sin embargo, es posible que disminuya la proteccin en su equipo.
5 6
Active o desactive Analizar archivos incluidos en archivos comprimidos. En la ficha Acciones, configure las opciones. Ver "Cmo cambiar la accin que Symantec Endpoint Protection toma cuando realiza una deteccin" en la pgina 366.
Personalizacin de anlisis Cmo personalizar anlisis definidos por el administrador para los clientes que se ejecutan en equipos Windows
357
En la ficha Notificaciones, en Notificaciones, seleccione o anule la seleccin de Mostrar un mensaje de notificacin en el equipo infectado. Tambin es posible personalizar el mensaje. En Notificaciones por correo electrnico, seleccione o anule la seleccin de cualquiera de las siguientes opciones:

Insertar un aviso en el mensaje de correo electrnico Enviar correo electrnico al remitente Enviar correo electrnico a otros
Es posible personalizar el texto del mensaje e incluir una advertencia. Para Auto-Protect para correo electrnico de Internet, se debe adems especificar el servidor de correo electrnico.
Para Auto-Protect para correo electrnico de Internet solamente, en la ficha Avanzado, en Conexiones cifradas, habilite o deshabilite las conexiones POP3 o SMTP cifradas. seleccin de Anlisis heurstico de gusanos en el correo saliente.
10 En Anlisis heurstico de gusanos en correo masivo, seleccione o anule la 11 Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
Cmo personalizar anlisis definidos por el administrador para los clientes que se ejecutan en equipos Windows
Puede ser recomendable personalizar los anlisis programados o manuales para los clientes que se ejecutan en equipos Windows. Es posible configurar las opciones para los anlisis de archivos comprimidos y optimizar el anlisis para el rendimiento del equipo o el rendimiento del anlisis. Ver "Cmo personalizar los anlisis de virus y spyware que se ejecutan en equipos Windows" en la pgina 350. Ver "Cmo configurar anlisis programados que se ejecutan en equipos Windows" en la pgina 316. Para personalizar un anlisis definido por el administrador para los clientes que se ejecutan en equipos Windows
1 2 3
En la consola, abra una poltica de proteccin antivirus y antispyware. En Config. Windows, haga clic en Anlisis definidos por el administrador. Realice una de las acciones siguientes:
358
Personalizacin de anlisis Cmo personalizar anlisis definidos por el administrador para los clientes que se ejecutan en equipos Windows
En Anlisis programados, seleccione el anlisis programado que desee personalizar o cree un nuevo anlisis programado. En Anlisis manual del administrador, haga clic en Editar.
4 5
En la ficha Detalles del anlisis, seleccione Opciones de anlisis avanzadas. En la ficha Archivos comprimidos, puede reducir el nmero de niveles para analizar archivos comprimidos. Si reduce el nmero de niveles, es posible que mejore el rendimiento del equipo cliente. En la ficha Ajuste, cambie el nivel de ajuste para obtener el mejor rendimiento del equipo cliente o el mejor rendimiento del anlisis. Haga clic en Aceptar. En la ficha Bsqueda de Insight, cambie la configuracin para ajustar la forma en que Bsqueda de Insight maneja las detecciones de reputacin. La configuracin es similar a la configuracin de Diagnstico Insight de descargas. Para anlisis programados solamente, en la ficha Programacin, configure cualquiera de las siguientes opciones:
6 7 8
Duracin del anlisis Es posible configurar cunto tiempo el anlisis se ejecuta antes de que se interrumpa momentneamente y espere hasta que el equipo cliente est inactivo. Es posible tambin ordenar aleatoriamente la hora de inicio del anlisis. Anlisis programados no realizados Es posible especificar un intervalo de reintento para los anlisis no realizados.
10 En la ficha Acciones, cambie cualquier accin de deteccin.

Ver "Cmo cambiar la accin que Symantec Endpoint Protection toma cuando realiza una deteccin" en la pgina 366.
11 En la ficha Notificaciones, habilite o deshabilite una notificacin que aparece

en los equipos cliente cuando el anlisis hace una deteccin. Ver "Cmo administrar las notificaciones de virus y spyware que aparecen en los equipos cliente" en la pgina 345.
Personalizacin de anlisis Cmo personalizar anlisis definidos por el administrador para los clientes que se ejecutan en equipos Mac
359
Cmo personalizar anlisis definidos por el administrador para los clientes que se ejecutan en equipos Mac
Se personalizan los anlisis programados y los anlisis manuales por separado. Algunas de las opciones son diferentes. Ver "Cmo personalizar los anlisis antivirus y antispyware que se ejecutan en equipos Mac" en la pgina 352. Ver "Cmo configurar anlisis programados que se ejecutan en equipos Mac" en la pgina 317. Ver "Cmo cambiar la accin que Symantec Endpoint Protection toma cuando realiza una deteccin" en la pgina 366. Ver "Cmo administrar las notificaciones de virus y spyware que aparecen en los equipos cliente" en la pgina 345. Para personalizar un anlisis programado que se ejecuta en equipos Mac
1 2 3 4 5 6
En la consola, abra una poltica de proteccin antivirus y antispyware. En Config. Mac, seleccione Anlisis definidos por el administrador. En Anlisis programados, seleccione el anlisis programado que desee personalizar o cree un nuevo anlisis programado. En la ficha Detalles del anlisis, en Analizar unidades y carpetas, seleccione los elementos que desee analizar. Establezca la prioridad del anlisis. Haga clic en Aceptar. Edite los detalles del anlisis para cualquier otro anlisis que se incluya en esta poltica.
En la ficha Notificaciones, habilite o deshabilite los mensajes de notificacin sobre detecciones del anlisis. La configuracin se aplica a todos los anlisis programados que se incluyen en esta poltica. En la ficha Configuracin comn, configure cualquiera de las siguientes opciones:

Opciones de anlisis Acciones Alertas
360
Personalizacin de anlisis Cmo distribuir aleatoriamente anlisis para mejorar el rendimiento del equipo en entornos virtualizados
Estas opciones se aplican a todos los anlisis programados que se incluyen en esta poltica.
Para personalizar los anlisis manuales que se ejecutan en equipos Mac
1 2 3
En la pgina Poltica de proteccin antivirus y antispyware, en Configuracin de Mac, seleccione Anlisis definidos por el administrador. En Anlisis manual del administrador, haga clic en Editar. En la ficha Detalles del anlisis, en Analizar unidades y carpetas, seleccione los elementos que desee analizar. Es posible tambin especificar las acciones para las detecciones del anlisis y habilitar o deshabilitar anlisis de archivos comprimidos.
4 5
En la ficha Notificaciones, habilite o deshabilite las notificaciones para las detecciones. Es posible tambin especificar el mensaje que aparece. Haga clic en Aceptar.
Cmo distribuir aleatoriamente anlisis para mejorar el rendimiento del equipo en entornos virtualizados
Es posible distribuir aleatoriamente anlisis programados para mejorar el rendimiento en equipos cliente Windows. El clculo aleatorio es importante en entornos virtualizados. Por ejemplo, es posible que programe anlisis para ejecutarse a las 8:00 p. m. Si selecciona un intervalo de tiempo de cuatro horas, los anlisis en los equipos cliente se inician en un momento aleatorio entre las 8:00 p. m. y las 12:00 a. m. Ver "Cmo ajustar el anlisis para mejorar rendimiento del equipo" en la pgina 319. Ver "Cmo configurar anlisis programados que se ejecutan en equipos Windows" en la pgina 316. Para distribuir aleatoriamente anlisis
1 2 3
En la consola, abra una poltica de proteccin antivirus y antispyware, y haga clic en Anlisis definidos por el administrador. Cree un nuevo anlisis programado o seleccione un anlisis programado existente para editar. En el cuadro de dilogo Agregar anlisis programado o Editar anlisis programado, haga clic en la ficha Programacin.
Personalizacin de anlisis Modificacin de la configuracin de anlisis global para clientes Windows
361
4 5
En Programacin de anlisis, seleccione cuntas veces el anlisis debe ejecutarse. En Duracin del anlisis, seleccione Analizar durante y seleccione el nmero de horas. El nmero de horas controla el intervalo de tiempo durante el cual se ordenan aleatoriamente los anlisis. Asegrese de que se habilite Calcular aleatoriamente la hora de inicio del anlisis dentro de este perodo (se recomienda para VM) Haga clic en Aceptar. Asegrese de que se aplique la poltica al grupo que incluye los equipos que ejecutan las mquinas virtuales.
6 7 8
Modificacin de la configuracin de anlisis global para clientes Windows

Es posible personalizar la configuracin global para los anlisis que se ejecutan en los equipos cliente Windows. Puede ser recomendable modificar estas opciones para aumentar la seguridad en sus equipos cliente. Nota: Si aumenta la proteccin en sus equipos cliente modificando estas opciones, es posible que afecte el rendimiento del equipo cliente. Ver "Cmo administrar anlisis en los equipos cliente" en la pgina 293. Ver "Cmo personalizar los anlisis de virus y spyware que se ejecutan en equipos Windows" en la pgina 350. Para modificar la configuracin de anlisis global para clientes Windows
1 2
En la consola, abra una poltica de proteccin antivirus y antispyware. En Config. Windows, haga clic en Opciones de anlisis global.
362
Personalizacin de anlisis Modificacin de la configuracin miscelnea para Proteccin antivirus y antispyware en equipos Windows
Configure cualquiera de las siguientes opciones:

Insight Insight permite que los anlisis omitan los archivos de confianza. El anlisis puede omitir los archivos que Symantec considera de confianza (ms seguro) o que la comunidad considera de confianza (menos seguro). Bloodhound asla y localiza las regiones lgicas de un archivo para detectar un alto porcentaje de virus desconocidos. Bloodhound analiza entonces la lgica de programa en busca de comportamientos correspondientes a virus. Es posible especificar la sensibilidad de la deteccin.
Bloodhound
Contrasea para unidades de red Especifica si los clientes solicitan a los usuarios asignadas una contrasea cuando el cliente analiza unidades de red. Memoria cach compartida de diagnstico Insight La memoria cach compartida de diagnstico Insight elimina la necesidad de analizar los archivos en un entorno virtualizado cuando Symantec Endpoint Protection determina que los archivos estn limpios. Memoria cach compartida de diagnstico Insight se instala por separado.
Modificacin de la configuracin miscelnea para Proteccin antivirus y antispyware en equipos Windows

Cada poltica de proteccin antivirus y antispyware incluye las opciones que se aplican a todos los anlisis de virus y spyware que se ejecutan en los equipos cliente Windows. Ver "Cmo personalizar los anlisis de virus y spyware que se ejecutan en equipos Windows" en la pgina 350. Ver "Cmo Symantec Endpoint Protection interacciona con el Centro de seguridad de Windows" en la pgina 370. Ver "Cmo administrar las notificaciones de virus y spyware que aparecen en los equipos cliente" en la pgina 345.
363
Centro de seguridad de Windows
Es posible especificar cmo el Centro de seguridad de Windows trabaja con Symantec Endpoint Protection. Es posible especificar una URL predeterminada que Symantec Endpoint Protection usa cuando repara un riesgo para la seguridad que cambi una pgina principal del navegador. De forma predeterminada, los clientes envan siempre ciertos tipos de eventos al servidor de administracin (como Anlisis detenido o Anlisis iniciado ). Es posible elegir enviar o no enviar otros tipos de eventos (como Archivo no analizado ). Los eventos que los clientes envan al servidor de administracin afectan la informacin de informes y registros. Es necesario decidir qu tipo de eventos usted desea reenviar al servidor de administracin. Es posible reducir el tamao de los registros y la cantidad de informacin que se incluye en los informes si usted selecciona solamente ciertos tipos de eventos. Es posible tambin configurar cunto tiempo el cliente conserva elementos de registro. La opcin no afecta los eventos que los clientes enven a la consola de administracin. Es posible utilizar la opcin para reducir el tamao real del registro en los equipos cliente. Es posible tambin especificar cuntas veces los equipos cliente envan eventos agregados el servidor de administracin.
Proteccin del navegador de Internet
Eventos del registro de riesgos
364
Notificaciones variadas
Es posible configurar las siguientes notificaciones: Advertir a los usuarios cuando las definiciones faltan o estn desactualizadas. Es posible exhibir y personalizar los mensajes de advertencia que aparecern en los equipos cliente con definiciones de virus y riesgos para la seguridad desactualizadas o ausentes. Es posible que desee alertar a los usuarios si no tiene actualizaciones automticas programadas. Incluir una URL en los mensajes de error que aparecen durante los anlisis. En raras ocasiones, los usuarios pueden ver qu errores aparecen en sus equipos cliente durante los anlisis. Por ejemplo, es posible que el equipo cliente encuentre desbordamientos de bfer o problemas de descompresin. Es posible especificar una URL que lleve al sitio web de soporte de Symantec o a una URL personalizada. Por ejemplo, en cambio, es posible que tenga un sitio web interno que usted desee especificar.
Nota: La URL tambin aparece en el registro

de eventos del sistema para el cliente en el cual se produce el error. Excepciones de imgenes virtuales Es posible excluir imgenes virtuales de Auto-Protect o de anlisis definidos por el administrador. Es necesario crear las imgenes de la lnea base que desee excluir con la herramienta Exclusin de imgenes virtuales.
Para modificar la configuracin variada para Proteccin antivirus y antispyware
1 2
En la consola, abra una poltica de proteccin antivirus y antispyware. En Configuracin de Windows, haga clic en Otros. Especifique las opciones para Windows Security Center o Proteccin del navegador de Internet.
3 4
En la ficha Tratamiento de registros, configure las opciones para filtrado de eventos, retencin de registros y agregacin de registros. En la ficha Notificaciones, configure las notificaciones globales.
Personalizacin de anlisis Cmo personalizar la configuracin de Diagnstico Insight de descargas
365
5 6
En la ficha Imgenes virtuales, configure las excepciones de imgenes virtuales. Haga clic en Aceptar.
Cmo personalizar la configuracin de Diagnstico Insight de descargas

Es posible que desee personalizar la configuracin de Diagnstico Insight de descargas para disminuir detecciones de falsos positivos en equipos cliente. Es posible cambiar el nivel de susceptibilidad del Diagnstico Insight de descargas de los datos de reputacin del archivo que usa para caracterizar los archivos maliciosos. Es posible tambin cambiar las notificaciones que Diagnstico Insight de descargas muestra en los equipos cliente cuando realiza una deteccin. Ver "Cmo personalizar los anlisis de virus y spyware que se ejecutan en equipos Windows" en la pgina 350. Ver "Cmo administrar las detecciones de Diagnstico Insight de descargas" en la pgina 326. Para personalizar la configuracin de Diagnstico Insight de descargas
1 2
En la consola, abra una poltica de proteccin antivirus y antispyware, y seleccione Proteccin de descargas. En la ficha Diagnstico Insight de descargas, asegrese de que Habilitar Diagnstico Insight de descargas para detectar riesgos en archivos descargados segn reputacin est seleccionado. Si se deshabilita Auto-Protect, Diagnstico Insight de descargas no puede funcionar incluso si se habilita.
Mueva el control deslizante para determinar la susceptibilidad maliciosa del archivo hasta el nivel apropiado. Si configura el nivel ms alto, Diagnstico Insight de descargas detecta ms archivos como maliciosos y menos archivos como sin probar. La configuracin ms alta, sin embargo, devuelve ms falsos positivos.
Seleccione o anule la seleccin de las siguientes opciones para usarlas como criterios adicionales para examinar archivos sin probar:

Archivos con menos de x usuarios Archivos conocidos por los usuarios por tener menos de x das
Cuando los archivos sin probar cumplen con este criterio, el Diagnstico Insight de descargas detecta los archivos como maliciosos.
366
Personalizacin de anlisis Cmo cambiar la accin que Symantec Endpoint Protection toma cuando realiza una deteccin
5 6 7 8
Asegrese de que Confiar automticamente en cualquier archivo descargado de un sitio web de intranet est marcado. En la ficha Acciones, en Archivos maliciosos, especifique una primera accin y una segunda accin. En Archivos sin comprobar, especifique la accin. En la ficha Notificaciones, puede especificar si desea mostrar un mensaje en los equipos cliente cuando Diagnstico Insight de descargas realiza una deteccin. Es posible tambin personalizar el texto de un mensaje de advertencia que aparece cuando un usuario habilita un archivo que detecta el Diagnstico Insight de descargas.
Cmo cambiar la accin que Symantec Endpoint Protection toma cuando realiza una deteccin
Es posible configurar la accin o las acciones que los anlisis deben tomar cuando realizan una deteccin. Cada anlisis tiene su propio conjunto de acciones, como Limpiar, Cuarentena, Eliminar o No hacer nada (registrar). En los clientes de Windows, cada categora de deteccin se puede configurar con una primera accin y una segunda accin en caso de que la primera accin no sea posible. Ver "Cmo personalizar los anlisis de virus y spyware que se ejecutan en equipos Windows" en la pgina 350. Ver "Cmo personalizar los anlisis antivirus y antispyware que se ejecutan en equipos Mac" en la pgina 352. Ver "Cmo administrar las detecciones de Diagnstico Insight de descargas" en la pgina 326. Ver "Cmo administrar SONAR" en la pgina 381. Ver "Cmo comprobar la accin de anlisis y volver a analizar los equipos identificados" en la pgina 292. Ver "Cmo reparar riesgos en los equipos en su red" en la pgina 289. De forma predeterminada, Symantec Endpoint Protection intenta limpiar un archivo infectado por un virus. Si Symantec Endpoint Protection no puede limpiar un archivo, realiza las acciones siguientes:
367
Mueve el archivo a Cuarentena en el equipo infectado y deniega cualquier acceso al archivo. Registra el evento.
De forma predeterminada, Symantec Endpoint Protection mueve cualquier archivo que infecta riesgos para la seguridad a Cuarentena. Si configura la accin de registro solamente, de forma predeterminada si los usuarios crean o guardan archivos infectados, Symantec Endpoint Protection los elimina. En los equipos Windows, puede tambin configurar acciones de reparacin para anlisis de administrador, anlisis manuales y anlisis de Auto-Protect del sistema de archivos. Puede bloquear acciones de modo que los usuarios no puedan modificar la accin en los equipos cliente que utilizan esta poltica. Advertencia: Para riesgos para la seguridad, use la accin Eliminar con precaucin. En algunos casos, la eliminacin de riesgos para la seguridad provoca la prdida de funcionalidad de algunas aplicaciones. Si configura el cliente para eliminar los archivos afectados por los riesgos para la seguridad, no puede restaurar los archivos. Para hacer una copia de seguridad de los archivos que afectan los riesgos para la seguridad, use la accin Cuarentena. Para especificar la accin que Symantec Endpoint Protection toma cuando realiza una deteccin en equipos Windows
En la consola, abra una poltica de proteccin antivirus y antispyware, y despus seleccione el anlisis (cualquier anlisis de Auto-Protect, anlisis de administrador o anlisis manual). En la ficha Acciones, en Deteccin, seleccione un tipo de software malicioso o riesgo para la seguridad. De forma predeterminada, cada subcategora se configura de forma automtica para usar las acciones que se configuran para la categora entera. Nota: Las categoras cambian dinmicamente a lo largo del tiempo a medida que Symantec obtiene nueva informacin sobre los riesgos.
Para configurar las acciones para una subcategora solamente, realice una de las siguientes acciones:
368
Seleccione Anular acciones configuradas para software malicioso y a continuacin configure las acciones para esa subcategora solamente. Nota: Pudo haber una nica subcategora en una categora, dependiendo de cmo Symantec clasifique actualmente los riesgos. Por ejemplo, en Software malicioso, pudo haber una nica subcategora llamada Virus. Seleccione Anular acciones configuradas para riesgos de seguridad y a continuacin configure las acciones para esa subcategora solamente.
En Acciones para, seleccione la primera y la segunda accin que el software de cliente toma cuando detecta esa categora de virus o riesgo para la seguridad. Para riesgos para la seguridad, use la accin Eliminar con precaucin. En algunos casos, la eliminacin de riesgos para la seguridad provoca la prdida de funcionalidad de algunas aplicaciones.
5 6
Repita estos paso para cada categora a la que desee asignar acciones (virus y riesgos para la seguridad). Cuando termine de configurar esta poltica, haga clic en Aceptar.
Para especificar la accin que Symantec Endpoint Protection toma cuando realiza una deteccin en equipos Mac
1 2
En la poltica de proteccin antivirus y antispyware, en Configuracin de Mac, seleccione Anlisis definidos por el administrador. Realice una de las acciones siguientes:

Para anlisis programados, seleccione la ficha Configuracin comn. Para anlisis manuales, en la ficha Anlisis, en Anlisis manual del administrador, haga clic en Editar.
En Acciones, marque cualquiera de las siguientes opciones:

Reparar automticamente los archivos infectados Poner en cuarentena los archivos que no pueden ser reparados
4 5
Para anlisis manuales, haga clic en Aceptar. Cuando termine de configurar esta poltica, haga clic en Aceptar.
Personalizacin de anlisis Permitir que los usuarios vean el progreso del anlisis y que interaccionen con los anlisis
369
Permitir que los usuarios vean el progreso del anlisis y que interaccionen con los anlisis
Es posible configurar si el cuadro de dilogo de los resultados del anlisis aparece en los equipos cliente. Si permite que el cuadro de dilogo aparezca en los equipos cliente, siempre se permite a los usuarios interrumpir momentneamente o retrasar un anlisis definido por el administrador. Cuando se permite que los usuarios vean el progreso del anlisis, un vnculo aparece en las pginas principales de la UI del cliente para mostrar el progreso del anlisis para el anlisis que actualmente se ejecuta. Un vnculo para reprogramar el anlisis programado siguiente tambin aparece. Cuando se permite que los usuarios vean el progreso del anlisis, las siguientes opciones aparecen en las pginas principales de la UI del cliente:
Cuando un anlisis se ejecuta, el vnculo del mensaje anlisis en curso aparece. El usuario puede hacer clic en el vnculo para mostrar el progreso del anlisis. Un vnculo para reprogramar el anlisis programado siguiente tambin aparece.
Ver "Cmo administrar anlisis en los equipos cliente" en la pgina 293. Es posible permitir que los usuarios detengan un anlisis por completo. Es posible tambin configurar las opciones sobre cmo los usuarios podrn interrumpir o retrasar los anlisis. Es posible permitir que el usuario realice las siguientes acciones de anlisis:
Interrumpir Cuando un usuario interrumpe el anlisis, el cuadro de dilogo de resultados del anlisis permanece abierto, en espera de que el usuario reanude o cancele el anlisis. Si se apaga el equipo, el anlisis interrumpido no continuar. Cuando un usuario pospone un anlisis programado, el usuario tiene la opcin de posponer el anlisis por una o por tres horas. Es posible configurar la cantidad de veces que puede posponerlo. Cuando se pospone un anlisis, el cuadro de dilogo de resultados se cierra; reaparece cuando finaliza el perodo de aplazamiento y se reanuda el anlisis. Cuando un usuario detiene un anlisis, este generalmente se detiene de inmediato. Si un usuario detiene un anlisis mientras el software de cliente analiza un archivo comprimido, el anlisis no se detiene inmediatamente. En ese caso, la detencin se produce al finalizar el anlisis del archivo comprimido. Los anlisis que se hayan detenido no se reanudarn.
Posponer
Stop
370
Personalizacin de anlisis Cmo Symantec Endpoint Protection interacciona con el Centro de seguridad de Windows
Los anlisis interrumpidos se reanudan automticamente una vez que transcurre el intervalo de tiempo especificado. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en este procedimiento. Para configurar opciones de progreso del anlisis para los anlisis definidos por el administrador
1 2
En la consola, abra una poltica de proteccin antivirus y antispyware, y haga clic en Anlisis definidos por el administrador. En la ficha Avanzadas, en Opciones de progreso de anlisis, haga clic en Mostrar el progreso del anlisis o Mostrar el progreso del anlisis si se detecta un riesgo. Para cerrar automticamente el indicador de progreso del anlisis despus de que el anlisis termine, marque Cerrar la ventana de progreso del anlisis al finalizar. Marque la opcin Permitir al usuario detener el anlisis. Haga clic en Opciones para interrumpir. En el cuadro de dilogo Opciones de pausa del anlisis, realice una de las siguientes acciones:
4 5 6
Para limitar el tiempo durante el que un usuario puede interrumpir un anlisis, marque Limitar el tiempo durante el que puede interrumpirse el anlisis y escriba una cantidad de minutos. El intervalo es de 3 a 180. Para limitar el nmero de veces que un usuario puede retrasar (o posponer) un anlisis, en el cuadro Cantidad mxima de oportunidades para posponer, escriba un nmero entre 1 y 8. De forma predeterminada, el usuario puede posponer un anlisis durante una hora. Para modificar este lmite a 3 horas, marque Permitir a los usuarios posponer el anlisis durante 3 horas.
Cmo Symantec Endpoint Protection interacciona con el Centro de seguridad de Windows

El Centro de seguridad de Windows proporciona alertas en sus equipos cliente si algn software de seguridad est desactualizado o si es necesario reforzar la configuracin de seguridad. Se incluye con Windows XP Service Pack 2, Windows Vista y Windows 7. Es posible usar una poltica antivirus y antispyware para
Personalizacin de anlisis Cmo Symantec Endpoint Protection interacciona con el Centro de seguridad de Windows
371
configurar opciones de el Centro de seguridad de Windows en los equipos cliente que ejecutan Windows XP Service Pack 2. Ver "Cmo personalizar anlisis definidos por el administrador para los clientes que se ejecutan en equipos Windows" en la pgina 357. Nota: No es posible usar una poltica antivirus y antispyware para configurar el Centro de seguridad de Windows en los equipos cliente que ejecutan Windows Vista o Windows 7. Tabla 15-3 Opciones para configurar cmo el Centro de seguridad de Windows funciona con el cliente Cundo usar
Opcin
Descripcin
Desactivar Centro de Le permite permanentemente o Deshabilite el Centro de seguridad de seguridaddeWindows temporalmente deshabilitar el Centro de Windows permanentemente si es necesario seguridad de Windows en sus equipos cliente. evitar que los usuarios del cliente reciban las alertas de seguridad que este proporciona. Opciones disponibles: Los usuarios del cliente an pueden recibir Nunca. El Centro de seguridad de las alertas de Symantec Endpoint Protection. Windows se habilita siempre en el equipo Habilite el Centro de seguridad de Windows cliente. permanentemente si desea que los usuarios Una vez. El Centro de seguridad de del cliente reciban las alertas de seguridad Windows se deshabilita solamente una que este proporciona. Es posible configurar vez. Si un usuario lo habilita, no se el Centro de seguridad de Windows para que deshabilita de nuevo. muestre las alertas de Symantec Endpoint Siempre. El Centro de seguridad de Protection. Windows se deshabilita permanentemente en el equipo cliente. Si un usuario lo habilita, se deshabilita de forma inmediata. Restaurar. Se habilita el Centro de seguridad de Windows si Poltica de proteccin antivirus y antispyware lo deshabilit previamente. Mostrar alertas de antivirus en el Centro de seguridad de Windows Le permite configurar las alertas antivirus del cliente de Symantec Endpoint Protection para que se muestren en el rea de notificaciones de Windows. Habilite esta configuracin si desea que los usuarios reciban alertas de Symantec Endpoint Protection con otras alertas de seguridad en el rea de notificaciones de Windows de sus equipos.
372
Personalizacin de anlisis Cmo administrar Symantec Endpoint Protection en entornos virtuales
Opcin
Mostrar un mensaje del Centro de seguridaddeWindows cuando las definiciones estn desactualizadas
Descripcin
Le permite configurar la cantidad de das que deben transcurrir para que el Centro de seguridad de Windows considere que las definiciones estn desactualizadas. De forma predeterminada, el Centro de seguridad de Windows enva este mensaje despus de 30 das.
Cundo usar
Configure esta opcin si desea que el Centro de seguridad de Windows notifique a los usuarios del cliente sobre las definiciones desactualizadas con ms frecuencia que el tiempo predeterminado (30 das).
Nota: En los equipos cliente, Symantec

Endpoint Protection compara cada 15 minutos la fecha de caducidad, la fecha de las definiciones y la fecha actual. Por lo general, no se informa sobre el estado de desactualizacin al Centro de seguridad de Windows porque las definiciones se actualizan de forma automtica. Si actualiza definiciones manualmente, es posible que tenga que esperar hasta 15 minutos para ver un estado exacto en el Centro de seguridad de Windows.
Cmo administrar Symantec Endpoint Protection en entornos virtuales

Symantec Endpoint Protection Manager y los clientes operan con la misma funcionalidad en entornos virtuales que en entornos fsicos. Symantec Endpoint Protection proporciona funciones que mejoran el rendimiento en entornos virtuales. Implementar el servidor de administracin y los clientes en infraestructuras virtuales es idntico a implementarlos en entornos fsicos. La Tabla 15-4 enumera las funciones de virtualizacin de Symantec Endpoint Protection. Tabla 15-4 Funcin
Requisitos del sistema
Funciones que admiten la virtualizacin Descripcin

Symantec Endpoint Protection Manager y los clientes se admiten en los mismos sistemas operativos en entornos virtuales que en entornos fsicos. Ver "Requisitos del sistema" en la pgina 84.
373
Funcin
Productos de virtualizacin
Descripcin
Las implementaciones de Symantec Endpoint Protection se admiten en varios hipervisores y plataformas virtuales. Ver "Instalaciones virtuales y productos de virtualizacin admitidos" en la pgina 89.
Rendimiento del anlisis
Ordene aleatoriamente los tiempos de anlisis. Es posible ordenar aleatoriamente los anlisis para reducir las cargas del procesador y los recursos del hipervisor. Ver "Cmo distribuir aleatoriamente anlisis para mejorar el rendimiento del equipo en entornos virtualizados" en la pgina 360. Evite que los archivos limpios conocidos se vuelvan a analizar. Memoria cach de conocimientos compartida realiza un seguimiento de qu archivos en el entorno virtualizado se sabe que estn limpios. Los tiempos de anlisis son reducidos eliminando la necesidad de volver a analizar los archivos limpios conocidos.
Analice previamente los archivos de imagen de base para reducir los tiempos de anlisis de equipos cliente. La herramienta virtual Symantec Endpoint Protection le permite con seguridad eliminar los archivos de imagen de base del proceso de anlisis, lo que ahorra tiempo y alivia cargas del procesador. Ver "Cmo usar la herramienta Excepcin de imgenes virtuales en una imagen de base" en la pgina 375. Ordene aleatoriamente las descargas de LiveUpdate. Ver "Ordenar aleatoriamente descargas de contenido del servidor de administracin predeterminado o un Proveedor de actualizaciones de grupo" en la pgina 564. Ver "Cmo ordenar aleatoriamente descargas de contenido de un servidor de LiveUpdate" en la pgina 565. Use el modo de extraccin para la poltica y las actualizaciones de contenido del servidor de administracin. Ver "Configurar el modo de transferencia o al modo de obtencin para actualizar las polticas de los clientes y el contenido" en la pgina 274.
Cmo configurar sus clientes para comunicarse con la memoria cach compartida de diagnstico Insight
La memoria cach compartida de diagnstico Insight de Symantec Endpoint Protection elimina la necesidad de analizar los archivos en un entorno virtualizado que Symantec Endpoint Protection haya determinado que est limpio. La memoria cach compartida de diagnstico Insight es un servicio aparte que se instala en un servidor dedicado o en un entorno virtualizado. Una vez que se instala y
374
configura la memoria cach compartida de diagnstico Insight, es necesario configurar sus clientes para comunicarse con la memoria cach compartida de diagnstico Insight. Nota: Solamente los clientes que realizan anlisis programados y anlisis manuales pueden usar Memoria cach de conocimientos compartida. Cuando un archivo se analiza y se determina que est limpio, el cliente enva informacin sobre el archivo a la memoria cach compartida de diagnstico Insight. La memoria cach compartida de diagnstico Insight agrega esta informacin a su memoria cach. Cuando un cliente intenta posteriormente acceder al mismo archivo, el cliente puede solicitarle a la memoria cach compartida de diagnstico Insight que determine si el archivo est limpio. Si el archivo est limpio, la memoria cach compartida de diagnstico Insight notifica al cliente que el archivo est limpio. El cliente puede omitir el anlisis de virus en ese archivo determinado. Si el archivo no est limpio, el cliente analiza el archivo en busca de virus y enva esos resultados a la memoria cach compartida de diagnstico Insight. De forma predeterminada, Memoria cach de conocimientos compartida se configura sin autenticacin y ningn SSL. Como tal, la configuracin predeterminada para la contrasea es nula. Es decir, la contrasea est en blanco. Si Memoria cach de conocimientos compartida se configura para la autenticacin bsica con SSL o la autenticacin bsica sin SSL, es necesario especificar la contrasea de un nombre de usuario que pueda acceder a Memoria cach de conocimientos compartida. Es posible tambin cambiar una contrasea de autenticacin definida por el usuario si es necesario. Pero si lo hace, es necesario especificar ese nombre de usuario y esa contrasea de autenticacin en Symantec Endpoint Protection Manager de forma que los clientes puedan comunicarse con Memoria cach de conocimientos compartida. Para obtener ms informacin sobre Memoria cach de conocimientos compartida, consulte la Gua del usuario de la Memoria cach de conocimientos compartida de Symantec Endpoint Protection. Para configurar sus clientes para comunicarse con la memoria cach compartida de diagnstico Insight
1 2
En la consola, abra una poltica de proteccin antivirus y antispyware, y haga clic en Opciones de anlisis global. En la pgina Opciones de anlisis global, en Memoria cach de conocimientos compartida, seleccione Habilitar Memoria cach de conocimientos compartida.
375
Seleccione Requerir SSL si habilit SSL cuando configur el servidor de memoria cach compartida de diagnstico Insight. Si habilita SSL, el cliente se debe configurar para comunicarse con Memoria cach de conocimientos compartida. Para hacerlo, es necesario agregar el certificado de servidor de Memoria cach de conocimientos compartida al almacenamiento de las autoridades de certificacin de confianza para el equipo local. Si no, la comunicacin entre el cliente y el servidor de Memoria cach de conocimientos compartida falla. Para obtener ms informacin sobre cmo agregar un certificado de servidor, consulte su documentacin de Active Directory.
4 5 6
En el cuadro Nombre de host, escriba el nombre del host de la memoria cach compartida de diagnstico Insight. En el cuadro Puerto, escriba el nmero de puerto de la memoria cach compartida de diagnstico Insight. Opcionalmente, si usted configur la autenticacin para la memoria cach compartida de diagnstico Insight, en el cuadro Nombre de usuario, escriba el nombre de usuario. Opcionalmente, si configur la autenticacin para la memoria cach compartida de diagnstico Insight, haga clic en Cambiar la contrasea para cambiar la contrasea predeterminada (nula) por la contrasea que cre para la autenticacin. En el cuadro Contrasea nueva, escriba la nueva contrasea. Deje este campo vaco si no desea usar una contrasea.
En el cuadro Confirmar contrasea, escriba su contrasea de nuevo.
Cmo usar la herramienta Excepcin de imgenes virtuales en una imagen de base

Para aumentar el rendimiento y la seguridad en su entorno de la infraestructura virtual del escritorio (VDI), se puede hacer uso de las imgenes de base para generar las mquinas virtuales. La herramienta Excepcin de imgenes virtuales de Symantec permite a sus clientes omitir los archivos de imagen de base en el anlisis de de amenazas, lo cual reduce la carga de recursos en el disco de E/S. Adems mejora el rendimiento del proceso de anlisis de la CPU en su entorno de VDI. Nota: Symantec Endpoint Protection admite la herramienta Excepcin de imgenes virtuales para los clientes administrados y los clientes no administrados.
376
Tabla 15-5 describe el proceso para usar la herramienta Excepcin de imgenes virtuales en una imagen de base. Tabla 15-5 Paso
Paso 1
Proceso para usar la herramienta Excepcin de imgenes virtuales Accin

En la imagen de base, realice un anlisis completo todos los archivos para asegurarse de que los archivos estn limpios. Si el cliente de Symantec Endpoint Protection pone en cuarentena los archivos infectados, es necesario reparar o eliminar los archivos en cuarentena para eliminarlos de la cuarentena. Ver "Cmo configurar anlisis programados que se ejecutan en equipos Windows" en la pgina 316. Ver "Especifique cuando los archivos en cuarentena se eliminan automticamente" en la pgina 342.
Paso 2
Asegrese de que la cuarentena del cliente est vaca. Ver "Cmo usar el registro de riesgos para eliminar los archivos en cuarentena en sus equipos cliente" en la pgina 344.
Paso 3
Ejecute la herramienta Excepcin de imgenes virtuales desde la lnea de comandos para marcar los archivos de imagen de base. Habilite la funcin en Symantec Endpoint Protection Manager de modo que sus clientes sepan buscar y omitir los archivos marcados cuando un anlisis se ejecuta. Ver "Cmo omitir el anlisis de archivos de imagen de base" en la pgina 376.
Paso 4
Paso 5
Elimine la herramienta Excepcin de imgenes virtuales de la imagen de base.
La herramienta Excepcin de imgenes virtuales admite unidades locales reparadas. Funciona con los archivos que cumplen con la norma de Nueva Tecnologa de Sistema de Archivos (NTFS).
Cmo omitir el anlisis de archivos de imagen de base

Es posible aprovechar las imgenes de base para generar las mquinas virtuales para su entorno de la infraestructura del escritorio virtual (VDI). La herramienta Virtual Image Exception de Symantec permite a los anlisis omitir los archivos de imagen de base, lo cual reduce la carga de recursos en el disco de E/S. Adems mejora el rendimiento del proceso de anlisis de la CPU en su entorno de VDI. Antes de que habilite esta funcin en Symantec Endpoint Protection Manager, primero, ejecute la herramienta Virtual Image Exception sobre los archivos de
377
imagen de base. La herramienta Virtual Image Exception marca el archivo de imagen de base agregando un atributo. Si el archivo cambia, se quita este atributo. Esta herramienta se encuentra en la carpeta /tools/VirtualImageException en el disco del producto Symantec Endpoint Protection. Para obtener ms informacin sobre cmo usar esta herramienta, consulte la Gua del usuario de Virtual Image Exclusion de Symantec Endpoint Protection, que se encuentra ubicada en la misma carpeta. Esta funcin est deshabilitada de forma predeterminada. Habilite la funcin de modo que cuando su cliente analice un archivo, busque este atributo. Si el archivo de imagen de base contiene el atributo, el cliente no analiza el archivo. Es posible especificar que se omita el anlisis de los archivos de imagen de base sin cambios para el anlisis de Auto-Protect o los anlisis definidos por el administrador (tales como anlisis manuales o anlisis programados). Para omitir el anlisis de archivos de imagen de base
1 2 3
En la consola, abra una poltica de proteccin antivirus y antispyware, y en Opciones avanzadas:, haga clic en Otros. En la ficha Imgenes virtuales, marque las opciones que desea habilitar. Haga clic en Aceptar.
Ver "Cmo usar la herramienta Excepcin de imgenes virtuales en una imagen de base" en la pgina 375.
378
Captulo
16
Administracin de SONAR

Acerca de SONAR Acerca de los archivos y las aplicaciones que SONAR detecta Cmo administrar SONAR Cmo controlar y evitar las detecciones de falsos positivos de SONAR Cmo ajustar la configuracin de SONAR en los equipos cliente Supervisin de los resultados de la deteccin de SONAR para comprobar la existencia de falsos positivos Cmo administrar anlisis de amenazas proactivos de TruScan para clientes de una versin anterior
Acerca de SONAR
SONAR es una proteccin en tiempo real que detecta aplicaciones potencialmente maliciosas cuando se ejecutan en sus equipos. SONAR proporciona proteccin de da cero porque detecta amenazas antes que las definiciones de deteccin de virus y spyware tradicionales que se han creado para enfrentar las amenazas. SONAR usa la heurstica as como los datos de reputacin para detectar amenazas emergentes y desconocidas. SONAR proporciona un nivel adicional de proteccin en sus equipos cliente y complementa la proteccin antivirus y antispyware, la prevencin de intrusiones y la proteccin mediante firewalls existentes. Los clientes de una versin anterior no admiten SONAR. Sin embargo, los clientes de una versin anterior usan anlisis de amenazas proactivos de TruScan para proporcionar proteccin contra amenazas de da cero. Los anlisis de amenazas proactivos de TruScan se ejecutan peridicamente en lugar de en tiempo real.
380
Administracin de SONAR Acerca de los archivos y las aplicaciones que SONAR detecta
Nota: Auto-Protect tambin utiliza un tipo de heurstica llamada Bloodhound para detectar comportamientos sospechosos en archivos. Ver "Cmo administrar SONAR" en la pgina 381. Ver "Acerca de los archivos y las aplicaciones que SONAR detecta" en la pgina 380.
Acerca de los archivos y las aplicaciones que SONAR detecta

SONAR usa un sistema de heurstica que aprovecha la red de inteligencia en lnea de Symantec con supervisin local proactiva en sus equipos cliente para detectar amenazas emergentes. SONAR adems detecta cambios o comportamiento en sus equipos cliente que se deban supervisar. SONAR no hace detecciones sobre tipo de aplicacin, sino sobre cmo un proceso se comporta. SONAR acta en una aplicacin solamente si esa aplicacin se comporta de forma maliciosa, sin importar su tipo. Por ejemplo, si un troyano o un registrador de pulsaciones no acta de manera maliciosa, SONAR no lo detecta. SONAR detecta los elementos siguientes:
Amenazas heursticas SONAR usa la heurstica para determinar si un archivo desconocido se comporta de forma sospechosa y puede ser de alto riesgo o de bajo riesgo. Adems usa datos de reputacin para determinar si la amenaza es de alto riesgo o de bajo riesgo. SONAR detecta las aplicaciones o los archivos que intentan modificar la configuracin de DNS o un archivo de host en un equipo cliente.
Cambios en el sistema
Aplicaciones de confianza que exhiben Algunos archivos buenos de confianza pueden mal comportamiento estar asociados a comportamiento sospechoso. SONAR detecta estos archivos como eventos de comportamiento sospechoso. Por ejemplo, un documento bien conocido que comparte la aplicacin puede crear archivos ejecutables.
Si deshabilita Auto-Protect, se limita la capacidad de SONAR de hacer detecciones de archivos de alto y de bajo riesgo. Si deshabilita las operaciones de bsqueda de Insight, adems, limita la funcionalidad de la deteccin de SONAR. Ver "Cmo administrar SONAR" en la pgina 381.
Administracin de SONAR Cmo administrar SONAR
381
Cmo administrar SONAR

SONAR es parte de la Proteccin proactiva contra amenazas en sus equipos cliente. Se administra la configuracin de SONAR como parte de una poltica de proteccin antivirus y antispyware. Se establece la configuracin de SONAR para los clientes que ejecutan Symantec Endpoint Protection versin 12.1. La configuracin de SONAR adems incluye la configuracin del anlisis de amenazas proactivo TruScan para clientes de una versin anterior. Muchas de las opciones de configuracin pueden ser bloqueadas de modo que los usuarios en los equipos cliente no puedan modificar la configuracin. Tabla 16-1 Tarea
Aprender cmo SONAR funciona
Cmo administrar SONAR Descripcin

Aprenda cmo SONAR detecta amenazas desconocidas. Informacin sobre cmo los trabajos de SONAR pueden ayudarle a tomar decisiones acerca del uso de SONAR en su red de seguridad. Ver "Acerca de SONAR" en la pgina 379. Ver "Acerca de los archivos y las aplicaciones que SONAR detecta" en la pgina 380.
Comprobar que SONAR est habilitado Para proporcionar la proteccin ms completa para sus equipos cliente es necesario habilitar SONAR. SONAR interopera con algunas otras funciones de Symantec Endpoint Protection. SONAR necesita Auto-Protect. Es posible usar la ficha Clientes para comprobar si la Proteccin proactiva contra amenazas est habilitada en sus equipos cliente.
Nota: Los clientes de una versin anterior no

informan el estado de la Proteccin proactiva contra amenazas a Symantec Endpoint Protection Manager. Ver "Cmo ajustar la configuracin de SONAR en los equipos cliente" en la pgina 386.
382
Tarea
Comprobar la configuracin predeterminada para SONAR
Descripcin
La configuracin de SONAR es parte de una poltica de proteccin antivirus y antispyware. Ver "Acerca de la configuracin predeterminada de anlisis de la poltica de proteccin antivirus y antispyware" en la pgina 310.
Asegrese de que las Bsquedas de Insight estn habilitadas
SONAR usa datos de reputacin adems de la heurstica para hacer detecciones. Si deshabilita las Bsquedas de Insight, SONAR hace detecciones usando la heurstica solamente. El ndice de falsos positivos puede aumentar y la proteccin que SONAR proporciona se limita. Se habilitan o se deshabilitan las Bsquedas de Insight en el cuadro de dilogo Envos. Ver "Cmo habilitar o deshabilitar envos de los clientes a Symantec Security Response" en la pgina 335.
Supervise eventos de SONAR para Es posible usar el registro de SONAR para comprobar la existencia de detecciones supervisar eventos. de falsos positivos Es posible tambin ver el informe Resultados de deteccin de SONAR (en Informes de riesgos) para ver la informacin sobre detecciones. Ver "Supervisin de los resultados de la deteccin de SONAR para comprobar la existencia de falsos positivos" en la pgina 388. Ver "Supervisin de proteccin de endpoints" en la pgina 595. Ajustar la configuracin de SONAR Es posible cambiar la accin de deteccin para algunos tipos de amenazas que SONAR detecta. Puede ser recomendable cambiar la accin de deteccin para reducir las detecciones de falsos positivos. Adems puede ser que desee habilitar o deshabilitar las notificaciones para las detecciones heursticas de alto o bajo riesgo. Ver "Cmo ajustar la configuracin de SONAR en los equipos cliente" en la pgina 386.
383
Tarea
Evitar que SONAR detecte las aplicaciones que se sabe que son seguras
Descripcin
SONAR puede detectar los archivos o las aplicaciones que desea ejecutar en sus equipos cliente. Es posible usar una poltica de excepciones para especificar las excepciones para las carpetas o las aplicaciones especficas que desee permitir. Para los elementos que SONAR pone en cuarentena, se puede crear una excepcin para el elemento en cuarentena desde el registro de SONAR. Adems puede ser que desee configurar acciones de SONAR para registrar y para permitir detecciones. Es posible usar el aprendizaje de aplicaciones de modo que Symantec Endpoint Protection aprenda las aplicaciones legtimas de sus equipos cliente. Una vez que Symantec Endpoint Protection aprende las aplicaciones que se usan en su red, se puede cambiar la accin de SONAR para poner en cuarentena.
Nota: Si configur la accin para que las

detecciones de alto riesgo se registren solamente, es posible que permita amenazas potenciales en sus equipos cliente. Ver "Cmo controlar y evitar las detecciones de falsos positivos de SONAR" en la pgina 384. Ver "Cmo administrar las excepciones para Symantec Endpoint Protection" en la pgina 516. Administrar anlisis de amenazas Los clientes de una versin anterior no admiten proactivos TruScan para clientes de una SONAR. Sin embargo, se puede ajustar la versin anterior configuracin del anlisis de amenazas proactivo TruScan para cambiar las acciones, la sensibilidad y la frecuencia del anlisis. Puede ser recomendable ajustar la configuracin para controlar las detecciones de falsos positivos en sus equipos cliente de una versin anterior. Ver "Acerca de cmo ajustar la configuracin de TruScan para clientes de una versin anterior" en la pgina 390. Ver "Cmo configurar los valores de anlisis de amenazas proactivos de TruScan para clientes de una versin anterior" en la pgina 393.
384
Administracin de SONAR Cmo controlar y evitar las detecciones de falsos positivos de SONAR
Tarea
Permitir que los clientes enven informacin sobre detecciones de SONAR a Symantec
Descripcin
Symantec recomienda que se habiliten envos en sus equipos cliente. La informacin que los clientes envan sobre detecciones ayuda a Symantec a enfrentar las amenazas. La informacin ayuda a Symantec a crear una mejor heurstica, que da lugar a menos detecciones de falsos positivos. Ver "Cmo habilitar o deshabilitar envos de los clientes a Symantec Security Response" en la pgina 335.
Cmo controlar y evitar las detecciones de falsos positivos de SONAR

SONAR podra hacer detecciones de falsos positivos para ciertas aplicaciones internas. Adems, si se deshabilitan las Bsquedas de Insight, el nmero de falsos positivos de SONAR aumenta. Ver "Cmo habilitar o deshabilitar envos de los clientes a Symantec Security Response" en la pgina 335. Es posible cambiar la configuracin de SONAR para atenuar las detecciones de falsos positivos en general. Es posible tambin crear excepciones para un archivo especfico o una aplicacin especfica que SONAR detecte como falso positivo. Es posible tambin ajustar la configuracin y crear las excepciones para anlisis de amenazas proactivos TruScan, que se ejecutan en clientes de una versin anterior. Ver "Cmo administrar anlisis de amenazas proactivos de TruScan para clientes de una versin anterior" en la pgina 389. Advertencia: Si configur la accin para que las detecciones de alto riesgo se registren solamente, es posible que permita amenazas potenciales en sus equipos cliente.
Administracin de SONAR Cmo controlar y evitar las detecciones de falsos positivos de SONAR
385
Tabla 16-2 Tarea
Cmo controlar los falsos positivos de SONAR Descripcin
Registrar las detecciones heursticas de Puede ser recomendable configurar la accin de alto riesgo de SONAR y usar el deteccin para Registrar las detecciones aprendizaje de aplicaciones heursticas de alto riesgo por un corto perodo. Permita que el aprendizaje de aplicaciones se ejecute para el mismo perodo. Symantec Endpoint Protection aprende los procesos legtimos que se ejecutan en su red. Sin embargo, es posible que algunas detecciones verdaderas no se hayan podido poner en cuarentena. Ver "Configuracin del servidor de administracin para recopilar la informacin sobre las aplicaciones que los equipos cliente ejecutan" en la pgina 279. Una vez transcurrido el perodo, es necesario configurar la accin de deteccin de nuevo en Cuarentena.
Nota: Si usa el modo intenso para las detecciones

heursticas de bajo riesgo, aumenta la probabilidad de detecciones de falsos positivos. El modo intenso est deshabilitado de forma predeterminada. Ver "Cmo ajustar la configuracin de SONAR en los equipos cliente" en la pgina 386.
386
Administracin de SONAR Cmo ajustar la configuracin de SONAR en los equipos cliente
Tarea
Crear excepciones para que SONAR permita aplicaciones seguras
Descripcin
Es posible crear excepciones para SONAR de las siguientes maneras: Usar el registro de SONAR para crear una excepcin para una aplicacin que fue detectada y colocada en cuarentena. Es posible crear una excepcin del registro de SONAR para las detecciones de falsos positivos. Si el elemento est en cuarentena, Symantec Endpoint Protection restaura el elemento una vez que vuelve a analizar el elemento en cuarentena. Los elementos en cuarentena se vuelven a analizar una vez que el cliente recibe definiciones actualizadas. Ver "Crear excepciones de eventos de registro en Symantec Endpoint Protection Manager" en la pgina 530. Ver "Cmo configurar el modo en que la cuarentena controla la capacidad de volver a analizar archivos despus de que llegan nuevas definiciones" en la pgina 343. Usar una poltica de excepciones para especificar una excepcin para una carpeta o una aplicacin determinada Es posible excluir una carpeta entera de la deteccin de SONAR. Puede ser recomendable excluir las carpetas donde residen sus aplicaciones personalizadas. Las excepciones especficas de archivos por ruta no se admiten para SONAR. Para excluir un archivo de SONAR, use una excepcin de aplicacin. Ver "Cmo crear las excepciones para Symantec Endpoint Protection" en la pgina 519.
Cmo ajustar la configuracin de SONAR en los equipos cliente

Es probable que desee cambiar las acciones de SONAR para reducir el ndice de detecciones de falsos positivos. Es posible que adems desee cambiar las acciones
Administracin de SONAR Cmo ajustar la configuracin de SONAR en los equipos cliente
387
de SONAR para modificar el nmero de notificaciones de deteccin que aparecen en los equipos cliente. Nota: La configuracin de notificaciones de SONAR tambin se usa para notificaciones de anlisis de amenazas proactivos de TruScan. Ver "Cmo administrar SONAR" en la pgina 381. Ver "Cmo crear las excepciones para Symantec Endpoint Protection" en la pgina 519. Configurar valores de SONAR
1 2 3
En Poltica de proteccin antivirus y antispyware, seleccione SONAR. Asegrese de que Habilitar SONAR est habilitado. En Detalles del anlisis, cambie las acciones para amenazas heursticas de alto o bajo riesgo. Es posible habilitar el modo intenso para detecciones de bajo riesgo. Esta configuracin aumenta la susceptibilidad de SONAR en detecciones de bajo riesgo. Es posible que aumenten las detecciones de falsos positivos.
Cambie opcionalmente la configuracin de notificaciones que aparecen en los equipos cliente. La configuracin de SONAR adems controla las notificaciones para anlisis de amenazas proactivos de TruScan.
En Eventos de cambio del sistema, cambie la accin a Cambio de DNS detectado o Cambio de archivo del host detectado. Advertencia: Si configura la accin para Bloquear, es posible que tenga que bloquear aplicaciones importantes en sus equipos cliente. Por ejemplo, si usted configura la accin para Bloquear para Cambio de DNS detectado, es posible que tenga que bloquear clientes VPN. Si configura la accin para Bloquear para Cambio de archivo host detectado, es posible que tenga que bloquear sus aplicaciones que necesitan acceder al archivo de hosts.
6 7
En Deteccin de comportamiento sospechoso, cambie la accin para obtener detecciones de alto o de bajo riesgo. Haga clic en Aceptar.
388
Administracin de SONAR Supervisin de los resultados de la deteccin de SONAR para comprobar la existencia de falsos positivos
Supervisin de los resultados de la deteccin de SONAR para comprobar la existencia de falsos positivos
El cliente recopila y carga resultados de la deteccin de SONAR al servidor de administracin. Los resultados se guardan en el Registro de SONAR. Los clientes de una versin anterior no admiten SONAR. Los clientes de una versin anterior recopilan eventos similares de los Anlisis de amenazas proactivos TruScan, sin embargo y los incluyen en el Registro de SONAR. Para determinar qu procesos son legtimos y cules son los riesgos para la seguridad, consulte las columnas siguientes en el registro:
Evento El tipo de evento y la accin que el cliente ha realizado en el proceso, tal como la limpieza de l o el registro. Busque los tipos de evento siguientes: Un proceso legtimo posible se detalla como evento de Riesgo potencial detectado. Un riesgo para la seguridad probable se detalla como evento de Riesgo para la seguridad encontrado.
Aplicacin Tipo de aplicacin
El nombre del proceso. El tipo de software malicioso que SONAR o un Anlisis de amenazas proactivo TruScan detect. El nombre de ruta de donde el proceso fue iniciado.
Archivo/Ruta
La columna Evento le dice de forma inmediata si un proceso detectado es un riesgo para la seguridad o un proceso legtimo posible. Sin embargo, un riesgo potencial que se encuentra puede o no puede ser un proceso legtimo y un riesgo para la seguridad que se encuentra puede o no puede ser un proceso malicioso. Por lo tanto, es necesario consultar las columnas Tipo de aplicacin y Archivo/Ruta para obtener ms informacin. Por ejemplo, es posible que reconozca el nombre de aplicacin de una aplicacin legtima que una compaa de otro fabricante ha desarrollado. Ver "Crear excepciones de eventos de registro en Symantec Endpoint Protection Manager" en la pgina 530. Para supervisar los eventos de SONAR
1 2
En la consola, haga clic en Supervisin > Registros. En la ficha Registros, en la lista desplegable Tipo de registro, haga clic en SONAR.
Administracin de SONAR Cmo administrar anlisis de amenazas proactivos de TruScan para clientes de una versin anterior
389
3 4 5
Seleccione un tiempo del cuadro de lista Intervalo de tiempo ms cercano a la ltima vez que se cambi una configuracin de anlisis. Haga clic en Opciones avanzadas. En la lista desplegable Tipo de evento, seleccione una de las siguientes opciones de eventos de registro:
Para ver todos los procesos detectados, asegrese de que Todos se seleccione. Para ver los procesos que se han evaluado como riesgos para la seguridad, haga clic en Riesgo para la seguridad encontrado. Para ver los procesos que se han evaluado y se han registrado como riesgos potenciales, haga clic en Riesgo potencial detectado.
6 7
Haga clic en Ver registro. Una vez que se identifican las aplicaciones legtimas y los riesgos para la seguridad, cree una excepcin para ellas en una poltica de excepciones. Es posible crear la excepcin directamente desde el panel Registros de SONAR.
Cmo administrar anlisis de amenazas proactivos de TruScan para clientes de una versin anterior
Es posible administrar los anlisis de amenazas proactivos de TruScan con dos enfoques de implementacin diferentes. Cada enfoque ofrece las ventajas que se relacionan con el tamao de la red, las funciones de seguridad y la carga de trabajo que comparte el personal de soporte tcnico. Con cualquier enfoque, se necesita tpicamente crear las excepciones para las detecciones de falsos positivos. Ver "Acerca de cmo ajustar la configuracin de TruScan para clientes de una versin anterior" en la pgina 390. Ver "Cmo configurar los valores de anlisis de amenazas proactivos de TruScan para clientes de una versin anterior" en la pgina 393. Ver "Cmo crear las excepciones para Symantec Endpoint Protection" en la pgina 519.
390
Tabla 16-3
Cmo administrar anlisis de amenazas proactivos de TruScan para clientes de una versin anterior Descripcin
Tarea
Usar la configuracin predeterminada La configuracin predeterminada de Symantec de Symantec proporcionan un alto nivel de proteccin y necesita un bajo de administracin. Cuando instale Symantec Endpoint Protection Manager por primera vez, use la configuracin predeterminada. El uso de configuraciones de Symantec permite al software del cliente determinar la accin y el nivel de susceptibilidad. El motor de anlisis que se ejecuta en el equipo cliente automticamente pone en cuarentena los riesgos para la seguridad y registra riesgos potenciales y riesgos desconocidos. Use la configuracin predeterminada de Symantec durante las primeras dos a cuatro semanas despus de configurar el servidor de administracin. Ajustar la configuracin predeterminada manualmente. Despus del perodo de interrupcin inicial durante el cual se familiariza con la tecnologa, es probable que desee ms control. Si usa este enfoque, ajuste el nivel de susceptibilidad y la accin de deteccin. Cuando deshabilite los valores predeterminados de Symantec, especifique una nica accin de respuesta para las detecciones, independientemente de si son riesgos o no lo son. Por ejemplo, un anlisis puede poner en cuarentena o registrar todos los procesos detectados, pero un anlisis no realiza ambas tareas.
Acerca de cmo ajustar la configuracin de TruScan para clientes de una versin anterior
Tpicamente, es necesario usar los valores predeterminados de Symantec para anlisis de amenazas proactivos de TruScan. Sin embargo, cuando configura la red, es probable que desee ajustar la configuracin manualmente.
391
Ver "Cmo administrar anlisis de amenazas proactivos de TruScan para clientes de una versin anterior" en la pgina 389. Tabla 16-4 Ajustar la configuracin de TruScan para clientes de una versin anterior
Configuracin Descripcin
Accin Como prctica recomendada, cuando comienza a administrar los anlisis usted mismo, configure la accin en Registro. Esto significa que ni los riesgos para la seguridad ni los procesos legtimos usan la accin que desea como ltima opcin. Es necesario que los anlisis pongan en cuarentena o finalicen los riesgos para la seguridad y omitan los procesos legtimos. Crear excepciones para la deteccin de cualquier falso positivo. Las excepciones definen el proceso y la accin que se debe tomar cuando un anlisis detecta un proceso especificado.
392
Sensibilidad Cuando ajuste por primera vez el nivel de susceptibilidad para troyanos y gusanos, configure el nivel de susceptibilidad en 10. Cuando el nivel de susceptibilidad es bajo, los anlisis detectan menos procesos que con el nivel de susceptibilidad configurado ms alto. El ndice de procesos legtimos que se registran como riesgos potenciales es bajo. Una vez que ejecuta el nivel de susceptibilidad en 10 por algunos das y controla el registro en busca de aplicaciones legtimas, puede aumentar el nivel de susceptibilidad a 20. En el perodo de 60 das a 90 das, puede aumentar gradualmente el nivel de susceptibilidad en incrementos de unidades de 10 hasta 100. Para lograr una proteccin mxima, mantenga el nivel de susceptibilidad en 100. Con enfoque de interrupcin gradual, los usuarios de los equipos cliente no se ven abrumados por las notificaciones de deteccin tan pronto como se implementa el cliente. En cambio, puede asignar una hora para controlar el aumento de notificaciones en cada nivel. Para los registradores de pulsaciones, inicie el nivel de sensibilidad en Bajo. A medida que aumenta el nivel de susceptibilidad, se detectan ms procesos, tanto maliciosos como legtimos. El nivel de susceptibilidad no afecta considerablemente el ndice de procesos legtimos registrados. Un alto nivel de susceptibilidad significa que un anlisis indica una mayor cantidad de procesos que constituyen riesgos para la seguridad, as como procesos legtimos. Pero la relacin de procesos legtimos a maliciosos sigue siendo prcticamente constante, a pesar del nivel de susceptibilidad. Adems, el nivel de susceptibilidad no indica el nivel de certeza que se asocia a una deteccin. Por ejemplo, un anlisis puede detectar un proceso en el nivel de sensibilidad 10 y otro proceso en el nivel de sensibilidad 90. Pero el nivel de susceptibilidad no significa que un proceso sea ms amenazante que el otro. Una vez que cambia el nivel de susceptibilidad de los anlisis, use el registro de SONAR para determinar si el nivel de susceptibilidad es demasiado bajo o demasiado alto. Si el cliente informa muchos procesos legtimos como riesgos para la seguridad, es posible que desee configurar el nivel de susceptibilidad ms bajo. Es posible aumentar el nivel una vez que crea excepciones para los procesos legtimos.
Nota: Una vez que haya agregado todas las excepciones a la poltica de
excepciones, es probable que cualquier nueva deteccin sea un riesgo para la seguridad. Para lograr una mayor seguridad, puede volver a cambiar la accin de respuesta para todos los procesos a Cuarentena o Finalizar. Contine supervisando registro de SONAR en el caso de que el anlisis detecte y ponga en cuarentena nuevas aplicaciones legtimas.
393
Frecuencia del La frecuencia predeterminada para los anlisis es un hora. Si el anlisis rendimiento de los equipos cliente llega a ser demasiado lento, disminuya la frecuencia del anlisis.
Cmo configurar los valores de anlisis de amenazas proactivos de TruScan para clientes de una versin anterior
Los clientes de una versin anterior no pueden usar la configuracin de SONAR. En su lugar, los clientes de una versin anterior usan TruScan para detectar amenazas desconocidas. Ver "Cmo administrar SONAR" en la pgina 381. De forma predeterminada, los anlisis de amenazas proactivos TruScan detectan troyanos, gusanos y registradores de pulsaciones. Adems, de forma predeterminada, la respuesta y la sensibilidad de deteccin es determinada por Symantec. Por ejemplo, un proceso detectado puede ser puesto en cuarentena o registrado. Si elige configurar las acciones manualmente, configura una nica accin para las detecciones. Un proceso detectado sera puesto en cuarentena o registrado siempre, dependiendo de la accin que elija. Es posible tambin configurar la accin con fines de detecciones de aplicaciones comerciales. Tpicamente, no es necesario modificar la configuracin predeterminada. Nota: Se controlan las notificaciones de usuario para detecciones de TruScan en la ficha Detalles del anlisis de SONAR. Para configurar los valores de anlisis de amenazas proactivos de TruScan para clientes de una versin anterior
1 2
En la Poltica de proteccin antivirus y antispyware, haga clic en SONAR. Seleccione Configuracin de cliente de una versin anterior de TruScan. De forma predeterminada, las configuraciones Detalles del anlisis, Deteccin de aplicaciones comerciales y Frecuencia estn ocultas.
3 4
Haga clic en el icono de flecha para expandir la configuracin de Detalles del anlisis. Seleccione o anule la seleccin de Analizar en busca de troyanos y gusanos y Analizar en busca de registradores de pulsaciones.
394
Para cambiar las acciones o la sensibilidad de cualquier tipo de riesgo, desmarque Usar los valores definidos por Symantec. Las notificaciones se envan automticamente si una accin se configura en Cuarentena o Finalizar. Utilice la accin Finalizar con precaucin. En algunos casos, es posible que una aplicacin pierda funcionalidad.
Realice una de las acciones siguientes:
Mueva el control deslizante a la izquierda o a la derecha para disminuir o aumentar la sensibilidad respectivamente. Haga clic en Bajo o Alto.
7 8 9
Haga clic en el icono de flecha para expandir la configuracin de Deteccin de aplicaciones comerciales. Configure la accin para los registradores de pulsaciones comerciales o los programas de control remoto comerciales. Haga clic en la flecha para expandir la configuracin de Frecuencia del anlisis.
10 Configure una de las siguientes opciones:
Con la frecuencia de anlisis predeterminada El software del motor de anlisis determina la frecuencia del anlisis. Esta es la opcin predeterminada. Con una frecuencia personalizada de anlisis Si habilita esta opcin, es posible especificar que el cliente analice los nuevos procesos inmediatamente cuando los detecta. Es posible tambin configurar la frecuencia del anlisis.
Captulo
17
Administracin de proteccin contra intervenciones


Acerca de la Proteccin contra intervenciones Cmo cambiar la configuracin de Proteccin contra intervenciones
Acerca de la Proteccin contra intervenciones

La Proteccin contra intervenciones ofrece proteccin en tiempo real para las aplicaciones de Symantec que se ejecutan en servidores y clientes. Evita que los procesos que no pertenecen a Symantec, tales como gusanos, troyanos, virus y riesgos para la seguridad, afecten a los recursos de Symantec. Es posible configurar el software para bloquear o registrar intentos de modificar los recursos de Symantec. Nota: Proteccin contra intervenciones se ejecuta en clientes Windows solamente. No se ejecuta en clientes Mac. Los analizadores de riesgos para la seguridad de otros fabricantes, que detectan aplicaciones de publicidad no deseada y spyware, y que actan como defensa contra estos, por lo general, afectan los recursos de Symantec. Si la Proteccin contra intervenciones est activada cuando se ejecuta un analizador, la Proteccin contra intervenciones genera una gran cantidad de notificaciones y de entradas de registro. Para un mejor funcionamiento de la Proteccin contra intervenciones,
396
Administracin de proteccin contra intervenciones Cmo cambiar la configuracin de Proteccin contra intervenciones
se recomienda siempre dejarla activada. Use el filtrado del registro si el nmero de los eventos que Proteccin contra intervenciones genera es demasiado grande. Es posible desactivar las notificaciones de Proteccin contra intervenciones en los equipos cliente. Es posible tambin crear las excepciones para las aplicaciones que Proteccin contra intervenciones detecta. Ver "Cmo crear una excepcin de Proteccin contra intervenciones" en la pgina 528. Cuando un cliente se instala como cliente administrado, la Proteccin contra intervenciones tiene los siguientes valores predeterminados:

Se activa Proteccin contra intervenciones. La accin que toma la Proteccin contra intervenciones cuando detecta un intento de intervencin es solo registrar el evento. Proteccin contra intervenciones no notifica al usuario cuando detecta un intento de intervencin.
Nota: Cuando las notificaciones estn habilitadas para los intentos de intervencin, las notificaciones sobre recursos de Windows se envan a los equipos afectados, as como las notificaciones sobre recursos de Symantec. Ver "Cmo cambiar la configuracin de Proteccin contra intervenciones" en la pgina 396. Cuando un cliente se instala como cliente no administrado, la Proteccin contra intervenciones tiene los siguientes valores predeterminados:

Se activa Proteccin contra intervenciones. La accin que toma la Proteccin contra intervenciones cuando detecta un intento de intervencin es bloquear el intento y registrar el evento. Proteccin contra intervenciones notifica al usuario cuando detecta un intento de intervencin.
Cmo cambiar la configuracin de Proteccin contra intervenciones

Es posible activar y desactivar Proteccin contra intervenciones y configurar las medidas que toma cuando detecta un intento de intervencin. Es posible adems configurarla para que notifique a los usuarios cuando detecta un intento de intervencin.
397
La configuracin de Proteccin contra intervenciones se configura globalmente para un grupo seleccionado. Las prcticas recomendadas cuando se utiliza inicialmente Symantec Endpoint Protection consisten en utilizar la accin Registrar el evento solamente al supervisar los registros una vez por semana. Cuando est seguro de que no ve ningn falso positivo, configure Proteccin contra intervenciones en Bloquear y registrar el evento. Ver "Acerca de la Proteccin contra intervenciones" en la pgina 395. Es posible configurar un mensaje que aparecer en los clientes cuando Symantec Endpoint Protection detecte un intento de intervencin. De forma predeterminada, los mensajes de notificacin aparecen cuando el software detecta un intento de intervencin. El mensaje que se crea puede contener una mezcla de texto y variables. Las variables se rellenan con los valores que identifican las caractersticas del ataque. Si utiliza una variable, debe escribirla exactamente como aparece. Para cambiar la configuracin de Proteccin contra intervenciones
1 2 3
En la consola, haga clic en Clientes. En la ficha Polticas, en Configuracin, haga clic en Configuracin general. En la ficha Proteccin contra intervenciones, seleccione o anule la seleccin de Proteger el software de seguridad de Symantec contra intervenciones o intentos de cierre. En el cuadro de lista en Acciones que se efectuarn en caso de que una aplicacin intente intervenir o cerrar el software de seguridad de Symantec, seleccione una de las siguientes opciones:

Bloquear y registrar el evento Registrar el evento solamente
5 6 7
Seleccione o anule la seleccin de Mostrar un mensaje de notificacin al detectar una intervencin. Haga clic en el icono de bloqueo al lado de las opciones que no desea que los usuarios cambien. Haga clic en Aceptar.
398
Captulo
18
Administracin de proteccin mediante firewall


Cmo administrar la proteccin mediante firewall Creacin de polticas de firewall Acerca de las reglas de firewall Cmo configurar reglas de firewall
Cmo administrar la proteccin mediante firewall

El firewall permite el trfico de red entrante y el trfico de red saliente que se especifican en polticas de firewall. La poltica de firewall de Symantec Endpoint Protection contiene reglas y la configuracin de la proteccin, que se pueden habilitar o deshabilitar y configurar. La Tabla 18-1 describe las maneras en que puede administrar su proteccin mediante firewall. Todas estas tareas son opcionales.
400
Administracin de proteccin mediante firewall Cmo administrar la proteccin mediante firewall
Tabla 18-1 Tarea

Consulte sobre la proteccin mediante firewall
Administre la proteccin mediante firewall Descripcin

Antes de que configure su proteccin mediante firewall, es necesario conocer ms sobre el firewall. Ver "Cmo funciona un firewall" en la pgina 401. Ver "Acerca del firewall de Symantec Endpoint Protection" en la pgina 402.
Cree polticas de Symantec Endpoint Protection se instala con polticas de firewall firewall predeterminadas. Es posible modificar la poltica predeterminada o crear una nueva. Es necesario crear una poltica primero antes de configurar reglas de firewall y la configuracin de la proteccin mediante firewall para esa poltica. Ver "Creacin de polticas de firewall" en la pgina 403. Ver "Cmo habilitar y deshabilitar una poltica de firewall" en la pgina 406. Cree y personalice las reglas de firewall Las reglas de firewall son los componentes de polticas que controlan cmo el firewall protege los equipos cliente contra ataques maliciosos. Las polticas de firewall predeterminadas contienen reglas de firewall predeterminadas. Y cuando se crea una nueva poltica, Symantec Endpoint Protection proporciona reglas de firewall predeterminadas. Sin embargo, se pueden modificar las reglas predeterminadas o crear nuevas. Ver "Acerca de las reglas de firewall" en la pgina 415. Ver "Cmo configurar reglas de firewall" en la pgina 435.
401
Tarea
Habilite la configuracin de la proteccin mediante firewall
Descripcin
Despus de que el firewall haya terminado ciertas operaciones, el control pasa a un nmero de componentes. Cada componente est diseado para realizar un diferente tipo de anlisis del paquete. Ver "Permitir automticamente las comunicaciones para los servicios de red esenciales" en la pgina 407. Ver "Bloquear automticamente las conexiones a un equipo atacante" en la pgina 409. Ver "Cmo detectar ataques potenciales e intentos de falsificacin" en la pgina 410. Ver "Cmo evitar la deteccin de ocultacin" en la pgina 411. Ver "Cmo deshabilitar el firewall de Windows" en la pgina 412. Ver "Configurar la autenticacin punto a punto" en la pgina 414.
Supervisar proteccin de firewall
Supervise regularmente el estado de la proteccin mediante firewall en sus equipos. Ver "Supervisin de proteccin de endpoints" en la pgina 595.
Ver "Ejecucin de comandos en el equipo cliente desde la consola" en la pgina 215. Ver "Configuracin del firewall para el control mixto" en la pgina 408. Consulte el artculo de la base de conocimientos White paper de las prcticas recomendadas y descripcin general del firewall de Proteccin contra amenazas de red.
Cmo funciona un firewall

Un firewall hace todas las tareas siguientes:
Evita que cualquier usuario no autorizado acceda a los equipos y las redes en su organizacin que se conectan a Internet. Supervisa la comunicacin entre sus equipos y otros equipos en Internet. Crea un escudo que permite o bloquea intentos de acceder a la informacin en sus equipos. Le advierte de intentos de conexin de otros equipos Le advierte de intentos de conexin mediante las aplicaciones en su equipo que se conectan a otros equipos.
El firewall revisa los paquetes de datos que se transmiten por Internet. Un paquete es un pequeo conjunto de datos que son parte del flujo de informacin entre dos
402
equipos. Los paquetes se vuelven a montar en su destino para aparecer como flujo de datos intacto. Los paquetes contienen informacin sobre lo siguiente:

Envo de los equipos Destinatarios previstos Cmo se procesan los datos de paquete Puertos que reciben los paquetes
Los puertos son los canales que dividen el flujo de datos que viene de Internet. Las aplicaciones que se ejecutan en un equipo y escuchan los puertos. Las aplicaciones aceptan los datos que se envan a los puertos. Los ataques de red aprovechan los puntos vulnerables de aplicaciones vulnerables. Los atacantes usan estas debilidades para enviar paquetes que contienen cdigo de programacin malicioso a los puertos. Cuando las aplicaciones vulnerables escuchan los puertos, el cdigo malicioso permite a los atacantes acceder al equipo. Ver "Acerca del firewall de Symantec Endpoint Protection" en la pgina 402. Ver "Cmo administrar la proteccin mediante firewall" en la pgina 399.
Acerca del firewall de Symantec Endpoint Protection

El firewall de Symantec Endpoint Protection usa polticas y reglas de firewall para permitir o bloquear el trfico de red. Symantec Endpoint Protection incluye una poltica de firewall predeterminada con reglas de firewall predeterminadas y configuracin del firewall para el entorno de oficina. El entorno de la oficina est normalmente bajo proteccin de firewalls, de filtros de paquete de lmites o de servidores antivirus corporativos. Por lo tanto, es normalmente ms seguro que la mayora de los ambientes familiares, donde la proteccin reducida del lmite est disponible. Las reglas de firewall controlan el modo en que el cliente protege el equipo cliente de trfico entrante y saliente malicioso. El firewall comprueba automticamente todos los paquetes entrantes y salientes con estas reglas. A continuacin, el firewall permite o bloquea los paquetes que se basan en la informacin que se especifica en las reglas. Cuando un equipo intenta conectarse a otro equipo, el firewall compara el tipo de conexin con su lista de reglas de firewall. El firewall adems usa la inspeccin de estado de todo el trfico de red. Cuando se instala la consola por primera vez, se agrega una poltica de firewall predeterminada a cada grupo automticamente. Cada vez que usted agrega una nueva ubicacin, la consola copia una poltica de firewall a la ubicacin predeterminada automticamente.
Administracin de proteccin mediante firewall Creacin de polticas de firewall
403
Usted determina el nivel de interaccin que desea que los usuarios tengan con el cliente permitiendo o bloqueando su capacidad de configurar reglas de firewall y opciones del firewall. Los usuarios pueden interaccionar con el cliente solamente cuando reciben notificaciones de nuevas conexiones de red y de posibles problemas. O pueden tener acceso total a la interfaz de usuario. Es posible habilitar o deshabilitar la proteccin mediante firewall segn las necesidades. Es posible instalar el cliente con la configuracin de firewall predeterminada. En la mayora de los casos no es necesario modificar la configuracin. Sin embargo, si tiene conocimientos profundos sobre redes, puede efectuar varios cambios en el firewall cliente para personalizar la proteccin de los equipos cliente. Ver "Cmo administrar la proteccin mediante firewall" en la pgina 399. Ver "Cmo funciona un firewall" en la pgina 401. Ver "Cmo el firewall usa la inspeccin de estado" en la pgina 422. Ver "Tipos de polticas de seguridad" en la pgina 254.
Creacin de polticas de firewall

Symantec Endpoint Protection incluye polticas de firewall predeterminadas con reglas de firewall predeterminadas y configuracin predeterminada del firewall para el entorno de oficina. El entorno de la oficina est normalmente bajo proteccin de firewalls, de filtros de paquete de lmites o de servidores antivirus corporativos. Por lo tanto, es normalmente ms seguro que la mayora de los ambientes familiares, donde la proteccin reducida del lmite est disponible. Cuando se instala la consola por primera vez, se agrega una poltica de firewall predeterminada a cada grupo automticamente. Cada vez que usted agrega una nueva ubicacin, la consola copia una poltica de firewall a la ubicacin predeterminada automticamente. Si la proteccin predeterminada no es adecuada, es posible personalizar las polticas de firewall para cada ubicacin, por ejemplo, para un sitio del hogar o sitio de cliente. Si no desea polticas de firewall predeterminadas, puede editarlas o reemplazarlas por otra poltica compartida. Cuando habilita la proteccin mediante firewall, la poltica permite todo el trfico de red entrante basado en IP y todo el trfico de red saliente basado en IP, con las excepciones siguientes:
La proteccin predeterminada mediante firewall bloquea el trfico IPv6 entrante y saliente con todos los sistemas remotos.
404
Nota: IPv6 es un protocolo de capa de red que se usa en Internet. Si instala el cliente en los equipos que ejecutan Microsoft Vista, la lista Reglas incluye varias reglas predeterminadas que bloquean el tipo de protocolo Ethernet IPv6. Si quita las reglas predeterminadas, deber crear una regla que bloquee IPv6. La proteccin predeterminada mediante firewall restringe las conexiones entrantes para algunos protocolos que suelen utilizarse en los ataques (por ejemplo, el uso compartido de Windows). Las conexiones de red internas se permiten y las redes externas se bloquean.
La Tabla 18-2 describe las tareas que se pueden realizar para configurar una nueva poltica de firewall. Es necesario agregar polticas de firewall primero, pero despus, las tareas restantes son opcionales y puede completarlas en cualquier orden. Tabla 18-2 Tarea
Agregar una poltica de firewall
Cmo crear una poltica de firewall Descripcin

Cuando cree una nueva poltica, otrguele un nombre y una descripcin. Adems especifique los grupos a los que se aplica la poltica. Una poltica de firewall se habilita automticamente cuando usted la crea. Pero se puede deshabilitar si lo necesita. Ver "Cmo habilitar y deshabilitar una poltica de firewall" en la pgina 406.
Crear reglas de firewall
Las reglas de firewall son los componentes de las polticas que controlan cmo el firewall protege equipos cliente de aplicaciones y trfico entrante maliciosos. El firewall comprueba automticamente todos los paquetes entrantes y salientes en comparacin con estas reglas. Permite o bloquea los paquetes segn la informacin que fue especificada en las reglas. Es posible modificar las reglas predeterminadas, crear nuevas reglas o deshabilitar las reglas predeterminadas. Cuando crea una nueva poltica de firewall, Symantec Endpoint Protection proporciona reglas de firewall predeterminadas. Las reglas de firewall predeterminadas estn habilitadas de forma predeterminada. Ver "Cmo configurar reglas de firewall" en la pgina 435.
405
Tarea
Habilitar y personalizar las notificaciones a los usuarios que acceden a una aplicacin que est bloqueada
Descripcin
Es posible enviar a los usuarios una notificacin de que una aplicacin a la que quieren acceder est bloqueada. Esta configuracin est deshabilitada de forma predeterminada. Ver "Cmo notificar a los usuarios que el acceso a una aplicacin est bloqueado" en la pgina 427. Es posible habilitar las opciones que permiten automticamente la comunicacin entre ciertos servicios de red. Estas opciones eliminan la necesidad de crear las reglas que permiten explcitamente esos servicios. Es posible tambin permitir que la configuracin del trfico detecte y bloquee el trfico que se comunica a travs de NetBIOS y de token rings. Solamente los protocolos de trfico estn habilitados de forma predeterminada. Ver "Permitir automticamente las comunicaciones para los servicios de red esenciales" en la pgina 407. Cuando el cliente de Symantec Endpoint Protection detecta un ataque de red, puede bloquear automticamente la conexin para asegurarse de que el equipo cliente est seguro. El cliente activa una respuesta activa, que bloquea automticamente toda la comunicacin hacia el equipo atacante y desde l por un tiempo determinado. La direccin IP del equipo atacante se bloquea para una sola ubicacin. Esta opcin est deshabilitada de forma predeterminada. Ver "Bloquear automticamente las conexiones a un equipo atacante" en la pgina 409.
Habilitar reglas de firewall automticas
Configurar la proteccin Es posible habilitar la configuracin para detectar y registrar y las opciones de ataques potenciales en el cliente y para bloquear intentos de ocultacin falsificacin. Ver "Cmo detectar ataques potenciales e intentos de falsificacin" en la pgina 410. Es posible habilitar la configuracin que evita que los ataques exteriores detecten informacin sobre sus clientes. Ver "Cmo evitar la deteccin de ocultacin" en la pgina 411. Todas las opciones de proteccin y las opciones de ocultacin estn deshabilitadas de forma predeterminada.
406
Tarea
Integrar el firewall de Symantec Endpoint Protection con el firewall de Windows
Descripcin
Es posible especificar las condiciones en las cuales Symantec Endpoint Protection deshabilita el firewall de Windows. Cuando se desinstala Symantec Endpoint Protection, Symantec Endpoint Protection restaura la configuracin del firewall de Windows al estado en que estaba antes de que Symantec Endpoint Protection fuera instalado. La configuracin predeterminada es deshabilitar el firewall de Windows una vez solamente y deshabilitar el mensaje deshabilitado del firewall de Windows. Ver "Cmo deshabilitar el firewall de Windows" en la pgina 412.
Configurar la autenticacin punto a punto
Es posible utilizar la autenticacin punto a punto para permitir que un equipo cliente remoto (par) se conecte a otro equipo cliente (autenticador) dentro de la misma red corporativa. El autenticador bloquea temporalmente el trfico TCP y UDP entrante desde el equipo remoto hasta que el equipo remoto pase la comprobacin de integridad del host.
Nota: Es posible ver y habilitar solamente esta opcin si instala

y obtiene la licencia de Symantec Network Access Control. Esta opcin est deshabilitada de forma predeterminada. Ver "Configurar la autenticacin punto a punto" en la pgina 414.
Ver "Cmo administrar la proteccin mediante firewall" en la pgina 399. Ver "Prcticas recomendadas para la configuracin de las polticas de firewall" en la pgina 248. Ver "Editar una poltica" en la pgina 263.
Cmo habilitar y deshabilitar una poltica de firewall

Las polticas de firewall se habilitan automticamente cuando usted las crea. Es posible deshabilitar una poltica de firewall segn las necesidades y despus habilitarla de nuevo. Es necesario permitir una poltica de firewall para que est activa. Es posible que desee deshabilitar el firewall por cualquiera de los siguientes motivos:

Instala una aplicacin que el firewall puede bloquear. Una regla de firewall o una configuracin de firewall bloquea una aplicacin debido a un error del administrador.
407
El firewall causa problemas relacionados con la conectividad de red. El firewall puede ralentizar el equipo cliente.
Es necesario habilitar al menos la proteccin del firewall predeterminada para mantener los equipos protegidos durante la instalacin del cliente remoto. Ver "Acerca de cmo habilitar y deshabilitar la proteccin" en la pgina 211. Para habilitar o deshabilitar una poltica de firewall
1 2 3 4
En la consola, haga clic en Polticas. En la pgina Polticas, seleccione Poltica de firewall y despus haga clic con el botn derecho en Editar. En la poltica, en la pgina Descripcin general, seleccione Habilitar esta poltica para habilitar la poltica; anule la seleccin para deshabilitarla. Haga clic en Aceptar.
Ver "Creacin de polticas de firewall" en la pgina 403. Ver "Cmo administrar la proteccin mediante firewall" en la pgina 399.
Permitir automticamente las comunicaciones para los servicios de red esenciales

Es posible habilitar las opciones que permiten automticamente la comunicacin entre ciertos servicios de red de forma que no es necesario definir las reglas que permiten explcitamente esos servicios. Es posible tambin permitir que la configuracin del trfico detecte y bloquee el trfico que se comunica a travs de NetBIOS y de token rings. Es posible permitir solicitudes salientes y contestaciones entrantes para las conexiones de red que estn configuradas para usar el trfico DHCP, DNS y WINS. Los filtros permiten a clientes de DHCP, DNS o WINS recibir una direccin IP de un servidor. Adems protege a los clientes contra ataques de la red con las condiciones siguientes:
Si el cliente enva una solicitud al servidor Si el cliente no enva una solicitud al servidor El cliente espera cinco segundos para permitir una respuesta entrante. Cada filtro no permite el paquete.
Cuando se habilitan estas opciones, Symantec Endpoint Protection permite el paquete si una solicitud fue hecha; no bloquea los paquetes. Es necesario crear una regla de firewall para bloquear los paquetes.
408
Nota: Para configurar estas opciones en el control mixto, es necesario tambin activar estas opciones en el cuadro de dilogo Configuracin del control mixto de la interfaz de usuario del cliente. Para permitir automticamente las comunicaciones para los servicios de red esenciales
1 2 3 4 5
En la consola, abra una poltica de firewall. En la pgina Poltica de firewall, haga clic en Reglas integradas. Seleccione las opciones que desee habilitar. Haga clic en Aceptar. Si se le pide, asigne la poltica a una ubicacin.
Ver "Creacin de polticas de firewall" en la pgina 403. Ver "Editar una poltica" en la pgina 263. Ver "Modificar el nivel de control del usuario" en la pgina 223.
Configuracin del firewall para el control mixto

Es posible configurar el cliente de modo que los usuarios no tengan ningn control, control total o control limitado sobre qu configuracin del firewall pueden establecer. Use las instrucciones siguientes cuando configura el cliente:
Control de servidores El usuario no puede crear ninguna regla de firewall ni habilitar la configuracin del firewall. El usuario puede crear reglas de firewall y habilitar toda la configuracin del firewall. El usuario puede crear reglas de firewall. Se decide qu configuracin del firewall puede habilitar el usuario.
Control de clientes
Control mixto
Para establecer la configuracin del firewall para el control mixto
1 2 3
En la consola, haga clic en Clientes. En Clientes, seleccione el grupo con el nivel de control de usuario que desea modificar. En la ficha Polticas, en Configuracin y polticas especficas de la ubicacin, en una ubicacin, expanda Configuracin especfica de la ubicacin:.
409
4 5 6
A la derecha de Configuracin de los controles de la interfaz de usuario del cliente, haga clic en Tareas > Editar configuracin. En el cuadro de dilogo Configuracin del modo de control, haga clic en Control mixto y despus haga clic en Personalizar. En la ficha Configuracin de control de clientes y servidores, en la categora Polticas de firewall, realice una de las siguientes tareas:
Para hacer que una opcin del cliente est disponible para que los usuarios la configuren, haga clic en Cliente. Para configurar una opcin del cliente, haga clic en Servidor.
7 8 9
Haga clic en Aceptar. Haga clic en Aceptar. Para cada configuracin del firewall que usted configure como Servidor, habilite o deshabilite la configuracin en la poltica de firewall.
Ver "Cmo administrar la proteccin mediante firewall" en la pgina 399. Ver "Permitir automticamente las comunicaciones para los servicios de red esenciales" en la pgina 407. Ver "Cmo detectar ataques potenciales e intentos de falsificacin" en la pgina 410. Ver "Ejecucin de comandos en el equipo cliente desde la consola" en la pgina 215.
Bloquear automticamente las conexiones a un equipo atacante

Cuando el cliente de Symantec Endpoint Protection detecta un ataque de red, puede bloquear automticamente la conexin para asegurarse de que el equipo cliente est seguro. El cliente activa una respuesta activa, que bloquea automticamente toda la comunicacin hacia el equipo atacante y desde l por un tiempo determinado. La direccin IP del equipo atacante se bloquea para una sola ubicacin. La direccin IP del atacante se inscribe en el registro de seguridad. Es posible desbloquear un ataque cancelando una direccin IP especfica o cancelando toda la Respuesta activa. Si configura el cliente al control mixto, es posible especificar si la configuracin est disponible en el cliente para que el usuario la active. Si no est disponible, es necesario activarla en el cuadro de dilogo Configuracin del control mixto de la interfaz de usuario del cliente. Las firmas de IPS actualizadas, las firmas actualizadas de negacin de servicio, los anlisis de puertos y la falsificacin de MAC tambin inician una respuesta activa.
410
Para bloquear automticamente las conexiones a un equipo atacante
1 2 3 4
En la consola, abra una poltica de firewall. En la pgina Poltica de firewall en el panel izquierdo, haga clic en Reglas integradas. En Otros, seleccione Bloquear automticamente la direccin IP de un atacante. En el cuadro de texto Nmero de segundos durante los que se bloquea la direccin IP: ... segundos, especifique el nmero de segundos que se deben bloquear los atacantes potenciales. Es posible escribir un valor del 1 al 999 999.
Ver "Creacin de polticas de firewall" en la pgina 403. Ver "Configuracin del firewall para el control mixto" en la pgina 408. Ver "Editar una poltica" en la pgina 263.
Cmo detectar ataques potenciales e intentos de falsificacin

Es posible habilitar las distintas opciones de configuracin que permiten a Symantec Endpoint Protection detectar y registrar ataques potenciales en el cliente y bloquear intentos de falsificacin. Todas estas opciones estn deshabilitadas de forma predeterminada. Las opciones de configuracin que puede habilitar son las siguientes:
Activar la deteccin de anlisis de puertos Cuando esta configuracin est habilitada, Symantec Endpoint Protection supervisa todos los paquetes entrantes que cualquier regla de seguridad bloquea. Si una regla bloquea varios paquetes diferentes en distintos puertos en un perodo corto, Symantec Endpoint Protection crea una entrada en el registro de seguridad. La deteccin del anlisis de puertos no bloquea ningn paquete. Es necesario crear una poltica de seguridad para bloquear trfico cuando ocurre un anlisis de puertos. Activar la deteccin de negacin de servicio La denegacin de deteccin de servicio es un tipo de deteccin de intrusiones. Cuando est habilitada, el cliente bloquea el trfico si detecta un modelo de firmas conocido, sin importar el nmero de puerto o el tipo de protocolo de Internet.
411
Activar reglas contra la falsificacin de MAC
Cuando est habilitada, Symantec Endpoint Protection permite el trfico entrante y saliente del protocolo de resolucin de direcciones (ARP) si una solicitud de ARP fue hecha a ese host especfico. El resto del trfico inesperado de ARP est bloqueado y una entrada se genera para el registro de seguridad.
Nota: Para configurar estas opciones en el control mixto, es necesario tambin activar estas opciones en el cuadro de dilogo Configuracin del control mixto de la interfaz de usuario del cliente. Para detectar ataques potenciales e intentos de falsificacin
1 2 3 4 5
En la consola, abra una poltica de firewall. En la pgina Polticas de firewall, haga clic en Proteccin y ocultacin. En Configuracin de proteccin, seleccione cualquiera de las opciones que desee habilitar. Haga clic en Aceptar. Si se le pide, asigne la poltica a una ubicacin.
Ver "Creacin de polticas de firewall" en la pgina 403. Ver "Modificar el nivel de control del usuario" en la pgina 223. Ver "Editar una poltica" en la pgina 263.
Cmo evitar la deteccin de ocultacin

Es posible habilitar la configuracin que evita que los ataques exteriores detecten informacin sobre sus clientes. Esta configuracin est deshabilitada de forma predeterminada. Nota: Para configurar estas opciones en el control mixto, es necesario tambin activar estas opciones en el cuadro de dilogo Configuracin del control mixto de la interfaz de usuario del cliente. Para evitar la deteccin de ocultacin
1 2
En la consola, abra una poltica de firewall. En la pgina Polticas de firewall, haga clic en Proteccin y ocultacin.
412
En Opciones de modo de ocultacin, seleccione cualquiera de las opciones que desee habilitar de la siguiente manera:
Activar exploracin Web Evita que los sitios web sepan qu sistema operativo y en modo de ocultacin navegador usan sus clientes. Activar nueva secuencia TCP Ordena aleatoriamente el nmero de serie de TCP para evadir la bsqueda de huellas digitales del sistema operativo y algunas clases de falsificacin de la direccin IP.
Activarenmascaramiento Evita que los programas detecten el sistema operativo de las huellas digitales del del equipo en el cual el firewall se ejecuta. sistema operativo
4 5
Haga clic en Aceptar. Si se le pide, asigne la poltica a una ubicacin.
Ver "Creacin de polticas de firewall" en la pgina 403. Ver "Modificar el nivel de control del usuario" en la pgina 223. Ver "Editar una poltica" en la pgina 263.
Cmo deshabilitar el firewall de Windows

Es posible especificar las condiciones en las cuales Symantec Endpoint Protection deshabilita el firewall de Windows. Cuando se desinstala Symantec Endpoint Protection, Symantec Endpoint Protection restaura la configuracin del firewall de Windows al estado en que estaba antes de que Symantec Endpoint Protection fuera instalado. Nota: Symantec Endpoint Protection no modifica reglas de polticas o exclusiones del firewall de Windows existente. Las acciones que Symantec Endpoint Protection puede tomar son las siguientes:
No hacer nada No cambia la configuracin actual del firewall de Windows.
413
Deshabilitar solo una vez
Deshabilita el firewall de Windows en el inicio la primera vez que Symantec Endpoint Protection detecta que el firewall de Windows est habilitado. En inicio subsiguiente, Symantec Endpoint Protection no deshabilita el firewall de Windows. Esta es la opcin predeterminada.
Deshabilitar siempre
Deshabilita el firewall de Windows en cada inicio y vuelve a habilitar el firewall de Windows si desinstala Symantec Client Firewall. Habilita el firewall de Windows en el inicio.
Restaurar si se deshabilita
Tpicamente, un usuario de Windows recibe una notificacin cuando el equipo se reinicia si se deshabilita el firewall de Windows. Symantec Endpoint Protection deshabilita esta notificacin de forma predeterminada, de modo que no alarme a los usuarios cuando se deshabilita el firewall de Windows. Pero se puede habilitar la notificacin, si lo desea. Para deshabilitar el firewall de Windows
1 2 3
En la consola, haga clic en Polticas. En Polticas, haga clic en Firewall. Realice una de las siguientes tareas:

Crear una nueva poltica de firewall. En la lista Polticas de firewall, haga doble clic en las polticas de firewall que desee modificar.
4 5
En Polticas de firewall, haga clic en Integracin con Windows. En la lista desplegable Deshabilitar el Firewall de Windows, especifique cuando desea deshabilitar el firewall de Windows. La configuracin predeterminada es Deshabilitar solo una vez.
En la lista desplegable de Mensaje de firewall de Windows deshabilitado, especifique si desea deshabilitar el mensaje de Windows en el inicio para indicar que el firewall est deshabilitado. La configuracin predeterminada es Deshabilitar, lo que significa que el usuario no recibe un mensaje cuando se inicia el equipo en el que el firewall de Windows est deshabilitado.
Haga clic en Aceptar
Ver "Creacin de polticas de firewall" en la pgina 403. Ver "Tipos de polticas de seguridad" en la pgina 254.
414
Configurar la autenticacin punto a punto

Es posible utilizar la autenticacin punto a punto para permitir que un equipo cliente remoto (par) se conecte a otro equipo cliente (autenticador) dentro de la misma red corporativa. El autenticador bloquea temporalmente el trfico TCP y UDP entrante desde el equipo remoto hasta que el equipo remoto pase la comprobacin de integridad del host. Nota: Es necesario tener Symantec Network Access Control instalado y con licencia para ver esta opcin. La comprobacin de integridad del host verifica las caractersticas siguientes del equipo remoto:
El equipo remoto tiene Symantec Endpoint Protection y Symantec Network Access Control instalados. El equipo remoto cumple los requisitos de poltica de integridad del host.
Si el equipo remoto pasa la comprobacin de integridad del host, el autenticador permite que el equipo remoto se conecte a l. Si el equipo remoto no pasa la comprobacin de integridad del host, el autenticador contina bloqueando el equipo remoto. Es posible especificar cunto tiempo el equipo remoto estar bloqueado antes de que pueda intentar conectarse con el autenticador de nuevo. Es posible tambin especificar ciertos equipos remotos que se permitirn siempre, incluso si no pasan la comprobacin de integridad del host. Si no habilita una poltica de integridad del host para el equipo remoto, el equipo remoto pasa la comprobacin de integridad del host. La informacin de autenticacin de punto a punto se muestra en el registro de cliente Enforcer de cumplimiento y en el registro de trfico de proteccin contra amenazas de red. Nota: Trabajos de autenticacin punto a punto en control del servidor y control mixto, pero no en control del cliente.
Advertencia: No active la autenticacin punto a punto para los clientes que estn instalados en el mismo equipo que el servidor de administracin. Si no, el servidor de administracin no puede descargar polticas en el equipo remoto si el equipo remoto no pasa la comprobacin de integridad del host.
Administracin de proteccin mediante firewall Acerca de las reglas de firewall
415
Para configurar la autenticacin punto a punto
1 2 3 4
En la consola, abra una poltica de firewall. En la pgina Poltica de firewall, haga clic en Configuracin de autenticacin Punto a Punto. En el panel Configuracin de autenticacin Punto a Punto, seleccione Habilitar autenticacin Punto a Punto. Configure cada uno de los valores que se muestra en la pgina. Para obtener ms informacin sobre estas opciones, haga clic en Ayuda.
Para permitir que los equipos remotos se conecten al equipo cliente sin ser autenticados, marque Excluir hosts de la autenticacin y haga clic en Hosts excluidos. El equipo cliente permite trfico a los equipos que se detallan en la lista Host.
6 7 8 9
En el cuadro de dilogo Hosts excluidos, haga clic en Agregar para agregar los equipos remotos que no tienen que ser autenticados. En el cuadro de dilogo Host, defina el host segn la direccin IP, el intervalo de IP o la subred y despus haga clic en Aceptar. En el cuadro de dilogo Hosts excluidos, haga clic en Aceptar. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
10 Si se le pide, asigne la poltica a una ubicacin.

Ver "Creacin de polticas de firewall" en la pgina 403. Ver "Editar una poltica" en la pgina 263.
Acerca de las reglas de firewall

Las reglas de firewall son componentes de polticas que controlan cmo el firewall protege los equipos contra trfico entrante y aplicaciones maliciosas. El firewall comprueba todos los paquetes entrantes y paquetes salientes en funcin de las reglas que usted habilita. Permite o bloquea los paquetes segn las condiciones que se especifican en la regla de firewall. Es posible habilitar y deshabilitar reglas de firewall. El firewall no examina las reglas deshabilitadas. Symantec Endpoint Protection se instala con una poltica de firewall predeterminada que contiene reglas predeterminadas. Cuando crea una nueva poltica de firewall, Symantec Endpoint Protection proporciona reglas de firewall predeterminadas. Es posible modificar cualquiera de las reglas predeterminadas o crear nuevas reglas de firewall.
416
Es necesario tener por lo menos una regla en una poltica. Pero se pueden tener tantas reglas como sean necesarias. Es posible habilitar o deshabilitar reglas segn sea necesario. Por ejemplo, puede ser recomendable deshabilitar una regla para realizar la solucin de problemas y habilitarla cuando haya terminado. La Tabla 18-3 describe qu debe saber sobre reglas de firewall. Tabla 18-3 Asunto Acerca de las reglas de firewall Descripcin
La diferencia Debe estar familiarizado con la relacin entre el nivel de control de entre las reglas de usuario del cliente y la interaccin del usuario con las reglas de firewall. servidor y las Ver "Acerca de las reglas del servidor de firewall y las reglas de clientes" reglas de clientes en la pgina 417. El orden en el cual Symantec Endpoint Protection procesa reglas de firewall Comprenda cmo pedir reglas para asegurarse de que las reglas ms restrictivas sean evaluadas primero y la mayora de las reglas generales sean evaluadas al final. Ver "Acerca del orden de procesamiento de la regla de firewall, la configuracin del firewall y la prevencin de intrusiones" en la pgina 418.
Qu son las reglas Debe estar familiarizado con las implicaciones de heredar reglas de heredadas un grupo principal y cmo se procesan las reglas heredadas. Ver "Acerca de reglas de firewall heredadas" en la pgina 419. Qu es la inspeccin de estado Symantec Endpoint Protection usa la inspeccin de estado, que elimina la necesidad de crear reglas adicionales. Es posible aprender qu es la inspeccin de estado y cmo protege su red contra amenazas. Ver "Cmo el firewall usa la inspeccin de estado" en la pgina 422. Acerca de los Aprenda cmo los activadores del firewall pueden ayudar a proteger activadores de las sus clientes y servidores. reglas de firewall Cuando se comprende qu son estos activadores y cmo puede usarlos mejor, puede personalizar sus reglas de firewall como corresponda. Ver "Acerca de las activaciones de la aplicacin de reglas de firewall" en la pgina 422. Ver "Acerca de las activaciones del host de la regla de firewall" en la pgina 428. Ver "Acerca de las activaciones de los servicios de red de la regla de firewall" en la pgina 431. Ver "Acerca de las activaciones del adaptador de red de la regla de firewall" en la pgina 433.
417
Ver "Cmo administrar la proteccin mediante firewall" en la pgina 399. Ver "Cmo configurar reglas de firewall" en la pgina 435.
Acerca de las reglas del servidor de firewall y las reglas de clientes

Las reglas se categorizan como reglas del servidor o reglas de clientes. Las reglas del servidor son las reglas que se crean en Symantec Endpoint Protection Manager y que se descargan en el cliente de Symantec Endpoint Protection. Las reglas de clientes son las reglas que el usuario crea en el cliente. La Tabla 18-4 describe la relacin entre el nivel de control del usuario del cliente y la interaccin del usuario con las reglas de firewall. Tabla 18-4 Nivel de control del usuario y estado de las reglas Interaccin del usuario
El cliente recibe reglas del servidor, pero el usuario no puede verlas. El usuario no puede crear reglas de clientes. El cliente recibe reglas del servidor. El usuario puede crear las reglas de clientes, que se combinan con reglas del servidor y con la configuracin de seguridad del cliente. El cliente no recibe reglas del servidor. El usuario puede crear reglas de clientes. No es posible ver las reglas de clientes.

Control mixto
Control de clientes
La Tabla 18-5 enumera el orden en que el firewall procesa las reglas del servidor de firewall, las reglas de clientes y la configuracin de los clientes. Tabla 18-5 Prioridad de procesamiento de reglas del servidor y de reglas de clientes Tipo o configuracin de la regla
Reglas del servidor con los niveles prioritarios (reglas ubicadas sobre la lnea azul en la lista Reglas ) Reglas del cliente Reglas del servidor con los niveles prioritarios ms bajos (reglas ubicadas bajo la lnea azul en la lista Reglas ) En el cliente, las reglas del servidor ubicadas bajo la lnea azul se procesan despus de reglas de clientes. Cuarto lugar Configuracin de seguridad de los clientes
Prioridad
Primer lugar
Segundo lugar Tercer lugar
418
Prioridad
Quinto lugar
Tipo o configuracin de la regla

Configuracin especfica de la aplicacin del cliente
En el cliente, los usuarios pueden modificar las reglas de clientes o la configuracin de seguridad, pero no pueden modificar una regla del servidor. Advertencia: Si el cliente est en control mixto, los usuarios pueden crear una regla de cliente que permita todo el trfico. Esta regla anula todas las reglas del servidor ubicadas bajo la lnea azul. Ver "Acerca de las reglas de firewall" en la pgina 415. Ver "Cmo cambiar el orden de las reglas de firewall" en la pgina 421. Ver "Modificar el nivel de control del usuario" en la pgina 223.
Acerca del orden de procesamiento de la regla de firewall, la configuracin del firewall y la prevencin de intrusiones
Las reglas de firewall se ordenan secuencialmente, desde la prioridad ms alta hasta la prioridad ms baja, o desde arriba abajo en la lista de reglas. Si la primera regla no especifica cmo administrar un paquete, el firewall examina la segunda regla. Este proceso contina hasta que el firewall encuentre una coincidencia. Una vez que el firewall encuentra una coincidencia, el firewall toma medidas que la regla especifica. Las reglas subsecuentes de una prioridad ms baja no se examinan. Por ejemplo, si una regla que bloquea todo el trfico se enumera primero, seguida por una regla que permita todo el trfico, el cliente bloquea todo el trfico. Es posible ordenar las reglas segn la exclusividad. Las reglas ms restrictivas se evalan primero, y las reglas ms generales se evalan al final. Por ejemplo, es necesario poner las reglas que bloquean el trfico cerca de la parte superior de la lista de reglas. Las reglas que aparecen ms abajo en la lista pueden permitir el trfico. La lista Reglas contiene una lnea divisoria azul. La lnea divisoria configura la prioridad de las reglas en las siguientes situaciones:

Cuando un subgrupo hereda reglas de un grupo principal. Cuando el cliente se configura en control mixto. El firewall procesa reglas del servidor y reglas de clientes.
La Tabla 18-6 muestra el orden en el cual el firewall procesa las reglas, la configuracin del firewall y la configuracin de la prevencin de intrusiones.
419
Tabla 18-6 Prioridad

Primer lugar Segundo lugar
Orden de procesamiento Configuracin

Firmas IPS personalizadas Configuracin de la prevencin de intrusiones, configuracin del trfico y modo de ocultacin Reglas integradas Reglas de firewall Comprobaciones de anlisis de puertos Firmas IPS que se descargan con LiveUpdate
Tercer lugar Cuarto lugar Quinto lugar Sexto lugar
Ver "Cmo cambiar el orden de las reglas de firewall" en la pgina 421. Ver "Acerca de las reglas de firewall" en la pgina 415. Ver "Cmo funciona un firewall" en la pgina 401. Ver "Cmo funciona la prevencin de intrusiones" en la pgina 458.
Acerca de reglas de firewall heredadas

La poltica de un subgrupo puede heredar solamente las reglas de firewall que estn habilitadas en el grupo principal. Cuando haya heredado las reglas, es posible desactivarlas, pero no es posible modificarlas. A medida que se agregan nuevas reglas a la poltica del grupo principal, las nuevas reglas se agregan automticamente a la poltica heredera. Cuando las reglas heredadas aparecen en la lista Reglas, se sombrean en prpura. Sobre la lnea azul, las reglas heredadas se agregan sobre las reglas que usted cre. Bajo la lnea azul, las reglas heredadas se agregan sobre las reglas que usted cre. Las polticas de firewall tambin heredan reglas predeterminadas, as que la poltica de firewall del subgrupo pueden tener dos grupos de reglas predeterminadas. Es posible eliminar un grupo de reglas predeterminadas. Si desea quitar las reglas heredadas, puede desheredarlas en lugar de optar por la eliminacin. Debe quitar todas las reglas heredadas en lugar de las reglas seleccionadas. El firewall procesa las reglas de firewall heredadas en la lista Reglas de la siguiente manera:
420
Sobre la lnea de divisin azul Las reglas que la poltica hereda toman precedencia sobre las reglas que se crean. Debajo de la lnea divisoria azul Las reglas que se crean toman precedencia sobre las reglas que hereda la poltica.
La Figura 18-1 muestra cmo la lista Reglas ordena las reglas cuando un subgrupo hereda reglas de un grupo principal. En este ejemplo, el grupo de ventas es el grupo principal. El grupo de ventas de Europa hereda del grupo de ventas. Figura 18-1
Grupo Ventas
Un ejemplo de cmo las reglas de firewall heredan de cada una

Grupo Ventas europeas
Ventas europeas hereda las normas de firewall de Ventas
Grupo Ventas europeas Norma 1

Toma precedencia
Norma 1
Norma 3 Norma 3
Lnea azul
Lnea azul
Lnea azul
Norma 2
Norma 4
Norma 4
Toma precedencia
Norma 2
Ver "Acerca de las reglas de firewall" en la pgina 415. Ver "Agregar reglas de firewall heredadas de un grupo principal" en la pgina 420.
Agregar reglas de firewall heredadas de un grupo principal

Es posible agregar reglas de firewall a polticas de firewall heredando reglas de un grupo principal. Para heredar las reglas de un grupo principal, la poltica del subgrupo debe ser una poltica no compartida. Nota: Si el grupo hereda todas las polticas de un grupo principal, esta opcin no est disponible.
421
Para agregar reglas de firewall heredadas de un grupo principal
1 2 3
En la consola, abra una poltica de firewall. En la pgina Poltica de firewall, haga clic en Reglas. En la ficha Reglas, seleccione Heredar reglas de firewall del grupo principal. Para quitar las reglas heredadas, desactive Heredar reglas de firewall del grupo principal.
Ver "Editar una poltica" en la pgina 263. Ver "Acerca de reglas de firewall heredadas" en la pgina 419. Ver "Acerca de las reglas de firewall" en la pgina 415.
Cmo cambiar el orden de las reglas de firewall

El firewall procesa la lista de reglas de firewall desde abajo hacia arriba. Es posible determinar cmo el firewall procesa las reglas de firewall modificando su orden. Los cambios realizados en el orden solo afectan a la ubicacin seleccionada en ese momento. Nota: Para una mejor proteccin, coloque las reglas ms restrictivas primero y las menos restrictivas al final. Para modificar el orden de las reglas de firewall
1 2 3
En la consola, abra una poltica de firewall. En la pgina Poltica de firewall, haga clic en Reglas y seleccione la regla que desea mover. Realice una de las siguientes tareas:

Para procesar esta regla antes que la regla anterior, haga clic en Subir. Para procesar esta regla despus de la que est debajo de ella, haga clic en Bajar.
Ver "Acerca del orden de procesamiento de la regla de firewall, la configuracin del firewall y la prevencin de intrusiones" en la pgina 418. Ver "Editar una poltica" en la pgina 263. Ver "Acerca de las reglas de firewall" en la pgina 415.
422
Cmo el firewall usa la inspeccin de estado

La proteccin mediante firewall usa la inspeccin de estado para realizar un seguimiento de las conexiones actuales. La inspeccin de estado realiza un seguimiento de las direcciones IP de origen y destino, los puertos, las aplicaciones y otra informacin de conexin. Antes de que el cliente examine las reglas de firewall, toma decisiones sobre el flujo de trfico que se basan en la informacin de conexin. Por ejemplo, si una regla de firewall permite que un equipo se conecte a un servidor web, el firewall registra informacin sobre la conexin. Cuando que el servidor contesta, el firewall detecta que se espera una respuesta del servidor web al equipo. Permite que el trfico del servidor web fluya al equipo de iniciacin sin la inspeccin de la base de la regla. Una regla debe permitir el trfico saliente inicial antes de que el firewall registre la conexin. La inspeccin de estado elimina la necesidad de crear nuevas reglas. Para el trfico que se inicia en una direccin, no es necesario crear las reglas que permiten el trfico en ambas direcciones. El trfico del cliente que se inicia en una direccin incluye Telnet (puerto 23), HTTP (puerto 80) y HTTPS (puerto 443). Los equipos cliente inician este trfico saliente; se crea una regla que permita el trfico saliente para estos protocolos. La inspeccin de estado permite automticamente el trfico de retorno que responde al trfico saliente. Ya que el firewall tiene estados incluidos, solo se deben crear las reglas que inician una conexin, no las caractersticas de un paquete determinado. Todos los paquetes que pertenecen a una conexin permitida se permiten implcitamente, como una parte integral de esa misma conexin. La inspeccin de estado es compatible con todas las reglas que dirigen el trfico TCP. No es compatible con las reglas que filtran el trfico ICMP. Para el trfico ICMP, se deben crear reglas que permitan el trfico en ambas direcciones. Por ejemplo, si desea que los clientes usen el comando ping y reciban respuestas, deber crear una regla que permita el trfico ICMP en ambas direcciones. Ver "Cmo funciona un firewall" en la pgina 401. Ver "Acerca de las reglas de firewall" en la pgina 415.
Acerca de las activaciones de la aplicacin de reglas de firewall

Cuando la aplicacin es el nico activador que usted define en una regla de permiso de trfico, el firewall permite que la aplicacin realice cualquier operacin de red. La aplicacin es el valor significativo, no las operaciones de red que la aplicacin realiza. Por ejemplo: se permite Internet Explorer y no se define ningn otro activador. Los usuarios podrn acceder a los sitios remotos que utilizan HTTP,
423
HTTPS, FTP, Gopher y cualquier otro protocolo compatible con el navegador Web. Es posible definir activadores adicionales para describir los hosts y protocolos de red con los que se permite comunicacin. Las reglas basadas en la aplicacin pueden ser difciles de solucionar, porque una aplicacin puede utilizar varios protocolos. Por ejemplo, si el firewall procesa una regla que permite Internet Explorer antes de una regla que bloquee el ftp, el usuario se puede comunicar con el ftp. El usuario puede escribir una URL basada en ftp en el navegador, tal como ftp://ftp.symantec.com. Por ejemplo: se permite Internet Explorer y no se define ningn otro disparador. Los usuarios del equipo podrn acceder a los sitios remotos que utilizan HTTP, HTTPS, FTP, Gopher y cualquier otro protocolo compatible con el navegador web. Es posible definir activadores adicionales para describir los hosts y protocolos de red con los que se permite la comunicacin. No es necesario utilizar reglas de aplicaciones para controlar el trfico en el nivel de red. Por ejemplo, una regla que bloquee o limite el uso de Internet Explorer no tendra ningn efecto si el usuario utilizara otro navegador Web. El trfico que el otro navegador Web genera sera comparado con el resto de las reglas, excepto con la regla de Internet Explorer. Las reglas basadas en la aplicacin son ms eficaces cuando se configuran para bloquear las aplicaciones que envan y reciben trfico. Ver "Definicin de la informacin sobre aplicaciones" en la pgina 423. Ver "Cmo notificar a los usuarios que el acceso a una aplicacin est bloqueado" en la pgina 427. Ver "Acerca de las reglas de firewall" en la pgina 415. Ver "Bloqueo de las aplicaciones en red que pueden haber sido atacadas" en la pgina 425.
Definicin de la informacin sobre aplicaciones

Es posible definir informacin sobre las aplicaciones que los clientes ejecutan e incluir esta informacin en una regla de firewall. Es posible definir aplicaciones de las siguientes maneras:
Escriba la informacin manualmente. Ver "Para definir informacin sobre las aplicaciones manualmente " en la pgina 424. Busque la aplicacin en la lista de aplicaciones reconocidas. Las aplicaciones de la lista de aplicaciones reconocidas son las aplicaciones que los equipos cliente de su red ejecutan.
424
Ver "Para buscar aplicaciones en la lista de aplicaciones reconocidas" en la pgina 424. Para definir informacin sobre las aplicaciones manualmente
1 2 3 4 5
En la consola, abra una poltica de firewall. En la pgina Polticas de firewall, haga clic en Reglas. En la ficha Reglas, en la lista Reglas, haga clic con el botn derecho en el campo Aplicacin y despus haga clic en Editar. En el cuadro de dilogo Lista de aplicaciones, haga clic en Agregar. En el cuadro de dilogo Agregar aplicacin, escriba uno o varios de los campos siguientes:

Ruta y nombre de archivo Descripcin Tamao, en bytes Fecha en que la aplicacin fue modificada por ltima vez Huella digital de archivos
6 7
Haga clic en Aceptar. Haga clic en Aceptar.
Para buscar aplicaciones en la lista de aplicaciones reconocidas
1 2 3 4 5
En la pgina Polticas de firewall, haga clic en Reglas. En la ficha Reglas, seleccione una regla, haga clic con el botn derecho en el campo Aplicacin y despus haga clic en Editar. En el cuadro de dilogo Lista de aplicaciones, haga clic en Agregar desde. En el cuadro de dilogo Buscar aplicaciones, busque una aplicacin. Conforme a la tabla Resultados de la consulta, agregue la aplicacin a la lista Aplicaciones, seleccione la aplicacin, haga clic en Agregar y despus haga clic en Aceptar. Haga clic en Cerrar. Haga clic en Aceptar.
6 7
Ver "Acerca de las reglas de firewall" en la pgina 415. Ver "Editar una poltica" en la pgina 263. Ver "Acerca de las activaciones de la aplicacin de reglas de firewall" en la pgina 422.
425
Bloqueo de las aplicaciones en red que pueden haber sido atacadas

La supervisin de aplicaciones de red sigue el comportamiento de una aplicacin en el Registro de seguridad. Si el contenido de una aplicacin se modifica con demasiada frecuencia, es probable que un troyano haya atacado la aplicacin y que el equipo cliente no sea seguro. Si el contenido de una aplicacin se modifica con menor frecuencia, es probable que se haya instalado un parche y que el equipo cliente sea seguro. Es posible utilizar esta informacin para crear una regla de firewall que permita o bloquee una aplicacin. Es posible configurar el cliente para que detecte y supervise cualquier aplicacin que se ejecute en el equipo cliente y que est conectada. Las aplicaciones de red envan y reciben trfico. El cliente detecta si el contenido de una aplicacin se modifica. Si sospecha que un troyano ha atacado una aplicacin, es posible utilizar la supervisin de aplicaciones de red a fin de configurar el cliente para que bloquee la aplicacin. Es posible tambin configurar el cliente para que pregunte a los usuarios si desean permitir o bloquear la aplicacin. El contenido de una aplicacin se modifica por los motivos siguientes:

Un troyano atac la aplicacin. La aplicacin fue actualizada con una nueva versin o una actualizacin.
Es posible agregar aplicaciones a una lista, de modo que el cliente no las supervise. Puede excluir las aplicaciones que usted piense que estn a salvo de un ataque de troyano, pero que tengan actualizaciones frecuentes y automticas de parches. Es posible desactivar la supervisin de aplicaciones de red si usted confa en que los equipos cliente reciben proteccin antivirus y antispyware adecuada. Puede tambin querer reducir al mnimo el nmero de notificaciones que solicitan a los usuarios que permitan o bloqueen una aplicacin de red. Para bloquear las aplicaciones en red que pueden haber sido atacadas
1 2 3 4
En la consola, haga clic en Clientes. En Clientes, seleccione un grupo y haga clic en Polticas. En la ficha Polticas, en Configuracin y polticas independientes de la ubicacin, haga clic en Supervisin de aplicaciones de red. En el cuadro de dilogo Supervisin de aplicaciones de red para nombre de grupo, haga clic en Habilitar supervisin de aplicaciones de red.
426
En la lista desplegable Cuando se detecta un cambio en una aplicacin, seleccione la accin que el firewall realizar sobre la aplicacin que se ejecuta en el cliente, de la siguiente manera:
Preguntar Pregunta al usuario si desea permitir o bloquear la aplicacin. Bloquea la ejecucin de la aplicacin. Permite que se ejecute la aplicacin y registra la informacin en el registro de seguridad. El firewall toma esta medida solamente sobre las aplicaciones que se han modificado.
Bloquear trfico Permitir y registrar
6 7 8
Si seleccion Preguntar, haga clic en Texto adicional. En el cuadro de dilogo Texto adicional, escriba el texto que desea mostrar bajo el mensaje estndar y despus haga clic en Aceptar. Para excluir una aplicacin de la supervisin, en Lista de aplicaciones sin supervisin, realice una de las siguientes tareas:
Para definir una aplicacin manualmente Para definir una aplicacin de una lista de aplicaciones reconocidas Haga clic en Agregar, complete uno o ms campos y despus haga clic en Aceptar. Haga clic en Agregar desde. La lista de aplicaciones reconocidas supervisa las aplicaciones de red y las que no estn conectadas. Es necesario seleccionar aplicaciones de red solamente de la lista de aplicaciones reconocidas. Despus de agregar aplicaciones a la Lista de aplicaciones sin supervisin, es posible activarlas, desactivarlas, editarlas o eliminarlas.
Seleccione el cuadro al lado de la aplicacin para habilitarla; anule la seleccin del cuadro para deshabilitarla.

Ver "Acerca de las reglas de firewall" en la pgina 415. Ver "Cmo notificar a los usuarios que el acceso a una aplicacin est bloqueado" en la pgina 427. Ver "Acerca de las activaciones de la aplicacin de reglas de firewall" en la pgina 422.
427
Ver "Cmo buscar la informacin sobre las aplicaciones que ejecutan los equipos" en la pgina 281. Ver "Configuracin del servidor de administracin para recopilar la informacin sobre las aplicaciones que los equipos cliente ejecutan" en la pgina 279.
Cmo notificar a los usuarios que el acceso a una aplicacin est bloqueado
Es posible enviar a los usuarios una notificacin de que una aplicacin a la que quieren acceder est bloqueada. Esta notificacin aparece en los equipos de los usuarios. Nota: Habilitar demasiadas notificaciones puede no solo abrumar a sus usuarios, sino que puede adems alarmarlos. Sea cuidadoso al habilitar notificaciones. Para notificar a los usuarios que el acceso a una aplicacin est bloqueado
1 2 3
En la consola, abra una poltica de firewall. En la pgina Polticas de firewall, haga clic en Reglas. En la ficha Notificaciones, seleccione las siguientes opciones que desee aplicar:
Mostrar notificacin en el equipo cuando el cliente bloquea una aplicacin Una notificacin aparece cuando el cliente bloquea una aplicacin.
Agregar texto adicional a la Haga clic en Establecer texto adicional y personalice notificacin la notificacin. Personalizar el texto de la notificacin es opcional.
Ver "Cmo administrar la proteccin mediante firewall" en la pgina 399. Ver "Cmo habilitar y deshabilitar una poltica de firewall" en la pgina 406. Ver "Acerca de las reglas de firewall" en la pgina 415. Ver "Acerca de las activaciones de la aplicacin de reglas de firewall" en la pgina 422. Ver "Bloqueo de las aplicaciones en red que pueden haber sido atacadas" en la pgina 425.
428
Acerca de las activaciones del host de la regla de firewall

Se especifica el host en ambos lados de la conexin de red descrita cuando se definen las activaciones del host. Tradicionalmente, la manera de expresar la relacin entre los hosts se denomina el origen o destino de una conexin de red. Es posible definir la relacin del servicio de host de cualquiera de las siguientes maneras:
Origen y destino El host de origen y el host de destino dependen de la direccin del trfico. En un caso, el equipo cliente local puede ser el origen, mientras que en otro caso el equipo remoto puede ser el origen. La relacin de origen y la relacin de destino se utilizan ms comnmente en firewalls basados en redes. Host local y remoto El host local siempre es el equipo del cliente local y el host remoto siempre es un equipo remoto ubicado en otra parte de la red. Esta expresin del vnculo del host es independiente de la direccin del trfico. La relacin local y remota se utiliza ms comnmente en firewalls basados en host, y es una manera ms simple de mirar el trfico.
Es posible definir varios hosts de origen y varios hosts de destino. La Figura 18-2 ilustra la relacin de origen y la relacin de destino con respecto a la direccin del trfico.
429
Figura 18-2
La relacin entre el origen y los host de destino
Origen
` Cliente de SEP HTTP
Destino
Symantec.com
Destino
` Cliente de SEP RDP
Origen
` Otro cliente
La Figura 18-3 ilustra la relacin del host local y el host remoto con respecto a la direccin del trfico. Figura 18-3 La relacin entre el host local y el host remoto
Local
` Cliente de SEP HTTP
Remoto
Symantec.com
Local
` Cliente de SEP RDP
Remoto
` Otro cliente
Las relaciones son evaluadas por los siguientes tipos de instrucciones:

Los hosts que se definen a cada lado de la conexin (entre el origen y el destino) Hosts seleccionados Instruccin OR
Instruccin AND
430
Por ejemplo, considere una regla que defina un solo host local y varios host remotos. Como el firewall examina los paquetes, el host local debe coincidir con la direccin IP relevante. Sin embargo, las caras de oposicin de la direccin pueden coincidir con cualquier host remoto. Por ejemplo, es posible definir una regla para permitir la comunicacin HTTP entre el host local y Symantec.com, Yahoo.com o Google.com. La regla es igual que tres reglas. Ver "Cmo agregar los grupos de hosts" en la pgina 430. Ver "Cmo bloquear trfico a o desde un servidor especfico" en la pgina 443. Ver "Acerca de las reglas de firewall" en la pgina 415.
Cmo agregar los grupos de hosts

Un grupo de hosts es una recopilacin de: Nombres de dominio DNS, nombres de host DNS, direcciones IP, intervalos IP, direcciones MAC o subredes que se agrupan bajo un nombre. El propsito de los grupos de hosts es eliminar la necesidad de volver a escribir direcciones y nombres de hosts. Por ejemplo, es posible agregar varias direcciones IP una por vez a una regla de firewall. O es posible agregar varias direcciones IP a un grupo de hosts y, despus, agregar el grupo a la regla de firewall. A medida que se incorporan grupos de hosts, es necesario describir dnde se utilizan los grupos. Si decide posteriormente eliminar un grupo de hosts, antes ser necesario eliminar el grupo de hosts de todas las reglas de firewall que hagan referencia a l. Cuando se agrega un grupo de hosts, este aparece en la parte inferior de la lista Hosts. Es posible acceder a la lista Hosts desde el campo Host de una regla de firewall. Para agregar grupos de hosts
1 2 3 4 5 6 7 8 9
En la consola, haga clic en Polticas. Expanda Componente de poltica y despus haga clic en Grupos de hosts. En Tareas, haga clic en Agregar un grupo de hosts. En el cuadro de dilogo Grupo de hosts, escriba un nombre y haga clic en Agregar. En el cuadro de dilogo Host, en la lista desplegable Tipo, seleccione un host. Escriba la informacin apropiada para cada tipo de host. Haga clic en Aceptar. Agregue hosts adicionales, si es necesario. Haga clic en Aceptar.
431
Ver "Acerca de las activaciones del host de la regla de firewall" en la pgina 428.
Definir las consultas de DNS segn la ubicacin

Es posible definir con cunta frecuencia es necesario que una ubicacin especfica realice una consulta de DNS. Esta funcin le permite configurar una ubicacin para consultar al servidor DNS ms a menudo que otras ubicaciones. Por ejemplo, suponga que tiene una poltica para bloquear todo el trfico fuera de su red corporativa excepto el trfico VPN. Y suponga que sus usuarios viajan y deben acceder a su red a travs de una VPN de una red del hotel. Es posible crear una poltica para una conexin VPN que use la resolucin de DNS. Symantec Endpoint Protection contina enviando la consulta de DNS cada 5 segundos hasta que cambia a esta ubicacin. De esta manera, sus usuarios pueden acceder ms rpidamente a su red. Precaucin: Sea cuidadoso cuando establezca esta configuracin a un valor muy bajo. Cabe la posibilidad de que su servidor DNS se caiga si todos sus sistemas acceden al servidor cada 5 segundos, por ejemplo. Para definir las consultas de DNS segn la ubicacin
1 2 3 4 5
En la consola, haga clic en Clientes. En Clientes, seleccione el grupo para el cual se aplica la funcin. En Tareas, haga clic en Administrar ubicaciones. Asegrese de que Bucle de consulta de DNS est seleccionado. Haga clic en la configuracin y los incrementos de la hora y modifquela segn lo desee. Es posible configurar el valor en segundos, minutos u horas. El valor predeterminado es de 30 minutos.
Ver "Acerca de las reglas de firewall" en la pgina 415. Ver "Acerca de las activaciones del host de la regla de firewall" en la pgina 428.
Acerca de las activaciones de los servicios de red de la regla de firewall

Los servicios de red permiten que los equipos conectados enven y reciban mensajes, compartan archivos e impriman. Un servicio de red utiliza uno o ms protocolos o puertos para transmitir un tipo de trfico especfico. Por ejemplo, el servicio HTTP utiliza los puertos 80 y 443 en el protocolo TCP. Es posible crear
432
una regla de firewall que permita o bloquee los servicios de red. Un activador de servicio de red identifica uno o ms protocolos de red significativos en relacin con el trfico de red descrito. Cuando usted define elementos que activan servicios basados en TCP o UDP, identifica los puertos en ambos lados de la conexin de red descrita. Tradicionalmente, los puertos se consideran el origen o el destino de una conexin de red. Ver "Cmo agregar los servicios de red a la lista de los servicios de red predeterminada" en la pgina 432. Ver "Permitir a clientes navegar en los archivos y las impresoras de la red" en la pgina 446. Ver "Acerca de las reglas de firewall" en la pgina 415.
Cmo agregar los servicios de red a la lista de los servicios de red predeterminada
Los servicios de red permiten que los equipos conectados enven y reciban mensajes, compartan archivos e impriman. Es posible crear una regla de firewall que permita o bloquee los servicios de red. La lista de los servicios de red elimina la necesidad de volver a escribir protocolos y puertos para las reglas de firewall que se crean para bloquear o para permitir servicios de red. Cuando se crea una regla de firewall, se puede seleccionar un servicio de red de una lista predeterminada de servicios de red de uso general. Es posible tambin agregar servicios de red a la lista predeterminada. Sin embargo, es necesario estar familiarizado con el tipo de protocolo y los puertos que el servicio utiliza. Nota: IPv4 e IPv6 son los dos protocolos de nivel de red que se utilizan en Internet. El firewall bloquea los ataques que viajan con IPv4, pero no con IPv6. Si instala el cliente en los equipos que ejecutan Microsoft Vista, la lista Reglas incluye varias reglas predeterminadas que bloquean el tipo de protocolo Ethernet IPv6. Si quita las reglas predeterminadas, deber crear una regla que bloquee IPv6.
Nota: Es posible agregar un servicio de red personalizado mediante una regla de firewall. Sin embargo, el servicio de red no se agrega a la lista predeterminada. No es posible acceder al servicio de red personalizado desde ninguna otra regla.
433
Para agregar los servicios de red a la lista de los servicios de red predeterminada
1 2 3 4 5
En la consola, haga clic en Polticas. Expanda Componentes de polticas y despus haga clic en Servicios de red. En Tareas, haga clic en Agregar un servicio de red. En el cuadro de dilogo Servicio de red, escriba un nombre para el servicio y haga clic en Agregar. Seleccione un protocolo de la lista desplegable Protocolo. Las opciones se modifican de acuerdo con el protocolo que usted selecciona.
6 7 8
Complete los campos apropiados y haga clic en Aceptar. Agregue uno o ms protocolos adicionales, segn sea necesario. Haga clic en Aceptar.
Ver "Acerca de las reglas de firewall" en la pgina 415. Ver "Acerca de las activaciones de los servicios de red de la regla de firewall" en la pgina 431. Ver "Cmo controlar si los equipos en red pueden compartir mensajes, archivos y la impresin" en la pgina 445. Ver "Permitir a clientes navegar en los archivos y las impresoras de la red" en la pgina 446.
Acerca de las activaciones del adaptador de red de la regla de firewall

Es posible definir una regla de firewall que bloquee o permita el trfico que pasa (se transmite o recibe) por un adaptador de red. Cuando se define un tipo determinado de adaptador, tenga en cuenta cmo se utiliza ese adaptador. Por ejemplo, si una regla permite trfico saliente HTTP de los adaptadores de Ethernet, HTTP se permite a travs de todos los adaptadores instalados del mismo tipo. La nica excepcin es si tambin especifica direcciones del host local. El equipo cliente puede utilizar los servidores multi NIC y las estaciones de trabajo que conectan dos o ms segmentos de la red. Para controlar el trfico concerniente a un adaptador determinado, se debe utilizar el esquema de la direccin de cada segmento en lugar del adaptador mismo. La lista de adaptadores de red elimina la necesidad de volver a escribir tipos de adaptadores para las reglas de firewall. En su lugar, cuando se crea una regla de firewall, se puede seleccionar un adaptador de red de una lista predeterminada de adaptadores de red de uso general. Es posible tambin agregar adaptadores de red a la lista predeterminada.
434
Es posible seleccionar un adaptador de red de una lista predeterminada que est compartida por varias reglas y polticas de firewall. Los adaptadores ms comunes se incluyen en la lista predeterminada de la lista Componentes de polticas. Los adaptadores comunes incluyen adaptadores de VPN, Ethernet, inalmbricos, Cisco, Nortel y Enterasys. Nota: Es posible agregar un adaptador de red personalizado mediante una regla de firewall. Sin embargo, el adaptador de red no se agrega a la lista predeterminada. No es posible acceder al adaptador de red personalizado desde ninguna otra regla. Ver "Acerca de las reglas de firewall" en la pgina 415. Ver "Cmo agregar un adaptador de red personalizado a la lista de adaptadores de red" en la pgina 434. Ver "Cmo controlar el trfico que pasa por un adaptador de red" en la pgina 449.
Cmo agregar un adaptador de red personalizado a la lista de adaptadores de red

Es posible aplicar una regla de firewall separada a cada adaptador de red. Por ejemplo, es posible bloquear trfico con una VPN en una ubicacin de la oficina, pero no en una ubicacin domstica. Es posible seleccionar un adaptador de red de una lista predeterminada que est compartida por varias reglas y polticas de firewall. Los adaptadores ms comunes se incluyen en la lista predeterminada de la lista Componentes de polticas. Utilice la lista predeterminada de modo que no sea necesario volver a escribir cada adaptador de red para cada regla que cree. La lista de adaptadores de red elimina la necesidad de volver a escribir adaptadores para las reglas de firewall. Cuando se crea una regla de firewall, se puede seleccionar un adaptador de red de una lista predeterminada de adaptadores de red de uso general. Es posible tambin agregar adaptadores de red a la lista predeterminada. Nota: Es posible agregar un adaptador de red personalizado mediante una regla de firewall. Sin embargo, el adaptador de red no se agrega a la lista predeterminada. No es posible acceder al adaptador de red personalizado desde ninguna otra regla.
Administracin de proteccin mediante firewall Cmo configurar reglas de firewall
435
Para agregar un adaptador de red personalizado a la lista de adaptadores de red
1 2 3 4 5
En la consola, haga clic en Polticas > Componentes de polticas > Adaptadores de red. En Tareas, haga clic en Agregar un adaptador de red. En el cuadro de dilogo Adaptador de red, en la lista desplegable Tipo de adaptador, seleccione un adaptador. En el campo Nombre del adaptador, escriba opcionalmente una descripcin. En el cuadro de texto Identificacin del adaptador, escriba la marca del adaptador, con diferenciacin entre maysculas y minsculas. Para encontrar la marca del adaptador, abra una lnea de comandos en el cliente y escriba el texto siguiente:
ipconfig/all
Ver "Acerca de las reglas de firewall" en la pgina 415. Ver "Acerca de las activaciones del adaptador de red de la regla de firewall" en la pgina 433. Ver "Cmo controlar el trfico que pasa por un adaptador de red" en la pgina 449.
Cmo configurar reglas de firewall

La Tabla 18-7 describe cmo configurar nuevas reglas de firewall.
436
Tabla 18-7 Paso

1
Cmo configurar reglas de firewall Descripcin

Es posible agregar nuevas reglas de firewall a travs de la consola usando varios mtodos. Un mtodo permite agregar una regla en blanco que tenga la configuracin predeterminada. El otro mtodo ofrece un asistente que lo gua para crear una nueva regla. Ver "Adicin de una nueva regla de firewall" en la pgina 436. Otra manera en que puede agregar una regla de firewall es exportar reglas de firewall existentes desde otras polticas de firewall. Es posible entonces importar las reglas de firewall y la configuracin, de modo que usted no tenga que volver a crearlas. Ver "Cmo importar y exportar reglas de firewall" en la pgina 438. Puede ahorrar tiempo en la creacin de una nueva regla de firewall copiando una regla existente que sea similar a la regla que desea crear. A continuacin, puede modificar la regla copiada para cubrir sus necesidades. Ver "Cmo copiar y pegar reglas de firewall" en la pgina 439.
Tarea
Agregar una nueva regla de firewall
(Opcional) Personalizar los criterios de la regla de firewall
Una vez que crea una nueva regla o si desea personalizar una regla predeterminada, puede modificar cualquiera de los criterios de la regla de firewall. Ver "Cmo personalizar reglas de firewall" en la pgina 439.
Ver "Acerca de las reglas de firewall" en la pgina 415.
Adicin de una nueva regla de firewall

Es posible crear nuevas reglas de firewall con cualquiera de los siguientes mtodos:
Regla vaca Una regla vaca permite todo el trfico. Ver "Para agregar una nueva regla de firewall en blanco" en la pgina 437. Asistente para Agregar regla de firewall Si agrega reglas con el asistente para Agregar regla de firewall, asegrese de configurar la regla. El asistente no configura nuevas reglas con varios criterios. Ver "Para agregar una nueva regla de firewall con un asistente " en la pgina 437.
437
Es necesario especificar el trfico entrante y saliente en la regla siempre que sea posible. No es necesario crear reglas de entrada para el trfico tal como HTTP. El cliente de Symantec Endpoint Protection usa la inspeccin de estado para trfico de TCP. Por lo tanto, no necesita una regla para filtrar el trfico de retorno que inician los clientes. Cuando crea una nueva regla de firewall, se habilita automticamente. Puede inhabilitar una regla de firewall si necesita permitir el acceso especfico de un programa o equipo. La regla tambin se deshabilita para todas las polticas heredadas. La regla tambin se deshabilita para todas las ubicaciones si es una poltica compartida y solamente para una ubicacin si es una poltica especfica para una ubicacin. Nota: Las reglas se deben activar para que el firewall las procese. Para agregar una nueva regla de firewall en blanco
1 2 3 4 5
En la consola, abra una poltica de firewall. En la pgina Poltica de firewall, haga clic en Reglas. En la ficha Reglas, en la lista Reglas, haga clic en Agregar regla vaca. Opcionalmente, puede personalizar los criterios de la regla de firewall segn sea necesario. Cuando haya terminado la configuracin de esta regla, haga clic en Aceptar.
Para agregar una nueva regla de firewall con un asistente
1 2 3 4 5 6 7 8 9
En la consola, abra una poltica de firewall. En la pgina Poltica de firewall, haga clic en Reglas. En la ficha Reglas, en la lista Reglas, haga clic en Agregar regla. En el Asistente para agregar reglas de firewall, haga clic en Siguiente. En el panel Seleccionar el tipo de regla, seleccione uno de los tipos de reglas. Haga clic en Siguiente. Escriba los datos en cada panel para crear el tipo de regla que seleccion. Para las aplicaciones y los hosts, haga clic en Agregar ms para agregar aplicaciones y servicios adicionales. Cuando haya terminado, haga clic en Finalizar.
438
10 Opcionalmente, puede personalizar los criterios de la regla de firewall segn

sea necesario.
11 Cuando haya terminado la configuracin de esta regla, haga clic en Aceptar.

Ver "Cmo personalizar reglas de firewall" en la pgina 439. Ver "Cmo configurar reglas de firewall" en la pgina 435. Ver "Editar una poltica" en la pgina 263. Ver "Cmo el firewall usa la inspeccin de estado" en la pgina 422.
Cmo importar y exportar reglas de firewall

Es posible exportar e importar reglas de firewall y configuracin de otra poltica de firewall de modo que usted no tenga que reconstruirlas. Por ejemplo, es posible importar un conjunto de reglas parcial de una poltica a otra. Para importar reglas, primero tiene que exportar las reglas a un archivo .dat y tener acceso al archivo. Las reglas se agregan en el mismo orden que estn enumeradas en la poltica principal con respecto a la lnea azul. Es posible entonces modificar el orden de procesamiento. Para exportar reglas de firewall
1 2 3 4
En la consola, abra una poltica de firewall. En la pgina Poltica de firewall, haga clic en Reglas. En la lista Reglas, seleccione las reglas que desea exportar, haga clic con el botn derecho y, despus, haga clic en Exportar. En el cuadro de dilogo Exportar poltica, seleccione un directorio para guardar el archivo .dat, escriba un nombre de archivo y haga clic en Exportar.
Para importar reglas de firewall
1 2 3 4 5 6
En la consola, abra una poltica de firewall. En la pgina Poltica de firewall, haga clic en Reglas. Haga clic con el botn secundario en la lista de reglas y, despus, haga clic en Importar. En el cuadro de dilogo Importar poltica, busque el archivo .dat que contiene las reglas de firewall que desea importar y haga clic en Importar. En el cuadro de dilogo Entrada, escriba un nuevo nombre para la poltica y haga clic en Aceptar. Haga clic en Aceptar.
Ver "Cmo configurar reglas de firewall" en la pgina 435.
439
Ver "Cmo personalizar reglas de firewall" en la pgina 439. Ver "Acerca del orden de procesamiento de la regla de firewall, la configuracin del firewall y la prevencin de intrusiones" en la pgina 418. Ver "Editar una poltica" en la pgina 263.
Cmo copiar y pegar reglas de firewall

Ahorre tiempo en la creacin de una nueva regla de firewall copiando una regla existente que sea similar a la nueva regla que desea crear. A continuacin, puede modificar la regla copiada segn sea necesario. Puede copiar y pegar reglas de la misma poltica o de otra poltica. Para copiar y pegar reglas de firewall
1 2 3 4 5
En la consola, abra una poltica de firewall. En la pgina Poltica de firewall, haga clic en Reglas. En la ficha Reglas, haga clic con el botn derecho en la regla que usted desea copiar y, despus, haga clic en Copiar regla. Haga clic con el botn secundario en la fila donde usted desea pegar la regla y, despus, haga clic en Pegar regla. Haga clic en Aceptar.
Ver "Cmo personalizar reglas de firewall" en la pgina 439. Ver "Cmo configurar reglas de firewall" en la pgina 435. Ver "Editar una poltica" en la pgina 263.
Cmo personalizar reglas de firewall

Cuando se crea una nueva poltica de firewall, la poltica incluye varias reglas predeterminadas. Es posible modificar uno o varios componentes de la regla segn sea necesario. Los componentes de una regla de firewall son los siguientes:
440
Acciones
Los parmetros de accin especifican qu medidas toma el firewall cuando una regla coincide. Si la regla coincide y se selecciona en respuesta a un paquete recibido, el firewall realiza todas las acciones. El firewall permite o bloquea el paquete, y registra o no el paquete. Si el firewall permite el trfico, permite que el trfico especificado por la regla acceda a la red. Si el firewall bloquea el trfico, bloquea el trfico especificado por la regla para que no acceda a la red. Las acciones son las siguientes: Permitir El firewall permite la conexin de red. Bloquear El firewall bloquea la conexin de red.
441
Activadores
Cuando el firewall evala la regla, todos los activadores deben ser verdaderos para que se produzca una coincidencia. Si algn activador no es verdadero en relacin con el paquete actual, el firewall no podr aplicar la regla. Es posible combinar las definiciones de activacin para crear reglas ms complejas, por ejemplo, para identificar un protocolo determinado en lo referente a una direccin de destino especfica. Las activaciones son las siguientes: Aplicacin Cuando la aplicacin es el nico activador que usted define en una regla de permiso de trfico, el firewall permite que la aplicacin realice cualquier operacin de red. La aplicacin es el valor significativo, no las operaciones de red que la aplicacin realiza. Es posible definir activadores adicionales para describir los hosts y protocolos de red con los que se permite comunicacin. Ver "Acerca de las activaciones de la aplicacin de reglas de firewall" en la pgina 422. Host Cuando se definen activadores de hosts, se especifica el host en ambos lados de la conexin de red descrita. Tradicionalmente, la manera de expresar la relacin entre los hosts se denomina el origen o destino de una conexin de red. Ver "Acerca de las activaciones del host de la regla de firewall" en la pgina 428. Servicios de red Un activador de servicios de red identifica uno o ms protocolos de red significativos en relacin con el trfico descrito. El equipo host local maneja siempre el puerto local, y el equipo remoto maneja siempre el puerto remoto. Esta expresin del vnculo del puerto es independiente de la direccin del trfico. Ver "Acerca de las activaciones de los servicios de red de la regla de firewall" en la pgina 431. Adaptador de red Si define un disparador de adaptador de red, la regla es relevante solamente para el trfico transmitido o recibido usando el tipo especificado de adaptador. Es posible especificar cualquier adaptador o el que se asocia actualmente al equipo cliente. Ver "Acerca de las activaciones del adaptador de red de la regla de firewall" en la pgina 433.
442
Condiciones
Las condiciones de regla incluyen la programacin de reglas y el estado del protector de pantalla. Los parmetros condicionales no describen un aspecto de una conexin de red. En cambio, los parmetros condicionales determinan el estado activo de una regla. Es posible definir una programacin o identificar el estado de un protector de pantalla que dicta cundo se considera que una regla est activa o inactiva. Los parmetros condicionales son opcionales y si no se definen, no son significativos. El firewall no evala reglas inactivas.
Notificaciones La configuracin del registro permite especificar si el servidor debe crear una entrada de registro o enviar un mensaje de correo electrnico cuando un evento de trfico coincide con los criterios establecidos para esta regla. La configuracin de la gravedad le permite especificar el nivel de gravedad de la infraccin de la regla.
Cmo personalizar reglas de firewall
1 2 3
En la consola, abra una poltica de firewall. En la pgina Poltica de firewall, haga clic en Reglas. En la ficha Reglas, en la lista Reglas, en el campo Habilitada, asegrese de que el cuadro est seleccionado para habilitar la regla; anule la seleccin del cuadro para deshabilitar la regla. Symantec Endpoint Protection procesa solamente las reglas que se habilitan. Todas las reglas estn habilitadas de forma predeterminada.
4 5 6
Haga doble clic en el campo Nombre y escriba un nombre nico para la regla de firewall. Haga clic con el botn derecho en el campo Accin y seleccione las medidas que desee que Symantec Endpoint Protection tome si se activa la regla. En el campo Aplicacin, defina una aplicacin. Ver "Definicin de la informacin sobre aplicaciones" en la pgina 423.
En el campo Host, especifique un activador de hosts. Ver "Cmo bloquear trfico a o desde un servidor especfico" en la pgina 443.
Adems de especificar un activador de hosts, se puede tambin especificar el trfico que tiene permitido acceder a su subred local. Ver "Permitir solamente el trfico especfico a la subred local" en la pgina 445.
443
En el campo Servicio, especifique un activador del servicio de red. Ver "Cmo controlar si los equipos en red pueden compartir mensajes, archivos y la impresin" en la pgina 445.
10 En el campo Registro, especifique cundo se desea que Symantec Endpoint

Protection enve un mensaje de correo electrnico cuando se infringe esta regla de firewall. Ver "Configuracin de las notificaciones para las infracciones de la regla de firewall" en la pgina 448.
11 Haga clic con el botn derecho en el campo Gravedad y seleccione el nivel

de gravedad para la infraccin de la regla.
12 En la columna Adaptador, especifique un activador del adaptador para la

regla. Ver "Cmo controlar el trfico que pasa por un adaptador de red" en la pgina 449.
13 En la columna Tiempo, especifique los perodos en los cuales esta regla est
activa. Ver "Cmo programar cundo una regla de firewall est activa" en la pgina 450.
14 Haga clic con el botn derecho en el campo Protector de pantalla y especifique

el estado en el que el protector de pantalla del equipo cliente debe estar para que la regla est activa. El campo Creada el no es editable. Si se comparte la poltica, el trmino Compartida aparece. Si la poltica no es compartida, el campo muestra el nombre del grupo al que la poltica no compartida est asignada.
15 Haga clic con el botn derecho en el campo Descripcin, haga clic en Editar,
escriba una descripcin opcional para la regla y despus haga clic en Aceptar.
16 Cuando haya terminado la configuracin de esta regla, haga clic en Aceptar.

Ver "Cmo configurar reglas de firewall" en la pgina 435. Ver "Acerca de las reglas de firewall" en la pgina 415.
Cmo bloquear trfico a o desde un servidor especfico

Para bloquear trfico hacia un servidor especfico, o desde l, es posible bloquear el trfico mediante la direccin IP en lugar de bloquearlo por nombre de dominio o nombre del host. Si no, el usuario puede acceder al equivalente de la direccin IP del nombre de host.
444
Para bloquear trfico a o desde un servidor especfico
1 2 3 4
En la consola, abra una poltica de firewall. En la pgina Poltica de firewall, haga clic en Reglas. En la ficha Reglas, en la lista Reglas, seleccione la regla que desee editar, haga clic con el botn derecho en el campo Host y despus haga clic en Editar. En el cuadro de dilogo Lista de hosts, realice una de las siguientes acciones:

Haga clic en Origen o destino. Haga clic en Local o remoto.
Realice una de las siguientes tareas:

Para seleccionar un Realice todas las siguientes tareas: tipo de host de la En las tablas Origen y destino o Local y remota, haga clic lista desplegable en Agregar. Tipo En el cuadro de dilogo Host, seleccione un tipo de host de la lista desplegable Tipo y escriba la informacin apropiada para cada tipo de host. Haga clic en Aceptar. El host que usted cre se habilita automticamente. Para seleccionar un En el cuadro de dilogo Lista de hosts, realice una de las grupo de hosts siguientes acciones:

Haga clic en Origen o destino. Haga clic en Local o remoto.
A continuacin en el cuadro de dilogo Lista de hosts, seleccione el cuadro en la columna Habilitado para cualquier grupo de hosts que se desee agregar a la regla.
6 7
Agregue hosts adicionales, si es necesario. Haga clic en Aceptar para volver a la lista Reglas.
Ver "Cmo configurar reglas de firewall" en la pgina 435. Ver "Cmo personalizar reglas de firewall" en la pgina 439. Ver "Editar una poltica" en la pgina 263. Ver "Cmo agregar los grupos de hosts" en la pgina 430.
445
Permitir solamente el trfico especfico a la subred local

Es posible crear una regla de firewall que permita solamente el trfico especfico a su subred local. Esta regla de firewall se aplica siempre a su direccin IP de la subred local, sin importar cul es la direccin. Por lo tanto, incluso si se cambia su direccin IP de la subred local, nunca se tiene que modificar esta regla para la nueva direccin. Por ejemplo, se puede crear esta regla para permitir el trfico al puerto 80 solamente en la subred local, sin importar cul es la direccin IP de la subred local. Para permitir solamente el trfico especfico a la subred local
1 2 3 4 5 6 7
En la consola, abra una poltica de firewall. En la pgina Poltica de firewall, haga clic en Reglas. En la ficha Reglas, en la lista Reglas, seleccione la regla que desee editar. En la tabla Reglas de firewall, en la columna Host, haga doble clic en la regla para la cual desea crear una condicin del trfico de la subred local. En el tipo de host para el cual esta regla se aplica (local o remoto), haga clic en Agregar. Haga clic en la lista desplegable Tipo de direccin y seleccione Subred local. Haga clic en Aceptar y despus haga clic en Aceptar de nuevo para cerrar y salir del cuadro de dilogo Lista de hosts.
Ver "Tipos de polticas de seguridad" en la pgina 254. Ver "Editar una poltica" en la pgina 263. Ver "Cmo personalizar reglas de firewall" en la pgina 439.
Cmo controlar si los equipos en red pueden compartir mensajes, archivos y la impresin
Los servicios de red permiten que los equipos conectados enven y reciban mensajes, archivos compartidos e impresiones. Es posible crear una regla de firewall que permita o bloquee los servicios de red. Es posible agregar un servicio de red personalizado mediante una regla de firewall. Sin embargo, el servicio de red no se agrega a la lista predeterminada. No es posible acceder al servicio personalizado desde ninguna otra regla. Para controlar si los equipos en red pueden compartir mensajes, archivos y la impresin
1 2
En la consola, abra una poltica de firewall. En la pgina Poltica de firewall, haga clic en Reglas.
446
En la ficha Reglas, en la lista Reglas, seleccione la regla que desee editar, haga clic con el botn derecho en el campo Servicio y despus haga clic en Editar. En el cuadro de dilogo Lista de servicios, seleccione la casilla al lado de cada servicio que desee que active la regla. Para agregar un servicio adicional solamente para la regla seleccionada, haga clic en Agregar. En el cuadro de dilogo Protocolo, seleccione un protocolo de la lista desplegable Protocolo. Complete los campos apropiados. Haga clic en Aceptar. Haga clic en Aceptar.
4 5 6 7 8 9

Ver "Acerca de las activaciones de los servicios de red de la regla de firewall" en la pgina 431. Ver "Cmo configurar reglas de firewall" en la pgina 435. Ver "Cmo agregar los servicios de red a la lista de los servicios de red predeterminada" en la pgina 432. Ver "Editar una poltica" en la pgina 263. Ver "Cmo personalizar reglas de firewall" en la pgina 439.
Permitir a clientes navegar en los archivos y las impresoras de la red

Es posible activar el cliente para que comparta sus archivos o para que busque archivos e impresoras compartidos en la red local. Para impedir ataques basados en la red, se recomienda no deshabilitar el uso compartido de archivos e impresoras en la red. Se activa el uso compartido de archivos e impresoras en la red agregando reglas de firewall. Las reglas de firewall permiten que el acceso a los puertos para buscar y compartir archivos e impresoras. Se crea una regla de firewall de modo que el cliente pueda compartir sus archivos. Se crea una segunda regla de firewall de modo que el cliente pueda buscar otros archivos e impresoras. La configuracin funciona de manera diferente basada en el tipo de control que se especifica para el cliente, de la siguiente manera:
447
Control de clientes o control mixto
Los usuarios en el cliente pueden habilitar esta configuracin automticamente configurndola en Proteccin contra amenazas de red. Una regla de firewall del servidor que especifica este tipo de trfico puede anular esta configuracin. Esta configuracin no est disponible en el cliente.
Control mixto
Para permitir a clientes navegar en los archivos y las impresoras de la red
1 2 3
En la consola, abra una poltica de firewall. En la pgina Poltica de firewall, haga clic en Reglas. En la ficha Reglas, en la lista Reglas, seleccione la regla que desee editar, haga clic con el botn derecho en el campo Servicio y despus haga clic en Editar. En el cuadro de dilogo Lista de servicios, haga clic en Agregar. En el cuadro de dilogo Protocolo, en la lista desplegable Protocolo, haga clic en TCP y despus haga clic en Local o remoto. Realice una de las siguientes tareas:
Para permitir a En la lista desplegable Puerto remoto, escriba 88, 135, 139, clientes navegar en 445. los archivos y las impresoras de la red Para permitir que En la lista desplegable Puerto local, escriba 88, 135, 139, 445. otros equipos busquen archivos en el cliente
4 5 6
7 8 9
Haga clic en Aceptar. En el cuadro de dilogo Lista de servicios, haga clic en Agregar. En el cuadro de dilogo Protocolo, en la lista desplegable Protocolo, haga clic en UDP.
448
10 Realice una de las siguientes tareas:

Para permitir a En la lista desplegable Puerto local, escriba 137, 138. clientes navegar en En la lista desplegable Puerto remoto, escriba 88. los archivos y las impresoras de la red Para permitir que En la lista desplegable Puerto local, escriba 88, 137, 138. otros equipos busquen archivos en el cliente
11 Haga clic en Aceptar. 12 En el cuadro de dilogo Lista de servicios, asegrese de que los dos servicios
estn habilitados y despus haga clic en Aceptar.
13 En la ficha Reglas, asegrese de que el campo Accin se configure como

Permitir.
14 Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar. 15 Si se le pide, asigne la poltica a una ubicacin.
Ver "Cmo configurar reglas de firewall" en la pgina 435. Ver "Cmo personalizar reglas de firewall" en la pgina 439. Ver "Editar una poltica" en la pgina 263.
Configuracin de las notificaciones para las infracciones de la regla de firewall

Es posible configurar Symantec Endpoint Protection para enviarle un mensaje de correo electrnico cada vez que el firewall detecta una infraccin de regla, un ataque o un evento. Por ejemplo, es posible saber cundo un cliente bloquea el trfico proveniente de una direccin IP determinada. Para configurar las notificaciones para las infracciones de la regla de firewall
1 2
En la consola, abra una poltica de firewall. En la pgina Poltica de firewall, haga clic en Reglas.
449
En la ficha Reglas, seleccione una regla, haga clic con el botn derecho en el campo Registro y realice una de las siguientes acciones:
Para enviar un mensaje de Seleccione Enviar alerta de correo electrnico. correo electrnico cuando se activa una regla de firewall Para generar un evento de Seleccione Escribir en el registro de trfico y Escribir registro cuando se activa una en el registro de paquetes. regla de firewall
4 5 6 7
Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar. Configure una alerta de seguridad. Configure un servidor de correo. Haga clic en Aceptar.
Ver "Cmo configurar reglas de firewall" en la pgina 435. Ver "Cmo personalizar reglas de firewall" en la pgina 439. Ver "Cmo configurar notificaciones de administrador" en la pgina 638.
Cmo controlar el trfico que pasa por un adaptador de red

Cuando se define una activacin del adaptador de red, la regla es relevante solamente para el trfico que el adaptador especificado transmite o recibe. Es posible agregar un adaptador de red personalizado desde una regla de firewall. Sin embargo, ese adaptador no se agrega a la lista compartida. No es posible acceder al adaptador personalizado desde ninguna otra regla. Para controlar el trfico que pasa por un adaptador de red
1 2 3
En la consola, abra una poltica de firewall. En la pgina Poltica de firewall, haga clic en Reglas. En la ficha Reglas, en la lista Reglas, seleccione la regla que desee editar, haga clic con el botn derecho en el campo Adaptador y despus haga clic en Ms adaptadores.
450
En el cuadro de dilogo Adaptador de red, realice una de las siguientes acciones:

Para activar la regla para cualquier adaptador (incluso si no se detalla) Haga clic en Aplicar la regla a todos los adaptadores y despus vaya al paso 7.
Para activar la regla para los adaptadores Haga clic en Aplicar la regla a los seleccionados siguientes adaptadores. A continuacin seleccione el cuadro al lado de cada adaptador que desee que active la regla.
Para agregar un adaptador personalizado para la regla seleccionada solamente, haga las siguientes tareas:

Haga clic en Agregar. En el cuadro de dilogo Adaptador de red, seleccione el tipo de adaptador y escriba la marca del adaptador en el campo de texto Identificacin del adaptador.
6 7 8
Haga clic en Aceptar. Haga clic en Aceptar. Haga clic en Aceptar.
Ver "Cmo configurar reglas de firewall" en la pgina 435. Ver "Cmo personalizar reglas de firewall" en la pgina 439. Ver "Editar una poltica" en la pgina 263. Ver "Acerca de las activaciones del adaptador de red de la regla de firewall" en la pgina 433.
Cmo programar cundo una regla de firewall est activa

Es posible especificar un perodo en que una regla de firewall est activa. Para programar cundo una regla de firewall est activa
1 2 3 4
En la consola, abra una poltica de firewall. En la pgina Poltica de firewall, haga clic en Reglas. En la ficha Reglas, seleccione la regla que desea editar, haga clic con el botn secundario en el campo Hora y despus haga clic en Editar. En el cuadro de dilogo Lista de programacin, haga clic en Agregar.
451
5 6 7
En el cuadro de dilogo Agregar programacin, configure el momento de inicio y finalizacin durante el que la regla estar activa o inactiva. En la lista desplegable Mes, seleccione Todos o un mes especfico. Seleccione el cuadro para el plazo que desee. Si selecciona Especificar das, elija uno o varios de los das mencionados.
8 9
Haga clic en Aceptar. En la Lista de programacin, realice una de las siguientes acciones:
Para mantener la regla activa Anule la seleccin del cuadro en la columna Cualquier durante este tiempo momento excepto. Para que la regla est Seleccione el cuadro en la columna Cualquiermomento inactiva durante este tiempo excepto.

Ver "Cmo configurar reglas de firewall" en la pgina 435. Ver "Cmo personalizar reglas de firewall" en la pgina 439. Ver "Editar una poltica" en la pgina 263.
452
Captulo
19
Administracin de prevencin de intrusiones


Cmo administrar la prevencin de intrusiones en sus equipos cliente Cmo funciona la prevencin de intrusiones Acerca de firmas IPS de Symantec Acerca de las firmas IPS personalizadas Cmo habilitar o deshabilitar la prevencin contra intrusiones del navegador o de la red Cmo crear las excepciones para las firmas IPS Configurar una lista de equipos excluidos Configuracin de notificaciones de la prevencin de intrusiones del cliente Cmo administrar firmas de prevencin de intrusiones personalizadas
Cmo administrar la prevencin de intrusiones en sus equipos cliente

La configuracin predeterminada de la prevencin de intrusiones protege los equipos cliente contra una amplia variedad de amenazas. Es posible cambiar la configuracin predeterminada para su red.
454
Administracin de prevencin de intrusiones Cmo administrar la prevencin de intrusiones en sus equipos cliente
Tabla 19-1 Tarea
Cmo administrar la prevencin de intrusiones Descripcin

Aprenda cmo la prevencin de intrusiones detecta y bloquea ataques de la red y del navegador. Ver "Cmo funciona la prevencin de intrusiones" en la pgina 458. Ver "Acerca de firmas IPS de Symantec" en la pgina 459.
Aprenda sobre la prevencin de intrusiones
Habilite o deshabilite la prevencin de Puede ser recomendable deshabilitar la intrusiones prevencin de intrusiones para solucionar problemas o si los equipos cliente detectan falsos positivos excesivos. Sin embargo, para mantener a sus equipos cliente protegidos, generalmente, usted no debe deshabilitar la prevencin de intrusiones. Es posible habilitar o deshabilitar los siguientes tipos de prevencin de intrusiones en la poltica de Prevencin de intrusiones:

Prevencin contra intrusiones de red Prevencin contra intrusiones de navegador
Ver "Cmo habilitar o deshabilitar la prevencin contra intrusiones del navegador o de la red" en la pgina 461. Es posible tambin habilitar o deshabilitar ambos tipos de prevencin de intrusiones, as como el firewall, cuando se ejecuta el comando Habilitar proteccin contra amenazas de red o Deshab. protec. contra amen. red. Ver "Ejecucin de comandos en el equipo cliente desde la consola" en la pgina 215.
455
Tarea
Cree las excepciones para cambiar el comportamiento predeterminado de las firmas de la prevencin de intrusiones de red de Symantec
Descripcin
456
Tarea
Descripcin
Puede ser recomendable crear excepciones para cambiar el comportamiento predeterminado de las firmas predeterminadas de la prevencin de intrusiones de red de Symantec. Algunas firmas bloquean el trfico de forma predeterminada y otras firmas permiten el trfico de forma predeterminada.
Nota: No es posible cambiar el comportamiento

de las firmas de la prevencin contra intrusiones de navegador. Puede ser recomendable cambiar el comportamiento predeterminado de algunas firmas de red por los siguientes motivos: Reduzca el consumo en sus equipos cliente. Por ejemplo, puede ser recomendable reducir el nmero de firmas que bloquean trfico. Asegrese de que, sin embargo, una firma de ataques no plantee ninguna amenaza antes de que la excluya del bloqueo. Permita algunas firmas de red que Symantec bloquea de forma predeterminada. Por ejemplo, puede ser recomendable crear excepciones para reducir falsos positivos cuando la actividad de red benigna coincide con una firma de ataques. Si sabe que la actividad de red es segura, se puede crear una excepcin. Bloquee algunas firmas que Symantec permite. Por ejemplo, Symantec incluye las firmas para las aplicaciones de punto a punto y permite el trfico de forma predeterminada. Es posible crear excepciones para bloquear el trfico en su lugar.
Ver "Cmo crear las excepciones para las firmas IPS" en la pgina 461. Es posible usar el control de aplicaciones para evitar que los usuarios ejecuten aplicaciones de punto a punto en sus equipos. Ver "Reglas de control de aplicaciones tpicas" en la pgina 487. Si desea bloquear los puertos que envan y reciben
457
Tarea
Descripcin
trfico de punto a punto, use una poltica de firewall. Ver "Creacin de polticas de firewall" en la pgina 403.
Cree las excepciones para omitir firmas Es posible crear excepciones para excluir firmas del navegador en los equipos cliente del navegador de la prevencin contra intrusiones de navegador. Puede ser recomendable omitir firmas del navegador si la prevencin contra intrusiones de navegador causa problemas con los navegadores en su red. Ver "Cmo crear las excepciones para las firmas IPS" en la pgina 461. Excluya los equipos especficos de los Puede ser recomendable excluir ciertos equipos anlisis de la prevencin de intrusiones de la prevencin de intrusiones. Por ejemplo, algunos equipos de la red interna se pueden configurar a los fines de realizar pruebas. Puede ser recomendable que Symantec Endpoint Protection omita el trfico que va y viene de esos equipos. Cuando excluye los equipos, usted adems los excluye de la proteccin contra denegacin del servicio y de la proteccin del anlisis de puertos que el firewall proporciona. Ver "Configurar una lista de equipos excluidos" en la pgina 463. Configure notificaciones de prevencin De forma predeterminada, los mensajes aparecen de intrusiones en los equipos cliente para los intentos de intrusin. Es posible personalizar el mensaje. Ver "Configuracin de notificaciones de la prevencin de intrusiones del cliente" en la pgina 464.
458
Administracin de prevencin de intrusiones Cmo funciona la prevencin de intrusiones
Tarea
Cree firmas de prevencin de intrusiones personalizadas
Descripcin
Es posible escribir su propia firma de prevencin de intrusiones para identificar una amenaza especfica. Cuando escribe su propia firma, puede reducir la posibilidad de que la firma cause un falso positivo. Por ejemplo, puede ser recomendable usar firmas de prevencin de intrusiones personalizadas para bloquear y para registrar sitios web. Ver "Cmo administrar firmas de prevencin de intrusiones personalizadas" en la pgina 465.
Supervisar la prevencin de intrusiones Compruebe regularmente que la prevencin de intrusiones est habilitada en los equipos cliente en su red. Ver "Supervisin de proteccin de endpoints" en la pgina 595.
Cmo funciona la prevencin de intrusiones

La prevencin de intrusiones es parte de Proteccin contra amenazas de red. La prevencin de intrusiones detecta y bloquea automticamente ataques de red y ataques en los navegadores. La prevencin de intrusiones es la segunda capa de defensa despus del firewall para proteger los equipos cliente. La prevencin de intrusiones a veces se llama sistema de prevencin de intrusiones (IPS). Ver "Cmo administrar la prevencin de intrusiones en sus equipos cliente" en la pgina 453. La prevencin de intrusiones intercepta datos en la capa de red. Usa firmas para analizar los paquetes o las secuencias de paquetes. Analiza cada paquete individualmente buscando los modelos que corresponden a los ataques de la red o del navegador. La prevencin de intrusiones usa firmas para detectar ataques en los componentes del sistema operativo y la capa de aplicacin. La prevencin de intrusiones proporciona dos tipos de proteccin.
Administracin de prevencin de intrusiones Acerca de firmas IPS de Symantec
459
Prevencin contra intrusiones de La prevencin contra intrusiones de red usa firmas red para identificar ataques en los equipos cliente. Para los ataques conocidos, la prevencin de intrusiones desecha automticamente los paquetes que coinciden con las firmas. Es posible tambin crear sus propias firmas de red personalizadas como parte de una poltica de prevencin de intrusiones. No es posible crear firmas personalizadas en el cliente directamente; sin embargo, se pueden importar firmas personalizadas en el cliente. Ver "Acerca de firmas IPS de Symantec" en la pgina 459. Prevencin contra intrusiones del La prevencin contra intrusiones del navegador navegador supervisa ataques en Internet Explorer y Firefox. La prevencin contra intrusiones del navegador no se admite en ningn otro navegador. Este tipo de prevencin de intrusiones usa firmas de ataques as como la heurstica para identificar ataques en los navegadores. Para algunos ataques del navegador, la prevencin de intrusiones necesita que el cliente cierre el navegador. Una notificacin aparece en el equipo cliente.
Acerca de firmas IPS de Symantec

Las firmas de prevencin de intrusiones de Symantec estn instaladas en el cliente de forma predeterminada. Ver "Cmo administrar la prevencin de intrusiones en sus equipos cliente" en la pgina 453. La prevencin de intrusiones usa las firmas de Symantec para supervisar paquetes individuales o secuencias de paquetes. Para las secuencias de paquetes, la prevencin de intrusiones puede recordar la lista de patrones o los patrones parciales de los paquetes anteriores. Puede entonces aplicar esta informacin a las inspecciones de paquetes subsiguientes. Las firmas de Symantec incluyen las firmas para la prevencin contra intrusiones de navegador y la prevencin de intrusiones de red.
460
Administracin de prevencin de intrusiones Acerca de las firmas IPS personalizadas
Firmas de la prevencin de intrusiones de red
Las firmas de red coinciden con los patrones de un ataque que puede bloquear aplicaciones o explotar los sistemas operativos en sus equipos cliente. Es posible cambiar si la firma de red de Symantec bloquea o permite trfico. Es posible tambin cambiar si Symantec Endpoint Protection registra una deteccin de una firma en el registro de seguridad o no.
Firmas de la prevencin contra intrusiones de navegador
Las firmas del navegador coinciden con patrones de ataque en los navegadores admitidos, tales como archivos de script que pueden bloquear el navegador. No es posible personalizar la configuracin de la accin o el registro para las firmas del navegador, pero se puede excluir una firma del navegador.
Ver "Cmo crear las excepciones para las firmas IPS" en la pgina 461. El equipo de Symantec Security Response suministra las firmas de ataques. El motor de la prevencin de intrusiones y el conjunto correspondiente de firmas estn instalados en el cliente de forma predeterminada. Las firmas son parte del contenido que se actualiza en el cliente. Es posible ver la informacin sobre firmas IPS en el sitio web de Symantec. http://securityresponse.symantec.com/avcenter/attack_sigs/index.html
Acerca de las firmas IPS personalizadas

Es posible crear sus propias firmas IPS de red. Estas firmas se basan en paquetes. A diferencia de las firmas de Symantec, las firmas personalizadas analizan las cargas tiles de un paquete solamente. Sin embargo, las firmas personalizadas pueden detectar ataques en las pilas TCP/IP antes que las firmas de Symantec. Las firmas basadas en paquetes examinan un solo paquete que coincida con una regla. La regla se basa en varios criterios, tales como el puerto, el protocolo, la direccin IP de origen o de destino, el nmero de indicador TCP o una aplicacin. Por ejemplo, una firma personalizada puede supervisar los paquetes de informacin que se reciben en busca de la cadena "phf" en GET / cgi-bin/phf? como indicador de un ataque de un programa CGI. Cada paquete se evala en busca de ese patrn especfico. Si el paquete de trfico coincide con la regla, el cliente permite o bloquea el paquete. Es posible especificar si Symantec Endpoint Protection registra una deteccin de firmas personalizadas en el registro de paquetes.
Administracin de prevencin de intrusiones Cmo habilitar o deshabilitar la prevencin contra intrusiones del navegador o de la red
461
Cmo habilitar o deshabilitar la prevencin contra intrusiones del navegador o de la red

Es posible habilitar o deshabilitar cualquier tipo de prevencin de intrusiones. Generalmente, no es necesario deshabilitar ningn tipo de prevencin de intrusiones. Ver "Cmo administrar la prevencin de intrusiones en sus equipos cliente" en la pgina 453. Es posible tambin excluir equipos determinados de la prevencin contra intrusiones por medio de la red. Ver "Configurar una lista de equipos excluidos" en la pgina 463. Nota: Para configurar estas opciones en el control mixto, es necesario tambin activar estas opciones en el cuadro de dilogo Configuracin del control mixto de la interfaz de usuario del cliente. Ver "Configuracin del firewall para el control mixto" en la pgina 408. Cmo habilitar o deshabilitar la prevencin contra intrusiones del navegador o de la red
1 2 3
En la consola, abra una poltica de prevencin de intrusiones. En la pgina Poltica de prevencin de intrusiones, haga clic en Configuracin. Seleccionar o anular la seleccin de las siguientes opciones:

Habilitar Prevencin contra intrusiones de red Habilitar prevencin contra intrusiones de navegador
Cmo crear las excepciones para las firmas IPS

Es posible crear excepciones para realizar las acciones siguientes:

Cambie el comportamiento predeterminado de las firmas IPS de la red Especifique las firmas del navegador que los equipos cliente deben omitir
Es posible modificar las medidas que el cliente toma cuando el IPS reconoce una firma de red. Es posible tambin modificar si el cliente registra el evento en el registro de seguridad.
462
Administracin de prevencin de intrusiones Cmo crear las excepciones para las firmas IPS
No es posible cambiar el comportamiento de las firmas del navegador de Symantec; a diferencia de las firmas de red, las firmas del navegador no permiten la configuracin personalizada de la accin y del registro. Sin embargo, se puede crear una excepcin para una firma del navegador de modo que los clientes omitan la firma. Nota: Cuando se agrega una excepcin de la firma del navegador, Symantec Endpoint Protection Manager incluye la firma en la lista de excepciones y configura automticamente la accin para Permitir y el registro para No bloquear. No es posible personalizar la configuracin de la accin o del registro. Ver "Cmo administrar la prevencin de intrusiones en sus equipos cliente" en la pgina 453. Nota: Para modificar el comportamiento de una firma IPS personalizada que usted cree o importe, se edita la firma directamente. Para modificar el comportamiento de firmas IPS de red Symantec
1 2 3
En la consola, abra una poltica de prevencin de intrusiones. En la pgina Poltica de prevencin de intrusiones, haga clic en Excepciones y despus haga clic en Agregar. En el cuadro de dilogo Agregar excepciones de prevencin de intrusiones, realice una de las siguientes acciones para filtrar las firmas:
Para visualizar las firmas de una categora determinada, seleccione una opcin de la lista desplegable Mostrar categora. Para visualizar las firmas clasificadas con una gravedad determinada, seleccione una opcin de la lista desplegable Mostrar gravedad.
Seleccione una o ms firmas. Para hacer que el comportamiento de todas las firmas de red sea igual, haga clic en Seleccionar todos.
5 6
Haga clic en Siguiente. En el cuadro de dilogo Accin de la firma, configure la accin para Bloquear o Permitir. Nota: El cuadro de dilogo Accin de la firma se aplica solamente a las firmas de red.
Administracin de prevencin de intrusiones Configurar una lista de equipos excluidos
463
7 8
Opcionalmente, configure la accin del registro para Registrar el trfico o No registrar el trfico. Haga clic en Aceptar. Si desea revertir el comportamiento de la firma original al comportamiento original, seleccione la firma y haga clic en Eliminar. Si desea que los clientes usen la firma del navegador y que no la omitan, seleccione la firma y haga clic en Eliminar.
Configurar una lista de equipos excluidos

Es posible configurar una lista de equipos para los cuales el cliente no busque coincidencias con firmas de ataque ni busque anlisis de puertos o ataques de negacin de servicio. El cliente permite todo el trfico saliente y entrante de estos hosts, sin importar la configuracin y las reglas de firewall o las firmas de IPS. Puede ser recomendable configurar una lista de equipos para excluir de la prevencin de intrusiones. Los equipos podran ejecutar un cierto software legtimo que la prevencin de intrusiones detecta como amenaza. Por ejemplo, es posible que ejecute un analizador de vulnerabilidad en su red. La prevencin de intrusiones bloquea el analizador de vulnerabilidad cuando se ejecuta. Es posible excluir la direccin IP del analizador de vulnerabilidad de la deteccin de prevencin de intrusiones. Es posible adems excluir los equipos para permitir que un proveedor de servicios de Internet analice los puertos en su red para garantizar el cumplimiento de sus acuerdos de servicio. Tambin es posible configurar algunos equipos en su red interna que usted desee para propsitos de prueba. Nota: Es posible tambin configurar una lista de equipos que permita todo el trfico saliente y entrante a menos que una firma de IPS detecte un ataque. En este caso, se crea una regla de firewall que permita todos los hosts. Para configurar una lista de equipos excluidos
1 2 3
En la consola, abra una poltica de prevencin de intrusiones. En la pgina Poltica de prevencin de intrusiones, haga clic en Configuracin. Si no est activada, active la opcin Activar hosts excluidos y, despus, haga clic en Hosts excluidos.
464
Administracin de prevencin de intrusiones Configuracin de notificaciones de la prevencin de intrusiones del cliente
En el cuadro de dilogo Host excluidos, seleccione Habilitado al lado de cualquier grupo de hosts que desee excluir. Ver "Cmo bloquear trfico a o desde un servidor especfico" en la pgina 443.
5 6
Para agregar los hosts que desea excluir, haga clic en Agregar. En el cuadro de dilogo Host, en la lista desplegable, seleccione uno de los siguientes tipos de hosts:

direccin IP Intervalo de IP Subred
Escriba la informacin apropiada que se asocia al tipo de hosts que usted seleccion. Para obtener ms informacin sobre estas opciones, haga clic en Ayuda.
8 9
Haga clic en Aceptar. Repita los pasos 5 y 8 para agregar los dispositivos y los equipos adicionales a la lista de equipos excluidos. Editar o Eliminar.
10 Para editar o eliminar los hosts excluidos, seleccione una fila y haga clic en 11 Haga clic en Aceptar. 12 Cuando termine de configurar esta poltica, haga clic en Aceptar.
Configuracin de notificaciones de la prevencin de intrusiones del cliente

De forma predeterminada, las notificaciones aparecen en los equipos cliente cuando el cliente detecta eventos de proteccin contra intrusiones. Cuando se habilitan estas notificaciones, muestran un mensaje estndar. Es posible agregar texto personalizado al mensaje estndar. Para configurar notificaciones de prevencin de intrusiones del cliente
1 2 3
En la consola, haga clic en Clientes y en Clientes, seleccione un grupo. En la ficha Polticas, en Configuracin y polticas especficas de la ubicacin, en una ubicacin, expanda Configuracin especfica de la ubicacin:. A la derecha de Configuracin de los controles de la interfaz de usuario del cliente, haga clic en Tareas y despus haga clic en Editar configuracin.
Administracin de prevencin de intrusiones Cmo administrar firmas de prevencin de intrusiones personalizadas
465
En el cuadro de dilogo Configuracin de controles de interfaz de usuario del cliente para nombre de grupo, haga clic en Control de servidores o Control mixto. Al lado de Control mixto o de Control de servidores, haga clic en Personalizar. Si hace clic en Control mixto, en la ficha Configuracin de control de clientes y servidores, al lado de Mostrar/ocultar notificaciones de prevencin de intrusiones, haga clic en Servidor. A continuacin, haga clic en la ficha Configuracin de la interfaz de usuario del cliente.
6 7 8
En el cuadro de dilogo o la ficha Configuracin de la interfaz de usuario del cliente, haga clic en Mostrar notificaciones de prevencin de intrusiones. Para activar una seal sonora cuando aparece la notificacin, haga clic en Usar sonido al notificar a los usuarios. En el campo de texto Nmero de segundos que se deben mostrar las notificaciones, escriba el nmero de segundos durante los que usted quisiera que la notificacin apareciera. Para agregar texto a la notificacin estndar que aparece, haga clic en Texto adicional. mostrar en la notificacin y despus haga clic en Aceptar.
10 En el cuadro de dilogo Texto adicional, escriba el texto adicional que desea 11 Haga clic en Aceptar. 12 Haga clic en Aceptar.
Ver "Cmo administrar la prevencin de intrusiones en sus equipos cliente" en la pgina 453.
Cmo administrar firmas de prevencin de intrusiones personalizadas

Puede escribir sus propias firmas de prevencin de intrusiones de red para identificar una intrusin especfica y reducir la posibilidad de firmas que causen un falso positivo. Mientras ms informacin agregue a una firma personalizada, ms eficaz ser esta. Advertencia: Es necesario estar familiarizado con los protocolos TCP, UDP o ICMP antes de desarrollar firmas de prevencin de intrusiones. Una firma incorrectamente creada puede daar la biblioteca de firmas personalizadas y la integridad de los clientes.
466
Tabla 19-2
Cmo administrar firmas de prevencin de intrusiones personalizadas Descripcin
Tarea
Cree una biblioteca personalizada con Es necesario crear una biblioteca personalizada un grupo de firmas para contener sus firmas personalizadas. Cuando se crea una biblioteca personalizada, se usan grupos de firmas para administrar las firmas ms fcilmente. Es necesario agregar por lo menos un grupo de firmas a una biblioteca de firmas personalizada antes de que agregue las firmas. Ver "Cmo crear una biblioteca IPS personalizada" en la pgina 468. Agregue firmas IPS personalizadas a una biblioteca personalizada Se agregan firmas IPS personalizadas a un grupo de firmas en una biblioteca personalizada. Ver "Cmo agregar firmas a una biblioteca IPS personalizada" en la pgina 468. Asigne las bibliotecas a los grupos de clientes Se asignan las bibliotecas personalizadas a los grupos de clientes en lugar de una ubicacin. Ver "Asignar varias bibliotecas IPS personalizadas a un grupo" en la pgina 470.
467
Tarea
Cambie el orden de las firmas
Descripcin
La prevencin de intrusiones usa la coincidencia de la primera regla. Symantec Endpoint Protection comprueba las firmas en el orden en el que aparecen en la lista de firmas. Por ejemplo, si usted agrega un grupo de firmas para bloquear el trfico TCP en ambas direcciones en el puerto de destino 80, es posible que tenga que agregar las firmas siguientes:

Bloquear todo el trfico en el puerto 80 Permitir todo el trfico en el puerto 80
Si la firma Bloquear todo el trfico se enumera primero, la firma Permitir todo el trfico nunca se aplica. Si la firma Permitir todo el trfico se enumera primero, la firma Bloquear todo el trfico nunca se aplica y todo el trfico HTTP se permite siempre.
Nota: Las reglas de firewall toman precedencia

sobre firmas de prevencin de intrusiones. Ver "Cmo cambiar el pedido de firmas IPS personalizadas" en la pgina 470. Copie y pegue firmas Es posible copiar y pegar firmas entre grupos y entre bibliotecas. Ver "Cmo copiar y pegar firmas IPS personalizadas" en la pgina 471. Defina variables para las firmas Cuando se agrega una firma personalizada, es posible utilizar variables para representar los datos modificables en las firmas. Si los datos cambian, es posible editar la variable en vez de editar las firmas en la biblioteca. Ver "Definicin de las variables para las firmas IPS personalizadas" en la pgina 472. Pruebe firmas personalizadas Es necesario probar las firmas de prevencin de intrusiones personalizadas para asegurarse de que funcionen. Ver "Prueba de firmas IPS personalizadas" en la pgina 473.
468
Cmo crear una biblioteca IPS personalizada

Cree una biblioteca IPS personalizada para contener las firmas IPS personalizadas. Ver "Cmo administrar firmas de prevencin de intrusiones personalizadas" en la pgina 465. Para crear una biblioteca IPS personalizada
1 2 3
En la consola, haga clic en Polticas y en Prevencin de intrusiones. En Tareas, haga clic en Agregar firmas de prevencin de intrusiones personalizada. En el cuadro de dilogo Firmas de prevencin de intrusiones personalizada, escriba un nombre y una descripcin opcional para la biblioteca. El Grupo NetBIOS es un grupo de firmas de muestra con una firma de ejemplo. Es posible editar el grupo existente o agregar un nuevo grupo.
4 5
Para agregar un nuevo grupo, en la ficha Firmas de la lista Grupos de firmas, haga clic en Agregar. En el cuadro de dilogo Grupo de firmas de prevencin de intrusiones, escriba un nombre de grupo y una descripcin opcional, y haga clic en Aceptar. El grupo est activado de forma predeterminada. Si el grupo de firmas est activado, todas las firmas del grupo se activan automticamente. Para conservar el grupo como referencia pero desactivado, desactive la opcin Activar este grupo.
Agregue una firma personalizada. Ver "Cmo agregar firmas a una biblioteca IPS personalizada" en la pgina 468.
Cmo agregar firmas a una biblioteca IPS personalizada

Se agregan firmas de prevencin de intrusiones personalizadas a una biblioteca IPS personalizada nueva o existente. Ver "Cmo administrar firmas de prevencin de intrusiones personalizadas" en la pgina 465. Para agregar una firma personalizada
Cree una biblioteca IPS personalizada. Ver "Cmo crear una biblioteca IPS personalizada" en la pgina 468.
2 3
En la ficha Firmas, en Firmas para este grupo, haga clic en Agregar. En el cuadro de dilogo Agregar firma, escriba un nombre y una descripcin opcional para la firma.
469
En la lista desplegable Gravedad, seleccione un nivel de gravedad. Los eventos que coinciden con las condiciones de la firma se registran con esta gravedad.
5 6
En la lista desplegable Direccin, especifique la direccin del trfico que desea que la firma controle. En el campo Contenido, escriba la sintaxis de la firma. Por ejemplo, las firmas para algunos protocolos comunes usan la sintaxis siguiente:
HTTP rule tcp, dest=(80,443), saddr=$LOCALHOST, msg="MP3 GET in HTTP detected", regexpcontent="[Gg][Ee][Tt] .*[Mm][Pp]3 .*"
FTP
rule tcp, dest=(21), tcp_flag&ack, saddr=$LOCALHOST, msg="MP3 GET in FTP detected", regexpcontent="[Rr][Ee][Tt][Rr] .*[Mm][Pp]3\x0d\x0a"
Para obtener ms informacin sobre la sintaxis, haga clic en Ayuda.
7 8
Si desea que una aplicacin active la firma, haga clic en Agregar. En el cuadro de dilogo Agregar aplicacin, escriba el nombre de archivo y una descripcin opcional para la aplicacin. Por ejemplo, para agregar la aplicacin Internet Explorer, escriba el nombre de archivo de las siguientes formas: iexplore o iexplore.exe. Si no especifica un nombre de archivo, cualquier aplicacin puede activar la firma.
Haga clic en Aceptar. La aplicacin agregada queda activada de forma predeterminada. Si desea desactivar la aplicacin hasta un momento posterior, desactive la casilla de verificacin en la columna Activada.
10 En el cuadro de grupo Accin, seleccione la accin que desea que el cliente

tome cuando la firma detecta el evento:
Bloquear Identifica y bloquea el evento o el ataque y lo registra en el registro de seguridad. Identifica y permite el evento o el ataque y lo registra en el registro de seguridad.
Permitir
470
11 Para registrar el evento o el ataque en el registro de paquetes, active Escribir

en el registro de paquetes.

La firma agregada queda activada de forma predeterminada. Si desea desactivar la firma hasta un momento posterior, desactive la casilla de verificacin en la columna Activada.
13 Es posible agregar firmas adicionales. Cuando haya terminado, haga clic en

Aceptar.
14 Si se le pide, asigne las firmas IPS personalizadas a un grupo.

Es posible tambin asignar varias bibliotecas IPS personalizadas a un grupo. Ver "Asignar varias bibliotecas IPS personalizadas a un grupo" en la pgina 470.
Asignar varias bibliotecas IPS personalizadas a un grupo

Despus de crear una biblioteca IPS personalizada, usted la asigna a un grupo en lugar de a una ubicacin individual. Luego, es posible asignar bibliotecas IPS personalizadas adicionales al grupo. Ver "Cmo administrar firmas de prevencin de intrusiones personalizadas" en la pgina 465. Para asignar varias bibliotecas IPS personalizadas a un grupo
1 2 3 4
En la consola, haga clic en Clientes. En Clientes, seleccione el grupo al cual desea asignar las firmas personalizadas. En la ficha Polticas, en Configuracin y polticas independientes de la ubicacin, haga clic en Prevencin de intrusiones personalizada. En el cuadro de dilogo Prevencin de intrusiones personalizada para nombre de grupo, seleccione la casilla de la columna Habilitada para cada biblioteca IPS personalizada que desee asignar a ese grupo. Haga clic en Aceptar.
Cmo cambiar el pedido de firmas IPS personalizadas

El motor IPS para las firmas personalizadas comprueba las firmas en el orden en que estn enumeradas en la lista de firmas. Solamente se puede activar una firma por paquete. Cuando una firma coincide con un paquete de trfico entrante o saliente, el motor IPS deja de verificar otras firmas. Para que el motor IPS ejecute las firmas en el orden correcto, es posible modificar el orden de las firmas en la
471
lista de firmas. Si coinciden varias firmas, desplace las firmas de mayor prioridad a la parte superior. Por ejemplo, si usted agrega un grupo de firmas para bloquear el trfico TCP en ambas direcciones en el puerto de destino 80, es posible que tenga que agregar las firmas siguientes:

Bloquear todo el trfico en el puerto 80 Permitir todo el trfico en el puerto 80
Si la firma Bloquear todo el trfico se enumera primero, la firma Permitir todo el trfico nunca se aplica. Si la firma Permitir todo el trfico se enumera primero, la firma Bloquear todo el trfico nunca se aplica y todo el trfico HTTP se permite siempre. Nota: Las reglas de firewall toman precedencia sobre firmas de prevencin de intrusiones. Ver "Cmo administrar firmas de prevencin de intrusiones personalizadas" en la pgina 465. Para cambiar el pedido de firmas IPS personalizadas
1 2
Abra una biblioteca IPS personalizada. En la ficha Firmas, en la tabla Firmas para este grupo, seleccione la firma que desea mover y realice una de las siguientes acciones:
Para procesar esta firma antes que la firma que est sobre ella, haga clic en Subir. Para procesar esta firma despus de la firma que est debajo de ella, haga clic en Bajar.
Cuando termine de configurar esta biblioteca, haga clic en Aceptar.
Cmo copiar y pegar firmas IPS personalizadas

Es posible copiar y pegar firmas dentro del mismo grupo de firmas, entre grupos de firmas o entre bibliotecas de firmas. Por ejemplo, podra notar que agreg una firma en el grupo de firmas incorrecto. O es posible que haya dos firmas que son casi idnticas. Ver "Cmo administrar firmas de prevencin de intrusiones personalizadas" en la pgina 465.
472
Para copiar y pegar firmas IPS personalizadas
1 2
Abra una biblioteca IPS personalizada. En el cuadro de dilogo Firma de prevencin de intrusiones personalizada, en la ficha Firmas, en la tabla Firmas para este grupo, haga clic con el botn derecho en la firma que desee copiar y despus haga clic en Copiar. Haga clic con el botn secundario en la lista de firmas y, despus, haga clic en Pegar. Cuando termine de configurar esta biblioteca, haga clic en Aceptar.
3 4
Definicin de las variables para las firmas IPS personalizadas

Cuando se agrega una firma IPS personalizada, es posible utilizar variables para representar los datos modificables en las firmas. Si los datos cambian, es posible editar la variable en vez de editar las firmas en la biblioteca. Ver "Cmo administrar firmas de prevencin de intrusiones personalizadas" en la pgina 465. Antes de que pueda utilizar las variables de la firma, es necesario definirlas. Las variables que usted define en la biblioteca de firmas personalizada se pueden utilizar en cualquier firma de esa biblioteca. Es posible copiar y pegar el contenido de la variable de ejemplo existente para utilizar como base para crear contenido. Para definir las variables para las firmas IPS personalizadas
1 2 3 4 5
Cree una biblioteca IPS personalizada. En el cuadro de dilogo Firmas de prevencin de intrusiones personalizada, haga clic en la ficha Variables. Haga clic en Agregar. En el cuadro de dilogo Agregar variable, escriba un nombre y una descripcin opcional para la variable. Agregue una cadena de contenido para el valor variable, de hasta 255 caracteres. Cuando escriba la cadena variable de contenido, siga las mismas guas de sintaxis que se utilizan para escribir valores en el contenido de la firma.
Haga clic en Aceptar. Despus de agregar la variable a la tabla, es posible utilizar la variable en cualquier firma de la biblioteca personalizada.
473
Para usar variables en firmas IPS personalizadas
1 2
En la ficha Firmas, agregue o edite una firma. En el cuadro de dilogo Agregar firma o Editar firma, en el campo Contenido, escriba el nombre de la variable con un signo de dlar ($) delante de ella. Por ejemplo, si usted crea una variable llamada HTTP para especificar puertos HTTP, escriba lo siguiente: $HTTP
3 4
Haga clic en Aceptar. Cuando termine de configurar esta biblioteca, haga clic en Aceptar.
Prueba de firmas IPS personalizadas

Una vez que se crean las firmas IPS personalizadas, se deben probar para asegurarse de que funcionan correctamente. Ver "Cmo administrar firmas de prevencin de intrusiones personalizadas" en la pgina 465. Tabla 19-3 Paso
Paso 1
Prueba de firmas IPS personalizadas Accin Descripcin
Asegrese de que los clientes La prxima vez que el cliente reciba la usen la poltica de poltica, el cliente aplicar las nuevas prevencin de intrusiones firmas personalizadas. actual Ver "Cmo los equipos cliente obtienen actualizaciones de polticas" en la pgina 273.
474
Paso
Paso 2
Accin
Pruebe el contenido de la firma en el cliente
Descripcin
Es necesario probar el trfico que desee bloquear en los equipos cliente. Por ejemplo, si sus firmas IPS personalizadas deben bloquear los archivos MP3, intente descargar algunos archivos MP3 en los equipos cliente. Si la descarga no ocurre, o se supera el tiempo de espera despus de muchos intentos, la firma IPS personalizada es correcta. Es posible hacer clic en Ayuda para obtener ms informacin sobre la sintaxis que se puede usar en firmas IPS personalizadas.
Paso 3
Vea los eventos bloqueados en Symantec Endpoint Protection Manager
Es posible ver eventos en los registros de ataques de Proteccin contra amenazas de red. El mensaje que se especifica en la firma IPS personalizada aparece en el registro. Ver "Supervisin de proteccin de endpoints" en la pgina 595.
Captulo
20
Administracin del control de aplicaciones y dispositivos


Acerca del control de aplicaciones y dispositivos Acerca de las polticas de control de aplicaciones y dispositivos Acerca de la estructura de una poltica de control de aplicaciones y dispositivos Cmo configurar el control de aplicaciones y dispositivos Activar un conjunto predeterminado de reglas de control de aplicaciones Cmo crear reglas de control de aplicaciones Cmo configurar el bloqueo del sistema Cmo administrar el control de dispositivos
Acerca del control de aplicaciones y dispositivos

Es posible usar el control de aplicaciones y dispositivos para supervisar y para controlar el comportamiento de aplicaciones en los equipos cliente y para administrar los dispositivos de hardware que acceden a los equipos cliente. Es posible tambin controlar aplicaciones configurando el bloqueo del sistema para permitir solamente aplicaciones aprobadas en los equipos cliente.
476
Administracin del control de aplicaciones y dispositivos Acerca del control de aplicaciones y dispositivos
Nota: Tanto el control de aplicaciones como el control de dispositivos se admiten en equipos de 32 bits y de 64 bits. Se usa una poltica de control de aplicaciones y dispositivos para configurar el control de aplicaciones y el control de dispositivos en los equipos cliente. Se usa la ficha Polticas en la pgina Equipos para configurar el bloqueo del sistema. Ver "Acerca de las polticas de control de aplicaciones y dispositivos" en la pgina 477. Advertencia: El control de aplicaciones y el bloqueo del sistema son las funciones avanzadas que solamente los administradores experimentados deben configurar. Ver "Cmo configurar el control de aplicaciones y dispositivos" en la pgina 479. Un resumen de las funciones de control de aplicaciones y dispositivos se proporciona a continuacin.
Control de aplicaciones Es posible usar el control de aplicaciones para controlar aplicaciones de las siguientes maneras:

Evite que software malicioso tome las aplicaciones Restrinja las aplicaciones que pueden ejecutarse
Evite que los usuarios cambien los archivos de configuracin Proteja las claves de registro especficas
Proteja determinadas carpetas, como \WINDOWS\system
Control de dispositivos
Es posible usar el control de dispositivos para controlar dispositivos de las siguientes maneras: Bloquee o permita diversos tipos de dispositivos que se conectan a los equipos cliente, tales como dispositivos USB, infrarrojo y FireWire Bloquee o permita los puertos serie y los puertos paralelos
Administracin del control de aplicaciones y dispositivos Acerca de las polticas de control de aplicaciones y dispositivos
477
Bloqueo del sistema
Es posible usar el bloqueo del sistema para controlar aplicaciones de las siguientes maneras: Controle todas las aplicaciones que pueden ejecutarse independientemente de que el usuario est conectado a la red. Bloquee casi cualquier troyano, spyware o software malicioso que intente ejecutarse o cargarse en una aplicacin existente.
El bloqueo del sistema garantiza el sistema se mantenga en un estado conocido y de confianza.
Nota: Si no implementa el bloqueo del sistema

cuidadosamente, puede causar problemas graves en su red. Symantec recomienda que se implemente el bloqueo del sistema en fases especficas.
Acerca de las polticas de control de aplicaciones y dispositivos

Es posible implementar el control de acceso o el control de dispositivos en los equipos cliente usando una poltica de control de aplicaciones y dispositivos. Es posible asignar solamente una poltica de control de aplicaciones y dispositivos al mismo tiempo a un grupo o a una ubicacin. Ver "Acerca del control de aplicaciones y dispositivos" en la pgina 475. De forma predeterminada, hay una poltica de control de aplicaciones y dispositivos en el servidor de administracin. Sin embargo, el controlador de la poltica de control de aplicaciones y dispositivos se deshabilita en el cliente de forma predeterminada. Para habilitar el controlador, es necesario habilitar una regla existente, o agregar y habilitar una regla nueva en la poltica. Despus de que la poltica se aplica en el equipo cliente, una notificacin solicita que se reinicie el equipo cliente. El usuario debe reiniciar el equipo para que la poltica surta efecto. Si quita o deshabilita la poltica de control de aplicaciones y dispositivos, se deshabilita el controlador y no se protege al cliente. Cuando se rehabilita la poltica, el usuario debe reiniciar el equipo cliente de nuevo.
478
Administracin del control de aplicaciones y dispositivos Acerca de la estructura de una poltica de control de aplicaciones y dispositivos
Acerca de la estructura de una poltica de control de aplicaciones y dispositivos

La seccin de control de aplicaciones de una poltica de control de aplicaciones y dispositivos puede contener varios conjuntos de reglas y cada conjunto de reglas contiene una o ms reglas. Es posible configurar las propiedades de un conjunto de reglas y las propiedades, las condiciones y las acciones de cada regla. El control de reglas intenta acceder a entidades de equipos, como archivos o claves del registro, que supervisa Symantec Endpoint Protection. Se configuran estos diferentes tipos de intentos como condiciones. Para cada condicin, es posible configurar las acciones que se deben tomar cuando se cumple la condicin. Se configuran reglas para aplicarlas solamente a ciertas aplicaciones y es posible configurarlas opcionalmente a fin de excluir su aplicacin en otras aplicaciones. Ver "Cmo crear reglas de control de aplicaciones" en la pgina 483. El control de dispositivos incluye una lista de dispositivos bloqueados y una lista de dispositivos que se excluyen del bloqueo. Es posible agregar estas dos listas y administrar sus contenidos. La Figura 20-1 ilustra los componentes del control de aplicaciones y dispositivos y cmo se relacionan entre ellos.
Administracin del control de aplicaciones y dispositivos Cmo configurar el control de aplicaciones y dispositivos
479
Figura 20-1
Estructura de la poltica de control de aplicaciones y dispositivos
Cmo configurar el control de aplicaciones y dispositivos

Es posible configurar el control de aplicaciones y dispositivos realizando algunas tareas tpicas. Ver "Acerca del control de aplicaciones y dispositivos" en la pgina 475.
480
Tabla 20-1 Tarea
Cmo configurar el control de aplicaciones y dispositivos Descripcin

Las polticas de control de aplicaciones y dispositivos contienen conjuntos de reglas predeterminados del control de aplicaciones. Los conjuntos de reglas predeterminados estn deshabilitados. Es posible habilitar cualquier conjunto que se necesite.
Habilite los conjuntos de reglas predeterminados del control de aplicaciones
Nota: Si los conjuntos de reglas predeterminados

no cumplen sus requisitos, cree los conjuntos de reglas personalizados. Los conjuntos de reglas predeterminados se configuran en modo de produccin en lugar de configurarse en el modo de prueba. Sin embargo, se puede cambiar la configuracin al modo de prueba y probar las reglas en su red de prueba antes de aplicarlas a su red de produccin. Ver "Activar un conjunto predeterminado de reglas de control de aplicaciones" en la pgina 482.
Nota: Los equipos cliente requieren un reinicio

cuando se habilitan reglas del control de aplicaciones. Ver "Cmo reiniciar equipos cliente" en la pgina 143. Cree y pruebe los conjuntos de reglas del control de aplicaciones personalizadas Es posible crear conjuntos de reglas del control de aplicaciones personalizadas. Tpicamente solamente los administradores avanzados deben realizar esta tarea. Ver "Cmo crear reglas de control de aplicaciones" en la pgina 483. Ver "Reglas de control de aplicaciones tpicas" en la pgina 487.
Nota: Los equipos cliente requieren un reinicio

cuando se habilitan reglas del control de aplicaciones.
481
Tarea
Cree excepciones para el control de aplicaciones
Descripcin
El control de aplicaciones puede causar problemas para algunas aplicaciones que se ejecutan en su red. Es posible excluir aplicaciones del control de aplicaciones. Se usa una poltica de excepciones para especificar la excepcin. Ver "Exclusin de aplicaciones del control de aplicaciones" en la pgina 528.
Configuracin de bloqueo del sistema
El bloqueo del sistema controla las aplicaciones permitidas en sus equipos cliente. Ver "Cmo configurar el bloqueo del sistema" en la pgina 498.
Configure el control de dispositivos para permitir o para bloquear los dispositivos de hardware
El control de dispositivos especifica qu dispositivos de hardware son permitidos o bloqueados en sus equipos cliente. Symantec Endpoint Protection Manager proporciona una lista de dispositivos que se pueden usar en la configuracin de control de dispositivos. Es posible agregar dispositivos a la lista. Ver "Cmo administrar el control de dispositivos" en la pgina 509.
482
Administracin del control de aplicaciones y dispositivos Activar un conjunto predeterminado de reglas de control de aplicaciones
Tarea
Consulte los registros del control de aplicaciones y del control de dispositivos
Descripcin
Es posible ver los eventos de control de aplicaciones y del control de dispositivos en el registro de control de aplicaciones y de control de dispositivos en Symantec Endpoint Protection Manager. En el equipo cliente, los eventos de control de aplicaciones y del control de dispositivos aparecen en el registro de control.
Nota: Es posible que vea entradas de registro

duplicadas o multiplicadas para una nica accin de control de aplicaciones. Por ejemplo, si explorer.exe intenta copiar un archivo, configura los bits de escritura y eliminacin de la mscara de acceso del archivo, y Symantec Endpoint Protection registra el evento. Si la accin de la copia falla porque una regla del control de aplicaciones bloquea la accin, explorer.exe intenta copiar el archivo usando solamente el bit de eliminacin de la mscara de acceso. Symantec Endpoint Protection registra otro evento para el intento de la copia. Permita o evite que los usuarios habiliten o deshabiliten el control de aplicaciones y dispositivos Es posible evitar o permitir a los usuarios habilitar o deshabilitar el control de aplicaciones y dispositivos en el cliente. Use la configuracin en el cuadro de dilogo Configuracin de la interfaz de usuario del cliente. Ver "Modificar el nivel de control del usuario" en la pgina 223.
Activar un conjunto predeterminado de reglas de control de aplicaciones

La parte de control de aplicaciones de una poltica de control de aplicaciones y dispositivos se compone de los conjuntos de reglas de control de aplicaciones. Cada conjunto de reglas de control de aplicaciones se compone de una o ms reglas. Los conjuntos de reglas de control de aplicaciones predeterminados se instalan con Symantec Endpoint Protection Manager. Los conjuntos predeterminados de reglas se desactivan en la instalacin.
Administracin del control de aplicaciones y dispositivos Cmo crear reglas de control de aplicaciones
483
Si desea utilizar los conjuntos de reglas predeterminados en una poltica de control de aplicaciones y dispositivos, debe activarlos. Ver "Cmo configurar el control de aplicaciones y dispositivos" en la pgina 479. Para activar un conjunto predeterminado de reglas de control de aplicaciones
En la consola, en la poltica Control de aplicaciones y dispositivos a la que desea agregar un conjunto predeterminado de reglas de control de aplicaciones, haga clic en Control de aplicacin. Para revisar la configuracin en un conjunto predeterminado de reglas de control de aplicaciones, haga clic en el nombre que est debajo de Conjunto de reglas y en Editar. Asegrese de no realizar cambios.
3 4
Cuando haya finalizado de revisar las reglas y la configuracin de condiciones, haga clic en Cancelar. Active la casilla de verificacin que est al lado de cada conjunto de reglas que desea activar. Por ejemplo, al lado del conjunto de reglas Bloquear la escritura en unidades USB, active la casilla de seleccin de la columna activada.
Para probar el conjunto de reglas Bloquear la escritura en unidades USB
1 2 3 4
En el equipo cliente, conecte una unidad USB. Abra el Explorador de Windows y haga doble clic en la unidad USB. Haga clic con el botn secundario en la ventana y haga clic en Nueva > Carpeta. Si el control de aplicaciones est activo, aparece el mensaje de error No es posible crear la carpeta.
Cmo crear reglas de control de aplicaciones

Puede ser recomendable usar reglas de control de aplicaciones cuando se configura el control de aplicaciones y dispositivos. Ver "Cmo configurar el control de aplicaciones y dispositivos" en la pgina 479.
484
Tabla 20-2 Paso

Paso 1
Cmo crear reglas de control de aplicaciones Descripcin

Un nuevo conjunto de reglas de aplicaciones contiene una o ms reglas definidas por el administrador. Cada conjunto de reglas y cada regla tienen propiedades. Cada regla puede contener una o ms condiciones para supervisar aplicaciones y su acceso a los archivos, las carpetas, las claves de registro y los procesos especificados. Es necesario revisar las prcticas recomendadas antes de crear reglas personalizadas. Ver "Acerca de prcticas recomendadas para crear reglas del control de aplicaciones" en la pgina 485. Es posible tambin revisar la estructura de los conjuntos de reglas predeterminados para ver cmo se construyen.
Accin
Planifique el conjunto de reglas
Paso 2
Cree el conjunto de reglas y agregue las reglas
Es posible crear varias reglas y agregarlas a un solo conjunto de reglas de control de aplicaciones. Es posible eliminar reglas de la lista y modificar su posicin en la jerarqua del conjunto de reglas si es necesario. Es posible tambin habilitar y deshabilitar los conjuntos de reglas o las reglas individuales de un conjunto. Ver "Cmo crear un conjunto de reglas personalizadas y agregar reglas" en la pgina 490. Ver "Reglas de control de aplicaciones tpicas" en la pgina 487. Es posible copiar y pegar los conjuntos de reglas o las reglas individuales dentro de la misma poltica o entre dos polticas. Puede ser recomendable copiar reglas de las polticas que se descargan de Symantec o de las polticas de prueba que contienen las reglas que desea usar en polticas de produccin. Ver "Copiar los conjuntos de reglas o las reglas de aplicaciones entre las polticas de control de aplicaciones y dispositivos" en la pgina 492.
Paso 3
Aplique una regla a las Cada regla debe tener por lo menos una aplicacin a la cual se aplicaciones especficas y excluya aplique. Es posible tambin excluir ciertas aplicaciones de la regla. ciertas aplicaciones de la regla Se especifican las aplicaciones en la ficha Propiedades para la regla. Ver "Aplicar una regla a aplicaciones especficas y excluir aplicaciones de una regla" en la pgina 493.
485
Paso
Paso 4
Accin
Descripcin
Agregue condiciones y acciones a La condicin especifica lo que la aplicacin intenta hacer cuando las reglas se desea controlarla. Puede establecer cualquiera de las siguientes condiciones:

Intentos de acceso al registro Intentos de acceso a archivos y carpetas Intentos de iniciar procesos Intentos de terminar procesos Intentos de cargar DLL
Ver "Cmo agregar condiciones y acciones a una regla de control de aplicaciones" en la pgina 495. Es posible configurar cualquiera de las siguientes acciones para realizar en una aplicacin cuando cumple la condicin configurada:

Continuar procesando otras reglas Permita que la aplicacin acceda a la entidad. Bloquee el acceso de la aplicacin a la entidad. Finalice la aplicacin que est intentando acceder a una entidad
Nota: Recuerde que las acciones se aplican siempre al proceso que

se define en la regla. No se aplican a un proceso que se define en una condicin. Paso 5 Pruebe las reglas Es necesario probar sus reglas antes de que las aplique a su red de produccin. Los errores de configuracin en los conjuntos de reglas que se utilizan en una poltica de control de aplicaciones y dispositivos pueden deshabilitar un equipo o un servidor. El equipo cliente puede fallar o su comunicacin con Symantec Endpoint Protection Manager se puede bloquear. Ver "Prueba de conjuntos de reglas del control de aplicaciones" en la pgina 496. Una vez que se prueban las reglas, se pueden aplicar a su red de produccin.
Acerca de prcticas recomendadas para crear reglas del control de aplicaciones

Es necesario planificar sus reglas del control de aplicaciones cuidadosamente. Ver "Cmo crear reglas de control de aplicaciones" en la pgina 483. Ver "Reglas de control de aplicaciones tpicas" en la pgina 487.
486
Cuando se crean reglas del control de aplicaciones, tenga presente las prcticas recomendadas siguientes: Tabla 20-3 Prcticas recomendadas
Use un conjunto de reglas por objetivo
Prcticas recomendadas para las reglas del control de aplicaciones Ejemplo

Se desea bloquear intentos de escritura a todas las unidades extrables y desea impedir que las aplicaciones manipulen una aplicacin determinada. Para conseguir estos objetivos, es necesario crear dos conjuntos de reglas diferentes. No es necesario crear todas las reglas necesarias para conseguir estos dos objetivos con un conjunto de reglas.
Descripcin
Se recomienda crear un conjunto de reglas que incluya todas las acciones que permitan, bloqueen y supervisen una tarea dada.
Considere el orden de la regla Las reglas del control de aplicaciones funcionan de manera similar a la mayora de las reglas de firewall basadas en redes, ya que ambas utilizan la funcin de coincidencia de la primera regla. Cuando varias condiciones son verdaderas, la primera regla es la nica que se aplica a menos que la accin que se configure para la regla sea Continuar procesando otras reglas.
Se desea evitar que los usuarios muevan, copien y creen archivos en las unidades USB. Tiene una regla existente con una condicin que permite el acceso de escritura para un archivo denominado Test.doc. Agregue una segunda condicin a este conjunto de reglas existente para bloquear todas las unidades USB. En esta situacin, los usuarios an pueden crear y modificar un archivo Test.doc en unidades USB. La condicin Permitir acceso a Test.doc viene antes de la condicin Bloquear acceso a las unidades USB en el conjunto de reglas. La condicin Bloquear acceso a las unidades USB no se procesa cuando la condicin que la precede en la lista es verdadera.
487
Prcticas recomendadas
Use la accin Terminar proceso con moderacin
Descripcin
La accin Terminar proceso cancela un proceso cuando el proceso cumple la condicin configurada. Solamente los administradores avanzados deben usar la accin Terminar proceso. Tpicamente, es necesario usar la accin Bloquear acceso en su lugar.
Ejemplo
Se desea finalizar Winword.exe en cualquier momento que cualquier proceso inicie Winword.exe. Se crea una regla y se configura con la condicin Intentos de iniciar procesos y la accin Terminar proceso. Se aplica la condicin a Winword.exe y la regla a todos los procesos. Es posible esperar que esta regla finalice Winword.exe, pero eso no es lo que hace la regla. Si intenta iniciar Winword.exe desde el Explorador de Windows, una regla con esta configuracin finaliza Explorer.exe, no Winword.exe. Los usuarios pueden an ejecutar Winword.exe si lo inician directamente.
Use la condicin Intentos de La condicin Intentos de terminar terminar procesos para procesos permite o bloquea la capacidad proteger procesos de una aplicacin de finalizar un proceso en un equipo cliente.
La condicin no permite ni evita que los usuarios detengan una aplicacin por los Puede ser recomendable finalizar el mtodos usuales, tales como hacer clic en Explorador de procesos cuando intente Salir del men Archivo. finalizar una aplicacin determinada.
El Explorador de procesos es una herramienta que muestra los procesos de archivos DLL que se han abierto o se han cargado y los recursos que usan los procesos.
Use la condicin Intentos de terminar procesos y la accin Terminar proceso para crear este tipo de regla. Se aplica la condicin a la aplicacin Explorador de procesos. Se aplica la regla a la aplicacin o las aplicaciones que es necesario evitar que el Explorador de procesos finalice.
Reglas de control de aplicaciones tpicas

Puede ser recomendable crear reglas de control de aplicaciones para evitar que los usuarios abran las aplicaciones, escriban los archivos o comparta los archivos. Ver "Cmo crear reglas de control de aplicaciones" en la pgina 483. Es posible mirar a los conjuntos de reglas predeterminados para ayudar a determinar cmo configurar sus reglas. Por ejemplo, se puede editar el conjunto
488
de reglas Bloquear ejecucin de aplicaciones para ver cmo es posible usar una condicin Intentos de iniciar procesos. Ver "Activar un conjunto predeterminado de reglas de control de aplicaciones" en la pgina 482. Tabla 20-4 Regla
Evite que los usuarios abran una aplicacin
Reglas de control de aplicaciones tpicas Descripcin

Es posible bloquear una aplicacin cuando cumple cualquiera de estas condiciones: Intentos de iniciar procesos Por ejemplo, para evitar que los usuarios transfieran archivos por FTP, se puede agregar una regla que impida a un usuario iniciar un cliente FTP desde la lnea de comandos. Intentos de cargar DLL Por ejemplo, si se agrega una regla que bloquee Msvcrt.dll en el equipo cliente, los usuarios no pueden abrir Microsoft WordPad. La regla adems bloquea cualquier aplicacin que use el archivo DLL.
Evite que los usuarios escriban un archivo determinado
Es posible permitir a los usuarios abrir un archivo pero no modificar el archivo. Por ejemplo, un archivo puede incluir los datos financieros que los empleados deben ver pero no editar. Es posible crear una regla para dar a los usuarios acceso de solo lectura a un archivo. Por ejemplo, se puede agregar una regla que le permita abrir un archivo de texto en el Bloc de notas, pero no le permite editarlo. Use la condicin Intentos de acceso a archivos y carpetas para crear este tipo de regla.
489
Regla
Bloquee los recursos compartidos en los equipos con Windows
Descripcin
Es posible crear una regla personalizada que se aplique a todas las aplicaciones para deshabilitar el uso compartido de archivos e impresoras locales en los equipos con Windows. Incluya las condiciones siguientes: Intentos de acceso al registro Agregue todas las claves de registro relevantes de uso compartido y de seguridad de Windows. Intentos de iniciar procesos Especifique el proceso del servicio del servidor (svchost.exe). Intentos de cargar DLL Especifique los archivos DLL para las fichas Seguridad y Uso compartido (rshx32.dll, ntshrui.dll). Intentos de cargar DLL Especifique el archivo DLL del servicio del servidor (srvsvc.dll).
Configure la accin para cada condicin para Bloquear acceso.
Nota: Una vez que se aplica la poltica, es

necesario reiniciar los equipos cliente para deshabilitar totalmente el uso compartido de archivos. Puede tambin usar reglas de firewall para evitar o para permitir a los equipos cliente compartir archivos. Ver "Permitir a clientes navegar en los archivos y las impresoras de la red" en la pgina 446.
490
Regla
Evite que los usuarios ejecuten aplicaciones de punto a punto
Descripcin
Es posible usar el control de aplicaciones para evitar que los usuarios ejecuten aplicaciones de punto a punto en sus equipos. Es posible crear una regla personalizada con una condicin Intentos de iniciar procesos. En la condicin, es necesario especificar todas las aplicaciones de punto a punto que se deseen bloquear, por ejemplo, LimeWire.exe o *.torrent. Es posible configurar la accin para la condicin Bloquear acceso o Terminar proceso. Use una poltica de prevencin de intrusiones para bloquear trfico de red de aplicaciones de punto a punto. Use una poltica de firewall para bloquear todos los puertos que envan y reciben trfico de la aplicacin de punto a punto. Ver "Cmo administrar la prevencin de intrusiones en sus equipos cliente" en la pgina 453. Ver "Creacin de polticas de firewall" en la pgina 403.
Bloquee los intentos de escritura a las unidades de DVD
Actualmente, Symantec Endpoint Protection Manager no admite un conjunto de reglas que especifique el bloqueo de los intentos de escritura en las unidades de DVD. Es posible seleccionar la opcin en la Poltica de control de aplicaciones y dispositivos, sin embargo, la opcin no se impone. En su lugar, se puede crear una poltica de control de aplicaciones y dispositivos que bloquee las aplicaciones especficas que escriben en las unidades de DVD. Se deben, adems, crear una poltica de integridad del host que configure la clave de registro de Windows para bloquear intentos de escritura en las unidades de DVD.
Cmo crear un conjunto de reglas personalizadas y agregar reglas

Es posible crear varias reglas y agregarlas a un solo conjunto de reglas de control de aplicaciones. Cree tantas reglas y tantos conjuntos de reglas como sea necesario para implementar la proteccin que desee. Es posible eliminar reglas de la lista y modificar su posicin en la jerarqua del conjunto de reglas si es necesario. Es
491
posible tambin habilitar y deshabilitar los conjuntos de reglas o las reglas individuales de un conjunto. Nota: Si crea una regla personalizada que bloquea el acceso a una carpeta especfica de 32 bits (tal como Windows\system32), las reglas no funciona en clientes de 64 bits. Se debe adems crear una regla para bloquear el acceso a la carpeta Windows\syswow64 tambin. Ver "Cmo crear reglas de control de aplicaciones" en la pgina 483. Cmo crear un conjunto de reglas personalizadas y agregar reglas
1 2
En la consola, abra una poltica de control de aplicaciones y dispositivos, y haga clic en Agregar. En el cuadro de dilogo Agregar conjunto de reglas de control de aplicaciones, anule la seleccin de Habilitar registro si no desea registrar eventos sobre este conjunto de reglas. En el cuadro de texto Nombre del conjunto de reglas, modifique el nombre predeterminado del conjunto de reglas. En el campo Descripcin, escriba una descripcin. Modifique el nombre predeterminado de la regla en el cuadro de texto Nombre de la regla y escriba una descripcin. Anule la seleccin de Habilitar esta regla si no desea habilitar la regla en este momento. En la ficha Propiedades, se especifican las aplicaciones a las cuales esta regla se aplica y las aplicaciones que se deben excluir de la regla. Cada regla debe tener una aplicacin a la cual se aplique. Ver "Aplicar una regla a aplicaciones especficas y excluir aplicaciones de una regla" en la pgina 493. Cada regla debe adems tener condiciones y acciones. Ver "Cmo agregar condiciones y acciones a una regla de control de aplicaciones" en la pgina 495.
3 4 5 6 7
492
8 9
Para agregar reglas adicionales al conjunto de reglas, haga clic en Agregar y despus haga clic en Agregar regla. Haga clic en Aceptar. El nuevo conjunto de reglas aparece y se configura para el modo de prueba. Es necesario probar los nuevos conjuntos de reglas antes de aplicarlos a los equipos cliente. Ver "Prueba de conjuntos de reglas del control de aplicaciones" en la pgina 496.
Copiar los conjuntos de reglas o las reglas de aplicaciones entre las polticas de control de aplicaciones y dispositivos
Es posible copiar los conjuntos de reglas del control de aplicaciones o las reglas individuales entre dos polticas diferentes. Es posible tambin copiar los conjuntos de reglas o las reglas dentro de la misma poltica. Los procedimientos aqu describen cmo copiar los conjuntos de reglas o las reglas entre dos polticas diferentes. Ver "Cmo crear reglas de control de aplicaciones" en la pgina 483. Cmo copiar los conjuntos de reglas de aplicaciones entre las polticas de control de aplicaciones y dispositivos
1 2 3
En la consola, abra la poltica de control de aplicaciones y dispositivos que contiene los conjuntos de reglas que desee copiar. Haga clic en Control de aplicaciones. En la pgina Control de aplicaciones, en Conjuntos de reglas de control de aplicaciones, haga clic con el botn derecho en el conjunto de reglas que desee copiar y despus seleccione Copiar. Haga clic en Aceptar para cerrar la poltica actual. En la consola, en Polticas de control de aplicaciones y dispositivos, seleccione la poltica de destino. En Tareas, haga clic en Editar la poltica.
4 5
6 7
En la poltica de destino, seleccione Control de aplicaciones. En Conjuntos de reglas de control de aplicaciones, haga clic con el botn derecho y seleccione Pegar.
493
Cmo copiar reglas de aplicaciones entre las polticas de control de aplicaciones y dispositivos
1 2 3 4 5 6 7 8 9
En la consola de Symantec Endpoint Protection Manager, abra la poltica de control de aplicaciones y dispositivos que contiene la regla que desee copiar. Haga clic en Control de aplicaciones. Seleccione el conjunto de reglas del que desee copiar la regla y despus haga clic en Editar. En Reglas, haga clic con el botn derecho en la regla que desee copiar y seleccione Copiar. Haga clic en Aceptar para cerrar el conjunto de reglas. Haga clic en Aceptar para cerrar la poltica. En la consola, en Polticas de control de aplicaciones y dispositivos, seleccione la poltica de destino. En Tareas, haga clic en Editar la poltica. En la poltica de destino, seleccione Control de aplicaciones. clic en Editar.
10 Seleccione el conjunto de reglas al que desee copiar la regla y despus haga 11 En Reglas, haga clic con el botn derecho y seleccione Pegar.
Aplicar una regla a aplicaciones especficas y excluir aplicaciones de una regla

Es posible aplicar una regla a las aplicaciones y es posible excluir aplicaciones de las acciones de una regla. Se especifica una lista que contenga las aplicaciones a las cuales se aplica la regla (inclusiones). Se especifica otra lista que contenga las aplicaciones a las cuales no se aplica la regla (exclusiones). Para asociar una regla a una aplicacin especfica, se define esa aplicacin en el campo de texto Aplicar esta regla a los siguientes procesos. Si desea relacionar la regla a todas las aplicaciones a excepcin de un conjunto dado de aplicaciones, es posible utilizar la configuracin siguiente:
En el cuadro de texto Aplicar esta regla a los siguientes procesos, defina un carcter comodn para todos los procesos (*). En el cuadro de texto de No aplicar esta regla a los siguientes procesos, incluya las aplicaciones que necesitan una excepcin.
Es posible definir tantas aplicaciones como desee para cada lista.
494
Nota: Cada regla debe tener, al menos, una aplicacin enumerada en el cuadro de texto Aplicar esta regla a los siguientes procesos. Cuando se agregan aplicaciones a una regla, es posible utilizar las maneras siguientes de especificar la aplicacin:

El nombre del proceso Caracteres comodn Expresiones regulares Huellas digitales de archivos Los tipos de unidad desde donde la aplicacin fue iniciada ID de dispositivo
Ver "Cmo crear reglas de control de aplicaciones" en la pgina 483. Para aplicar una regla a aplicaciones especficas
1 2 3
En el cuadro de dilogo Editar conjunto de reglas de control de aplicaciones, haga clic en la regla que desea aplicar. Si desea configurar una aplicacin a la cual aplicar la regla, a la derecha de Aplicar esta regla a los siguientes procesos, haga clic en Agregar. En el cuadro de dilogo Agregar definicin de proceso, configure los siguientes elementos:

Escriba el nombre de la aplicacin con la que debe coincidir la regla. Haga clic en Usar un comodn que coincida (se pueden usar * y ?) o Usar una expresin comn que coincida para que coincida el nombre. Si lo desea, marque los tipos de unidad especficos con los cuales debe coincidir el proceso. Si lo desea, active Solo buscar coincidencias con procesos que se ejecuten en el siguiente tipo de ID de dispositivo y escriba un tipo de ID de dispositivo en el campo de texto o haga clic en Seleccionar para seleccionar un tipo de ID de dispositivo de la lista del cuadro de dilogo Seleccin de dispositivos para que coincidan solamente los procesos que se ejecutan en los dispositivos de ese tipo de ID. Si lo desea, haga clic en Opciones para que coincidan los procesos basados en huellas digitales de archivos y para que coincidan solamente los procesos que tienen un argumento designado. Es posible optar por que coincidan los argumentos exactamente o mediante expresiones regulares.
495
Haga clic en Aceptar. Es posible repetir los pasos 2 a 4 para aadir tantas aplicaciones mientras desee.
Si desea configurar una o ms aplicaciones que se deben excluir de la regla, a la derecha del campo de texto No aplicar esta regla a los siguientes procesos, haga clic en Agregar. Repita la configuracin de las aplicaciones que se deben excluir, segn lo desee. Tiene las mismas opciones cuando se define una aplicacin para excluir que cuando se aplica la regla a una aplicacin.
Cuando haya finalizado de definir las aplicaciones, haga clic en Aceptar.
Cmo agregar condiciones y acciones a una regla de control de aplicaciones

Una vez que se defina a qu aplicaciones se aplica una regla personalizada, es necesario definir las condiciones y las acciones para una regla. Las propiedades de una condicin especifican lo que busca la condicin. Sus acciones definen qu sucede cuando se cumple la condicin. Ver "Cmo crear reglas de control de aplicaciones" en la pgina 483. Cmo agregar condiciones y acciones a una regla del control de aplicaciones
En el cuadro de dilogo Agregar conjunto de reglas de control de aplicaciones o Editar conjunto de reglas de control de aplicaciones, en Reglas, haga clic en Agregar y despus haga clic en Agregar condicin. Seleccione una de las condiciones siguientes:

Intentos de acceso al registro Intentos de acceso a archivos y carpetas Intentos de iniciar procesos Intentos de terminar procesos Intentos de cargar DLL
3 4
En la ficha Propiedades para la condicin, escriba un nombre y una descripcin para la condicin. A la derecha de Aplicar a la siguiente entidad, donde entidad representa claves de registro, archivos y carpetas. procesos, o archivos DLL, haga clic en Agregar.
496
En el cuadro de dilogo Agregar definicin de entidad, escriba la clave de registro, el nombre del archivo o de la carpeta, el nombre del proceso o el archivo DLL. Nota: Cuando se aplica una condicin a todas las entidades de una carpeta determinada, se recomienda utilizar nombre_carpeta\* o nombre_carpeta\*\*. Un asterisco incluye todos los archivos y carpetas en la carpeta indicada. Utilice nombre_carpeta\*\* para incluir cada archivo y carpeta de carpeta indicada, adems de cada archivo y carpeta en cada subcarpeta.
6 7
Haga clic en Aceptar. A la derecha de No aplicar a los siguientes procesos, haga clic en Agregar y especifique las claves de registro, los archivos y las carpetas, los procesos o los archivos DLL. Haga clic en Aceptar. En la ficha Acciones para la condicin, seleccione una de las siguientes acciones:

8 9
Continuar procesando otras reglas Permitir acceso Bloquear acceso Terminar proceso
Para las condiciones Intentos de acceso al registro e Intentos de acceso a archivos y carpetas, se pueden configurar dos conjuntos de acciones, uno para Intento de lectura y uno para Intento de creacin, eliminacin o escritura.
10 Seleccione Habilitar registro y seleccione un nivel de gravedad para asignar

a las entradas que se registran.
11 Seleccione Notificar al usuario y luego escriba el texto que desea que el

usuario vea.
Prueba de conjuntos de reglas del control de aplicaciones

Una vez que se crean las reglas del control de aplicaciones, se deben probar en su red. Ver "Cmo crear reglas de control de aplicaciones" en la pgina 483.
497
Tabla 20-5 Paso
Prueba de conjuntos de reglas del control de aplicaciones Descripcin
Configure el conjunto de reglas para el Se prueban los conjuntos de reglas configurando modo de prueba y habilite o deshabilite el modo en modo de prueba (registro solamente). las reglas El modo de prueba crea una entrada de registro para indicar cundo las reglas en el conjunto de reglas seran aplicadas sin realmente aplicar la regla. Las reglas personalizadas usan el modo de prueba de forma predeterminada. Es posible tambin probar los conjuntos predeterminados de reglas. Es posible que desee probar reglas dentro del conjunto individualmente. Es posible probar reglas individuales habilitndolas o deshabilitndolas en el conjunto de reglas. Ver "Cmo crear un conjunto de reglas personalizadas y agregar reglas" en la pgina 490. Ver "Activar un conjunto predeterminado de reglas de control de aplicaciones" en la pgina 482. Aplique la poltica de control de Si cre una nueva poltica de control de aplicaciones y dispositivos a los equipos aplicaciones y dispositivos, es necesario aplicar en su red de prueba la poltica a los clientes en su red de prueba. Ver "Asignacin de una poltica a un grupo" en la pgina 265.
Nota: Los equipos cliente deben reiniciarse una

vez que se aplica una nueva poltica de control de aplicaciones y dispositivos o cuando se cambia la poltica predeterminada.
498
Administracin del control de aplicaciones y dispositivos Cmo configurar el bloqueo del sistema
Paso
Compruebe el registro de control
Descripcin
Una vez que se ejecutan sus conjuntos de reglas en el modo de prueba por un perodo, se pueden comprobar los registros del cliente en busca de cualquier error. Es posible ver el registro de Control de aplicaciones en Symantec Endpoint Protection Manager. Es posible tambin ver el registro de control en el equipo cliente. Cuando las reglas funcionan como usted espera, se puede cambiar el modo de conjunto de reglas al modo de produccin.
Cmo configurar el bloqueo del sistema

El bloqueo del sistema bloquea cualquier aplicacin no aprobada en los equipos cliente. Ver "Cmo configurar el control de aplicaciones y dispositivos" en la pgina 479. Para configurar el bloqueo del sistema para un grupo, Symantec recomienda que siga pasos especficos. Tabla 20-6 Paso
Paso 1
Pasos de bloqueo del sistema Descripcin

Es necesario crear una lista de huellas digitales de archivos que incluya las aplicaciones que estn permitidas para ejecutarse en los equipos cliente. Esta lista se puede crear desde una imagen corporativa que est instalada regularmente en los equipos cliente en su red. La imagen incluye todas las aplicaciones que desea permitir en los equipos cliente. Ver "Cmo administrar listas de huellas digitales de archivo" en la pgina 500. Una vez que se crean las listas de huellas digitales de archivos, debe importarlas a Symantec Endpoint Protection Manager. Ver "Cmo importar o combinar listas de huellas digitales de archivo en Symantec Endpoint Protection Manager" en la pgina 505.
Accin
Crear listas de huellas digitales de archivo para aplicaciones permitidas
499
Paso
Paso 2
Accin
Descripcin
Ejecute el bloqueo del sistema en modo Antes de permitir que el bloqueo del sistema bloquee prueba aplicaciones no aprobadas en sus equipos cliente, es necesario ejecutar el sistema bloqueo en modo prueba. En modo prueba, se registran aplicaciones no aprobadas, pero no bloqueadas. Ejecute el bloqueo del sistema en modo prueba durante bastante tiempo, de modo que los clientes ejecuten las aplicaciones usuales. El plazo tpico puede ser una semana. Una vez que ejecuta el bloqueo del sistema en modo prueba, puede ver la lista de aplicaciones no aprobadas. Es posible ver la lista de aplicaciones no aprobadas comprobando el estado en la configuracin de bloqueo del sistema. Es posible decidir si desea agregar ms aplicaciones a la huella digital de archivos o a la lista permitida. Ver "Cmo ejecutar el bloqueo del sistema en modo prueba" en la pgina 506.
Paso 3
Active el bloqueo del sistema
Asegrese de ejecutar el bloqueo del sistema en modo prueba antes de habilitar el bloqueo del sistema. El bloqueo del sistema bloquea cualquier aplicacin que no est en la lista de aplicaciones aprobadas.
Nota: Asegrese de probar la configuracin antes de habilitar

el bloqueo del sistema. Si bloquea una aplicacin necesaria, es posible que los equipos cliente no se puedan reiniciar. Ver "Habilitar bloqueo del sistema para bloquear aplicaciones no aprobadas" en la pgina 507. Paso 4 Actualice el bloqueo del sistema Es necesario actualizar el bloqueo del sistema si agrega clientes o instala nuevas aplicaciones en la red. Es necesario crear listas de huellas digitales de archivo que capturan las ltimas aplicaciones aprobadas. Para actualizar el bloqueo del sistema, puede restablecer el bloqueo del sistema al modo prueba o mover los nuevos clientes a un grupo independiente donde el bloqueo del sistema no se habilita. Alternativamente, puede usar una red de prueba para nuevos clientes y aplicaciones, si la red de prueba incluye los mismos archivos que el sistema de produccin. Ver "Habilitar bloqueo del sistema para bloquear aplicaciones no aprobadas" en la pgina 507. Ver "Cmo administrar listas de huellas digitales de archivo" en la pgina 500.
500
Paso
Paso 5
Accin
Pruebe y elimine los elementos desde el bloqueo del sistema
Descripcin
Una vez que ejecuta el bloqueo del sistema por un tiempo considerable, es posible que acumule muchas listas de huellas digitales de archivos. Eventualmente, si no usa algunas de estas listas, puede eliminarlas. Eliminar una lista de huellas digitales de archivo del bloqueo del sistema es riesgoso. Todas las aplicaciones en la lista de huellas digitales de archivo se bloquean una vez que elimina la lista. Siempre debe probar las aplicaciones antes de eliminarlas del bloqueo del sistema. Cuando el bloqueo del sistema se habilita, puede usar la opcin Probar antes de quitar para registrar las listas de huellas digitales de archivo o las aplicaciones especficas como no aprobadas. Cuando ejecuta esta prueba, el bloqueo del sistema no bloquea las aplicaciones que est probando. Es posible comprobar el registro de control de aplicaciones para ver qu aplicaciones no aprobadas aparecen all. Si el registro no tiene entradas para esa lista de huellas digitales de archivo, sabe que los clientes no usan esas aplicaciones. Es posible eliminar la lista de forma segura. Ver "Cmo probar y eliminar elementos de bloqueo del sistema" en la pgina 508.
Cmo administrar listas de huellas digitales de archivo

Una lista de huellas digitales de archivo incluye una lista de sumas de comprobacin, una para cada aplicacin en un equipo cliente. Incluye las rutas de archivo completas de esas aplicaciones. Es posible crear una lista de huellas digitales de archivos a partir de una imagen de software que incluya todas las aplicaciones que desee permitir que los usuarios ejecuten. Es posible administrar listas de huellas digitales de archivo en Symantec Endpoint Protection Manager y usarlas en su configuracin de bloqueo del sistema. Ver "Cmo configurar el bloqueo del sistema" en la pgina 498.
501
Tabla 20-7 Tarea
Administracin de listas de huellas digitales de archivo Descripcin

Cree una imagen de software que incluya todas las aplicaciones que desea que los usuarios ejecuten en sus equipos. Por ejemplo, la red puede incluir Windows Vista de 32 bits, Windows Vista de 64 bits y clientes de Windows XP SP2. Es posible crear una lista de huellas digitales de archivo para cada imagen del cliente.
Obtenga una imagen aprobada del software
Cree una lista de huellas digitales de archivo
Para crear una lista de huellas digitales de archivo, puede usar la utilidad Checksum.exe. La utilidad est instalada junto con Symantec Endpoint Protection en el equipo cliente. Puede ejecutar este comando en cada imagen del equipo en su entorno para crear una lista de huellas digitales de archivos para esas imgenes. Checksum.exe crea un archivo de texto que contiene una lista de todos los archivos ejecutables en ese equipo y sus sumas de comprobacin correspondientes. Es posible ejecutar esta utilidad desde la lnea de comandos. El archivo Checksum.exe se encuentra en la siguiente ubicacin: C:\Program Files\Symantec\Symantec Endpoint Protection Ver "Crear una lista de huellas digitales de archivos" en la pgina 502.
Importe la lista de huellas digitales de archivos a Symantec Endpoint Protection Manager
Es posible usar Symantec Endpoint Protection Manager para importar las listas de huellas digitales de archivo para cada tipo de equipo cliente. Es posible combinar la lista en una lista principal. Tambin es posible agregar huellas digitales de archivos para los archivos individuales que desee autorizar. Ver "Cmo importar o combinar listas de huellas digitales de archivo en Symantec Endpoint Protection Manager" en la pgina 505.
Agregue la lista de huellas digitales de archivos a la configuracin de bloqueo del sistema
Es posible usar las listas de huellas digitales del archivo en la configuracin de bloqueo del sistema. Las listas de huellas digitales del archivo indican las aplicaciones aprobadas en su red. Ver "Cmo configurar el bloqueo del sistema" en la pgina 498.
502
Tarea
Actualizar las listas de huellas digitales de archivo cuando agrega o cambia las aplicaciones que se ejecutan en su red
Descripcin
A lo largo del tiempo, es posible que cambie las aplicaciones permitidas en su red. Es posible actualizar sus listas de huellas digitales de archivos o quitar listas como sea necesario. Si ejecuta el bloqueo del sistema, asegrese de que el bloqueo del sistema est deshabilitado o se ejecute en modo de prueba antes de modificar o eliminar cualquier lista de huellas digitales de archivo. Ver "Cmo ejecutar el bloqueo del sistema en modo prueba" en la pgina 506. No es posible editar directamente una lista de huellas digitales de archivo. Sin embargo, puede agregar una lista de huellas digitales de archivo al final de la lista existente. Es posible tambin combinar listas de huellas digitales de archivo que ya import. Ver "Cmo editar una lista de huellas digitales de archivos en Symantec Endpoint Protection Manager" en la pgina 504. Ver "Cmo importar o combinar listas de huellas digitales de archivo en Symantec Endpoint Protection Manager" en la pgina 505.
Eliminar las listas de huellas Es posible eliminar una lista de huellas digitales de archivo digitales de archivo si ya no de Symantec Endpoint Protection Manager. Sin embargo, las usa no es necesario eliminar una lista de huellas digitales de archivo hasta que haya probado su configuracin. Cuando est seguro de que ya no usa la lista, puede eliminarla de Symantec Endpoint Protection Manager. Ver "Cmo probar y eliminar elementos de bloqueo del sistema" en la pgina 508.
Crear una lista de huellas digitales de archivos

Es posible utilizar Checksum.exe para crear una lista de huellas digitales de archivos. La lista de huellas digitales de archivos incluye el nombre de todos los archivos y la suma de comprobacin correspondiente que reside en la imagen del equipo cliente. Esta utilidad se proporciona con Symantec Endpoint Protection en el cliente. Ver "Cmo administrar listas de huellas digitales de archivo" en la pgina 500. A continuacin, se incluye un ejemplo de un archivo de salida de Checksum.exe que fue ejecutado en una imagen del equipo. El formato de cada lnea es
503
suma_de_comprobacin_del_archivo espacio nombre_de_ruta_completo_del_archivo_exe_o_DLL.
0bb018fad1b244b6020a40d7c4eb58b7 35162d98c2b445199fef95e838feae4b 77e4ff0b73bc0aeaaf39bf0c8104231f f59ed5a43b988a18ef582bb07b2327a7 60e1604729a15ef4a3b05f298427b3b1 4f3ef8d2183f927300ac864d63dd1532 dcd15d648779f59808b50f1a9cc3698d eeaea6514ba7c9d273b5e87c4e1aab30 0a7782b5f8bf65d12e50f506cad6d840 9a6d7bb226861f6e9b151d22b977750d d97e4c330e3c940ee42f6a95aec41147
c:\dell\openmanage\remind.exe c:\dell\pnp\m\co\HSFCI008.dll c:\dell\pnp\m\co\HSFHWBS2.sys c:\dell\pnp\m\co\HSF_CNXT.sys c:\dell\pnp\m\co\HSF_DP.sys c:\dell\pnp\m\co\HXFSetup.exe c:\dell\pnp\m\co\MdmXSdk.dll c:\dell\pnp\m\co\MDMXSDK.sys c:\dell\pnp\mgmt\drac2wdm.sys c:\dell\pnp\mgmt\racser.sys c:\dell\pnp\n\bc\b57xp32.sys
Para crear una lista de huellas digitales de archivos
Vaya al equipo que contiene la imagen para la que desea crear una lista de huellas digitales de archivos. El equipo debe tener el software de cliente Symantec Endpoint Protection instalado. Abra una ventana de la lnea de comandos. Desplcese hasta el directorio que contiene el archivo Checksum.exe. De forma predeterminada, este archivo se encuentra en la siguiente ubicacin: C:\Program Files\Symantec\Symantec Endpoint Protection
2 3
Escriba el comando siguiente:

checksum.exe outputfile unidad
donde outputfile es el nombre del archivo de texto que contiene las sumas de comprobacin para todos los archivos ejecutables que se encuentran en la unidad especificada. El archivo de salida es un archivo de texto (outputfile.txt). Lo que sigue es un ejemplo de la sintaxis que utiliza:
checksum.exe cdrive.txt c:\
Este comando crea un archivo que se llama cdrive.txt. Contiene las sumas de comprobacin y las rutas de los archivos de todos los archivos ejecutables y DLL que se encontraron en la unidad de C del equipo cliente en el que se ejecut.
504
Cmo editar una lista de huellas digitales de archivos en Symantec Endpoint Protection Manager
No es posible editar directamente una lista de huellas digitales de archivos existente. En cambio, es posible aadir una lista existente de huellas digitales a una lista que usted cre de Checksum.exe. Tambin se puede combinar una lista existente de huellas digitales con otra lista de huellas digitales ya importada. Ver "Crear una lista de huellas digitales de archivos" en la pgina 502. Si desea combinar listas de huellas digitales en una lista nueva con un nombre diferente, use el Asistente para agregar huellas digitales de archivos. Ver "Cmo importar o combinar listas de huellas digitales de archivo en Symantec Endpoint Protection Manager" en la pgina 505. Para editar una lista de huellas digitales de archivos
1 2 3 4 5 6
En la consola, haga clic en Polticas. En Polticas, expanda Componentes de polticas y, a continuacin, haga clic en Listas de huellas digitales de archivos. En el panel Listas de huellas digitales de archivos, seleccione la lista de la huella digital que desee editar. Haga clic en Editar. En el Asistente para editar huellas digitales de archivos, haga clic en Siguiente. Realice uno de los pasos siguientes:
Elija Agregar un archivo de huella digital a esta huella digital de archivos para agregar un nuevo archivo al archivo existente y haga clic en Siguiente. Haga clic en Agregar otra huella digital de archivos a esta huella digital de archivos para combinar las listas de huellas digitales de archivos ya importadas.
Realice uno de los pasos siguientes:
En el panel de Importar huella digital de archivos, haga clic en Navegar para localizar el archivo o para escribir la ruta completa de la lista de huellas digitales de archivos en el cuadro de texto. En el panel Combinar varias huellas digitales de archivos, seleccione las huellas digitales de archivos que desee combinar.
8 9
Haga clic en Siguiente. Haga clic en Cerrar.
505
Cmo importar o combinar listas de huellas digitales de archivo en Symantec Endpoint Protection Manager
Es posible agregar una lista de huellas digitales de archivo mediante la importacin de un archivo. Es necesario ya haber creado la lista de huellas digitales de archivo. Es posible tambin combinar listas de huellas digitales de archivos existentes. Ver "Cmo administrar listas de huellas digitales de archivo" en la pgina 500. Importar o combinar listas de huellas digitales de archivo
1 2 3 4 5 6 7
En la consola, haga clic en Polticas. En Polticas, expanda Componentes de polticas y, a continuacin, haga clic en Listas de huellas digitales de archivos. En Tareas, haga clic en Agregar una lista de huellas digitales de archivos. En Bienvenido al Asistente para agregar huellas digitales de archivos, haga clic en Siguiente. En el panel Informacin acerca de la nueva huella digital de archivos, escriba un nombre y una descripcin para la nueva lista. Haga clic en Siguiente. En el panel Crear una huella digital de archivos, seleccione una de las siguientes opciones:
Crear la huella digital de archivo importando un archivo de huella digital de archivo Crear la huella digital de archivo combinando varias huellas digitales de archivos existentes Esta opcin est disponible solamente si ya import varias listas de huellas digitales de archivos.
8 9
Haga clic en Siguiente. Realice una de las acciones siguientes:
Especifique la ruta a la huella digital de archivos que cre. Es posible examinar las unidades para encontrar el archivo. Seleccione la listas de huellas digitales que desea combinar.
10 Haga clic en Siguiente. 11 Haga clic en Cerrar. 12 Haga clic en Finalizar.

La lista de huellas digitales combinadas aparece en Listas de huellas digitales de archivos.
506
Cmo ejecutar el bloqueo del sistema en modo prueba

Cuando ejecuta el bloqueo del sistema en modo prueba, no bloquea aplicaciones no aprobadas. En cambio, las aplicaciones no aprobadas inician sesin en el registro de control. Una vez que determina que la configuracin de bloqueo del sistema es correcta, puede habilitar el bloqueo del sistema. Tpicamente, se ejecuta el bloqueo del sistema en modo prueba por una semana o un tiempo suficiente para que los clientes ejecuten sus aplicaciones normales. Ver "Cmo configurar el bloqueo del sistema" en la pgina 498. Nota: Es posible tambin crear reglas de firewall para permitir las aplicaciones aprobadas en el cliente. Para ejecutar el bloqueo del sistema en modo prueba
1 2 3 4
En la consola, haga clic en Clientes. En Clientes, localice el grupo para el que desea configurar el bloqueo del sistema. En la ficha Polticas, haga clic en Bloqueo del sistema. En el cuadro de dilogo Bloqueo del sistema para nombre de grupo, haga clic en Paso 1: Registrar solo aplicaciones no aprobadas para ejecutar solamente el bloqueo del sistema en modo prueba. Esta opcin registra las aplicaciones de red no aprobadas que los clientes estn ejecutando actualmente.
En Aplicaciones aprobadas, agregue o elimine las listas de huellas digitales de archivos o los archivos especficos. Ver "Cmo editar una lista de huellas digitales de archivos en Symantec Endpoint Protection Manager" en la pgina 504.
Para ver la lista de aplicaciones no aprobadas, haga clic en Ver aplicaciones no aprobadas. En el cuadro de dilogo Aplicaciones no aprobadas, revise las aplicaciones. Esta lista incluye la informacin sobre la hora en que la aplicacin fue ejecutada, el nombre de host del equipo, el nombre de usuario del cliente y el nombre del archivo ejecutable.
Determine cmo desea administrar las aplicaciones no aprobadas. Es posible agregar los nombres de las aplicaciones que desea permitir a la lista de aplicaciones aprobadas. Puede agregar el archivo ejecutable en la imagen del equipo la prxima vez que cree una huella digital de archivos.
507
8 9
Haga clic en Cerrar. Para especificar los archivos ejecutables que se permiten siempre incluso si no se incluyen en la lista de huellas digitales de archivos, en la lista Nombre del archivo, haga clic en Agregar. de la ruta completa del archivo ejecutable (.exe o .dll). Los nombres se pueden especificar usando una sintaxis de cadena normal o de expresin regular. Los nombres pueden incluir caracteres comodines (* para cualquier carcter y ? para un carcter). El nombre puede adems incluir variables de entorno tales como %ProgramFiles% para representar la ubicacin del directorio Program Files o %windir% para el directorio de instalacin de Windows.
10 En el cuadro de dilogo Agregar definicin de archivo, especifique el nombre
11 Deje la opcin Usar un comodn que coincida (se pueden usar * y ?)

seleccionada de forma predeterminada o haga clic en Usar una expresin comn que coincida si utiliz expresiones regulares en el nombre del archivo.
12 Si desea permitir el archivo solamente cuando se ejecuta en un tipo de unidad

determinado, haga clic en Solo buscar coincidencias con archivos en los siguientes tipos de unidades. A continuacin desactive los tipos de unidad que no desee incluir. De forma predeterminada, estn seleccionados todos los tipos de unidad.
13 Si desea buscar coincidencias por el tipo de Id. del dispositivo, marque Solo
buscar coincidencias con archivos del siguiente tipo de ID de dispositivo y haga clic en Seleccionar.
14 Haga clic en el dispositivo que desee en la lista y despus haga clic en Aceptar. 15 Haga clic en Aceptar. 16 Para visualizar un mensaje en el equipo cliente cuando el cliente bloquea una
aplicacin, active Notificar al usuario si se bloquea una aplicacin.
17 Para escribir un mensaje personalizado, haga clic en Notificacin, escriba el

mensaje y haga clic en Aceptar.
Habilitar bloqueo del sistema para bloquear aplicaciones no aprobadas

Es posible permitir al bloqueo del sistema bloquear todas las aplicaciones no aprobadas en los equipos cliente. Es necesario configurar el bloqueo del sistema para bloquear aplicaciones no autorizadas solo despus de que las siguientes condiciones sean verdaderas:
508
Ha ejecutado el bloqueo del sistema en modo prueba. Ver "Cmo ejecutar el bloqueo del sistema en modo prueba" en la pgina 506. Est seguro de que todas las aplicaciones que los equipos cliente necesitan ejecutar estn detalladas en la lista de aplicaciones aprobadas. Ver "Cmo configurar el bloqueo del sistema" en la pgina 498.
Para habilitar el bloqueo del sistema y bloquear las aplicaciones no autorizadas
1 2 3 4
En la consola, haga clic en Clientes. En Clientes, localice el grupo para el que desea configurar el bloqueo del sistema. En la ficha Polticas, haga clic en Bloqueo del sistema. Asegrese de incluir todas las aplicaciones que sus equipos cliente ejecutan en la lista de aplicaciones aprobadas. Advertencia: Es necesario incluir todas las aplicaciones que los equipos cliente ejecutan en la lista de aplicaciones aprobadas. Si no lo hace, es posible que algunos equipos cliente no se puedan reiniciar o impidan a los usuarios ejecutar aplicaciones importantes.
5 6 7 8
Haga clic en Paso 2: Habilitar bloqueo del sistema. Este paso bloquea las aplicaciones no aprobadas que los clientes intentan ejecutar. Para visualizar un mensaje en el equipo cliente cuando el cliente bloquea una aplicacin, active Notificar al usuario si se bloquea una aplicacin. Para escribir un mensaje personalizado, haga clic en Notificacin, escriba el mensaje y haga clic en Aceptar. Haga clic en Aceptar.
Cmo probar y eliminar elementos de bloqueo del sistema

Si tiene listas de huellas digitales de archivo que desea eliminar del bloqueo del sistema, puede probar la eliminacin antes de eliminarlas de la configuracin del bloqueo de sistema. Ver "Cmo configurar el bloqueo del sistema" en la pgina 498. Cmo probar y eliminar elementos de bloqueo del sistema
1 2
En la consola, haga clic en Clientes. En Clientes, localice el grupo para el que desea eliminar elementos de bloqueo del sistema.
Administracin del control de aplicaciones y dispositivos Cmo administrar el control de dispositivos
509
En la ficha Polticas, haga clic en Bloqueo del sistema. La configuracin de bloqueo del sistema ya debe estar habilitada. Ver "Habilitar bloqueo del sistema para bloquear aplicaciones no aprobadas" en la pgina 507.
Marque Probar antes de quitar junto a cualquier lista de huellas digitales de archivo o aplicacin que desee probar. El bloqueo del sistema contina permitiendo estas aplicaciones, pero se registran como aplicaciones no aprobadas.
Haga clic en Aceptar. Tpicamente, es posible que desee ejecutar esta prueba por una semana o ms y comprobar el registro de control. Si sus clientes ya no estn utilizando las aplicaciones, puede eliminarlas de la configuracin de bloqueo del sistema.
Cmo administrar el control de dispositivos

Se usa la lista de dispositivos de hardware y una poltica de control de aplicaciones y dispositivos para administrar el control de dispositivos. Ver "Cmo configurar el control de aplicaciones y dispositivos" en la pgina 479. Ver "Acerca del control de aplicaciones y dispositivos" en la pgina 475. Ver "Acerca de las polticas de control de aplicaciones y dispositivos" en la pgina 477. Tabla 20-8 Accin Cmo administrar el control de dispositivos Descripcin
Revise la lista de dispositivos De forma predeterminada, Symantec Endpoint predeterminada de hardware en Protection Manager incluye una lista de Symantec Endpoint Protection Manager dispositivos de hardware. La lista aparece en la ficha Polticas en Symantec Endpoint Protection Manager en Componentes de polticas. Se usa esta lista para seleccionar los dispositivos que desee controlar en sus equipos cliente. Si desea controlar un dispositivo que no se incluya en la lista, deber agregar el dispositivo primero. Ver "Acerca de la lista de dispositivos de hardware" en la pgina 510.
510
Accin
Agregue los dispositivos a la lista de dispositivos de hardware (si es necesario)
Descripcin
Cuando se agrega un dispositivo a la lista de dispositivos, se necesita un Id. de clase o el Id. del dispositivo para el dispositivo. Ver "Agregar un dispositivo de hardware a la lista Dispositivos de hardware" en la pgina 512. Ver "Obtencin de un ID de clase o un ID de dispositivo" en la pgina 511.
Configurar control de dispositivos
Especifique los dispositivos que desee bloquear o excluir del bloqueo. Ver "Configuracin de control de dispositivos" en la pgina 513.
Acerca de la lista de dispositivos de hardware

Symantec Endpoint Protection Manager incluye una lista de dispositivos de hardware. Algunos dispositivos se incluyen en la lista de forma predeterminada. Se usan los dispositivos cuando se configura el control de dispositivos. Ver "Cmo administrar el control de dispositivos" en la pgina 509. Es posible agregar dispositivos a la lista. No es posible editar ni eliminar ningn dispositivo predeterminado. Los dispositivos son identificados por un Id. del dispositivo o de la clase. Se usa cualquiera de estos valores de agregar un dispositivo a la lista. Ver "Obtencin de un ID de clase o un ID de dispositivo" en la pgina 511.
ID de clase El ID de clase se refiere al GUID de Windows. Cada tipo de dispositivo tiene un elemento de clase Class y ClassGuid asociado. ClassGuid es un valor hexadecimal con el formato siguiente: {00000000-0000-0000-0000-000000000000}
511
ID del dispositivo
Un ID de dispositivo es el ID ms especfico de un dispositivo. La sintaxis de un ID de dispositivo incluye algunas cadenas descriptivas que hacen que sean ms fciles de leer que el ID de clase. Cuando se aade un ID de dispositivo, se puede usar el ID especfico de un dispositivo. Alternativamente, se puede usar un carcter comodn en la cadena de ID del dispositivo para indicar un grupo menos especfico de dispositivos. Es posible usar un asterisco (*) para indicar caracteres adicionales o cero, o un signo de interrogacin (?) para indicar un nico carcter de cualquier valor. Lo que sigue es un ID de dispositivo para un dispositivo USB Sandisk especfico: USBSTOR\DISK&VEN_SANDISK&PROD_CRUZER_MICRO&REV_2033 \0002071406&0 Lo que sigue es un ID de dispositivo con un comodn que indica cualquier dispositivo USB Sandisk: USBSTOR\DISK&VEN_SANDISK* Lo que sigue es un ID de dispositivo con un comodn que indica cualquier dispositivo de disco USB: USBSTOR\DISK* Lo que sigue es un ID de dispositivo con un comodn que indica cualquier dispositivo de almacenamiento USB: USBSTOR*
Obtencin de un ID de clase o un ID de dispositivo

Es posible usar la herramienta Symantec DevViewer para obtener el ID de clase (GUID) o el ID de dispositivo. Es posible usar el Administrador de dispositivos de Windows para obtener el ID del dispositivo. Una vez que se obtiene el ID de un dispositivo, se lo puede modificar con un carcter comodn para indicar un grupo menos especfico de dispositivos. Para obtener un ID de clase o un ID de dispositivo mediante la herramienta DevViewer
En el disco del producto, localice la carpeta \TOOLS\NOSUPPORT\DEVVIEWER y despus descargue la herramienta DevViewer.exe al equipo cliente. En el equipo cliente, ejecute DevViewer.exe.
512
Expanda el rbol Dispositivo y localice el dispositivo para el que desee el ID de dispositivo o el GUID. Por ejemplo, expanda las unidades de DVD-ROM y seleccione el dispositivo dentro de esa categora.
En el panel derecho, haga clic con el botn derecho en el ID del dispositivo (comienza con [ID de dispositivo]) y despus haga clic en Copiar ID de dispositivo. Haga clic en Salir. En el servidor de administracin, pegue el ID de dispositivo en la lista de dispositivos de hardware.
5 6
Para obtener un ID de dispositivo desde el Panel de control
1 2 3 4
En la barra de tareas de Windows, haga clic en Inicio > Configuracin > Panel de control > Sistema. En la ficha Hardware, haga clic en Administrador de dispositivos. En la lista Administrador de dispositivos, haga doble clic en el dispositivo. En el cuadro de dilogo Propiedades del dispositivo, en la ficha Detalles, seleccione el ID de dispositivo. De forma predeterminada, el ID de dispositivo es el primer valor que se muestra.
5 6
Presione Control+C para copiar la cadena del ID. Haga clic en Aceptar o Cancelar. Ver "Agregar un dispositivo de hardware a la lista Dispositivos de hardware" en la pgina 512.
Agregar un dispositivo de hardware a la lista Dispositivos de hardware

Una vez que obtenga un ID de la clase o el ID del dispositivo de hardware, puede agregar el dispositivo de hardware a la lista predeterminada Dispositivos de hardware. Es posible acceder a esta lista predeterminada desde el control de dispositivos de la poltica de control de aplicaciones y dispositivos. Ver "Acerca de la lista de dispositivos de hardware" en la pgina 510. Para agregar los dispositivos de hardware a la lista Dispositivos de hardware
1 2 3
En la consola, haga clic en Polticas. En Polticas, expanda Componente de poltica y haga clic en Dispositivos de hardware. En Tareas, haga clic en Agregar un dispositivo de hardware.
513
Escriba el nombre del dispositivo que desee agregar. Los ID de clase y de Dispositivo se incluyen entre llaves por convencin.
5 6
Active ID de clase o ID del dispositivo y pegue el ID que copi del Administrador de dispositivos de Windows o de la herramienta DevViewer. Es posible usar los caracteres comodn para definir un conjunto de ID del dispositivo. Por ejemplo, es posible utilizar la siguiente cadena: *IDE\DVDROM*. Ver "Obtencin de un ID de clase o un ID de dispositivo" en la pgina 511.
Configuracin de control de dispositivos

Se usa una poltica de control de aplicaciones y dispositivos para configurar el control de dispositivos. Se han agregado ya los dispositivos que se necesitan a la lista Dispositivos de hardware. Ver "Cmo administrar el control de dispositivos" en la pgina 509. Ver "Acerca del control de aplicaciones y dispositivos" en la pgina 475. Configuracin de control de dispositivos
1 2 3 4
En la consola, abra una poltica de control de aplicaciones y dispositivos. Haga clic en Control de dispositivos. En Dispositivos bloqueados, haga clic en Agregar. En la ventana Seleccin de dispositivos, seleccione uno o ms dispositivos. Asegrese de que si se bloquean puertos se excluyan los dispositivos si es necesario. Nota: Tpicamente, nunca se debe bloquear un teclado.
5 6 7 8 9
Haga clic en Aceptar. En Dispositivos excluidos del bloqueo, haga clic en Agregar. En la ventana Seleccin de dispositivos, seleccione uno o ms dispositivos. Seleccione Notificar a usuarios sobre bloqueo de dispositivos si desea notificar al usuario. Haga clic en Especificar texto del mensaje para escribir el mensaje que aparece en la notificacin.
514
Captulo
21
Administracin de excepciones

Acerca de excepciones para Symantec Endpoint Protection Cmo administrar las excepciones para Symantec Endpoint Protection Cmo crear las excepciones para Symantec Endpoint Protection Restrinja los tipos de excepciones que los usuarios pueden configurar en los equipos cliente Crear excepciones de eventos de registro en Symantec Endpoint Protection Manager
Acerca de excepciones para Symantec Endpoint Protection

Las excepciones son tpicamente elementos, tales como archivos o dominios web, que se desea excluir de anlisis. Symantec Endpoint Protection excluye automticamente algunos archivos de anlisis antivirus y antispyware. Ver "Acerca de los archivos y las carpetas que Symantec Endpoint Protection excluye de los anlisis antivirus y antispyware" en la pgina 304. Puede tambin usar excepciones para detectar una aplicacin o para cambiar el comportamiento predeterminado cuando Symantec Endpoint Protection detecta una aplicacin.
516
Administracin de excepciones Cmo administrar las excepciones para Symantec Endpoint Protection
Puede ser recomendable usar excepciones para reducir la cantidad de tiempo de ejecucin de los anlisis. Por ejemplo, se pueden excluir los archivos, las carpetas y las extensiones de los anlisis. Si reduce el tiempo del anlisis, es posible que aumente el rendimiento del sistema en los equipos cliente. Nota: No es posible crear las excepciones para un anlisis antivirus y antispyware individual. Por ejemplo, si se crea una excepcin de archivo, Symantec Endpoint Protection aplica la excepcin a todo el anlisis antivirus y antispyware (Auto-Protect, Diagnstico Insight de descargas y cualquier anlisis definido por el administrador o definido por el usuario). Las excepciones se aplican a un tipo de cliente determinado (Windows o Mac). Se configuran las excepciones por separado. Por ejemplo, si se configura una excepcin de archivo, se aplica a los clientes que se ejecutan en equipos con Windows o a los clientes que se ejecutan en equipos Mac. Algunas excepciones no estn disponibles para los clientes de Mac. Ver "Cmo administrar las excepciones para Symantec Endpoint Protection" en la pgina 516. Tabla 21-1 Tipo de cliente
Clientes de Mac Clientes de Windows
Excepciones de anlisis y tipo de cliente Excepcin

Excepcin de archivo o de carpeta Es posible configurar los siguientes tipos de excepciones:

Archivo Carpeta Riesgo conocido Extensin Dominio web de confianza Aplicaciones para supervisar Aplicacin Proteccin contra intervenciones Control de aplicaciones
Cmo administrar las excepciones para Symantec Endpoint Protection

Es posible administrar las excepciones para Symantec Endpoint Protection en la consola de Symantec Endpoint Protection Manager.
517
Tabla 21-2 Tarea
Cmo administrar excepciones Descripcin

Se usan excepciones para excluir elementos del anlisis y la proteccin en sus equipos cliente. Ver "Acerca de excepciones para Symantec Endpoint Protection" en la pgina 515.
Aprenda sobre excepciones
Revise los tipos de archivos y de carpetas que Symantec Endpoint Protection excluye automticamente de anlisis
Symantec Endpoint Protection crea automticamente excepciones o exclusiones, para ciertas aplicaciones de otro fabricante y algunos productos de Symantec. Es posible tambin configurar anlisis individuales para analizar solamente ciertas extensiones y para omitir cualquier otra extensin. Ver "Acerca de los archivos y las carpetas que Symantec Endpoint Protection excluye de los anlisis antivirus y antispyware" en la pgina 304.
Cree excepciones para los anlisis
Se agregan excepciones en una poltica de excepciones directamente. O se pueden agregar excepciones de eventos de registro en la pgina Supervisin. Ver "Cmo crear las excepciones para Symantec Endpoint Protection" en la pgina 519. Ver "Crear excepciones de eventos de registro en Symantec Endpoint Protection Manager" en la pgina 530.
518
Tarea
Restrinja los tipos de excepciones que los usuarios pueden configurar en los equipos cliente
Descripcin
De forma predeterminada, los usuarios en los equipos cliente tienen derechos de configuracin limitados para las excepciones. Es posible restringir a usuarios an ms de modo que no puedan crear las excepciones para los anlisis de virus y spyware o para SONAR. Los usuarios nunca pueden forzar una deteccin de aplicaciones y nunca tienen permiso para crear las excepciones de Proteccin contra intervenciones. Los usuarios adems no pueden crear excepciones del control de aplicaciones. Ver "Restrinja los tipos de excepciones que los usuarios pueden configurar en los equipos cliente" en la pgina 529.
Compruebe si en los registros hay detecciones para las cuales puede ser recomendable crear excepciones
Una vez que Symantec Endpoint Protection hace una deteccin, se puede crear una excepcin para la deteccin del evento de registro. Por ejemplo, puede ser recomendable crear una excepcin para un archivo que los anlisis detectan, pero que los usuarios solicitaron descargar. Ver "Crear excepciones de eventos de registro en Symantec Endpoint Protection Manager" en la pgina 530.
Configure las excepciones de la prevencin de intrusiones
Es posible especificar las excepciones para la prevencin de intrusiones. Es posible tambin configurar una lista de hosts excluidos para la prevencin de intrusiones. Las excepciones de la prevencin de intrusiones se configuran en una poltica de prevencin de intrusiones. Ver "Cmo administrar la prevencin de intrusiones en sus equipos cliente" en la pgina 453.
Administracin de excepciones Cmo crear las excepciones para Symantec Endpoint Protection
519
Cmo crear las excepciones para Symantec Endpoint Protection

Es posible crear diferentes tipos de excepciones para Symantec Endpoint Protection. Cualquier excepcin que se cree toma precedencia sobre cualquier excepcin que un usuario pueda definir. En equipos cliente, los usuarios no pueden ver las excepciones que se crean. Un usuario puede ver solamente las excepciones que el usuario crea. Ver "Cmo administrar las excepciones para Symantec Endpoint Protection" en la pgina 516. Ver "Crear excepciones de eventos de registro en Symantec Endpoint Protection Manager" en la pgina 530. Tabla 21-3 Tarea Cmo crear las excepciones para Symantec Endpoint Protection Descripcin
Excluya un archivo de anlisis antivirus Admitido en clientes de Windows y Mac. y antispyware Excluye un archivo de anlisis antivirus y antispyware. Ver "Exclusin de un archivo o una carpeta de anlisis" en la pgina 523.
Nota: Las excepciones de archivos no se aplican

a SONAR. Para excluir un archivo de SONAR, use una excepcin de aplicacin. Excluya una carpeta de anlisis Admitido en clientes de Windows y Mac. Excluye una carpeta de los anlisis antivirus y antispyware, SONAR o todos los anlisis en clientes de Windows. Es posible tambin excluir una carpeta de anlisis antivirus y antispyware en clientes de Mac. Ver "Exclusin de un archivo o una carpeta de anlisis" en la pgina 523.
520
Tarea
Excluya un riesgo conocido de los anlisis antivirus y antispyware
Descripcin
Admitido en clientes con Windows. Excluye un riesgo conocido de los anlisis antivirus y antispyware Los anlisis omiten el riesgo, pero se puede configurar la excepcin de modo que los anlisis registren la deteccin. En cualquier caso, el software de cliente no notifica a los usuarios cuando detecta los riesgos especificados. Si un usuario configura las acciones personalizadas para un riesgo conocido que se configura para omitir, Symantec Endpoint Protection omite las acciones personalizadas. Ver "Exclusin de riesgos conocidos de anlisis antivirus y antispyware" en la pgina 524. Las excepciones de riesgos para la seguridad no se aplican a SONAR.
Excluya extensiones de archivo de anlisis antivirus y antispyware
Admitido en clientes con Windows. Excluye cualquier archivo con las extensiones especificadas de los anlisis antivirus y antispyware. Ver "Exclusin de extensiones de archivo de anlisis antivirus y antispyware" en la pgina 525. Las excepciones de extensin no se aplican a SONAR.
Fuerce una deteccin de aplicaciones
Admitido en clientes con Windows. Use la excepcin Aplicaciones para supervisar para forzar los anlisis antivirus y antispyware o SONAR para detectar una aplicacin. Cuando los clientes detectan la aplicacin, se puede crear una excepcin para permitir o para bloquear la aplicacin. Ver "Cmo forzar anlisis para detectar una aplicacin" en la pgina 526.
521
Tarea
Descripcin
Especifique cmo los anlisis controlan Admitido en clientes con Windows. las aplicaciones detectadas o descargas Especifica cmo Symantec Endpoint Protection controla una aplicacin que es detectada por el anlisis antivirus y antispyware (incluido el Diagnstico Insight de descargas), SONAR, Proteccin contra intervenciones o aprendizaje de aplicaciones. Es posible usar la excepcin para especificar cmo el Diagnstico Insight de descargas controla una aplicacin que sus usuarios intentan descargar. Es posible forzar Symantec Endpoint Protection para detectar una aplicacin especificando una excepcin Aplicaciones para supervisar. A continuacin se puede crear una excepcin Aplicacin para especificar cmo los anlisis controlan la aplicacin. La excepcin de aplicacin es una excepcin basada en hash SHA-2. Las excepciones de versiones anteriores para los anlisis de amenazas proactivos TruScan aparecen como excepciones basadas en hash SHA-1. Los clientes de versiones anteriores admiten excepciones SHA-1 solamente. La huella digital de archivos en la lista de excepciones es precedida por un 2 o un 1 respectivamente para indicar el tipo de hash del archivo. Ver "Especificar cmo Symantec Endpoint Protection controla una aplicacin que los anlisis detectan o que los usuarios descargan" en la pgina 526. Ver "Configuracin del servidor de administracin para recopilar la informacin sobre las aplicaciones que los equipos cliente ejecutan" en la pgina 279.
522
Tarea
Descripcin
Excluya las aplicaciones del control de Admitido en clientes con Windows. aplicaciones El control de aplicaciones interfiere de vez en cuando en una aplicacin. Es posible configurar una excepcin para excluir una aplicacin del control de aplicaciones. Ver "Exclusin de aplicaciones del control de aplicaciones" en la pgina 528. Excluya un dominio web de anlisis Admitido en clientes con Windows. El Diagnstico Insight de descargas analiza los archivos que los usuarios intentan descargar de sitios web y de otros portales. El Diagnstico Insight de descargas se ejecuta como parte de un anlisis antivirus y antispyware. Es posible configurar una excepcin para un dominio web especfico que se sabe que es seguro. El Diagnstico Insight de descargas debe habilitarse para que la excepcin surta algn efecto.
Nota: Si sus equipos cliente usan un proxy con

la autenticacin, deber especificar las excepciones de dominio web de confianza para las direcciones URL de Symantec. Las excepciones permiten a sus equipos cliente comunicarse con Symantec Insight y otros sitios importantes de Symantec. Para obtener informacin sobre las excepciones recomendadas, consulte el artculo relacionado de la base de conocimientos del soporte tcnico de Symantec Technical Support Knowledge Base article. Ver "Exclusin de un dominio web de confianza de anlisis" en la pgina 527.
523
Tarea
Cree excepciones para la Proteccin contra intervenciones
Descripcin
Admitido en clientes con Windows. La proteccin contra intervenciones protege los equipos cliente de los procesos que intervienen en los procesos de Symantec y los objetos internos. Cuando la proteccin contra intervenciones detecta un proceso que puede modificar las opciones de configuracin de Symantec o los valores del registro de Windows, bloquea el proceso. Es posible que deba permitir que una aplicacin modifique la configuracin de Symantec. Es posible que desee detener la proteccin contra intervenciones para ciertas reas del registro o para ciertos archivos del equipo cliente. En algunos casos, la proteccin contra intervenciones puede bloquear un programa de lectura de pantalla u otra aplicacin de tecnologa de asistencia. Es posible crear una excepcin de modo que la aplicacin pueda ejecutarse en los equipos cliente. Ver "Cmo crear una excepcin de Proteccin contra intervenciones" en la pgina 528.
Exclusin de un archivo o una carpeta de anlisis

Se agregan las excepciones para los archivos o las carpetas individualmente. Si desea crear excepciones para ms de un archivo, repita el procedimiento. SONAR admite las excepciones de carpetas; SONAR no admite excepciones de archivos. Use una excepcin de aplicacin si desea excluir un archivo de SONAR. Ver "Cmo crear las excepciones para Symantec Endpoint Protection" en la pgina 519. Para excluir un archivo o una carpeta del anlisis en clientes de Windows
1 2
En la pgina Poltica de excepciones, haga clic en Excepciones. Realice una de las acciones siguientes:
En Excepciones, haga clic en Agregar > Excepciones para Windows > Carpeta En Excepciones, haga clic en Agregar > Excepciones para Windows > Archivo
524
En el cuadro desplegable Variable de prefijo, seleccione una carpeta comn. Seleccione [NINGUNO] para escribir la ruta absoluta y el nombre del archivo. Cuando se selecciona un prefijo, la excepcin se puede usar en diversos sistemas operativos de Windows.
En el cuadro de texto Archivo o Carpeta, escriba el nombre de archivo o de la carpeta. Si selecciona una variable de prefijo, la ruta debe estar relacionada con el prefijo. Si selecciona [NINGUNO], escriba el nombre completo de la ruta. Nota: Las rutas se deben denotar usando una barra invertida.
Para una excepcin de carpeta, seleccione el tipo de anlisis ( Riesgo para la seguridad, SONAR o Todos ) al lado de Especifique el tipo de anlisis que excluye esta carpeta. Riesgo para la seguridad es la opcin predeterminada.
Para excluir un archivo o una carpeta en clientes de Mac
1 2 3
En la pgina Poltica de excepciones, haga clic en Excepciones. En Excepciones, haga clic en Agregar > Excepciones para Mac > Archivo o carpeta. En Excepcin de archivos o carpetas de riesgos para la seguridad, en el cuadro desplegable Variable de prefijo, seleccione una carpeta comn. Seleccione [NINGUNO] para escribir la ruta absoluta y el nombre del archivo.
En el cuadro de texto Carpeta, escriba el nombre del archivo. Si selecciona una variable de prefijo, la ruta debe estar relacionada con el prefijo. Si selecciona [NINGUNO], escriba el nombre completo de la ruta. Nota: Las rutas de carpetas se deben denotar usando una barra diagonal.
Exclusin de riesgos conocidos de anlisis antivirus y antispyware

Los riesgos para la seguridad que el software de cliente detecta aparecen en el cuadro de dilogo Excepciones de riesgos para la seguridad conocidos.
525
La lista de los riesgos para la seguridad conocidos incluye la informacin sobre la gravedad del riesgo. Ver "Cmo crear las excepciones para Symantec Endpoint Protection" en la pgina 519. Para excluir riesgos conocidos de anlisis antivirus y antispyware
1 2 3
En la pgina Poltica de excepciones, haga clic en Excepciones. En Excepciones, haga clic en Agregar > Excepciones para Windows > Riesgos conocidos. En el cuadro de dilogo Excepciones de riesgos para la seguridad conocidos, seleccione uno o ms riesgos para la seguridad que desee excluir de los anlisis antivirus y antispyware. Seleccione Registrar la deteccin del riesgo para la seguridad si desea registrar la deteccin. Si no activa esta opcin, el cliente ignora el riesgo cuando detecta los riesgos seleccionados. Por lo tanto, el cliente no registra la deteccin.
5 6
Haga clic en Aceptar. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
Exclusin de extensiones de archivo de anlisis antivirus y antispyware

Es posible agregar varias extensiones de archivo a una excepcin. Despus de crear la excepcin, no es posible crear otra excepcin de extensiones para la misma poltica. Es necesario editar la excepcin existente. Es posible agregar solamente una extensin por vez. Si escribe varios nombres de extensin en el cuadro de texto Agregar, la poltica trata la entrada como un solo nombre de extensin. Ver "Cmo crear las excepciones para Symantec Endpoint Protection" en la pgina 519. Para excluir extensiones de archivo de anlisis antivirus y antispyware
1 2 3 4 5
En la pgina Poltica de excepciones, haga clic en Excepciones. En Excepciones, haga clic en Agregar > Windows y excepciones integradas > Extensiones. En el cuadro de texto, escriba la extensin que desea excluir y despus haga clic en Agregar. Agregue cualquier otra extensin a la excepcin. Haga clic en Aceptar.
526
Cmo forzar anlisis para detectar una aplicacin

Es posible configurar una excepcin para forzar Symantec Endpoint Protection para detectar una aplicacin. Es posible que tenga que configurar este tipo de excepciones cuando los anlisis no detectan actualmente una aplicacin determinada. Una vez que los futuros anlisis se ejecuten y detecten la aplicacin especificada, se puede crear una excepcin de la aplicacin. La aplicacin detectada aparece en el cuadro de dilogo Excepcin de aplicacin en la poltica de excepciones. La aplicacin detectada adems aparece en el registro relevante y se puede crear una excepcin del registro. Ver "Cmo crear las excepciones para Symantec Endpoint Protection" en la pgina 519. Ver "Especificar cmo Symantec Endpoint Protection controla una aplicacin que los anlisis detectan o que los usuarios descargan" en la pgina 526. Ver "Crear excepciones de eventos de registro en Symantec Endpoint Protection Manager" en la pgina 530. Para configurar una excepcin para forzar una deteccin de aplicaciones
1 2 3
En la pgina Poltica de excepciones, haga clic en Excepciones. Haga clic en Agregar > Excepciones para Windows > Aplicaciones para supervisar. En el cuadro de dilogo, escriba el nombre de la aplicacin. Por ejemplo, es posible que tenga que escribir el nombre de un archivo ejecutable de la siguiente forma: foo.exe
4 5
Especificar cmo Symantec Endpoint Protection controla una aplicacin que los anlisis detectan o que los usuarios descargan
Es posible forzar Symantec Endpoint Protection para detectar una aplicacin determinada. Cuando Symantec Endpoint Protection detecta la aplicacin y la consola de administracin recibe el evento, la aplicacin aparece en la lista de aplicaciones. La lista de aplicaciones aparece vaca si los equipos cliente de su red an no han hecho ninguna deteccin. La lista de las aplicaciones incluye cualquier deteccin hecha por anlisis antivirus y antispyware, SONAR, aprendizaje de aplicaciones o Proteccin contra
527
intervenciones. Adems incluye cualquier deteccin hecha por el Diagnstico Insight de descargas. Ver "Cmo forzar anlisis para detectar una aplicacin" en la pgina 526. Ver "Cmo crear las excepciones para Symantec Endpoint Protection" en la pgina 519. Para especificar cmo Symantec Endpoint Protection controla una aplicacin que los anlisis detectan o que los usuarios descargan
1 2 3 4 5 6
En la pgina Poltica de excepciones, haga clic en Excepciones. Haga clic en Agregar > Excepciones para Windows > Aplicacin. En la lista desplegable Vista, seleccione Todo, Aplicaciones miradas o Aplicaciones permitidas por el usuario. Seleccione las aplicaciones para las cuales desee crear una excepcin. En el cuadro desplegable Accin, seleccione Omitir, Terminar, Cuarentena o Registrar. Haga clic en Aceptar.
Exclusin de un dominio web de confianza de anlisis

Es posible excluir un dominio web de los anlisis antivirus y antispyware y SONAR. Es posible especificar solamente un dominio web por vez. Es necesario especificar una URL vlida. Las URL de HTTPS o FTP no se admiten. No es posible usar un nmero de puerto. Nota: Si se deshabilita el Diagnstico Insight de descargas o Auto-Protect, las excepciones de dominio web de confianza se deshabilitan tambin. Ver "Cmo crear las excepciones para Symantec Endpoint Protection" en la pgina 519. Para especificar una excepcin para un dominio web de confianza
1 2
En la pgina Poltica de excepciones, haga clic en Agregar > Excepciones para Windows > Dominio web de confianza. En el cuadro de dilogo Excepcin de dominio web de confianza, escriba el dominio web que desee excluir de las detecciones del Diagnstico Insight de descargas. Haga clic en Aceptar. Repita el procedimiento para agregar ms excepciones de dominio web.
3 4
528
Exclusin de aplicaciones del control de aplicaciones

El control de aplicaciones inyecta cierto cdigo en las aplicaciones para examinarlas. En algunos casos, la inyeccin puede afectar el rendimiento de la aplicacin o causar problemas con la ejecucin de la aplicacin. Es posible crear una excepcin para excluir la aplicacin del examen del control de aplicaciones. Ver "Cmo crear las excepciones para Symantec Endpoint Protection" en la pgina 519. Ver "Cmo configurar el control de aplicaciones y dispositivos" en la pgina 479. Para especificar una excepcin del control de aplicaciones
1 2
En la pgina Poltica de excepciones, haga clic en Agregar > Excepciones para Windows > Control de aplicaciones En el cuadro desplegable Variable de prefijo, seleccione una carpeta comn. Cuando se selecciona un prefijo, la excepcin se puede usar en diversos sistemas operativos de Windows. Active [NINGUNO] si desea escribir la ruta absoluta y el nombre de archivo. Nota: Las rutas de carpetas se deben denotar usando una barra diagonal.
En el cuadro de texto Aplicacin, escriba el nombre de la aplicacin. Si seleccion una variable de prefijo, la ruta debe estar relacionada con el prefijo. Si seleccion [NINGUNO], escriba el nombre de ruta completo del archivo.
Cmo crear una excepcin de Proteccin contra intervenciones

Es posible crear las excepciones para la Proteccin contra intervenciones. Puede ser recomendable crear una excepcin de Proteccin contra intervenciones si la Proteccin contra intervenciones interfiere en una aplicacin segura conocida en sus equipos cliente. Por ejemplo, la proteccin contra intervenciones puede bloquear una aplicacin de tecnologa de asistencia, tal como un programa de lectura de pantalla. Es necesario saber el nombre del archivo asociado a la aplicacin de tecnologa de asistencia. A continuacin, es posible crear una excepcin para permitir la ejecucin de la aplicacin. Ver "Cmo crear las excepciones para Symantec Endpoint Protection" en la pgina 519.
Administracin de excepciones Restrinja los tipos de excepciones que los usuarios pueden configurar en los equipos cliente
529
Para crear una excepcin para la Proteccin contra intervenciones
1 2 3
En la pgina Poltica de excepciones, haga clic en Excepciones. Haga clic en Agregar > Excepciones de Windows > Excepcin de proteccin contra intervenciones. En el cuadro de dilogo Agregar excepcin de proteccin contra intervenciones, en el cuadro desplegable Variable de prefijo, seleccione una carpeta comn. Cuando se selecciona un prefijo, la excepcin se puede usar en diversos sistemas operativos de Windows. Active [NINGUNO] si desea escribir la ruta absoluta y el nombre de archivo.
En el cuadro de texto Archivo, escriba el nombre del archivo. Si seleccion un prefijo, la ruta debe estar relacionada con el prefijo. Si seleccion [NINGUNO] para el prefijo, escriba el nombre de ruta completo.
5 6
Restrinja los tipos de excepciones que los usuarios pueden configurar en los equipos cliente
Es posible configurar restricciones de modo que los usuarios en los equipos cliente no puedan crear las excepciones para los anlisis antivirus y antispyware o para SONAR. De forma predeterminada, los usuarios pueden configurar excepciones. Ver "Cmo administrar las excepciones para Symantec Endpoint Protection" en la pgina 516. Los usuarios de los equipos cliente nunca pueden crear las excepciones para la proteccin contra intervenciones, sin importar la configuracin de la restriccin. Los usuarios adems no pueden crear excepciones del control de aplicaciones. Para restringir los tipos de excepciones que los usuarios pueden configurar en los equipos cliente
1 2 3
En la pgina Poltica de excepciones, haga clic en Restricciones del cliente. En Restricciones del cliente, anule la seleccin de cualquier excepcin que sea necesario evitar que los usuarios en los equipos cliente configuren. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
530
Administracin de excepciones Crear excepciones de eventos de registro en Symantec Endpoint Protection Manager
Crear excepciones de eventos de registro en Symantec Endpoint Protection Manager

Es posible crear excepciones de los eventos de registro para los anlisis antivirus y antispyware, SONAR, el control de aplicaciones y la Proteccin contra intervenciones. Tabla 21-4 Tipos de registros y excepciones Tipo de registro
Registro de riesgos Registro de riesgos Registro de SONAR Riesgo conocido Extensin Aplicacin Registro de riesgos Registro de riesgos Registro de riesgos Registro de SONAR Dominio web de confianza Registro de riesgos Registro de SONAR Control de aplicaciones Proteccin contra intervenciones Registro de control de aplicaciones y dispositivos Registro de control de aplicaciones
Tipo de excepcin
Archivo Carpeta
Ver "Supervisin de proteccin de endpoints" en la pgina 595. Symantec Endpoint Protection debe haber detectado ya el elemento para el cual desee crear una excepcin. Cuando se usa un evento de registro para crear una excepcin, se especifica la poltica de excepciones que debe incluir la excepcin. Ver "Cmo administrar las excepciones para Symantec Endpoint Protection" en la pgina 516. Ver "Cmo crear las excepciones para Symantec Endpoint Protection" en la pgina 519.
531
Para crear excepciones de eventos de registro en Symantec Endpoint Protection Manager
1 2 3 4 5 6 7
En la ficha Supervisin, haga clic en la ficha Registros. En la lista desplegable Tipo de registro, seleccione el registro de riesgos, el registro de SONAR o el registro de control de aplicaciones y dispositivos. Si seleccion el Control de aplicaciones y dispositivos, seleccione Control de aplicaciones en la lista Contenido del registro. Haga clic en Ver registro. Al lado de Intervalo de tiempo, seleccione el intervalo de tiempo para filtrar el registro. Seleccione la entrada o las entradas para las cuales desee crear una excepcin. Al lado de Accin, seleccione el tipo de excepcin que desee crear. El tipo de excepcin que se selecciona debe ser vlido para el elemento o los elementos que usted seleccion.
8 9
Haga clic en Aplicar. En el cuadro de dilogo, elimine cualquier elemento que usted no desee incluir en la excepcin. para la seguridad si desea que Symantec Endpoint Protection registre la deteccin.
10 Para los riesgos para la seguridad, seleccione Registrar la deteccin del riesgo
11 Seleccione todas las polticas de las excepciones que deban usar la excepcin. 12 Haga clic en Aceptar.
532
Captulo
22
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente


Cmo administrar actualizaciones de contenido Configurar un sitio para descargar actualizaciones de contenido Configurar la programacin de descarga de LiveUpdate para Symantec Endpoint Protection Manager Descarga de contenido de LiveUpdate manual a Symantec Endpoint Protection Manager Cmo comprobar la actividad del servidor de LiveUpdate Configurar Symantec Endpoint Protection Manager para conectarse a un servidor proxy para acceder a Internet Especificacin de un servidor proxy que los clientes usan para comunicarse con Symantec LiveUpdate o un servidor interno de LiveUpdate Cmo habilitar y deshabilitar la programacin de LiveUpdate para equipos cliente
534
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Cmo administrar actualizaciones de contenido
Cmo configurar los tipos de contenido usados para actualizar los equipos cliente Configurar la programacin de descarga de LiveUpdate para equipos cliente Cmo configurar la cantidad de control que los usuarios tienen sobre LiveUpdate Cmo controlar las revisiones de contenido que usan los clientes Cmo configurar el espacio libre en disco que se usa para descargas de LiveUpdate Acerca del clculo aleatorio de descargas de contenido simultneas Ordenar aleatoriamente descargas de contenido del servidor de administracin predeterminado o un Proveedor de actualizaciones de grupo Cmo ordenar aleatoriamente descargas de contenido de un servidor de LiveUpdate Configurar actualizaciones del cliente para ejecutarse cuando los equipos cliente estn inactivos Configuracin de actualizaciones del cliente para ejecutarse cuando las definiciones son anteriores o el equipo se ha desconectado Cmo configurar proveedores de actualizaciones de grupo para distribuir contenido Cmo configurar un servidor externo de LiveUpdate Cmo configurar un servidor interno de LiveUpdate Cmo usar archivos de Intelligent Updater para actualizar definiciones de virus y de riesgos para la seguridad del cliente Cmo usar herramientas de distribucin de otro fabricante para actualizar los equipos cliente
Cmo administrar actualizaciones de contenido

Los productos de Symantec dependen de la informacin actual para proteger los equipos contra amenazas con la ltima tecnologa de proteccin contra amenazas. Los servidores y los equipos cliente necesitan recibir actualizaciones peridicas de contenido de proteccin, como definiciones de virus y spyware, firmas del sistema de proteccin contra intrusiones y software del producto. LiveUpdate proporciona estas actualizaciones a travs de una conexin a Internet. Symantec
535
firma las actualizaciones y el cliente LiveUpdate las verifica para asegurarse de que provienen de Symantec y no han sido manipuladas. Para configurar las actualizaciones para clientes, use las siguientes polticas:

Poltica de configuracin de LiveUpdate Poltica de contenido de LiveUpdate
La poltica de configuracin de LiveUpdate especifica los servidores de contenido que los equipos cliente contactan para comprobar si existen actualizaciones y la frecuencia con la que los clientes comprueban si existen actualizaciones. La poltica de contenidos de LiveUpdate especifica los tipos contenido que descargan los equipos cliente. Es posible tambin configurar algunos de los tipos contenido que se descargan al servidor de administracin en la ficha LiveUpdate del cuadro de dilogo Propiedades del sitio. Nota: HTTP se admite para la comunicacin de LiveUpdate. HTTPS no se admite, pero el contenido est digitalmente firmado. La ventaja de HTTP es que la mayora de los clientes pueden conectarse al servidor de LiveUpdate por HTTP, y HTTP por lo general es ms rpido. LiveUpdate a veces usa los encabezados no estndar que un firewall puede bloquear. Es posible usar una configuracin en el cuadro de dilogo Configuracin avanzada de la poltica de configuracin de LiveUpdate para lograr que Symantec Endpoint Protection Manager necesite encabezados HTTP estndar de LiveUpdate. Esta configuracin se aplica solamente a descargas para clientes de un servidor externo o interno de LiveUpdate. Una configuracin avanzada est disponible para permitir a los usuarios el inicio manual de LiveUpdate desde sus equipos cliente. Esta opcin est desactivada de forma predeterminada. Si activa esta configuracin, los usuarios pueden iniciar LiveUpdate y descargar las ltimas definiciones del virus de contenido, las actualizaciones de componentes y las actualizaciones del producto. Segn el tamao de la poblacin de usuarios, es posible que no desee permitir que los usuarios descarguen todo el contenido sin probarlo antes. Adems, pueden surgir problemas si se ejecutan dos sesiones de LiveUpdate simultneamente en los equipos cliente. De forma predeterminada, a los usuarios no se les permite descargar actualizaciones de producto de un servidor de LiveUpdate. Es posible cambiar esta configuracin en el panel Configuracin avanzada de la poltica de LiveUpdate. Los usuarios siempre pueden ejecutar LiveUpdate en clientes Mac. Es posible restringir la ejecucin de LiveUpdate solamente en los clientes Windows. Las actualizaciones de producto de un servidor de LiveUpdate, sin embargo, pueden ser restringidas tanto en clientes Mac como en Windows. Si restringe las
536
actualizaciones de producto de LiveUpdate en un cliente Mac, se deben proporcionar manualmente. Los clientes Mac no pueden obtener actualizaciones del servidor de administracin. La Tabla 22-1 describe algunas de las tareas importantes que se pueden realizar para administrar actualizaciones de contenido. Puesto que puede usar los valores predeterminados para la actualizacin, las tareas son opcionales. Tabla 22-1 Tarea
Ejecutar LiveUpdate despus de la instalacin
Tareas para administrar actualizaciones de contenido
Descripcin
Despus de instalar Symantec Endpoint Protection Manager, se configura para actualizar peridicamente el contenido de forma automtica. Sin embargo, puede ejecutar LiveUpdate de forma inmediata o en cualquier punto para descargar las ltimas actualizaciones de seguridad y de productos. Ver "Descarga de contenido de LiveUpdate manual a Symantec Endpoint Protection Manager" en la pgina 554.
Establecer la configuracin de descarga de LiveUpdate para el servidor de administracin
Configure el servidor de administracin para recibir actualizaciones de contenido regulares. Estas actualizaciones de contenido se pueden distribuir a los equipos cliente. Cuando configura un sitio para descargar el contenido de LiveUpdate a Symantec Endpoint Protection Manager, debe tomar las siguientes decisiones: La frecuencia con la que el sitio comprueba la existencia de actualizaciones de contenido de LiveUpdate. Los tipos de contenidos para descargar al sitio.

Los idiomas para los tipos de actualizaciones que se descarguen. El servidor de LiveUpdate que proporciona el contenido al sitio. El nmero de revisiones de contenido que se deben guardar y si se deben almacenar los paquetes cliente descomprimidos.
Ver "Configurar un sitio para descargar actualizaciones de contenido" en la pgina 549. Ver "Cmo configurar el espacio libre en disco que se usa para descargas de LiveUpdate" en la pgina 562. Ver "Configurar la programacin de descarga de LiveUpdate para Symantec Endpoint Protection Manager" en la pgina 553. Ver "Cmo comprobar la actividad del servidor de LiveUpdate" en la pgina 554. Configurar una conexin para permitir que un servidor proxy se conecte al servidor de Symantec LiveUpdate Establezca la comunicacin entre un servidor proxy y Symantec Endpoint Protection Manager, de modo que pueda conectarse con los servicios de suscripcin de Symantec. Un servidor proxy puede proporcionar un nivel adicional de proteccin entre el sitio y el servidor externo de Symantec LiveUpdate. Ver "Configurar Symantec Endpoint Protection Manager para conectarse a un servidor proxy para acceder a Internet" en la pgina 555.
537
Tarea
Especifique la configuracin del servidor proxy para la comunicacin del cliente con un servidor interno de LiveUpdate
Descripcin
Es posible especificar la configuracin del servidor proxy para los clientes que se conectan a un servidor interno de LiveUpdate para buscar actualizaciones. La configuracin del servidor proxy es para las actualizaciones solamente. No se aplican a otros tipos de comunicacin externa que los clientes usen. Se configura el proxy para otros tipos de comunicacin externa del cliente por separado. Ver "Especificacin de un servidor proxy que los clientes usan para comunicarse con Symantec LiveUpdate o un servidor interno de LiveUpdate" en la pgina 555. Los equipos cliente pueden descargar automticamente definiciones de seguridad y otras actualizaciones de producto de Symantec Endpoint Protection Manager, pero varios mtodos de distribucin de contenido estn disponibles. Por ejemplo, puede permitir a los usuarios viajar con equipos porttiles para usar una conexin a Internet para obtener actualizaciones directamente desde el servidor de Symantec LiveUpdate. Algunas instalaciones que tienen un gran nmero de clientes pueden configurar uno o varios proveedores de actualizaciones de grupo para reducir la carga en el servidor de administracin.
Decidir cmo los equipos cliente obtienen actualizaciones
Nota: Los clientes Mac obtienen actualizaciones solamente de un servidor interno o externo
de LiveUpdate. Ver "Acerca de los tipos de contenido que LiveUpdate puede proporcionar" en la pgina 538. Ver "Cmo los equipos cliente reciben actualizaciones de contenido" en la pgina 542. Ver "Configurar la programacin de descarga de LiveUpdate para equipos cliente" en la pgina 558. Configure el nivel de control que desea brindar a los usuarios por medio de LiveUpdate Es posible decidir qu nivel control brindar a los usuarios por medio de las actualizaciones de contenido. Ver "Cmo configurar la cantidad de control que los usuarios tienen sobre LiveUpdate" en la pgina 560.
Ajustar parmetros de Para disminuir el efecto de las descargas en el ancho de banda de red, puede descargar descarga del cliente contenido de forma aleatoria, de modo que no todos los clientes obtengan actualizaciones simultneamente. Ver "Acerca del clculo aleatorio de descargas de contenido simultneas" en la pgina 563. Ver "Ordenar aleatoriamente descargas de contenido del servidor de administracin predeterminado o un Proveedor de actualizaciones de grupo" en la pgina 564. Para disminuir el efecto de las descargas en el rendimiento de equipos cliente, puede obtener las actualizaciones de contenido de descarga de equipos cliente cuando los equipos cliente estn inactivos. Ver "Configurar actualizaciones del cliente para ejecutarse cuando los equipos cliente estn inactivos" en la pgina 566.
538
Tarea
Descripcin
Configurar un mtodo Los equipos cliente descargan automticamente definiciones de virus y otras actualizaciones de distribucin de contenido del producto de Symantec Endpoint Protection Manager, pero hay varios alternativo mtodos de distribucin alternativos que se pueden usar. Ver "Cmo los equipos cliente reciben actualizaciones de contenido" en la pgina 542.
Acerca de los tipos de contenido que LiveUpdate puede proporcionar

Los tipos de contenido que LiveUpdate puede proporcionar incluyen definiciones de virus y de spyware, firmas del Sistema de prevencin de intrusiones y software del producto. Para controlar los tipos de contenido que sus equipos cliente descargan, usted usa una poltica de contenidos de LiveUpdate. Para controlar los tipos de contenido que el servidor de administracin predeterminado descarga para distribuir a los clientes, se establece la configuracin de las propiedades el sitio. Si el contenido se selecciona en una poltica de LiveUpdate pero no se selecciona en las propiedades del sitio, ese contenido no se entrega a los clientes. Nota: Las actualizaciones de LiveUpdate incluyen definiciones y el contenido. No incluye actualizaciones de polticas. Symantec Endpoint Protection Manager actualiza las polticas en los clientes cuando se asigna una nueva poltica a un grupo o cuando se edita una poltica existente. Tabla 22-2 detalla los tipos de contenido que se pueden configurar para descargar en los clientes de Symantec Endpoint Protection Manager.
539
Tabla 22-2 Tipo de contenido

Actualizaciones de clientes
Tipos de contenido que se pueden configurar
Descripcin
Las actualizaciones de los clientes se configuran en las propiedades del sitio y en Configuracin avanzada de una poltica de configuracin de LiveUpdate. Esta opcin no se configura en una poltica de contenidos de LiveUpdate. Las actualizaciones de los clientes son mejoras al software de cliente instalado. Estas actualizaciones se crean generalmente para ampliar la compatibilidad del sistema operativo o del hardware, para ajustar los problemas de rendimiento o para reparar errores del producto. Las actualizaciones de clientes aparecen cuando son necesarias. Los clientes pueden recibir actualizaciones del producto directamente de un servidor de LiveUpdate. Los clientes administrados pueden adems recibir actualizaciones del producto automticamente de Symantec Endpoint Protection Manager. El parmetro Configuracin de actualizacin de productos en Configuracin avanzada de una poltica de configuracin de LiveUpdate le permite controlar sus versiones del software de cliente. Cuando se deshabilita esta configuracin, el software del cliente se puede actualizar solamente de forma manual. Cuando el servidor de administracin descarga y procesa los parches, crea automticamente un nuevo paquete. El nuevo paquete aparece en el panel Paquetes de instalacin de clientes. Es posible seleccionar el paquete y usar la funcin Actualizar los grupos con el paquete para sus clientes Windows. Es necesario proporcionar las actualizaciones manuales para los clientes Mac usando una herramienta de otro fabricante o mediante la descarga disponible del paquete de actualizacin en la red.
Definiciones de virus y spyware
Los paquetes de definiciones de virus separados estn disponibles para las plataformas x86 y x64.
Firmas heursticas de SONAR Protege contra amenazas de ataque de da cero. Lista de aplicaciones Incluye las aplicaciones comerciales legtimas que han generado falsos positivos en comerciales del anlisis de el pasado. Estas se usan para la compatibilidad con versiones anteriores cuando se amenazas proactivo TruScan administran clientes de una versin anterior. Firmas de prevencin de intrusiones Firmas de control de envos Configuracin de la reputacin Protege contra amenazas de red y admite la prevencin de intrusiones y los motores de deteccin. Controla el flujo de envos a Symantec Security Response. Incluye actualizaciones a los datos de reputacin que se usan en la proteccin.
540
Tipo de contenido
Plantillas de Integridad del host
Descripcin
Incluyen los requisitos predefinidos que imponen parches actualizados y medidas de seguridad en el equipo cliente. La descarga de plantillas para los equipos que ejecutan los sistemas operativos de Windows y los sistemas operativos de Mac.
Nota: Esta opcin est solamente disponible en el cuadro de dilogo Propiedades

del sitio cuando se instala Symantec Network Access Control.
Tabla 22-3 enumera las funciones que necesitan actualizaciones y los tipos de contenido que necesitan. Tabla 22-3 Cuando se instala un cliente no administrado
Proteccin antivirus y antispyware
Funciones y el contenido de la actualizacin que necesitan
Cuando se actualiza, es necesario descargar estos tipos de contenido

Definiciones de virus y spyware
Definiciones de SONAR Cuando se configuran los tipos de contenido para descargar en Propiedades del sitio, estos se llaman firmas heursticas de SONAR. Lista blanca de Symantec Cuando se configura un sitio para descargar el contenido, este tipo de contenido se llama lista de aplicaciones de anuncios publicitarios de anlisis de amenazas proactivo TruScan. Datos de revocacin (descargados de forma predeterminada, no configurables desde Symantec Endpoint Protection Manager) Configuracin de reputacin centralizada Cuando se configura los tipos de contenido para descargar en Propiedades del sitio, este tipo de contenido se llama Configuracin de la reputacin. Firmas de control de envos
541
Cuando se instala un cliente no administrado
Proteccin antivirus y Definiciones de virus y spyware antispyware > Proteccin de Definiciones de SONAR descargas Cuando se configuran los tipos de contenido para descargar en Propiedades del sitio, estos se llaman firmas heursticas de SONAR. Lista blanca de Symantec Cuando se configura un sitio para descargar el contenido, este tipo de contenido se llama lista de aplicaciones de anuncios publicitarios de anlisis de amenazas proactivo TruScan. Datos de revocacin (descargados de forma predeterminada, no configurables desde Symantec Endpoint Protection Manager) Configuracin de reputacin centralizada Cuando se configura los tipos de contenido para descargar en Propiedades del sitio, este tipo de contenido se llama Configuracin de la reputacin. Firmas de control de envos
Firmas de prevencin de intrusiones Cuando se selecciona esta opcin para descargar, incluye actualizaciones tanto para las firmas de prevencin de intrusiones y los motores de prevencin de intrusiones.
Proteccin antivirus y Definiciones de virus y spyware antispyware > Analizador de Definiciones de SONAR Outlook Cuando se configuran los tipos de contenido para descargar en Propiedades del sitio, estos se llaman firmas heursticas de SONAR. Lista blanca de Symantec Cuando se configura un sitio para descargar el contenido, este tipo de contenido se llama lista de aplicaciones de anuncios publicitarios de anlisis de amenazas proactivo TruScan. Datos de revocacin (descargados de forma predeterminada, no configurables desde Symantec Endpoint Protection Manager) Configuracin de reputacin centralizada Cuando se configura los tipos de contenido para descargar en Propiedades del sitio, este tipo de contenido se llama Configuracin de la reputacin. Firmas de control de envos
542
Cuando se instala un cliente no administrado
Proteccin antivirus y Definiciones de virus y spyware antispyware > Analizador de Definiciones de SONAR notas Cuando se configuran los tipos de contenido para descargar en Propiedades del sitio, estos se llaman firmas heursticas de SONAR. Lista blanca de Symantec Cuando se configura un sitio para descargar el contenido, este tipo de contenido se llama lista de aplicaciones de anuncios publicitarios de anlisis de amenazas proactivo TruScan. Datos de revocacin (descargados de forma predeterminada, no configurables desde Symantec Endpoint Protection Manager) Configuracin de reputacin centralizada Cuando se configura los tipos de contenido para descargar en Propiedades del sitio, este tipo de contenido se llama Configuracin de la reputacin. Firmas de control de envos Proteccin proactiva contra Definiciones de SONAR amenazas > SONAR Cuando se configuran los tipos de contenido para descargar en Symantec Endpoint Protection Manager, estos se llaman firmas heursticas de SONAR. Proteccin proactiva contra No se necesitan actualizaciones. amenazas > Control de aplicaciones y dispositivos Proteccin contra amenazas Firmas de prevencin de intrusiones de red > Prevencin de Nota: Cuando se selecciona esta opcin para descargar, incluye actualizaciones tanto intrusiones para las firmas de prevencin de intrusiones y los motores de prevencin de intrusiones. Proteccin contra amenazas No se necesitan actualizaciones. de red > Firewall Network Access Control Contenido de Integridad del host
Ver "Cmo administrar actualizaciones de contenido" en la pgina 534. Ver "Cmo configurar los tipos de contenido usados para actualizar los equipos cliente" en la pgina 557.
Cmo los equipos cliente reciben actualizaciones de contenido

Los equipos cliente pueden usar LiveUpdate para descargar definiciones de seguridad y otras actualizaciones del producto automticamente, pero hay varios mtodos de distribucin de contenido disponibles para actualizar clientes.
543
La configuracin de la programacin del servidor LiveUpdate se define en Propiedades del sitio en la pgina Administrador. La configuracin de la programacin del cliente de LiveUpdate se define en la poltica de configuracin de LiveUpdate. Cuando se agrega y se aplica la poltica de configuracin de LiveUpdate, se debe tener un plan de la frecuencia con la que desea que los equipos cliente busquen actualizaciones. La configuracin predeterminada es cada cuatro horas. Tambin debe saber el lugar desde el que desea que los equipos cliente busquen y obtengan las actualizaciones. Si es posible, desea que los equipos cliente comprueben si hay actualizaciones y las obtengan de Symantec Endpoint Protection Manager. Despus de crear su poltica, puede asignar la poltica a uno o ms grupos y ubicaciones. Los mtodos de distribucin de contenido que se usan dependen de los siguientes factores:

Cmo se configura la red Cantidad de equipos cliente que administra. Por ejemplo, si tiene un gran nmero de clientes, puede usar los proveedores de actualizaciones de grupo para aliviar la carga de servidores de administracin. Es posible incluso configurar los servidores internos de LiveUpdate que usan el administrador de LiveUpdate, si es necesario. Si administra los equipos cliente de Windows y Mac. Por ejemplo, los equipos de cliente de Mac obtienen actualizaciones solamente de un servidor interno o externo de LiveUpdate. Solamente los equipos cliente de Windows pueden obtener actualizaciones del servidor de administracin o del proveedor de actualizaciones de grupo. Ver Tabla 22-4 en la pgina 544. Si los equipos cliente se conectan regularmente a la red. Por ejemplo, algunos usuarios pueden viajar con equipos porttiles que se conectan intermitentemente o no se conectan a la red. En este caso, puede permitir que los equipos cliente obtengan actualizaciones directamente desde un servidor de Symantec LiveUpdate por medio de Internet. Ver Tabla 22-4 en la pgina 544.
Ver "Cmo administrar actualizaciones de contenido" en la pgina 534.
544
Tabla 22-4 Mtodo Descripcin
Mtodos de distribucin de contenido y cundo se deben usar Cundo se lo debe utilizar Nota: Solamente los equipos del cliente
Windows pueden obtener actualizaciones del servidor de administracin. Los equipos cliente de Mac deben obtener actualmente las actualizaciones desde un servidor de Symantec LiveUpdate o manualmente. Ver "Cmo usar archivos de Intelligent Updater para actualizar definiciones de virus y de riesgos para la seguridad del cliente" en la pgina 583. Este mtodo se configura de forma predeterminada despus de la instalacin del servidor de administracin. Es posible adems combinar este mtodo con el proveedor de actualizaciones grupales.
Symantec Endpoint El servidor de administracin Protection Manager para predeterminado puede actualizar los equipos cliente equipos cliente que administra. Es posible que tenga varios servidores de (Valor predeterminado) administracin en su red de Symantec Endpoint Protection Manager. El sitio que incluye los servidores de administracin recibe el contenido de LiveUpdate.
Proveedor de Un Proveedor de actualizaciones de grupo actualizaciones de grupo es un equipo cliente que recibe para equipos cliente actualizaciones desde un servidor de administracin. Entonces transmite las actualizaciones a otros equipos cliente en el grupo. Un proveedor de actualizaciones grupales puede actualizar varios grupos. Tenga en cuenta que un proveedor de actualizaciones de grupo distribuye todos los tipos de contenido de LiveUpdate, excepto las actualizaciones de software del cliente. Los proveedores de actualizaciones de grupo no se pueden usar para actualizar las polticas.
Configurar un proveedor de actualizaciones de grupo es ms fcil configurar un servidor interno de LiveUpdate. Los proveedores de actualizaciones de grupo requieren menos recursos y, por lo tanto, reducen la carga en los servidores de administracin. Este mtodo es particularmente til para los grupos en ubicaciones remotas con ancho de banda mnimo. Ver "Cmo configurar proveedores de actualizaciones de grupo para distribuir contenido " en la pgina 568.
545
Mtodo
Descripcin
Cundo se lo debe utilizar
Servidor interno de Los equipos cliente pueden descargar LiveUpdate para equipos actualizaciones directamente de un servidor cliente interno de LiveUpdate que recibe las actualizaciones desde un servidor de Symantec LiveUpdate.
Es posible usar un servidor interno de LiveUpdate en redes muy grandes para reducir la carga en Symantec Endpoint Protection Manager. Primero debe considerar si los proveedores de actualizaciones de grupo cumpliran con las Usa la utilidad de administracin de necesidades de la organizacin. Los LiveUpdate para descargar las proveedores de actualizaciones de grupo actualizaciones de definiciones del servidor son ms fciles de configurar y reducen la de Symantec LiveUpdate. La utilidad ubica carga en los servidores de administracin. los paquetes en un servidor web, un sitio FTP o una ubicacin designada con una ruta Use un servidor interno de LiveUpdate si UNC. Se configuran los servidores de tiene clientes Mac y no desea conectarse al administracin y los equipos cliente para servidor de Symantec LiveUpdate por medio descargar las actualizaciones de definiciones de Internet. desde esta ubicacin. Un servidor interno de LiveUpdate tambin Si es necesario, puede configurar varios es til si la organizacin ejecuta varios servidores internos de LiveUpdate y productos de Symantec que adems usan distribuir la lista a los equipos cliente. LiveUpdate para actualizar los equipos cliente. Para obtener informacin sobre cmo configurar un servidor interno de Se usa generalmente un servidor interno de LiveUpdate, consulte la Gua del usuario LiveUpdate en redes grandes de ms de administrador de LiveUpdate. 10 000 clientes. La gua est disponible en el disco del producto y en el sitio web de soporte de Symantec.
Nota: No es necesario instalar Symantec

Endpoint Protection Manager y un servidor interno de LiveUpdate en el mismo hardware fsico o mquina virtual. La instalacin en el mismo equipo puede dar lugar a problemas de rendimiento significativos del servidor. Para obtener ms informacin consulte el artculo de la base de conocimientos del soporte tcnico de Symantec Administracin de LiveUpdate 2.x y Symantec Endpoint Protection Manager en el mismo servidor fsico. Ver "Cmo configurar un servidor interno de LiveUpdate" en la pgina 580.
546
Mtodo
Servidor de Symantec LiveUpdate para equipos cliente por medio de Internet
Descripcin
Los equipos cliente pueden recibir actualizaciones directamente desde un servidor de Symantec LiveUpdate. este mtodo.

Utilice un servidor externo de Symantec LiveUpdate para los equipos cliente que no se conectan siempre a la red corporativa. LiveUpdate programado se habilitan de forma predeterminada, al igual que las opciones para ejecutar solamente LiveUpdate programado cuando se pierde la conexin a Symantec Endpoint Protection Manager y las definiciones de virus y spyware son anteriores a cierta antigedad. Con la configuracin predeterminada, los clientes obtienen siempre actualizaciones de Symantec Endpoint Protection Manager, excepto cuando Symantec Endpoint Protection Manager no responde por un largo perodo.
Nota: Los equipos cliente de Mac deben usar Symantec Endpoint Protection Manager y
Nota: No configure una gran cantidad de

clientes administrados, conectados para extraer actualizaciones de un servidor externo de Symantec LiveUpdate. Esta configuracin consume cantidades innecesarias de ancho de banda de Internet. Ver "Cmo configurar un servidor externo de LiveUpdate" en la pgina 579. Distribucin de herramientas de otro fabricante Las herramientas de otro fabricante, como Microsoft SMS, permitieron distribuir los archivos especficos de la actualizacin a los clientes. Utilice este mtodo cuando se desee probar los archivos de la actualizacin antes de distribuirlos. Adems, utilice este mtodo si tiene una infraestructura de distribucin de herramientas de otro fabricante y desea aprovechar la infraestructura. Ver "Distribucin del contenido usando herramientas de distribucin de otro fabricante" en la pgina 589.
547
Mtodo
Intelligent Updater
Descripcin
Los archivos de Intelligent Updater contienen el contenido de virus y riesgo para la seguridad que puede usar para actualizar clientes manualmente. Es posible descargar los archivos autoextrables de Intelligent Updater del sitio web de Symantec.

Es posible usar los archivos de Intelligent Updater si no desea usar Symantec LiveUpdate o si LiveUpdate no est disponible. Ver "Cmo usar archivos de Intelligent Updater para actualizar definiciones de virus y de riesgos para la seguridad del cliente" en la pgina 583. Para actualizar otras clases de contenido, es necesario instalar y configurar un servidor de administracin para descargar y preparar los archivos de actualizacin. Ver "Cmo usar herramientas de distribucin de otro fabricante para actualizar los equipos cliente" en la pgina 584.
Figura 22-1 muestra una arquitectura de distribucin de ejemplo para redes ms pequeas.
548
Figura 22-1
Arquitectura de distribucin de ejemplo para redes ms pequeas
Symantec LiveUpdate
Grupo de clientes
Servidor de administracin
Grupos de clientes
Proveedor de actualizaciones grupales cliente
Clientes Grupo de clientes
Figura 22-2 muestra una arquitectura de distribucin de ejemplo para redes ms grandes.
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Configurar un sitio para descargar actualizaciones de contenido
549
Figura 22-2
Arquitectura de distribucin de ejemplo para redes ms grandes
Symantec LiveUpdate
Servidor interno de LiveUpdate
Servidor interno de LiveUpdate
Grupos de clientes
Grupos de clientes
Configurar un sitio para descargar actualizaciones de contenido

Cuando se configura un sitio para descargar contenido de LiveUpdate, es necesario tomar varias decisiones. Tabla 22-5 Decisin Decisiones sobre descargas de contenido Descripcin
Cuntas veces debe mi sitio La programacin predeterminada para que Symantec comprobar la existencia de Endpoint Protection Manager ejecute LiveUpdate cada actualizaciones de contenido cuatro horas es la mejor prctica. de LiveUpdate?
550
Decisin
Descripcin
Qu tipos de contenido debo Asegrese de que el sitio descargue todas las actualizaciones descargar al sitio? de contenido especificadas en las polticas de contenido de LiveUpdate de los clientes. Ver "Acerca de los tipos de contenido que LiveUpdate puede proporcionar" en la pgina 538. Ver "Cmo configurar los tipos de contenido usados para actualizar los equipos cliente" en la pgina 557. Qu idiomas se deben Esta configuracin en el cuadro de dilogo Propiedades del descargar para las sitio se aplica solamente a las actualizaciones del producto; actualizaciones del producto? las actualizaciones de contenido son compatibles con todos los idiomas. Qu servidor de LiveUpdate Es posible especificar un servidor externo de Symantec debe servir el contenido al LiveUpdate (recomendado) o uno o ms servidores internos sitio? de LiveUpdate que hayan sido instalados y configurados previamente. Ver "Cmo configurar un servidor externo de LiveUpdate" en la pgina 579. No es necesario instalar Symantec Endpoint Protection Manager y un servidor interno de LiveUpdate en el mismo hardware fsico o mquina virtual. La instalacin en el mismo equipo puede dar lugar a problemas de rendimiento significativos del servidor. Si decide usar uno o ms servidores internos de LiveUpdate, se puede agregar el servidor pblico de Symantec LiveUpdate como la entrada ms actual. Si sus clientes no pueden alcanzar ningn servidor en la lista, pueden an actualizarse desde el servidor de Symantec LiveUpdate.
Nota: Si usa la versin de administrador 1.x de LiveUpdate

para administrar su servidor interno de LiveUpdate, es necesario realizar un cambio si usted aplic los paquetes de respuesta personalizados. Los clientes de LiveUpdate que usan la versin actual no pueden autenticar los paquetes de respuesta personalizados. Es necesario eliminar cualquier paquete personalizado del servidor central de LiveUpdate. Ver "Cmo configurar un servidor interno de LiveUpdate" en la pgina 580.
551
Decisin
Cuntas revisiones de contenido deben el almacenamiento del sitio y los paquetes cliente almacenar descromprimidos?
Descripcin
Una razn importante para almacenar varias revisiones de un nico tipo de contenido es proporcionar la capacidad de crear y de distribuir deltas a los clientes. Cuando Symantec Endpoint Protection Manager y el cliente tienen una revisin de contenido en comn, Symantec Endpoint Protection Manager puede usarla como base para que un delta se enve a los clientes. Los clientes pueden aplicar ese delta a la misma base localmente para conseguir el ltimo contenido. Los deltas son tpicamente mucho ms pequeos que los paquetes completos, lo que da lugar a un ahorro importante del ancho de banda. Tambin es posible almacenar revisiones de contenido porque es posible que desee probar el ltimo contenido antes de distribuirlo a todos sus clientes. Se recomienda conservar las versiones anteriores del contenido para que pueda revertir la accin si es necesario.
Nota: Cuando se guarda una gran cantidad de revisiones,

ms espacio libre en el disco es necesario en Symantec Endpoint Protection Manager. Ver "Cmo configurar el espacio libre en disco que se usa para descargas de LiveUpdate" en la pgina 562. Ver "Cmo controlar las revisiones de contenido que usan los clientes" en la pgina 561.
Para configurar un sitio para descargar actualizaciones
1 2 3
En la consola, haga clic en Administrador y, luego, haga clic en Servidores. En Servidores, haga clic con el botn derecho en Sitio local y despus haga clic en Editar propiedades. En la ficha LiveUpdate, en el cuadro de grupo Programacin de descarga, haga clic en Editar programacin, configure las opciones para cuntas veces el servidor debe comprobar si hay actualizaciones. Haga clic en Aceptar. En Tipos de contenido para descargar, examine la lista de tipos de actualizacin que se descargan. Para agregar o eliminar un tipo de actualizacin, haga clic en Modificar seleccin, modifique la lista y, luego, haga clic en Aceptar. La lista debe coincidir con la lista de tipos de contenido que se incluyen en la Poltica de contenidos de LiveUpdate para sus equipos cliente.
4 5 6
552
7 8 9
En Idiomas para descargar, examine la lista de idiomas de los tipos de actualizaciones que se descargan. Para agregar o eliminar un idioma, haga clic en Modificar seleccin, modifique la lista y, luego, haga clic en Aceptar. En Plataformas para descargar, haga clic en Cambiar plataformas y despus examine la lista de las plataformas. Anule la seleccin de las plataformas a las cuales no desee descargar el contenido. origen y despus examine el servidor actual de LiveUpdate que se usa para actualizar el servidor de administracin. Este servidor es, de forma predeterminada, el servidor de Symantec LiveUpdate. A continuacin, realice una de las siguientes:
10 En Servidores de origen de LiveUpdate, haga clic en Editar servidores de
Para utilizar el servidor de origen existente de LiveUpdate, haga clic en Aceptar. Para usar un servidor interno de LiveUpdate, haga clic en Usar un servidor interno especificado de LiveUpdate y despus haga clic en Agregar.
11 Si seleccion Usar un servidor interno especificado de LiveUpdate, en el

cuadro de dilogo Agregar servidor de LiveUpdate, complete los cuadros con la informacin que identifica al servidor de LiveUpdate y despus haga clic en Aceptar. Es posible agregar ms de un servidor para los propsitos de conmutacin por error. Si un servidor se desconecta, el otro servidor funciona como respaldo. Es posible tambin agregar el servidor pblico de Symantec LiveUpdate como el servidor ms actual de la lista. Si agrega el servidor pblico, use http://liveupdate.symantecliveupdate.com como la URL. Nota: Si usa un servidor de UNC, LiveUpdate necesita que se use el dominio o el grupo de trabajo como parte del nombre de usuario. Si el equipo est en un dominio, use el formato dominio_nombre\usuario_nombre. Si el equipo est en un grupo de trabajo, use el formato equipo_nombre\usuario_nombre.
12 En el cuadro de dilogo Servidores de LiveUpdate, haga clic en Aceptar.
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Configurar la programacin de descarga de LiveUpdate para Symantec Endpoint Protection Manager
553
13 En Administracin del espacio de disco para descargas, escriba el nmero

de revisiones de contenido de LiveUpdate que se conservarn. Se requiere ms espacio libre en el disco para el almacenamiento de una gran cantidad de revisiones de contenido. Los paquetes cliente que se almacenan en formato expandido tambin necesitan ms espacio libre en el disco.
14 Active o desactive Almacenar los paquetes cliente descomprimidos para

proporcionar un mejor rendimiento de red para las actualizaciones. Nota: Deshabilitar esta opcin adems deshabilita la posibilidad de que Symantec Endpoint Protection genere deltas entre las revisiones de contenido y puede afectar negativamente el rendimiento de red para las actualizaciones.

Configurar la programacin de descarga de LiveUpdate para Symantec Endpoint Protection Manager

Es posible ajustar la programacin que Symantec Endpoint Protection Manager usa para descargar actualizaciones de contenido de LiveUpdate al servidor de administracin. Por ejemplo, se puede cambiar la frecuencia predeterminada de la programacin del servidor de por hora a diaria para ahorrar ancho de banda. Para configurar la programacin para las descargas de LiveUpdate a Symantec Endpoint Protection Manager
1 2 3 4 5 6
En la consola, haga clic en Administrador. En la pgina Administrador, haga clic en Servidores. Seleccione el sitio; despus, en Tareas, haga clic en Editar propiedades del sitio. En el cuadro de dilogo Propiedades del servidor, en la ficha LiveUpdate, haga clic en Editar programacin. Cambie la frecuencia y cualquier otra configuracin que se desee cambiar. Haga clic en Aceptar.
554
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Descarga de contenido de LiveUpdate manual a Symantec Endpoint Protection Manager
Descarga de contenido de LiveUpdate manual a Symantec Endpoint Protection Manager

No es necesario esperar las descargas programadas de LiveUpdate. Es posible descargar manualmente actualizaciones de contenido a Symantec Endpoint Protection Manager. Es posible usar cualquiera de los siguientes procedimientos. Para descargar manualmente actualizaciones de contenido a Symantec Endpoint Protection Manager
1 2
En la Pgina principal, seleccione Tareas comunes y a continuacin seleccione Ejecutar LiveUpdate. Haga clic en Descarga.
Para descargar manualmente actualizaciones de contenido a Symantec Endpoint Protection Manager
1 2 3 4
En la consola, haga clic en Administrador. En la pgina Administrador, haga clic en Servidores y despus seleccione el sitio. Haga clic en Descargar contenido de LiveUpdate. En el cuadro de dilogo Descargar contenido de LiveUpdate, revise las propiedades y despus haga clic en Descarga. Si es necesario cambiar alguna de las propiedades, haga clic en Cancelar y cambie las propiedades primero. Ver "Configurar un sitio para descargar actualizaciones de contenido" en la pgina 549.
Cmo comprobar la actividad del servidor de LiveUpdate

Es posible enumerar los eventos relacionados con Symantec Endpoint Protection Manager y LiveUpdate. Desde estos eventos, se puede determinar cundo se actualiz el contenido. Para comprobar la actividad del servidor de LiveUpdate
1 2
En la consola, haga clic en Administrador. En la pgina Administrador, en Tareas, haga clic en Servidores y seleccione el sitio.
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Configurar Symantec Endpoint Protection Manager para conectarse a un servidor proxy para acceder a Internet
555
3 4
Haga clic en Mostrar estado de LiveUpdate. Haga clic en Cerrar.
Configurar Symantec Endpoint Protection Manager para conectarse a un servidor proxy para acceder a Internet
Si desea que Symantec Endpoint Protection Manager pase a travs de un servidor proxy para conectarse a Internet, es necesario configurar Symantec Endpoint Protection Manager para conectarse al servidor proxy. Un servidor proxy puede agregar una capa de seguridad porque solamente el servidor proxy est conectado directamente a Internet. Para configurar Symantec Endpoint Protection Manager para conectarse a un servidor proxy para acceder a Internet y para descargar el contenido de Symantec LiveUpdate
1 2 3 4
En la consola, haga clic en Administrador y, luego, en Servidores. En Servidores, seleccione el servidor de administracin al cual desee conectar un servidor proxy. En Tareas, haga clic en Editar propiedades de servidor. En la ficha Servidor proxy, en Configuracin de proxy HTTP o Configuracin de proxy FTP, para Utilizacin del proxy, seleccione Utilizar configuracin de proxy personalizada. Escriba la configuracin de proxy. Para obtener ms informacin sobre esta configuracin, haga clic en Ayuda.
Especificacin de un servidor proxy que los clientes usan para comunicarse con Symantec LiveUpdate o un servidor interno de LiveUpdate
Es posible especificar un servidor proxy que sus clientes usen para comunicarse con un servidor interno de LiveUpdate. La configuracin de proxy no afecta ninguna configuracin de los proveedores de actualizaciones de grupo.
556
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Especificacin de un servidor proxy que los clientes usan para comunicarse con Symantec LiveUpdate o un servidor interno de LiveUpdate
Ver "Cmo administrar actualizaciones de contenido" en la pgina 534. Nota: Se establece la configuracin de proxy para otras comunicaciones del cliente por separado. Para especificar un servidor proxy que los clientes en los equipos Windows usen para comunicarse con Symantec LiveUpdate o un servidor interno de LiveUpdate
1 2 3 4 5 6
En la consola, haga clic en Polticas. En Polticas, haga clic en LiveUpdate y, luego, haga clic en la ficha Configuracin de LiveUpdate. Haga clic con el botn derecho en la poltica que desee y, luego, seleccione Editar. En Configuracin de Windows, haga clic en Configuracin del servidor. En Configuracin de proxy de LiveUpdate, haga clic en Configurar opciones de proxy. En la ficha HTTP o HTTPS o la ficha FTP, seleccione las opciones deseadas. Consulte la ayuda en pantalla para obtener ms informacin sobre las opciones.
7 8
Haga clic en Aceptar en el cuadro de dilogo. Haga clic en Aceptar.
Para especificar un servidor proxy que los clientes en los equipos Mac usen para comunicarse con Symantec LiveUpdate o un servidor interno de LiveUpdate
1 2 3
En la consola, haga clic en Clientes > Polticas. En el panel Configuracin y polticas independientes de la ubicacin, en Configuracin, haga clic en Configuracin de comunicacin externa. En la ficha Servidor proxy (Mac), seleccione las opciones deseadas. Consulte la ayuda en pantalla para obtener ms informacin sobre las opciones.
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Cmo habilitar y deshabilitar la programacin de LiveUpdate para equipos cliente
557
Cmo habilitar y deshabilitar la programacin de LiveUpdate para equipos cliente

Si habilita LiveUpdate para los equipos cliente, los equipos obtienen las actualizaciones de contenido de LiveUpdate, segn la programacin predeterminada o una programacin que se especifique. Si deshabilita LiveUpdate para los equipos cliente, los equipos no consiguen actualizaciones de contenido directamente del servidor de Symantec LiveUpdate. Para habilitar la programacin de LiveUpdate para equipos cliente
1 2 3 4 5 6 7
En la consola, haga clic en Polticas. En Polticas, haga clic en LiveUpdate. En la ficha Configuracin de LiveUpdate, haga clic con el botn derecho en la poltica que desee y despus haga clic en Editar. En Configuracin de Windows, haga clic en Programacin. Seleccione Habilitar programacin de LiveUpdate. Especifique la frecuencia y el intervalo de reintento. Haga clic en Aceptar.
Para deshabilitar la programacin de LiveUpdate para equipos cliente
1 2 3 4 5 6
En la consola, haga clic en Polticas. En Polticas, haga clic en LiveUpdate. En la ficha Configuracin de LiveUpdate, haga clic con el botn derecho en la poltica que desee y despus haga clic en Editar. En Configuracin de Windows, haga clic en Programacin. Anule la seleccin de Habilitar programacin de LiveUpdate. Haga clic en Aceptar.
Cmo configurar los tipos de contenido usados para actualizar los equipos cliente
La poltica de contenidos de LiveUpdate especifica los tipos de contenido que los clientes pueden verificar e instalar. Regresar al contenido de una vieja revisin puede ser til para la solucin de problemas
558
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Configurar la programacin de descarga de LiveUpdate para equipos cliente
Nota: Use esta funcin muy cuidadosamente. Anular la seleccin de un tipo de contenido significa que la funcin no se mantiene actualizada en el cliente. Esto puede potencialmente poner a sus clientes en mayor riesgo. Para configurar el contenido de la actualizacin para los equipos cliente
1 2 3 4 5
En la consola, haga clic en Polticas. En Polticas, haga clic en LiveUpdate y despus haga clic en la ficha Contenido de LiveUpdate. Haga clic con el botn derecho en la poltica de contenido que desee y haga clic en Editar. En Configuracin de Windows, haga clic en Definiciones de seguridad. Seleccione los tipos de actualizaciones de contenido que es necesario que los clientes descarguen y que instalen, y anule la seleccin de los tipos que no desee. Nota: Si tiene clientes Mac, pueden instalar solamente actualizaciones a las definiciones de virus y de spyware. Esta opcin, en Configuracin de Mac, Definiciones de seguridad, est habilitada de forma predeterminada.
Opcionalmente, para cada actualizacin, se puede usar el ltimo contenido disponible o seleccionar una revisin especfica de una lista de versiones disponibles. Haga clic en Aceptar. Si no ha asignado an esta poltica a los grupos y las ubicaciones, deber asignar la poltica para hacer que surta efecto.
Ver "Configurar un sitio para descargar actualizaciones de contenido" en la pgina 549. Ver "Cmo administrar actualizaciones de contenido" en la pgina 534. Ver "Cmo controlar las revisiones de contenido que usan los clientes" en la pgina 561.
Configurar la programacin de descarga de LiveUpdate para equipos cliente

La configuracin de la programacin del cliente de LiveUpdate se define en la poltica de configuracin de LiveUpdate.
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Configurar la programacin de descarga de LiveUpdate para equipos cliente
559
Para ahorrar ancho de banda, los clientes de Symantec Endpoint Protection pueden configurarse para ejecutar solamente descargas programadas de LiveUpdate desde el servidor de Symantec LiveUpdate si se cumple una de las siguientes condiciones:
Las definiciones de virus y spyware en el equipo cliente tienen ms de dos das de antigedad. Un equipo cliente est desconectado de Symantec Endpoint Protection Manager por ms de ocho horas.
Si selecciona ambas opciones, la descarga programada de LiveUpdate desde Symantec de un equipo cliente se ejecuta solamente si cumple ambos criterios. Para configurar la programacin para las descargas de LiveUpdate a equipos cliente Windows
1 2 3 4 5
Haga clic en Polticas y, a continuacin, haga clic en LiveUpdate. En la ficha Configuracin de LiveUpdate, haga clic con el botn derecho en la poltica que desee y despus haga clic en Editar. En Configuracin de Windows, haga clic en Programacin. Seleccione Habilitar programacin de LiveUpdate. Especifique la frecuencia. Si selecciona Diariamente, configure tambin la hora del da en que debe ejecutarse. Si selecciona Semanalmente, configure tambin la hora del da y el da de la semana en que debe ejecutarse.
Si selecciona cualquier frecuencia que no sea Continuamente, especifique el Intervalo de reintento. El Intervalo de reintento es la cantidad de horas o das que el equipo cliente intenta ejecutar LiveUpdate si el LiveUpdate programado falla por alguna razn.
7 8
Configure las opciones adicionales, si lo desea: Haga clic en Aceptar.
Ver "Cmo ordenar aleatoriamente descargas de contenido de un servidor de LiveUpdate" en la pgina 565. Para configurar la programacin para las descargas de LiveUpdate a equipos cliente Mac
1 2 3
Haga clic en Polticas y, a continuacin, haga clic en LiveUpdate. En la ficha Poltica de configuracin de LiveUpdate, haga clic con el botn derecho en la poltica que desea y, a continuacin, haga clic en Editar. En Configuracin de Mac, haga clic en Programacin.
560
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Cmo configurar la cantidad de control que los usuarios tienen sobre LiveUpdate
Especifique la frecuencia. Si selecciona Diariamente, configure tambin la hora del da en que debe ejecutarse. Si selecciona Semanalmente, configure tambin la hora del da y el da de la semana en que debe ejecutarse.
Haga clic en Aceptar cuando termine.
Cmo configurar la cantidad de control que los usuarios tienen sobre LiveUpdate
Es conveniente permitir a los usuarios que viajan usar una conexin a Internet para conseguir actualizaciones directamente del servidor de Symantec LiveUpdate. Es posible tambin permitir que los usuarios modifiquen la programacin de LiveUpdate que usted configur para las descargas de contenido. Para configurar la cantidad de control que los usuarios tienen sobre LiveUpdate
1 2 3 4 5 6 7
En la consola, haga clic en Polticas. En Polticas, haga clic en LiveUpdate. En la ficha Configuracin de LiveUpdate, haga clic con el botn derecho en la poltica que desee y despus haga clic en Editar. En Configuracin de Windows, haga clic en Configuracin avanzada. En el panel Configuracin del usuario, seleccione Permitir al usuario iniciar LiveUpdate manualmente. Opcionalmente, seleccione Permitir al usuario modificar la programacin de LiveUpdate. Opcionalmente, en Configuracin de actualizacin de productos, seleccione Descargar actualizaciones de Symantec Endpoint Protection mediante un servidor de LiveUpdate. Habilite esta opcin solamente si no es necesario mantener un control estricto de las revisiones de software de clientes que sus clientes usan.
Ver "Cmo controlar las revisiones de contenido que usan los clientes" en la pgina 561. Ver "Configurar la programacin de descarga de LiveUpdate para equipos cliente" en la pgina 558.
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Cmo controlar las revisiones de contenido que usan los clientes
561
Cmo controlar las revisiones de contenido que usan los clientes

Si almacena varias versiones de contenido en Symantec Endpoint Protection Manager, se recomienda especificar una revisin determinada en su poltica de contenidos de LiveUpdate. Por ejemplo, es posible probar la ltima revisin antes de distribuirla a los clientes. Nota: Si desea guardar el control estricto de las revisiones de software del cliente que usaron los clientes, no los permita descargar las actualizaciones de producto. Ver "Cmo configurar la cantidad de control que los usuarios tienen sobre LiveUpdate" en la pgina 560. En algunos casos, la revisin que se especifica en la poltica no coincide con las revisiones que se almacenan en Symantec Endpoint Protection Manager. Por ejemplo, es posible importar una poltica que hace referencia a una revisin que no existe en el servidor. O bien es posible replicar las polticas, pero no contenido de LiveUpdate de otro sitio. En ambos casos, la poltica muestra que la revisin no est disponible. Aunque la revisin no est disponible en el servidor, los clientes que usan la poltica siguen protegidos. Los clientes usan la ltima revisin del contenido. Para revertir el contenido a una revisin anterior
1 2 3 4 5 6 7 8
En la consola, haga clic en Polticas. En Polticas, haga clic en LiveUpdate. Haga clic en la ficha Contenido de LiveUpdate. Haga clic con el botn derecho en la poltica de contenidos de LiveUpdate que desee y en Editar. En Configuracin de Windows, haga clic en Definiciones de seguridad. En el tipo de contenido que desea revertir, haga clic en Seleccionar una revisin. Haga clic en Editar y seleccione la revisin que desea para revertirla desde la lista desplegable de Revisin. Haga clic en Aceptar.
562
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Cmo configurar el espacio libre en disco que se usa para descargas de LiveUpdate
Cmo configurar el espacio libre en disco que se usa para descargas de LiveUpdate
Si selecciona 500 o menos clientes durante la instalacin de Symantec Endpoint Protection Manager, de forma predeterminada, Symantec Endpoint Protection Manager almacena tres revisiones de contenido de LiveUpdate para cada tipo de contenido. Si selecciona de 500 a 1000 clientes, Symantec Endpoint Protection Manager almacena 10 revisiones de forma predeterminada. Si selecciona ms de 1000 clientes, Symantec Endpoint Protection Manager almacena 30 revisiones de forma predeterminada. Por ejemplo, si selecciona 500 clientes o menos, Symantec Endpoint Protection Manager almacena tres revisiones. Para reducir el espacio libre en disco y el tamao de la base de datos, puede reducir el nmero de revisiones de contenido que se mantiene en el servidor. Sin embargo, debe tener en cuenta que la reduccin del nmero de revisiones de contenido adems afecta la capacidad de un servidor de hacer deltas entre las actualizaciones de contenido. Un delta es una actualizacin que contiene solamente los cambios incrementales desde la revisin de contenido completa ms actual. Los archivos delta son tpicamente mucho ms pequeos que los archivos completos de actualizacin. Cuantas ms revisiones de contenido se guarden, mayor es la capacidad del servidor de crear deltas entre las revisiones de contenido. El nmero de revisiones de contenido que se guardan es particularmente importante si tiene algunos equipos cliente que estn desconectados durante das al mismo tiempo. Symantec libera tpicamente de 3 a 4 revisiones de contenido de virus y spyware por da. Mantener por lo menos 10 revisiones asegura que los equipos que estn desconectados los viernes puedan usar un delta para actualizarse el lunes por la maana. Las actualizaciones de delta ocupan menos tiempo y ancho de banda que la descarga de una revisin de contenido completa. Para configurar el espacio libre en disco usado para las descargas de LiveUpdate
1 2 3 4
En la consola, haga clic en Administrador. Haga clic en Servidores y seleccione el sitio que desea configurar. En Tareas, haga clic en Editar propiedades del sitio y despus haga clic en LiveUpdate. En Administracin del espacio de disco para descargas, escriba el nmero de descargas de contenido que deseen almacenar.
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Acerca del clculo aleatorio de descargas de contenido simultneas
563
Si desea reducir la cantidad de espacio libre en disco usada, anule la seleccin de la opcin Almacenar los paquetes de cliente descomprimidos para proporcionar un mejor rendimiento de red para las actualizaciones. Nota: Deshabilitar esta opcin adems deshabilita la posibilidad de que Symantec Endpoint Protection Manager genere deltas entre las revisiones de contenido y puede afectar negativamente el rendimiento de red para las actualizaciones.
Ver "Configurar un sitio para descargar actualizaciones de contenido" en la pgina 549. Ver "Cmo administrar actualizaciones de contenido" en la pgina 534.
Acerca del clculo aleatorio de descargas de contenido simultneas

Symantec Endpoint Protection Manager admite el clculo aleatorio de descargas simultneas de contenido en sus clientes del servidor de administracin predeterminado o de un proveedor de actualizaciones grupales. Adems, admite el clculo aleatorio de las descargas de contenido de un servidor de LiveUpdate a sus clientes. El clculo aleatorio reduce el trfico de red mximo y est activado de forma predeterminada. Es posible activar o desactivar la funcin de clculo aleatorio. La configuracin predeterminada est habilitada. Es posible tambin configurar una ventana de clculo aleatorio. El servidor de administracin usa la ventana de clculo aleatorio para escalonar la sincronizacin de las descargas de contenido. Por lo general, no es necesario modificar la configuracin predeterminada del clculo aleatorio. En algunos casos, sin embargo, es posible que desee aumentar el valor de la ventana de clculo aleatorio. Por ejemplo, es posible ejecutar el cliente de Symantec Endpoint Protection en varios equipos virtuales, en el mismo equipo fsico que ejecuta el servidor de administracin. Un valor ms alto del clculo aleatorio mejora el rendimiento del servidor, pero retrasa las actualizaciones de contenido en los equipos virtuales. Adems, se recomienda aumentar la ventana de clculo aleatorio cuando tiene muchos equipos cliente fsicos que se conecten a un nico servidor que ejecuta el servidor de administracin. Generalmente, cuanto mayor es la proporcin entre cliente y servidor, mayor ser el valor que deber establecer para la ventana de clculo aleatorio. Un valor ms alto del clculo aleatorio disminuye la carga
564
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Ordenar aleatoriamente descargas de contenido del servidor de administracin predeterminado o un Proveedor de actualizaciones de grupo
mxima en el servidor, pero retrasa las actualizaciones de contenido en los equipos cliente. En una situacin en donde se tienen muy pocos clientes y se desea una rpida entrega del contenido, se recomienda configurar la ventana de clculo aleatorio en un valor ms bajo. Un valor ms bajo del clculo aleatorio aumenta la carga mxima en el servidor, pero proporciona una entrega ms rpida del contenido a los clientes. Para las descargas del servidor de administracin predeterminado o un proveedor de actualizaciones grupales, se debe definir la configuracin del clculo aleatorio en el cuadro de dilogo Configuracin de comunicaciones del grupo seleccionado. La configuracin no forma parte de la poltica de configuracin de LiveUpdate. Para las descargas de un servidor de LiveUpdate a sus clientes, se debe definir la configuracin del clculo aleatorio como parte de la poltica de configuracin de LiveUpdate. Ver "Ordenar aleatoriamente descargas de contenido del servidor de administracin predeterminado o un Proveedor de actualizaciones de grupo" en la pgina 564. Ver "Cmo ordenar aleatoriamente descargas de contenido de un servidor de LiveUpdate" en la pgina 565. Ver "Cmo configurar un servidor interno de LiveUpdate" en la pgina 580.
Ordenar aleatoriamente descargas de contenido del servidor de administracin predeterminado o un Proveedor de actualizaciones de grupo
Su servidor de administracin o Proveedor de actualizaciones de grupo predeterminado puede experimentar rendimiento reducido cuando varios equipos cliente intentan descargar el contenido de ellos simultneamente. Es posible configurar un intervalo del clculo aleatorio en la configuracin de comunicacin para el grupo al cual los equipos cliente pertenecen. Cada equipo cliente intenta descargar el contenido a una hora al azar que ocurre dentro de ese intervalo. Nota: La configuracin de comunicacin no controla la configuracin del clculo aleatorio para los equipos cliente que descargan el contenido de un servidor de LiveUpdate. Es posible cambiar la configuracin del clculo aleatorio para los equipos en la poltica de configuracin de LiveUpdate. Ver "Cmo ordenar aleatoriamente descargas de contenido de un servidor de LiveUpdate" en la pgina 565.
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Cmo ordenar aleatoriamente descargas de contenido de un servidor de LiveUpdate
565
Para ordenar aleatoriamente descargas de contenido del servidor de administracin predeterminado o un Proveedor de actualizaciones de grupo
1 2 3 4 5 6
En la consola, haga clic en Clientes. En Clientes, haga clic en el grupo que desee. En la ficha Polticas, en Configuracin y polticas independientes de la ubicacin, en Configuracin, haga clic en Configuracin de la comunicacin. En el cuadro de dilogo Configuracin de la comunicacin, en Descargar clculo aleatorio, seleccione Habilitar clculo aleatorio. Opcionalmente, cambie la duracin del intervalo del clculo aleatorio. Haga clic en Aceptar.
Ver "Acerca del clculo aleatorio de descargas de contenido simultneas" en la pgina 563. Ver "Cmo configurar un servidor interno de LiveUpdate" en la pgina 580.
Cmo ordenar aleatoriamente descargas de contenido de un servidor de LiveUpdate

Su red puede experimentar la congestin de trfico cuando varios equipos cliente intentan descargar el contenido de un servidor de LiveUpdate. Es posible configurar la programacin de la actualizacin para incluir un intervalo del clculo aleatorio. Cada equipo cliente intenta descargar el contenido a una hora al azar que ocurre dentro de ese intervalo. Nota: La configuracin de la programacin en la poltica de configuracin de LiveUpdate no controla el clculo aleatorio para los equipos cliente que descargan el contenido del servidor de administracin predeterminado o de un proveedor de actualizaciones de grupo. Es posible cambiar la configuracin del clculo aleatorio para esos equipos en el cuadro de dilogo Configuracin de la comunicacin para el grupo al cual pertenecen. Ver "Ordenar aleatoriamente descargas de contenido del servidor de administracin predeterminado o un Proveedor de actualizaciones de grupo" en la pgina 564. Para ordenar aleatoriamente descargas de contenido del cliente de un servidor de LiveUpdate
1 2
Haga clic en Polticas. En Polticas, haga clic en LiveUpdate.
566
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Configurar actualizaciones del cliente para ejecutarse cuando los equipos cliente estn inactivos
3 4 5
En la ficha Configuracin de LiveUpdate, haga clic con el botn derecho en la poltica que desee editar y despus haga clic en Editar. En Configuracin de Windows, haga clic en Programacin. En Opciones de descarga aleatoria, seleccione Calcular aleatoriamente la hora de inicio para ser + o - (en horas). Nota: Esta configuracin est en das, si se seleccionan las actualizaciones Semanalmente.
6 7
Opcionalmente, cambie la duracin para la hora de inicio ordenada aleatoriamente. Haga clic en Aceptar.
Ver "Acerca del clculo aleatorio de descargas de contenido simultneas" en la pgina 563. Ver "Cmo configurar un servidor interno de LiveUpdate" en la pgina 580.
Configurar actualizaciones del cliente para ejecutarse cuando los equipos cliente estn inactivos
Para aliviar problemas de rendimiento del equipo cliente, se pueden configurar descargas de contenido para ejecutarse cuando los equipos cliente estn inactivos. Esta opcin est activada de forma predeterminada. Varios criterios, tales como usuario, CPU y acciones del disco, se usan para determinar cundo el equipo est inactivo. Si se habilita Deteccin inactiva, cuando deba realizarse una actualizacin, las condiciones siguientes pueden retrasar la sesin:

El usuario no est inactivo. El equipo est funcionando con energa de la batera. La CPU est ocupada. La E/S de disco est ocupada. No hay ninguna conexin de red presente.
Despus de una hora, el conjunto de bloqueo se reduce a CPU ocupada, E/S de disco ocupada o no existe ninguna conexin de red. Una vez que la actualizacin programada est atrasada por dos horas, mientras exista una conexin de red, LiveUpdate programado se ejecuta sin importar el estado inactivo.
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Configuracin de actualizaciones del cliente para ejecutarse cuando las definiciones son anteriores o el equipo se ha desconectado
567
Para configurar actualizaciones del cliente para ejecutarse cuando los equipos cliente estn inactivos
1 2 3 4 5
Haga clic en Polticas. En Polticas, haga clic en LiveUpdate. En la ficha Configuracin de LiveUpdate, haga clic con el botn derecho en la poltica que desee editar y despus haga clic en Editar. En Configuracin de Windows, haga clic en Programacin. Seleccione Retrasar LiveUpdate programado hasta que el equipo est inactivo. Las sesiones que hayan caducado se ejecutarn incondicionalmente. Haga clic en Aceptar.
Ver "Configurar la programacin de descarga de LiveUpdate para equipos cliente" en la pgina 558. Ver "Configuracin de actualizaciones del cliente para ejecutarse cuando las definiciones son anteriores o el equipo se ha desconectado" en la pgina 567.
Configuracin de actualizaciones del cliente para ejecutarse cuando las definiciones son anteriores o el equipo se ha desconectado
Es posible asegurarse de que los clientes se actualicen cuando las definiciones son anteriores o el equipo se ha desconectado de la red por una determinada cantidad de tiempo. Nota: Si selecciona ambas opciones disponibles, el equipo cliente debe cumplir ambas condiciones. Para configurar actualizaciones del cliente cuando las definiciones son anteriores o los equipos estn desconectados del administrador
1 2 3 4
Haga clic en Polticas. En Polticas, haga clic en LiveUpdate. En la ficha Configuracin de LiveUpdate, haga clic con el botn derecho en la poltica que desee editar y despus haga clic en Editar. En Configuracin de Windows, haga clic en Programacin.
568
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Cmo configurar proveedores de actualizaciones de grupo para distribuir contenido
5 6
Seleccione LiveUpdate solo se ejecuta si las definiciones de virus y spyware son anteriores a: y, a continuacin, configure el nmero de horas o de das. Seleccione LiveUpdate solo se ejecuta si el cliente se desconecta de Symantec Endpoint Protection por ms de: y, a continuacin, configure el nmero de minutos o de horas. Haga clic en Aceptar.
Ver "Configurar la programacin de descarga de LiveUpdate para equipos cliente" en la pgina 558. Ver "Configurar actualizaciones del cliente para ejecutarse cuando los equipos cliente estn inactivos" en la pgina 566.
Cmo configurar proveedores de actualizaciones de grupo para distribuir contenido

Un proveedor de actualizaciones grupales es un equipo cliente que se designa localmente para distribuir actualizaciones de contenido a los clientes. Un proveedor de actualizaciones grupales descarga actualizaciones de contenido del servidor de administracin y distribuye las actualizaciones a los clientes. Un proveedor de actualizaciones grupales le ayuda a conservar ancho de banda descargando capacidad de procesamiento del servidor al proveedor de actualizaciones grupales. Un proveedor de actualizaciones grupales es ideal para entregar actualizaciones de contenido a los clientes que tienen acceso limitado de red al servidor. Es posible usar un proveedor de actualizaciones grupales para conservar ancho de banda para los clientes en una ubicacin remota sobre un vnculo lento. Configurar un proveedor de actualizaciones de grupo es ms fcil configurar un servidor interno de LiveUpdate. Los proveedores de actualizaciones de grupo requieren menos recursos y, por lo tanto, reducen la carga en los servidores de administracin.
569
Tabla 22-6 Paso

Paso 1
Cmo administrar los proveedores de actualizaciones de grupo Descripcin

Un proveedor de actualizaciones grupales nico es un equipo cliente dedicado que proporciona contenido para uno o ms grupos de clientes. Varios proveedores de actualizaciones de grupo usan un conjunto de reglas o criterios para elegirse para asistir a los grupos de clientes a travs de subredes. Elegir un nico proveedor de actualizaciones de grupo o varios proveedores de actualizaciones de grupo depende de la red y de los clientes en esa red. Ver "Acerca de los tipos de proveedores de actualizaciones de grupo" en la pgina 570. Ver "Acerca de configurar las reglas para varios proveedores de actualizaciones de grupo" en la pgina 574.
Accin
Comprenda las diferencias entre un nico proveedor de actualizaciones de grupo y varios proveedores de actualizaciones de grupo
Paso 2
Verificar comunicacin del cliente
Antes de que configure los proveedores de actualizaciones de grupo, verifique que los clientes puedan recibir actualizaciones de contenido del servidor. Resuelva cualquier problema de comunicacin entre servidor y cliente. Es posible ver la actividad de servidor y cliente en los registros del sistema. Ver "Cmo solucionar problemas de comunicacin entre el servidor de administracin y el cliente" en la pgina 1062.
Paso 3
Configurar los proveedores de actualizaciones de grupo
Se configuran los proveedores de actualizaciones de grupo especificando la configuracin de la Poltica de configuracin de LiveUpdate. Es posible configurar un nico proveedor de actualizaciones grupales o varios proveedores de actualizaciones de grupo. Ver "Configuracin de un Proveedor de actualizaciones grupales" en la pgina 575.
570
Paso
Paso 4
Accin
Descripcin
Asignar la poltica de Se asigna la poltica de configuracin de configuracin de LiveUpdate LiveUpdate a los grupos que usan los proveedores a los grupos de actualizaciones de grupo. Adems asigna la poltica al grupo en el cual el proveedor de actualizaciones grupales reside. Para un nico proveedor de actualizaciones grupales, se asigna una Poltica de configuracin de LiveUpdate por grupo por sitio. Para varios proveedores de actualizaciones de grupo, se asigna una Poltica de configuracin de LiveUpdate a varios grupos a travs de subredes. Ver "Asignacin de una poltica a un grupo" en la pgina 265.
Paso 5
Verificar que los clientes se Es posible ver los equipos cliente que se designen como proveedores designaron como proveedores de actualizaciones de actualizaciones de grupo de grupo. Es posible buscar los equipos cliente para ver una lista de proveedores de actualizaciones de grupo. Es posible tambin hacer clic en un equipo cliente en la pgina Clientes y consultar sus propiedades para ver si es un Proveedor de actualizaciones de grupo o no lo es. Ver "Cmo buscar los clientes que actan como proveedores de actualizaciones de grupo" en la pgina 578.
Acerca de los tipos de proveedores de actualizaciones de grupo

Es posible configurar dos tipos de proveedores de actualizaciones de grupo: un proveedor de actualizaciones grupales nico o varios proveedores de actualizaciones de grupo:
Proveedor de actualizaciones grupales nico Un proveedor de actualizaciones grupales nico es un equipo cliente dedicado que proporciona contenido para uno o ms grupos de clientes. Un proveedor de actualizaciones grupales nico puede ser un equipo cliente en cualquier grupo. Para configurar un proveedor de actualizaciones grupales nico, se especifica la direccin IP o el nombre de host del equipo cliente que desee designar como el proveedor de actualizaciones grupales. Varios proveedores de actualizaciones de grupo
571
Varios proveedores de actualizaciones de grupo usan un conjunto de reglas o criterios para elegirse para asistir a los grupos de clientes a travs de subredes. Para configurar varios proveedores de actualizaciones de grupo, se especifican los criterios que los equipos cliente deben cumplir para calificar como proveedor de actualizaciones grupales. Si un equipo cliente cumple los criterios, Symantec Endpoint Protection Manager agrega el cliente a su lista de proveedores de actualizaciones de grupo. Symantec Endpoint Protection Manager entonces pone la lista a disposicin de todos los clientes de su red. Los clientes comprueban la lista y eligen el proveedor de actualizaciones grupales que se encuentra en su subred. Nota: Es posible tambin configurar un proveedor de actualizaciones grupales nico y dedicado para distribuir el contenido a los clientes cuando el proveedor de actualizaciones grupales local no est disponible o para clientes de una versin anterior que no pueden identificar al proveedor local de actualizaciones de grupo. Se usa la poltica de configuracin de LiveUpdate para configurar el tipo de proveedor de actualizaciones grupales. El tipo que se configura depende de cmo se configura su red y si su red incluye o no clientes de una versin anterior. Un cliente de una versin anterior es un equipo que ejecuta una versin de Symantec Endpoint Protection anterior a 11.0.5. Nota: No es posible usar varios proveedores de actualizaciones de grupo con los clientes de una versin anterior que ejecutan versiones de Symantec Endpoint Protection anteriores a 11.0.5 (RU5).
572
Tabla 22-7
Cundo usar un tipo determinado de proveedor de actualizaciones grupales Cundo usar
Tipo de proveedor de actualizaciones grupales

nico
Use un proveedor de actualizaciones grupales nico cuando su red incluya cualquiera de las siguientes situaciones: Su red incluye clientes de una versin anterior. Los clientes de una versin anterior pueden conseguir contenido de un proveedor de actualizaciones grupales nico; los clientes de una versin anterior pueden tambin designarse como un proveedor de actualizaciones grupales. Los clientes de una versin anterior no admiten varios proveedores de actualizaciones de grupo. Se desea usar el mismo proveedor de actualizaciones grupales para todos sus equipos cliente. Es posible usar una poltica de configuracin de contenidos de LiveUpdate nica para especificar una direccin IP esttica o un nombre de host para un proveedor de actualizaciones grupales nico. Sin embargo, debe cambiar la direccin IP de la poltica si los clientes cambian las ubicaciones. Si desea usar diferentes proveedores de actualizaciones de grupo en diversos grupos, deber crear una poltica de configuracin de LiveUpdate aparte para cada grupo.
573
Tipo de proveedor de actualizaciones grupales

Varios
Cundo usar
Use varios proveedores de actualizaciones de grupo cuando su red incluya cualquiera de las siguientes situaciones: Los equipos cliente de la red no son clientes de una versin anterior. Se admiten varios proveedores de actualizaciones de grupo en los equipos que ejecutan el software Symantec Endpoint Protection 11.0.5 (RU5) o una versin posterior. No es posible usar varios proveedores de actualizaciones de grupo con los clientes de una versin anterior que ejecutan versiones de Symantec Endpoint Protection anteriores a 11.0.5 (RU5). Los clientes de una versin anterior no pueden conseguir contenido de varios proveedores de actualizaciones de grupo. Un cliente de una versin anterior no puede ser designado como proveedor de actualizaciones grupales incluso si cumple los criterios para varios proveedores de actualizaciones de grupo. Es posible crear una poltica de configuracin de LiveUpdate aparte y configurar un proveedor de actualizaciones grupales nico y esttico para un grupo de clientes de una versin anterior. Tiene varios grupos y desea usar diversos proveedores de actualizaciones de grupo para cada grupo. Es posible usar una poltica que especifique las reglas para la eleccin de varios proveedores de actualizaciones de grupo. Si los clientes cambian ubicaciones, no deber actualizar la poltica de configuracin de LiveUpdate. Symantec Endpoint Protection Manager combina varios proveedores de actualizaciones de grupo a travs de sitios y de dominios. Pone la lista a disposicin de los clientes en todos los grupos de su red. Varios proveedores de actualizaciones de grupo pueden funcionar como un mecanismo de conmutacin por error. Varios proveedores de actualizaciones de grupo garantizan una alta probabilidad de que, por lo menos, un proveedor de actualizaciones grupales est disponible en cada subred.
Ver "Cmo configurar proveedores de actualizaciones de grupo para distribuir contenido " en la pgina 568. Ver "Acerca de configurar las reglas para varios proveedores de actualizaciones de grupo" en la pgina 574. Ver "Configuracin de un Proveedor de actualizaciones grupales" en la pgina 575.
574
Acerca de los proveedores de actualizaciones de grupo y las versiones anteriores del software
Si tiene clientes de versiones anteriores y usa clientes de versiones anteriores como proveedores de actualizaciones de grupo en su red, se debe asegurar de tener en cuenta las siguientes advertencias:
Los proveedores de actualizaciones de grupo que ejecutan versiones anteriores de Symantec Endpoint Protection no pueden entregar actualizaciones de contenido que ejecuten la versin actual de Symantec Endpoint Protection. No es posible usar varios proveedores de actualizaciones de grupo con clientes de versiones anteriores que ejecutan versiones Symantec Endpoint Protection anteriores a 11.0.5 (RU5).
Ver "Cmo configurar proveedores de actualizaciones de grupo para distribuir contenido " en la pgina 568.
Acerca de configurar las reglas para varios proveedores de actualizaciones de grupo

Varios proveedores de actualizaciones de grupo usan reglas para determinar qu equipos cliente actan como proveedor de actualizaciones grupales. Las reglas se estructuran de la siguiente manera:
Conjuntos de reglas Un conjunto de reglas incluye las reglas que un cliente debe coincidir para actuar como proveedor de actualizaciones grupales. Reglas Las reglas pueden especificar direcciones IP, nombres de host, claves de registro de Windows de los clientes o sistemas operativos de los clientes. Es posible incluir uno de cada tipo de regla en un conjunto de reglas. Condiciones de reglas Una regla especifica una condicin que un cliente debe coincidir para actuar como proveedor de actualizaciones grupales. Si una regla especifica una condicin con varios valores, el cliente debe coincidir con uno de los valores. Tipos de reglas Descripcin
Tabla 22-8 Tipo de regla
Direccin IP o nombre Esta regla especifica direcciones IP o nombres de host de los de host clientes.
575
Tipo de regla
Claves de registro
Descripcin
Esta regla especifica las claves de registro de Windows de los clientes. Esta regla especifica los sistemas operativos de los clientes.
Sistema operativo
Las reglas coinciden segn los operadores lgicos OR y AND de la siguiente manera:
Varios conjuntos de reglas usan el operador OR. Un cliente debe coincidir con al menos un conjunto de reglas para actuar como proveedor de actualizaciones de grupo. Varias reglas usan el operador AND. Un cliente debe coincidir con cada regla de cada que se especifica en un conjunto de reglas para actuar como Proveedor de actualizaciones de grupo. Varios valores para una condicin de regla usan el operador OR. Un cliente debe coincidir con uno de los valores en una condicin de regla para actuar como Proveedor de actualizaciones de grupo.
Por ejemplo, es posible que tenga que crear el conjunto de reglas 1 que incluya una regla de direccin IP con varias direcciones IP. A continuacin, cree el conjunto de reglas 2 que incluya una regla de nombre de host y una regla de sistema operativo, cada una con varios valores. Un equipo cliente debe coincidir con el conjunto de reglas 1 o el conjunto de reglas 2. Un cliente coincide con el conjunto de reglas 1 si contiene una de las direcciones IP. Un cliente solo coincide con el conjunto de reglas 2 si tiene uno de los nombres de host y ejecuta uno de los sistemas operativos especificados. Ver "Cmo configurar proveedores de actualizaciones de grupo para distribuir contenido " en la pgina 568. Ver "Acerca de los tipos de proveedores de actualizaciones de grupo" en la pgina 570. Ver "Configuracin de un Proveedor de actualizaciones grupales" en la pgina 575.
Configuracin de un Proveedor de actualizaciones grupales

Se configura un proveedor de actualizaciones grupales especificando la configuracin de la poltica de configuracin de LiveUpdate. Es posible configurar la poltica de configuracin de LiveUpdate de modo que los clientes consigan solamente actualizaciones del proveedor de actualizaciones grupales y nunca del servidor. Es posible especificar cundo los clientes deben evitar el proveedor de actualizaciones grupales. Es posible definir la configuracin de descarga y almacenamiento de actualizaciones de contenido en el equipo del
576
proveedor de actualizaciones grupales. Es posible tambin configurar el tipo de proveedor de actualizaciones grupales. Es posible configurar la cantidad de tiempo mximo que los clientes pueden intentar descargar actualizaciones de un Proveedor de actualizaciones de grupo antes de que intenten conseguir actualizaciones de su servidor de administracin predeterminado. Si configura esta vez a 15 minutos, significa que el equipo cliente debe intentar descargar continuamente durante 15 minutos sin resultado correcto. Nota: Si el proveedor de actualizaciones grupales ejecuta un firewall de no propio de Symantec, puede ser recomendable modificar el firewall para permitir que el puerto TCP reciba comunicaciones del servidor. De forma predeterminada, la poltica de Symantec Firewall se configura correctamente. Es posible configurar solamente un nico proveedor de actualizaciones grupales por poltica de configuracin de LiveUpdate por grupo. Para crear un nico proveedor de actualizaciones grupales para varios sitios, es necesario crear un grupo por sitio y una poltica de configuracin de LiveUpdate por sitio. Es posible configurar varios proveedores de actualizaciones de grupo especificando criterios en la poltica de configuracin de LiveUpdate. Los clientes usan los criterios para determinar si califican para actuar como proveedor de actualizaciones grupales. Para configurar un proveedor de actualizaciones grupales
1 2 3 4 5
En la consola, haga clic en Polticas. En Polticas, haga clic en LiveUpdate. En la ficha Configuracin de LiveUpdate, haga clic con el botn derecho en la poltica que desee y despus haga clic en Editar. En la ventana Poltica de LiveUpdate, haga clic en Configuracin del servidor. En Servidor interno o externo de LiveUpdate, seleccione Usar el servidor de administracin predeterminado. No active Usar un servidor de LiveUpdate. El proveedor de actualizaciones grupales que se configura acta como el servidor predeterminado de LiveUpdate.
6 7 8
En Proveedor de actualizaciones de grupos, seleccione Usar un proveedor de actualizaciones de grupo. Haga clic en Proveedor de actualizaciones grupales. Realice una de las siguientes tareas:
577
Siga los pasos en Para configurar un nico proveedor de actualizaciones grupales. Siga los pasos en Para configurar varios proveedores de actualizaciones de grupo.
Nota: Los clientes de una versin anterior pueden usar solamente un nico proveedor de actualizaciones grupales. Los clientes de una versin anterior no admiten varios proveedores de actualizaciones de grupo.
En el cuadro de dilogo Proveedor de actualizaciones grupales, configure las opciones para controlar cmo el contenido se descarga y se almacena en el equipo proveedor de actualizaciones grupales. Haga clic en Ayuda para obtener informacin sobre las descargas de contenido.

Para configurar un nico proveedor de actualizaciones grupales
En el cuadro de dilogo Proveedor de actualizaciones grupales, en Seleccin de proveedores de actualizaciones de grupo para cliente, haga clic en Direccin IP o nombre de host nico de proveedor de actualizaciones grupales. En el cuadro Direccin IP o nombre de host nico de proveedor de actualizaciones grupales, escriba la direccin IP o el nombre de host del equipo cliente que acta como nico proveedor de actualizaciones grupales. Haga clic en Ayuda para obtener informacin sobre la direccin IP o el nombre de host.
Vuelva al procedimiento para configurar un Proveedor de actualizaciones de grupo.
Para configurar varios proveedores de actualizaciones de grupo
En el cuadro de dilogo Proveedor de actualizaciones grupales, en Seleccin de proveedores de actualizaciones de grupo para cliente, haga clic en Varios proveedores de actualizaciones de grupo. Haga clic en Configure la lista de proveedores de actualizaciones de grupo. En el cuadro de dilogo Lista de proveedores de actualizaciones de grupo, seleccione el nodo de rbol Proveedor de actualizaciones grupales. Haga clic en Agregar para aadir un conjunto de reglas.
2 3 4
578
En el cuadro de dilogo Especifique los criterios de las reglas del proveedor de actualizaciones de grupo, en la lista desplegable Marcar, seleccione una de las siguientes opciones:

Direccin IP o nombre de host del equipo Claves de registro Sistema operativo
6 7
Si seleccion Direccin IP del equipo o nombre de host o Claves de registro, haga clic en Agregar. Escriba o seleccione la direccin IP o el nombre de host, la clave de registro de Windows o la informacin del sistema operativo. Haga clic en Ayuda para obtener informacin sobre reglas de configuracin. Ver "Acerca de configurar las reglas para varios proveedores de actualizaciones de grupo" en la pgina 574.
Haga clic en Aceptar hasta que vuelva al cuadro de dilogo Lista de proveedores de actualizaciones de grupo, donde se pueden agregar opcionalmente ms conjuntos de reglas. Escriba una direccin IP o un nombre de host de un proveedor de actualizaciones grupales en el cuadro de texto Especifique el nombre de host o la direccin IP de un proveedor de actualizaciones grupales en una subred diferente que se vaya a utilizar, si no estn disponibles los proveedores de actualizaciones de grupo en la subred local.
10 Haga clic en Aceptar. 11 Vuelva al procedimiento para configurar un Proveedor de actualizaciones de

grupo. Ver "Cmo configurar proveedores de actualizaciones de grupo para distribuir contenido " en la pgina 568. Ver "Acerca de los tipos de proveedores de actualizaciones de grupo" en la pgina 570.
Cmo buscar los clientes que actan como proveedores de actualizaciones de grupo
Es posible verificar que los clientes estn disponibles como proveedores de actualizaciones de grupo. Es posible ver una lista de proveedores de actualizaciones de grupo buscndolos en la ficha Clientes.
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Cmo configurar un servidor externo de LiveUpdate
579
Nota: Es posible adems seleccionar las propiedades de un cliente. Las propiedades incluyen un campo que indica si el cliente es o no proveedor de actualizaciones grupales. Para buscar los clientes que actan como proveedores de actualizaciones de grupo
1 2 3 4 5 6 7 8
En la consola, haga clic en Clientes. En la ficha Clientes, en el cuadro Ver, seleccione Estado del cliente. En el panel Tareas, haga clic en Buscar clientes. En el cuadro Buscar, active Equipos. En el cuadro En el grupo, especifique el nombre de grupo. En Criterios de bsqueda, haga clic en la columna Campo de bsqueda y seleccione Proveedor de actualizaciones grupales. En Criterios de bsqueda, haga clic en la columna Operador de comparacin y seleccione =. En Criterios de bsqueda, haga clic en la columna Valor y seleccione Verdadero. Haga clic en Ayuda para obtener informacin sobre los criterios de bsqueda.
Haga clic en Buscar.
Ver "Cmo configurar proveedores de actualizaciones de grupo para distribuir contenido " en la pgina 568.
Cmo configurar un servidor externo de LiveUpdate

La mayora de las organizaciones probablemente deben usar el servidor de administracin predeterminado para actualizar clientes, pero se puede usar un servidor de Symantec LiveUpdate en su lugar. Nota: Los equipos cliente Mac no pueden conseguir actualizaciones del servidor de administracin predeterminado. Para configurar un servidor externo de LiveUpdate para los clientes Windows
1 2 3
Haga clic en Polticas. En Polticas, haga clic en LiveUpdate. En la ficha Configuracin de LiveUpdate, haga clic con el botn derecho en la poltica que desee y despus haga clic en Editar.
580
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Cmo configurar un servidor interno de LiveUpdate
4 5 6
En Configuracin de Windows, haga clic en Configuracin del servidor. Haga clic en Usar el servidor predeterminado de Symantec LiveUpdate. Haga clic en Aceptar.
Para configurar un servidor externo de LiveUpdate para los clientes Mac
1 2 3 4 5 6 7 8
Haga clic en Polticas. En Polticas, haga clic en LiveUpdate. En la ficha Configuracin de LiveUpdate, haga clic con el botn derecho en la poltica que desee y despus haga clic en Editar. En Configuracin de Mac, haga clic en Configuracin del servidor. Haga clic en Usar el servidor predeterminado de Symantec LiveUpdate. Si su servidor interno del LiveUpdate usa FTP, haga clic en Configuracin avanzada del servidor. Haga clic en el modo FTP que el servidor usa, ya sea Activo o Pasivo. Haga clic en Aceptar.
Cmo configurar un servidor interno de LiveUpdate

De forma predeterminada, el cliente consigue sus actualizaciones del servidor de administracin por medio de Symantec Endpoint Protection Manager. La mayora de las organizaciones deben usar el servidor de administracin predeterminado para las actualizaciones de los clientes. Si selecciona el servidor de administracin predeterminado en un entorno que contenga equipos con Mac y Windows, los clientes de Mac consiguen sus actualizaciones del servidor predeterminado de LiveUpdate. Las organizaciones que tienen muchos clientes pueden querer usar los proveedores de actualizaciones de grupo (GUP). Los GUP reducen la carga en el servidor de administracin y son ms fciles de configurar que un servidor interno de LiveUpdate. Ver "Cmo configurar proveedores de actualizaciones de grupo para distribuir contenido " en la pgina 568. Si no desea usar el servidor de administracin ni los proveedores de actualizaciones de grupo predeterminados para las actualizaciones de los clientes, se puede:

Configurar un servidor interno de LiveUpdate. Usar un servidor de Symantec LiveUpdate que es externo a su red.
581
Para usar un servidor interno de LiveUpdate, es necesario realizar las siguientes tareas:
Instale el servidor interno de LiveUpdate. Si proporciona actualizaciones a los clientes de un servidor de administrador 1.x de LiveUpdate, se debe ir a Configuracin avanzada del servidor en la poltica de configuracin de LiveUpdate y habilitar la compatibilidad. Es necesario seleccionar la casilla para habilitar la compatibilidad con la utilidad de administracin de LiveUpdate 1.x. La compatibilidad con el administrador de LiveUpdate 2.x y posterior siempre est habilitada. Ver "Cmo configurar un servidor interno de LiveUpdate" en la pgina 580. Para obtener ms informacin acerca de cmo usar un servidor interno de LiveUpdate, consulte la Gua de administracin de LiveUpdate. Nota: Si usa la versin de administrador 1.x de LiveUpdate para administrar su servidor interno de LiveUpdate, es necesario realizar un cambio si usted aplic los paquetes de respuesta personalizados. Los clientes de LiveUpdate que usan la versin actual no pueden autenticar los paquetes de respuesta personalizados. Es necesario eliminar cualquier paquete personalizado del servidor central de LiveUpdate. Use la poltica de configuracin de LiveUpdate para configurar sus clientes para usar ese servidor interno de LiveUpdate.
Para configurar clientes de Windows para que usen un servidor interno de LiveUpdate
1 2 3 4 5 6
En Polticas, haga clic en LiveUpdate. En la ficha Configuracin de LiveUpdate, haga clic con el botn derecho en la poltica que desee y despus haga clic en Editar. En Configuracin de Windows, haga clic en Configuracin del servidor. En el panel Configuracin del servidor, seleccione Usar un servidor de LiveUpdate. Haga clic en Usar un servidor interno especificado de LiveUpdate y despus haga clic en Agregar. En el cuadro de dilogo Agregar servidor de LiveUpdate, escriba la informacin que se necesita para identificarse y para comunicarse con el servidor que desee usar. Por ejemplo, para la URL:
Si utiliza el mtodo FTP (recomendado), escriba la direccin del FTP del servidor. Por ejemplo: ftp://myliveupdateserver.com
582
Si utiliza el mtodo HTTP, escriba la URL del servidor. Por ejemplo: http://myliveupdateserver.com or 2.168.133.11/Export/Home/LUDepot Si utiliza el mtodo LAN, escriba el nombre de la ruta UNC del servidor. Por ejemplo, \\Miservidor\LUDepot
Si es necesario, escriba un nombre de usuario y una contrasea para el servidor. Nota: Si usa un servidor de UNC, LiveUpdate necesita que se use el dominio o el grupo de trabajo adems del nombre de usuario. Si el equipo es parte de un dominio, use el formato dominio_nombre\usuario_nombre. Si el equipo es parte de un grupo de trabajo, use el formato equipo_nombre\usuario_nombre.
En Poltica de LiveUpdate, haga clic en Programacin para configurar una programacin para las actualizaciones con LiveUpdate. Ver "Configurar la programacin de descarga de LiveUpdate para equipos cliente" en la pgina 558.
10 Haga clic en Opciones avanzadas.

Decida si guardar o cambiar la configuracin de usuario predeterminada, la configuracin de la actualizacin del producto y la configuracin no estndar del encabezado. Generalmente, no se permite que los usuarios modifiquen las opciones de actualizacin. Sin embargo, es posible permitir que los usuarios inicien manualmente una sesin de LiveUpdate si usted no admite centenares o millares de clientes. Ver "Cmo configurar la cantidad de control que los usuarios tienen sobre LiveUpdate" en la pgina 560.

Para configurar clientes de Mac para que usen un servidor interno de LiveUpdate
1 2 3 4
En Polticas, haga clic en LiveUpdate. En la ficha Configuracin de LiveUpdate, haga clic con el botn derecho en la poltica que desee y despus haga clic en Editar. En Configuracin de Mac, haga clic en Configuracin del servidor. Haga clic en Usar un servidor interno especificado de LiveUpdate y despus haga clic en Agregar.
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Cmo usar archivos de Intelligent Updater para actualizar definiciones de virus y de riesgos para la seguridad del cliente
583
En el cuadro de dilogo Agregar servidor de LiveUpdate, escriba la informacin que se necesita para identificarse y para comunicarse con el servidor que desee usar. Por ejemplo, para la URL:
Si utiliza el mtodo FTP (recomendado), escriba la direccin del FTP del servidor. Por ejemplo: ftp://myliveupdateserver.com Si utiliza el mtodo HTTP, escriba la URL del servidor. Por ejemplo: http://myliveupdateserver.com or 2.168.133.11/Export/Home/LUDepot
6 7 8 9
Si es necesario, escriba un nombre de usuario y una contrasea para el servidor y despus haga clic en Aceptar. Si su servidor usa FTP, haga clic en Configuracin avanzada del servidor. Haga clic en el modo de FTP que el servidor usa, Activo o Pasivo y despus haga clic en Aceptar. Si usa la versin de administrador de LiveUpdate 1.x en vez de la versin actual, haga clic en Habilitar compatibilidad para la versin del administrador de LiveUpdate 1.x.
10 En Configuracin de Mac, haga clic en Configuracin avanzada.

Si desea permitir a los equipos cliente conseguir la configuracin de la actualizacin del producto con LiveUpdate, haga clic en Descargar actualizaciones de Symantec Endpoint Protection mediante un servidor de LiveUpdate.

Ver "Cmo ordenar aleatoriamente descargas de contenido de un servidor de LiveUpdate" en la pgina 565. Ver "Configurar actualizaciones del cliente para ejecutarse cuando los equipos cliente estn inactivos" en la pgina 566. Ver "Cmo los equipos cliente reciben actualizaciones de contenido" en la pgina 542.
Cmo usar archivos de Intelligent Updater para actualizar definiciones de virus y de riesgos para la seguridad del cliente
Symantec recomienda que los equipos cliente usen LiveUpdate para actualizar las definiciones de virus y de riesgos para la seguridad. Sin embargo, si no desea usar LiveUpdate o si LiveUpdate no est disponible, se puede usar un archivo de
584
Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente Cmo usar herramientas de distribucin de otro fabricante para actualizar los equipos cliente
Intelligent Updater para actualizar clientes. Los archivos .exe de Intelligent Updater estn diseados para actualizar clientes solamente. Los archivos de Intelligent Updater no contienen la informacin que Symantec Endpoint Protection Manager o un servidor principal de una versin anterior de Symantec AntiVirus necesita para actualizar sus clientes administrados. Un archivo de Intelligent Updater es un archivo que se ejecuta a s mismo y que contiene actualizaciones de definiciones de virus y spyware. Un archivo de Intelligent Updater no proporciona actualizaciones para ningn otro tipo de contenido. Una vez que se descarga el archivo, se puede usar su mtodo de distribucin preferido para distribuir las actualizaciones a sus clientes. Para descargar un archivo de Intelligent Updater
Si usa su navegador web, vaya a uno de los siguientes sitios: http://www.symantec.com/business/security_response/definitions/download/ detail.jsp?gid=savce ftp://ftp.symantec.com/AVDEFS/symantec_antivirus_corp/
2 3 4
En el sitio web o en el sitio FTP, haga clic en el archivo apropiado del producto con la extensin .exe. Cuando se le solicite que especifique una ubicacin para guardar el archivo, seleccione una carpeta del disco duro. Distribuya el archivo a los equipos cliente usando su mtodo de distribucin preferido.
Para instalar los archivos de las definiciones de virus y de riesgos para la seguridad en un equipo cliente
1 2
En el equipo cliente, localice el archivo de Intelligent Updater que fue distribuido al cliente. Haga doble clic en el archivo .exe y siga las instrucciones que aparecern en pantalla.
Ver "Cmo los equipos cliente reciben actualizaciones de contenido" en la pgina 542.
Cmo usar herramientas de distribucin de otro fabricante para actualizar los equipos cliente
Algunas empresas grandes se basan en herramientas de distribucin de otro fabricante, como IBM Tivoli o Microsoft SMS, para distribuir actualizaciones de contenido a los equipos cliente. Symantec Endpoint Protection admite el uso de herramientas de distribucin de otro fabricante para actualizar los clientes
585
administrados y no administrados que ejecutan sistemas operativos Windows. Los clientes Mac pueden recibir solamente actualizaciones de contenido desde los servidores internos o externos de LiveUpdate. Tabla 22-9 resume las tareas que es necesario realizar para usar una herramienta de distribucin de otro fabricante. Nota: Antes de configurar el uso de herramientas de distribucin de otro fabricante, debe haber instalado ya Symantec Endpoint Protection Manager y los equipos cliente que desee actualizar. Tabla 22-9 Tareas para configurar el uso de herramientas de distribucin de otro fabricante para las actualizaciones Descripcin
Tarea
Configurar Symantec Es posible configurar el servidor de administracin para Endpoint Protection Manager recibir actualizaciones de contenido automticamente o para recibir actualizaciones manualmente. de contenido. Ver "Configurar un sitio para descargar actualizaciones de contenido" en la pgina 549. Ver "Cmo administrar actualizaciones de contenido" en la pgina 534. Configurar la poltica de configuracin de LiveUpdate del grupo para permitir la distribucin de la actualizacin de contenido con una herramienta de otro fabricante. Preparar clientes no administrados para recibir actualizaciones de las herramientas de distribucin de otro fabricante. Si desea usar herramientas de distribucin de otro fabricante para actualizar clientes administrados, es necesario configurar la poltica de configuracin de LiveUpdate del grupo para permitirlo. Ver "Configuracin de la poltica de configuracin de LiveUpdate para permitir la distribucin de contenido de otro fabricante a los clientes administrados" en la pgina 586. Si desea usar las herramientas de distribucin de otro fabricante para actualizar clientes no administrados, debe primero crear una clave de registro en cada cliente no administrado. Ver "Preparacin de clientes no administrados para recibir actualizaciones de las herramientas de distribucin de otro fabricante" en la pgina 587.
586
Tarea
Descripcin
Localizar, copiar y distribuir Cada grupo de clientes de Symantec Endpoint Protection el contenido. Manager tiene un archivo index2.dax que se encuentra en el equipo que ejecuta Symantec Endpoint Protection Manager. Estos archivos se encuentran en subcarpetas en la carpeta unidad:\Program Files\Symantec\Symantec Endpoint Protection Manager\data\outbox\agent. Para actualizar clientes, es necesario usar los archivos index2.dax. Ver "Configurar un sitio para descargar actualizaciones de contenido" en la pgina 549. Ver "Distribucin del contenido usando herramientas de distribucin de otro fabricante" en la pgina 589.
Configuracin de la poltica de configuracin de LiveUpdate para permitir la distribucin de contenido de otro fabricante a los clientes administrados
Si desea usar herramientas de distribucin de otro fabricante para actualizar clientes administrados, es necesario configurar la poltica de configuracin de LiveUpdate del grupo de clientes para permitirlo. Es posible elegir si desea deshabilitar la capacidad de los usuarios de los clientes para realizar manualmente una descarga de LiveUpdate. Cuando haya terminado con este procedimiento, una carpeta aparece en los equipos cliente del grupo en las ubicaciones siguientes:
Clientes de una versin anterior a Symantec Endpoint Protection 11.x con sistemas operativos previos a Vista: unidad:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\inbox Clientes de una versin anterior a Symantec Endpoint Protection 11.x con sistemas operativos Vista: unidad:\Program Data\Symantec\Symantec Endpoint Protection\inbox Sistemas operativos previos a Vista, clientes de la versin 12.1 de Symantec Endpoint Protection unidad:\Documents and Settings\All Users\Application Data\Symantec\CurrentVersion\inbox Sistemas operativos Vista, clientes de la versin 12.1 de Symantec Endpoint Protection unidad:\ProgramData\Symantec\Symantec Endpoint Protection\CurrentVersion\inbox
587
Para activar la distribucin de contenido de otro fabricante en clientes administrados con una poltica de LiveUpdate
1 2 3 4 5 6 7 8 9
En la consola, haga clic en Polticas. En Polticas, haga clic en LiveUpdate. En la ficha Configuracin de LiveUpdate, en Tareas, haga clic en Agregar una poltica de configuracin de LiveUpdate. En la ventana Poltica de LiveUpdate, en los cuadros de texto Nombre de poltica y Descripcin, escriba un nombre y una descripcin. En Configuracin de Windows, haga clic en Configuracin del servidor. En Administrador de terceros, seleccione Habilitar administracin de contenido de terceros. Desactive el resto de las opciones del origen de LiveUpdate. Haga clic en Aceptar. En el cuadro de dilogo Asignar poltica, haga clic en S. Opcionalmente, es posible cancelar este procedimiento y asignar la poltica despus.
10 En el cuadro de dilogo Asignar poltica de LiveUpdate, seleccione uno o

ms grupos a los cuales se asignar esta poltica y, despus, haga clic en Asignar. Ver "Cmo configurar un servidor interno de LiveUpdate" en la pgina 580.
Preparacin de clientes no administrados para recibir actualizaciones de las herramientas de distribucin de otro fabricante
Si instala clientes no administrados desde el disco del producto, no se puede de forma inmediata usar las herramientas de distribucin de otro fabricante para distribuir el contenido o las actualizaciones de polticas de LiveUpdate a ellos. Como medida de seguridad, de forma predeterminada, estos equipos cliente no confan ni procesan el contenido que las herramientas de distribucin de otro fabricante entregan a ellos. Para usar correctamente las herramientas de distribucin de otro fabricante para entregar actualizaciones, se debe primero crear una clave de registro de Windows en cada uno de los clientes no administrados. La clave le permite usar la carpeta de la bandeja de entrada en clientes no administrados para distribuir el contenido y las actualizaciones de polticas de LiveUpdate usando las herramientas de distribucin de otro fabricante.
588
La carpeta de la bandeja de entrada aparece en clientes no administrados en las ubicaciones siguientes:
Sistemas operativos previos a Vista, clientes de una versin anterior: Unidad:\Documents and Settings\All Users\Application Data\Symantec\ Symantec Endpoint Protection\inbox Sistemas operativos Vista, clientes de una versin anterior: Unidad:\Program Data\Symantec\Symantec Endpoint Protection\inbox Sistemas operativos previos a Vista, clientes de la versin 12.1 de Symantec Endpoint Protection Unidad:\Documents and Settings\All Users\Application Data\Symantec\ CurrentVersion\inbox Sistemas operativos Vista, clientes de la versin 12.1 de Symantec Endpoint Protection Unidad:\ProgramData\Symantec\Symantec Endpoint Protection\ CurrentVersion\inbox
Una vez que se crea la clave de registro, se puede usar una herramienta de distribucin de otro fabricante para copiar el contenido o las actualizaciones de polticas en esta carpeta. El software de cliente de Symantec Endpoint Protection despus confa y procesa las actualizaciones. Para preparar clientes no administrados para recibir actualizaciones de las herramientas de distribucin de otro fabricante
En cada equipo cliente, use regedit.exe u otra herramienta de edicin de registros de Windows para crear una de las siguientes claves de registro de Windows:
En los clientes que ejecutan Symantec Endpoint Protection 12.1, cree HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\SMC\SPE\TPMState
589
En los clientes que ejecutan Symantec Endpoint Protection 11.x, cree HKLM\Software\Symantec\Symantec Endpoint Protection\SMC\TPMState
Configure el valor de la clave de registro al hexadecimal 80, de la siguiente manera:

0x00000080 (128)
Nota: El valor es del tipo DWORD.
Guarde la clave de registro y despus salga de la herramienta de edicin de registros.
Ver "Cmo usar herramientas de distribucin de otro fabricante para actualizar los equipos cliente" en la pgina 584. Ver "Distribucin del contenido usando herramientas de distribucin de otro fabricante" en la pgina 589.
Distribucin del contenido usando herramientas de distribucin de otro fabricante

Para usar las herramientas de distribucin de otro fabricante para distribuir el contenido a los equipos cliente, es necesario usar el archivo index2.dax. El contenido de LiveUpdate del archivo index2 incluye un conjunto de GUID denominados monikers de contenido y sus nmeros de secuencia asociados. Cada moniker de contenido se corresponde con un tipo especfico de contenido. Cada nmero de secuencia del archivo index2 se corresponde con una revisin de un tipo especfico de contenido. Dependiendo de las funciones de proteccin que se hayan instalado, es necesario determinar qu tipos de contenido se necesitan. Ver "Acerca de los tipos de contenido que LiveUpdate puede proporcionar" en la pgina 538. Asignacin de monikers de contenido para actualizar clientes de versiones anteriores A excepcin de las definiciones de virus y spyware, que son compatibles con las versiones 11.x de Symantec Endpoint Protection, este contenido es para los clientes que ejecutan la versin actual de Symantec Endpoint Protection. Si tiene clientes de versiones anteriores para actualizar con otros tipos de contenido, es necesario usar el contenido de versin anterior para actualizarlos. Este mtodo de usar las herramientas de administracin de otro fabricante no se puede usar para actualizar
590
los clientes que ejecutan las versiones de Symantec AntiVirus o de Symantec Client Security anteriores a las versiones 11.x de Symantec Endpoint Protection. Nota: Los monikers de contenido cambian tpicamente con cada gran versin. A veces, pueden adems cambiar para una versin menor. Symantec no cambia tpicamente los monikers para las actualizaciones de versiones ni los parches de mantenimiento. Para ver una asignacin del moniker a su tipo de contenido, abra el archivo ContentInfo.txt. El archivo ContentInfo.txt se ubica tpicamente en la carpeta unidad:\Program Files\Symantec\Symantec Endpoint Protection Manager\Inetpub\content. Por ejemplo, es posible que vea la entrada siguiente:
{535CB6A4-441F-4e8a-A897-804CD859100E}: SESC Virus Definitions Win32 v11 - MicroDefsB.CurDefs - SymAllLanguages
Cada grupo de clientes de Symantec Endpoint Protection Manager tiene su propio archivo index2. El archivo index2 para cada grupo de clientes se encuentra en una carpeta para ese grupo. Las carpetas para los grupos de clientes se pueden encontrar en unidad:\Program Files\Symantec\Symantec Endpoint Protection Manager\data\outbox\agent. El nombre de la carpeta para un grupo de clientes corresponde al nmero de serie de la poltica de grupo. Es posible encontrar el nmero de serie en el cuadro de dilogo Propiedades del grupo o en la ficha Detalles de la pgina Clientes. Los primeros cuatro valores hexadecimales de cada nmero de serie de la poltica de grupo coinciden con los primeros cuatro valores hexadecimales de la carpeta de ese grupo. El archivo index2.dax que los clientes administrados usan est cifrado. Para ver los contenidos del archivo, abra el archivo index2.xml que est disponible en la misma carpeta. El archivo index2.xml proporciona una lista de los monikers de contenido y de sus nmeros de secuencia (revisin). Por ejemplo, es posible que vea la entrada siguiente:
<File Checksum="191DEE487AA01C3EDA491418B53C0ECC" DeltaFlag="1" FullSize="30266080" LastModifiedTime="1186471722609" Moniker= "{535CB6A4-441F-4e8a-A897-804CD859100E}" Seq="80806003"/>
La poltica de contenidos de LiveUpdate para un grupo especifica una revisin determinada del contenido o el ltimo contenido. El nmero de serie en el archivo index2 debe coincidir con el nmero de serie que corresponde a la especificacin de contenido en la poltica de contenido del grupo de LiveUpdate. Por ejemplo, si la poltica est configurada para Usar el ltimo disponible para todos los tipos de contenido, el nmero de serie para cada tipo es el ltimo contenido disponible.
591
En este ejemplo, la distribucin funciona solamente si el archivo index2 usa los nmeros de serie (revisiones) que corresponden a la ltima revisin de contenido. La distribucin genera un error si los nmeros de secuencia se corresponden con cualquier otra revisin. Nota: Es necesario usar el comando Copy para colocar los archivos en la carpeta \inbox del cliente. Usar el comando Move no activa el procesamiento de la actualizacin, y la actualizacin genera errores. Si comprime el contenido en un nico archivo de almacenamiento para la distribucin, no debe descomprimirla directamente en la carpeta \inbox. Si distribuye el contenido de virus y de spyware a los clientes de versiones anteriores que usan Symantec Endpoint Protection 11.x, el esquema de moniker cambia. Es posible usar las definiciones de la versin 12.x para actualizar clientes de versiones anteriores, pero es necesario cambiar el nombre del moniker de destino antes de distribuirlas. Para distribuir contenido a clientes con herramientas de distribucin de otro fabricante
1 2
En el equipo con Symantec Endpoint Protection Manager, cree una carpeta de trabajo, tal como \Dir_Trabajo. Realice una de las acciones siguientes:
Para un cliente administrado, en la consola, en la ficha Clientes, haga clic con el botn derecho en el grupo para actualizar y despus haga clic en Propiedades. Para un cliente no administrado, en la consola, en la ficha Clientes, haga clic con el botn derecho en Mi empresa y despus haga clic en Propiedades.
3 4
Anote los primeros cuatro valores hexadecimales de Nmero de serie de la poltica, tal como 7B86. Navegue a la carpeta siguiente: \\Program Files\Symantec\Symantec Endpoint Protection Manager\data\outbox\agent
5 6
Localice la carpeta que contiene los primeros cuatro valores hexadecimales que coinciden con el Nmero de serie de la poltica. Abra esa carpeta y despus copie el archivo index2.dax en su carpeta de trabajo.
592
Navegue a la carpeta siguiente: \\Program Files\Symantec\Symantec Endpoint Protection Manager\Inetpub\content
Abra y lea ContentInfo.txt para detectar el contenido que cada carpeta de moniker de destino incluye. El contenido de cada directorio es moniker de destino\nmero de secuencia\full.zip|full.
Copie el contenido de cada carpeta \moniker de destino en la carpeta de trabajo, como \Dir_Trabajo. clientes de una versin anterior de Symantec Endpoint Protection 11.x, es necesario tomar las medidas siguientes:
10 Para distribuir el contenido de las definiciones de virus y de spyware a los
Para los equipos de 32 bits, copie el contenido de {535CB6A4-441F-4e8a-A897-804CD859100E}\nmero de secuencia\full.zip. Cambie el nombre de contenido a {C60DC234-65F9-4674-94AE-62158EFCA433}\nmero de secuencia\full.zip y despus copie el contenido en su carpeta de trabajo. Para los equipos de 64 bits, copie el contenido de {07B590B3-9282-482f-BBAA-6D515D385869}\nmero de secuencia\full.zip. Cambie el nombre de contenido a {1CD85198-26C6-4bac-8C72-5D34B025DE35}\nmero de secuencia\full.zip y despus copie el contenido en su carpeta de trabajo.
593
11 Elimine todos los archivos y las carpetas de cada \moniker de destino de modo
que solamente permanezcan en la carpeta de trabajo la estructura de carpetas y archivos siguiente: \\Dir_Trabajo\moniker de destino\ltimo nmero de secuencia\full.zip Su carpeta de trabajo ahora contiene la estructura de carpetas y archivos para distribuir a sus clientes.
12 Utilice las herramientas de distribucin de otro fabricante para distribuir el

contenido de la carpeta de trabajo a la carpeta \\Symantec Endpoint Protection\inbox\ en cada cliente. El resultado final debe tener el siguiente aspecto: \\Symantec Endpoint Protection\inbox\index2.dax \\Symantec Endpoint Protection\inbox\moniker de destino\ltimo nmero de secuencia\full.zip Los archivos que se procesan correctamente despus se eliminan. Los archivos que no se procesan correctamente se mueven a una subcarpeta denominada No vlido. Si ve los archivos en una carpeta No vlido en la carpeta Bandeja de entrada, se debe volver a intentarlo con esos archivos. Ver "Cmo usar herramientas de distribucin de otro fabricante para actualizar los equipos cliente" en la pgina 584. Ver "Preparacin de clientes no administrados para recibir actualizaciones de las herramientas de distribucin de otro fabricante" en la pgina 587.
594
Captulo
23
Supervisin de proteccin con los informes y los registros


Supervisin de proteccin de endpoints Configurar preferencias de la elaboracin de informes Cmo iniciar sesin en los informes desde un navegador web independiente Acerca de los tipos de informes Ejecucin y personalizacin de informes rpidos Guardado y eliminacin de informes personalizados Creacin de informes programados Cmo editar el filtro usado para un informe programado Imprimir y guardar una copia de un informe Ver registros Ejecucin de comandos en el equipo cliente desde los registros
Supervisin de proteccin de endpoints

Symantec Endpoint Protection recopila informacin sobre los eventos de seguridad en su red. Es posible usar el registro y los informes para ver estos eventos, y se
596
Supervisin de proteccin con los informes y los registros Supervisin de proteccin de endpoints
pueden usar notificaciones para permanecer informado sobre los eventos a medida que ocurren. Es posible usar los informes y los registros para determinar las respuestas a las clases siguientes de preguntas:

Qu equipos estn infectados? Qu equipos necesitan anlisis? Qu riesgos se detectaron en la red?
Nota: Symantec Endpoint Protection extrae los eventos que aparecen en los informes de los registros de eventos de sus servidores de administracin. Los registros de eventos contienen marcas de hora correspondientes la zona horaria de los equipos cliente. Cuando el servidor de administracin recibe los eventos, convierte los grupos fecha/hora del evento a Hora del meridiano de Greenwich (GMT) para la insercin en la base de datos. Al crear informes, el software de informes muestra informacin sobre eventos en la hora local del equipo en el que se ven los informes.
597
Tabla 23-1 Tarea

Revise el estado de seguridad de su red
Tareas para supervisar la proteccin de puntos finales
Descripcin
La lista siguiente describe algunas de las tareas que se pueden realizar para supervisar el estado de seguridad de sus equipos cliente.
Obtener un recuento de virus y de otros riesgos para la seguridad detectados, y ver detalles de cada virus y riesgo para la seguridad. Ver "Visualizacin de riesgos" en la pgina 602. Obtener un recuento de equipos desprotegidos en su red y ver los detalles de cada uno. Ver "Ver el sistema de proteccin" en la pgina 601. Ver el nmero de equipos con definiciones actualizadas de virus y de spyware. Ver "Ver el sistema de proteccin" en la pgina 601. Consultar el estado operativo en tiempo real de sus equipos cliente. Ver "Visualizar el estado de proteccin de los clientes y equipos cliente" en la pgina 207. Ver el nmero de equipos que estn desconectados. Ver "Cmo encontrar equipos sin conexin" en la pgina 601. Revisar los procesos que se ejecutan en su red. Ver "Supervisin de los resultados de la deteccin de SONAR para comprobar la existencia de falsos positivos" en la pgina 388. Localizar qu equipos estn asignados a cada grupo. Ver "Visualizacin de equipos asignados" en la pgina 201. Consultar la informacin de licencias en los equipos cliente, que incluye el nmero de puestos vlidos, de puestos sobre-implementados, de puestos caducados y de fecha de caducidad. Ver "Comprobar el estado de la licencia" en la pgina 120.
Ver "Visualizacin del inventario de clientes" en la pgina 603. Ver "Visualizacin de un informe de estado diario o semanal" en la pgina 600. Localizar qu equipos cliente necesitan proteccin Es posible realizar las siguientes tareas para ver o buscar qu equipos necesitan proteccin adicional:
Ver el nmero de equipos que tienen Symantec Endpoint Protection deshabilitado. Ver "Ver el sistema de proteccin" en la pgina 601. Ver el nmero de equipos con definiciones desactualizadas de virus y de spyware. Ver "Ver el sistema de proteccin" en la pgina 601. Buscar los equipos que no se han analizado recientemente. Ver "Cmo encontrar equipos no analizados" en la pgina 602. Ver destinos y fuentes de ataque. Ver "Visualizacin de destinos y fuentes de ataque" en la pgina 604. Ver registros de eventos. Ver "Ver registros" en la pgina 616.
598
Tarea
Proteger sus equipos cliente
Descripcin
Es posible ejecutar comandos desde la consola para proteger los equipos cliente. Ver "Ejecucin de comandos en el equipo cliente desde los registros" en la pgina 623. Por ejemplo, se pueden eliminar riesgos para la seguridad en los equipos cliente. Ver "Cmo comprobar la accin de anlisis y volver a analizar los equipos identificados" en la pgina 292.
Configurar notificaciones para alertarlo cuando ocurren los eventos de seguridad Crear informes rpidos personalizados e informes programados para la supervisin continuada
Es posible crear y configurar las notificaciones para que se activen cuando ocurren ciertos eventos relacionados con la seguridad. Por ejemplo, se puede configurar una notificacin para que ocurra cuando un intento de intrusin ocurre en un equipo cliente. Ver "Cmo configurar notificaciones de administrador" en la pgina 638. Es posible crear y generar informes rpidos personalizados y se pueden programar informes personalizados para ejecutarlos regularmente con la informacin que desee ver. Ver "Ejecucin y personalizacin de informes rpidos" en la pgina 610. Ver "Creacin de informes programados" en la pgina 613. Ver "Guardado y eliminacin de informes personalizados" en la pgina 611. Ver "Configurar preferencias de la elaboracin de informes" en la pgina 605.
599
Tarea
Descripcin
Reducir al mnimo la Por motivos de seguridad, puede ser recomendable conservar los expedientes del registro cantidad de espacio que por un perodo ms largo. Sin embargo, si tiene una gran cantidad de clientes, es posible los registros de clientes que haya un gran volumen de datos de registro de clientes. ocupan Si su servidor de administracin se queda sin espacio, puede ser recomendable disminuir los tamaos de los registros y la cantidad de tiempo que la base de datos guarda los registros. Es posible reducir el volumen de datos de registro realizando las siguientes tareas: Cargue solamente algunos de los registros de los clientes en el servidor y cambie la frecuencia con la cual los registros de los clientes se cargan. Ver "Especificacin del tamao de registro del cliente y registros para cargar al servidor de administracin" en la pgina 714. Especifique cuntas entradas de registro puede mantener el equipo cliente en la base de datos y cunto tiempo puede guardarlas. Ver "Especificacin del perodo de tiempo para mantener entradas de registro en la base de datos" en la pgina 715. Filtre los eventos del sistema y los eventos de riesgo menos importantes para remitir menos datos al servidor. Ver "Modificacin de la configuracin miscelnea para Proteccin antivirus y antispyware en equipos Windows" en la pgina 362. Reduzca el nmero de clientes que cada servidor de administracin administra.
Reduzca la frecuencia de latido, que controla cuntas veces los registros de clientes se cargan al servidor. Ver "Configurar el modo de transferencia o al modo de obtencin para actualizar las polticas de los clientes y el contenido" en la pgina 274. Reduzca la cantidad de espacio en el directorio donde se almacenan los datos de registro antes de ser insertados en la base de datos. Ver "Acerca de aumentar el espacio ajustando la cantidad de datos de registro de los clientes" en la pgina 716.
600
Tarea
Descripcin
Exportar los datos de La exportacin de los datos de registro es til para acumular todos los registros de la red registro a una ubicacin entera en una ubicacin centralizada. La exportacin de los datos de registro tambin es centralizada til cuando se utiliza un programa de otro fabricante, tal como una hoja de clculo, para organizar o manipular los datos. Adems, es recomendable exportar los datos en sus registros antes de eliminar los registros. Es posible exportar los datos de algunos registros a un archivo de texto delimitado por comas. Es posible exportar los datos de otros registros a un archivo de texto delimitado por tabulaciones, que se llama archivo de volcado, o a un servidor Syslog. Ver "Exportar datos de registro a un archivo de texto" en la pgina 711. Ver "Exportar datos a un servidor Syslog" en la pgina 710. Ver "Exportar datos de registro a un archivo de texto delimitado por comas" en la pgina 714. Ver "Visualizacin de registros de otros sitios" en la pgina 622. Solucionar problemas con los informes y los registros Es posible solucionar algunos problemas con la elaboracin de informes. Ver "Solucin de problemas de elaboracin de informes" en la pgina 1077.
Visualizacin de un informe de estado diario o semanal

El informe de estado diario proporciona la siguiente informacin:
La cantidad de detecciones de virus de acciones borradas, sospechosas, bloqueadas, en cuarentena y eliminadas La cronologa de definiciones de virus de la distribucin Los principales diez riesgos e infecciones
El informe de estado semanal proporciona la siguiente informacin:

Estado del equipo La deteccin de virus La instantnea del estado de proteccin La cronologa de definiciones de virus de la distribucin La distribucin de riesgos por da Los principales diez riesgos e infecciones
Ver "Supervisin de proteccin de endpoints" en la pgina 595.
601
Para ver el informe de estado diario
1 2
En la consola, haga clic en Pgina principal. En la pgina Inicio, en el panel Informes favoritos, haga clic en Estado diario de Symantec Endpoint Protection o Est. semanal Symantec Endpoint Protection.
Ver el sistema de proteccin

La proteccin del sistema abarca la siguiente informacin:

El nmero de equipos con definiciones de virus actualizadas. El nmero de equipos con definiciones de virus desactualizadas. El nmero de equipos sin conexin. El nmero de equipos deshabilitados.
Ver "Supervisin de proteccin de endpoints" en la pgina 595. Para ver la proteccin del sistema
En la consola, haga clic en Pgina principal. La proteccin del sistema se muestra en el panel Estado del endpoint.
En el panel Estado del endpoint, haga clic en Ver detalles para ver ms informacin de la proteccin del sistema.
Cmo encontrar equipos sin conexin

Es posible enumerar los equipos que estn sin conexin. Un cliente puede estar desconectado por varios motivos. Es posible identificar los equipos que estn desconectados y reparar estos problemas de varias maneras. Ver "Cmo solucionar problemas de comunicacin entre el servidor de administracin y el cliente" en la pgina 1062. Para encontrar equipos sin conexin
1 2 3
En la consola, haga clic en Pgina principal. En la Pgina principal, en el panel Estado del endpoint, haga clic en el vnculo que representa el nmero de equipos sin conexin. Para obtener ms informacin sobre los equipos sin conexin, haga clic en el vnculo Ver detalles.
602
Para ejecutar un informe sobre los equipos cliente desconectados
1 2 3 4 5
En la consola, haga clic en Supervisin. En la ficha Registros, del cuadro de lista Tipo de registro, haga clic en Estado del equipo. Haga clic en Opciones avanzadas. En el cuadro de lista Estado de conexin, haga clic en Desconectado. Haga clic en Ver registro. De forma predeterminada, aparece una lista de los equipos que han estado desconectados durante las ltimas 24 horas. La lista incluye el nombre de cada equipo, la direccin IP y la ltima vez que se registr con su servidor. Es posible ajustar el intervalo de tiempo para visualizar los equipos desconectados para cualquier intervalo que desee ver.
Cmo encontrar equipos no analizados

Es posible enumerar los equipos que se deben analizar. Ver "Supervisin de proteccin de endpoints" en la pgina 595. Para encontrar los equipos no analizados
1 2
En la consola, haga clic en Informes. En la ficha Informes rpidos, especifique la siguiente informacin:
Tipo de informe Informe seleccionado Se selecciona el Anlisis. Se seleccionan los Equipos no analizados.
Haga clic en Crear informe.
Visualizacin de riesgos
Es posible conseguir informacin sobre los riesgos en su red. Ver "Supervisin de proteccin de endpoints" en la pgina 595.
603
Para ver los equipos infectados y en peligro
1 2
Tipo de informe Informe seleccionado Seleccione Riesgo. Seleccione Equipos infectados y en riesgo.
Para ver riesgos recientemente detectados
1 2
Tipo de informe Informe seleccionado Seleccione Riesgo. Seleccione Nuevos riesgos detectados en la red.
Para ver un informe de riesgo completo
1 2
Tipo de informe Seleccione Riesgo.
Seleccionar un informe Seleccione Informe completo de riesgos.
Visualizacin del inventario de clientes

Es posible confirmar el estado de los equipos cliente implementados. Ver "Supervisin de proteccin de endpoints" en la pgina 595.
604
Para ver el inventario de clientes
1 2
Tipo de informe Estado del equipo.
Seleccionar un informe Detalles del inventario de clientes.
Visualizacin de destinos y fuentes de ataque

Es posible ver los destinos y las fuentes de ataque. Ver "Supervisin de proteccin de endpoints" en la pgina 595. Para ver los principales destinos que fueron atacados
1 2
Tipo de informe Se selecciona Proteccin contra amenazas de red.
Seleccionar un informe Se selecciona Principales destinos atacados.
Para ver las principales fuentes de ataque
1 2
Seleccionar un informe Se selecciona Principales fuentes de ataque.
Un informe detallado contiene las estadsticas siguientes:

Principales tipos de ataque Principales destinos de ataque Principales fuentes de ataque Principales notificaciones de trfico
Supervisin de proteccin con los informes y los registros Configurar preferencias de la elaboracin de informes
605
Para ver un informe detallado de los destinos y la fuentes de ataque
1 2
Seleccionar un informe Se selecciona Informe completo. Opcin Configurar Es posible seleccionar opcionalmente los informes que se deben incluir en el informe detallado.
Configurar preferencias de la elaboracin de informes

Es posible configurar las preferencias siguientes de elaboracin de informes:

Las opciones de visualizacin de la pgina Supervisin y de la Pgina principal Los umbrales de Estado de seguridad Las opciones de visualizacin que se utilizan para los registros y los informes, as como la carga de la versin anterior del archivo de registro
Los umbrales del estado de seguridad que configur determinan en qu momento se considera deficiente el mensaje Estado de seguridad de la Pgina principal de Symantec Endpoint Protection Manager. Los umbrales se expresan como porcentaje y reflejan cundo se considera que su red no cumple con sus polticas de seguridad. Por ejemplo, es posible configurar el porcentaje de equipos con definiciones de virus desactualizadas que activa un estado de seguridad malo. Es posible tambin configurar cuntos das de antigedad necesitan las definiciones para calificar como obsoletas. Symantec Endpoint Protection determina lo que es actual cuando se calcula si las firmas o las definiciones son obsoletas de la siguiente manera. Su estndar son las definiciones de virus ms recientes y las fechas de las firmas IPS que estn disponibles en el servidor de administracin en el cual se ejecuta la consola. Nota: Si tiene solamente Symantec Network Access Control instalado, no tiene una ficha Estado de seguridad para configurar los umbrales de seguridad. Para obtener informacin sobre las opciones de preferencia que puede configurar, haga clic en Ayuda en cada ficha, en el cuadro de dilogo Preferencias.
606
Supervisin de proteccin con los informes y los registros Cmo iniciar sesin en los informes desde un navegador web independiente
Para configurar preferencias de elaboracin de informes
1 2
En la consola, en la Pgina principal, haga clic en Preferencias. Haga clic en una de las siguientes fichas, segn el tipo de preferencias que desee configurar:

Inicio y supervisin Estado de seguridad Registros e informes
3 4
Configure los valores para las opciones que desee modificar. Haga clic en Aceptar.
Cmo iniciar sesin en los informes desde un navegador web independiente

Es posible acceder a las pginas Inicio, Supervisin y Informes desde un navegador web independiente que est conectado a su servidor de administracin. Sin embargo, todas las otras funciones de la consola no estarn disponibles al usar un navegador independiente. Las pginas de informes y las pginas del registro siempre se muestran en el idioma con el que se instal el servidor de administracin. Para ver estas pginas cuando utiliza una consola o un navegador del equipo remoto, la fuente apropiada debe estar instalada en el equipo. Para acceder a informes desde un navegador Web, es necesario tener la siguiente informacin:
El nombre del host del servidor de administracin. Nota: Cuando se escribe la direccin URL de elaboracin de informes independiente HTTPS en su navegador, el navegador puede mostrar una advertencia. La advertencia aparece porque el certificado que el servidor de administracin usa est autofirmado. Para resolver este problema, se puede instalar el certificado en el almacn de certificados de confianza de su navegador. El certificado admite nombres de host solamente; por lo tanto, use el nombre del host en la URL. Si usa el host local, la direccin IP o el nombre de dominio completo, una advertencia an aparece. Su nombre de usuario y contrasea para el servidor de administracin.
Supervisin de proteccin con los informes y los registros Acerca de los tipos de informes
607
Nota: Es necesario tener Internet Explorer 6.0 o posterior instalado. Otros navegadores web no se admiten. Para iniciar sesin en los informes desde un navegador web independiente
1 2
Abra un navegador web. Escriba la URL de elaboracin de informes predeterminada en el cuadro de texto de direccin en el siguiente formato: https://nombre del host del servidor de administracin:8445/reporting Nota: La direccin URL de elaboracin de informes predeterminada de Symantec Endpoint Protection versin 11 es http://direccin del servidor de administracin:8014/reporting. Si migra de la versin 11, deber actualizar los marcadores de su navegador.
Cuando aparece el cuadro de dilogo de inicio de sesin, escriba su nombre de usuario y contrasea, y despus haga clic en Iniciar sesin. Si tiene ms de un dominio, en el cuadro de texto Dominio, escriba su nombre de dominio.
Acerca de los tipos de informes

Las categoras siguientes de informes estn disponibles:

Informes rpidos, que se ejecutan segn sea necesario. Informes programados, que se ejecutan de forma automtica en funcin de la programacin que configure.
Los informes incluyen los datos de eventos que se recopilan de los servidores de administracin y de los equipos cliente que se comunican con esos servidores. Es posible personalizar los informes para proporcionar la informacin que desea ver. Se predefinen los informes rpidos, pero puede personalizarlos y guardar los filtros que usaba para crear informes personalizados. Es posible usar los filtros personalizados para crear informes programados personalizados. Cuando programa un informe para ejecutar, puede configurarlo para enviarlo por correo electrnico a uno o ms destinatarios. Ver "Ejecucin y personalizacin de informes rpidos" en la pgina 610.
608
De forma predeterminada, siempre se ejecuta un informe programado. Puede modificar la configuracin de cualquier informe programado que an no haya ejecutado. Tambin puede eliminar uno o todos los informes programados. Ver "Creacin de informes programados" en la pgina 613. Es posible tambin imprimir y guardar informes. Ver "Imprimir y guardar una copia de un informe" en la pgina 615. Tabla 23-2 describe los tipos de informes que estn disponibles. Tabla 23-2 Tipos de informes disponibles como informes rpidos e informes programados Descripcin
Muestra informacin sobre las polticas que los clientes y las ubicaciones utilizan actualmente. Contiene informacin sobre actividades de modificacin de polticas, tales como los tiempos y los tipos de eventos, las modificaciones de polticas, los dominios, los sitios, los administradores y las descripciones. Muestra informacin sobre los eventos donde se bloque un cierto tipo de comportamiento. Estos informes incluyen informacin sobre alertas de seguridad de la aplicacin, destinos bloqueados y dispositivos bloqueados. Los destinos bloqueados pueden ser claves de registro, archivos dll, archivos y procesos de Windows. Muestra informacin sobre el estado de cumplimiento de la red. Estos informes incluyen informacin sobre los servidores de Enforcer, los clientes Enforcer, el trfico de Enforcer y el cumplimiento de hosts. Muestra informacin sobre el estado operativo de los equipos de la red, como qu equipos tienen funciones de seguridad desactivadas. Estos informes incluyen informacin sobre versiones, sobre los clientes que se han registrado en el servidor, el inventario de clientes y el estado en lnea.
Tipo de informe
Auditora
Cumplimiento
estado del equipo
609
Tipo de informe
Descripcin
Proteccin contra amenazas Muestra informacin sobre prevencin de intrusiones, de red ataques en el firewall y trfico y paquetes del firewall. Los informes de la proteccin contra amenazas de red permiten realizar un seguimiento de la actividad del equipo y de su interaccin con otros equipos y otras redes. Registran informacin sobre el trfico que intenta ingresar en los equipos o salir de ellos mediante sus conexiones de red. Riesgo Muestra informacin sobre eventos de riesgo en los servidores de administracin y sus clientes. Incluye informacin sobre el anlisis de amenazas proactivo TruScan. Muestra la informacin sobre la actividad de anlisis de spyware y virus. Muestra informacin sobre tiempos del evento, tipos de evento, sitios, dominios, servidores y niveles de gravedad. Los informes del sistema contienen informacin que es til para solucionar los problemas del cliente.
Analizar
Sistema
Si tiene varios dominios en la red, muchos informes permiten ver los datos de todos los dominios, de un sitio o de algunos sitios. La configuracin predeterminada para todos los informes rpidos es mostrar todos los dominios, grupos, servidores y as sucesivamente, segn sea necesario para el informe que selecciona para crear. Ver "Ejecucin y personalizacin de informes rpidos" en la pgina 610. Nota: Algunos informes predefinidos contienen la informacin que se obtiene de Symantec Network Access Control. Si no ha comprado ese producto, sino que ejecuta uno de los informes de ese producto, el informe estar vaco. Si tiene solamente Symantec Network Access Control instalado, un nmero significativo de informes est vaco. Los informes de Control de aplicaciones y dispositivos, de Proteccin contra amenazas de red, de Riesgos y de Anlisis no contienen datos. Los informes de Cumplimiento y de Auditora contienen datos, al igual que algunos de los informes de Estado del equipo y del Sistema.
610
Supervisin de proteccin con los informes y los registros Ejecucin y personalizacin de informes rpidos
Ejecucin y personalizacin de informes rpidos

Los informes rpidos son informes personalizables y predefinidos. Estos informes incluyen los datos de eventos recopilados de sus servidores de administracin as como de los equipos cliente que se comunican con esos servidores. Los informes rpidos proporcionan la informacin sobre los eventos que se especific en la configuracin que se estableci para el informe. Es posible guardar la configuracin del informe de modo que se pueda ejecutar el mismo informe en una fecha posterior, y es posible imprimir y guardar informes. Los informes rpidos son estticos; proporcionan informacin especfica del calendario que se especific para el informe. Alternativamente, se pueden supervisar eventos en tiempo real usando los registros. Para ejecutar un informe rpido
1 2 3 4
En la consola, haga clic en Informes. En la ficha Informes rpidos, en el cuadro de lista Tipo de informe, seleccione el tipo de informe que desea ejecutar. En el cuadro de lista Seleccionar un informe, seleccione el nombre del informe que desea ejecutar. Haga clic en Crear informe.
Para personalizar un informe rpido
1 2 3
En la consola, haga clic en Informes. En la ficha Informes rpidos, en el cuadro de lista Tipo de informe, seleccione el tipo de informe que desea personalizar. En el cuadro de lista Seleccionar un informe, seleccione el nombre de informe que desea personalizar. Para el informe Estado de cumplimiento de la red y el informe Estado de cumplimiento, en el cuadro de lista Estado, seleccione una configuracin de filtros guardada que se desee usar o deje el filtro predeterminado. Para el informe Correlacin principal de detecciones de riesgos, se pueden seleccionar los valores para los cuadros de lista Eje X y Eje Y a fin de especificar cmo desea ver el informe. Para el informe Histograma de estadsticas de anlisis, se pueden seleccionar los valores para Amplitud de clases y Nmero de contenedores. Para algunos informes, se puede especificar cmo agrupar los resultados del informe en el cuadro de lista Grupo. Para otros informes, se puede seleccionar un destino en el campo Destino en el cual se filtren los resultados del informe.
Supervisin de proteccin con los informes y los registros Guardado y eliminacin de informes personalizados
611
4 5 6
En el cuadro de lista Utilizar filtro guardado, seleccione una configuracin de filtro guardada que desee utilizar o deje el filtro predeterminado. En Qu configuracin de filtros desea utilizar?, en el cuadro de lista Intervalo de tiempo, seleccione el intervalo de tiempo para el informe. Si selecciona Definir fechas especficas, despus use los cuadros de lista Fecha de inicio y Fecha de finalizacin. Estas opciones configuran el intervalo de tiempo sobre el cual se desea ver informacin. Cuando genera un informe de estado del equipo y selecciona Definir fechas especficas, especifica que desea ver todas las entradas que impliquen un equipo que no se ha registrado en su servidor desde la hora que especific en el campo de fecha y hora.
Si desea configurar las opciones adicionales para el informe, haga clic en Configuracin avanzada y configure las opciones que desee. Es posible hacer clic en Ms informacin para ver las descripciones de las opciones del filtro en la ayuda contextual. Nota: Los cuadros de texto de opcin del filtro que aceptan caracteres comodn y buscan coincidencias no diferencian entre maysculas y minsculas. El carcter del asterisco ASCII es el nico carcter de asterisco que se puede utilizar como carcter comodn. Es posible guardar las opciones de configuracin del informe si piensa que querr ejecutar este informe de nuevo en el futuro.
Ver "Guardado y eliminacin de informes personalizados" en la pgina 611. Ver "Imprimir y guardar una copia de un informe" en la pgina 615. Ver "Creacin de informes programados" en la pgina 613.
Guardado y eliminacin de informes personalizados

Puede guardar la configuracin de informes personalizados en un filtro, de modo que se pueda volver a generar el informe en una fecha posterior. Cuando guarda la configuracin, se guarda en la base de datos. El nombre que se le asigna al filtro aparece en el cuadro de lista Usar un filtro guardado para ese tipo de registros e informes.
612
Supervisin de proteccin con los informes y los registros Guardado y eliminacin de informes personalizados
Nota: Las opciones de configuracin del filtro que guarda estn disponibles para la cuenta del inicio de sesin del usuario solamente. Otros usuarios con privilegios de elaboracin de informes no tienen acceso a la configuracin guardada. Ver "Cmo editar el filtro usado para un informe programado" en la pgina 614. Puede eliminar las configuraciones de informe que usted crea. Si se elimina una configuracin, el informe ya no estar disponible. El nombre de la configuracin de informe predeterminado aparece en el cuadro de lista Utilizar informe guardado, y la pantalla vuelve a completarse con las opciones de configuracin predeterminadas. Nota: Si elimina un administrador del servidor de administracin, tiene la opcin de guardar los informes que cre el administrador eliminado. La propiedad de los informes se cambia, as como los nombres del informe. El nuevo nombre del informe tiene el formato "OriginalName('AdminName')". Por ejemplo, un informe creado por el administrador JSmith llamado Monday_risk_reports, se cambiara su nombre a Monday_risk_reports(JSmith). Ver "Acerca de los administradores" en la pgina 651. Para guardar un informe personalizado
1 2 3 4 5
En la consola, haga clic en Informes. En la ficha Informes rpidos, seleccione un tipo de informe del cuadro de lista. Modifique cualquier configuracin bsica o configuracin avanzada para el informe. Haga clic en Guardar filtro. En el cuadro de texto Nombre del filtro, escriba un nombre descriptivo para este filtro de informes. Solo se muestran los primeros 32 caracteres del nombre cuando el filtro se agrega a la lista Usar un filtro guardado. Haga clic en Aceptar. Cuando aparezca el cuadro de dilogo de confirmacin, haga clic en Aceptar. Despus de que se guarda un filtro, aparece en el cuadro de lista Usar un filtro guardado para los informes y los registros relacionados.
6 7
Para eliminar un informe personalizado
1 2
En la consola, haga clic en Informes. En la ficha Informes rpidos, seleccione un tipo de informe.
Supervisin de proteccin con los informes y los registros Creacin de informes programados
613
3 4 5
En el cuadro de lista Utilizar filtro guardado, seleccione el nombre de la configuracin del filtro que desea eliminar. Haga clic en el icono Eliminar ubicado junto al cuadro de lista Usar un filtro guardado. Cuando aparezca el cuadro de dilogo de confirmacin, haga clic en S.
Creacin de informes programados

Los informes programados son los informes que se ejecutan automticamente basados en la programacin que se configura. Los informes programados se envan por correo electrnico a los destinatarios, as que es necesario incluir la direccin de correo electrnico de por lo menos un recipiente. Despus de que un informe se ejecuta, el informe se enva por correo electrnico a los destinatarios que se configuran como archivo adjunto .mht. Los datos que aparecen en los informes programados se actualizan en la base de datos cada hora. Cuando el servidor de administracin enva por correo electrnico un informe programado, los datos en el informe se actualizan en una hora. Los otros informes que contienen datos a lo largo del tiempo se actualizan en la base de datos segn el intervalo de la carga que usted configur para los registros de clientes. Ver "Especificacin del tamao de registro del cliente y registros para cargar al servidor de administracin" en la pgina 714. Nota: Si tiene varios servidores dentro de un sitio que compartan una base de datos, solo el servidor instalado primero ejecuta los informes programados para el sitio. Esta configuracin predeterminada se asegura de que todos los servidores en el sitio no ejecuten los mismos anlisis programados simultneamente. Si desea sealar un servidor diferente para ejecutar informes programados, es posible configurar esta opcin en las propiedades del sitio local. Para crear un informe programado
1 2 3
En la consola, haga clic en Informes. En la ficha Informes programados, haga clic en Agregar. En el cuadro de texto Nombre del informe, escriba un nombre descriptivo y, opcionalmente, escriba una descripcin ms larga. Aunque se puedan pegar ms de 255 caracteres en el cuadro de texto de la descripcin, solo 255 caracteres se guardan en la descripcin.
614
Supervisin de proteccin con los informes y los registros Cmo editar el filtro usado para un informe programado
4 5 6 7 8
Si no desea que se ejecute este informe, anule la seleccin de la casilla de verificacin Activar este informe programado. Seleccione el tipo de informe que desee programar del cuadro de lista. Seleccione el nombre del informe especfico que desee programar del cuadro de lista. Seleccione el nombre del filtro guardado que desee utilizar del cuadro de lista. En el cuadro de texto Ejecutar cada, seleccione el intervalo de tiempo en el cual desea que el informe sea enviado por correo electrnico a los destinatarios (horas, das, semanas o meses). A continuacin, escriba el valor para el intervalo de tiempo que usted seleccion. Por ejemplo, si desea que el informe le sea enviado da por medio, seleccione das y despus escriba 2. En el cuadro de texto Iniciar despus de, escriba la fecha en que desea que el informe se inicie o haga clic en el icono del calendario y seleccione la fecha. A continuacin, seleccione la hora y los minutos de los cuadros de lista. electrnico separadas por comas. Es necesario haber configurado las propiedades del servidor de correo para que las notificaciones de correo electrnico funcionen.
10 En Destinatarios del informe, escriba una o ms direcciones de correo
11 Haga clic en Aceptar para guardar la configuracin del informe programado.
Cmo editar el filtro usado para un informe programado

Es posible modificar la configuracin para cualquier informe que se haya programado. La prxima vez que el informe se ejecuta utiliza la nueva configuracin del filtro. Es posible adems crear informes programados adicionales, que es posible asociar a un filtro de informes previamente guardado. El almacenamiento de filtros se basa en parte en el creador, as que no ocurren problemas cuando dos usuarios diferentes crean un filtro con el mismo nombre. Sin embargo, un solo usuario o dos usuarios que se registran en la cuenta de administrador predeterminada no deben crear filtros con el mismo nombre. Si los usuarios crean filtros con el mismo nombre, un conflicto puede ocurrir en dos condiciones:
Los dos usuarios estn registrados en la cuenta del administrador predeterminada en diversos sitios y cada uno crea un filtro con el mismo nombre.
Supervisin de proteccin con los informes y los registros Imprimir y guardar una copia de un informe
615
Un usuario crea un filtro, se registra en un sitio distinto y crea inmediatamente un filtro con el mismo nombre.
Si ocurre cualquiera de estas condiciones antes de que ocurra la replicacin del sitio, el usuario ve posteriormente dos filtros con el mismo nombre en la lista de filtros. Solamente uno de los filtros es utilizable. Si ocurre este problema, es mejor eliminar el filtro utilizable y reconstruirlo con un nombre distinto. Cuando se elimina el filtro utilizable, usted adems elimina el filtro inutilizable. Ver "Guardado y eliminacin de informes personalizados" en la pgina 611. Nota: Cuando se asocia un filtro guardado a un informe programado, asegrese de que el filtro no contenga fechas personalizadas. Si el filtro especifica una fecha personalizada, usted obtendr el mismo informe cada vez que se ejecute el informe. Ver "Creacin de informes programados" en la pgina 613. Para editar el filtro utilizado para un informe programado
1 2 3 4 5 6
En la consola, haga clic en Informes. Haga clic en Informes programados. En la lista de informes, haga clic en el informe programado que desee editar. Haga clic en Editar filtro. Realice los cambios del filtro que desee. Haga clic en Guardar filtro. Si desea conservar el filtro de informes original, d a este filtro editado un nuevo nombre.
7 8
Haga clic en Aceptar. Cuando aparezca el cuadro de dilogo de confirmacin, haga clic en Aceptar.
Imprimir y guardar una copia de un informe

Es posible imprimir un informe o guardar una copia de un informe rpido. No es posible imprimir informes programados. Un archivo guardado o un informe impreso proporcionan una instantnea de los datos actuales de la base de datos de elaboracin de informes, de modo que se pueda conservar un registro del historial.
616
Supervisin de proteccin con los informes y los registros Ver registros
Nota: De forma predeterminada, Internet Explorer no imprime las imgenes y los colores de fondo. Si esta opcin de impresin est deshabilitada, el informe impreso se ver diferente del informe creado por el usuario. Puede cambiar la configuracin en el navegador para imprimir las imgenes y los colores de fondo. Ver "Ejecucin y personalizacin de informes rpidos" en la pgina 610. Para imprimir una copia de un informe
1 2
En la ventana de informes, haga clic en Imprimir. En el cuadro de dilogo Imprimir, seleccione la impresora que desee, si es necesario, y haga clic en Imprimir.
Cuando se guarda un informe, se guarda una captura de pantalla del entorno de seguridad que corresponde a los datos actuales de la base de datos de informes. Si ejecuta el mismo informe ms adelante, a partir de la misma configuracin de filtro, el nuevo informe mostrar datos diferentes. Para guardar una copia de un informe
1 2 3 4 5
En la ventana de informes, haga clic en Guardar. En el cuadro de dilogo Descarga del archivo, haga clic en Guardar. En el cuadro de dilogo Guardar como, en el cuadro de dilogo de seleccin Guardar en, vaya a la ubicacin donde desea guardar el archivo. En el cuadro de lista Nombre de archivo, modifique el nombre de archivo predeterminado, si lo desea. Haga clic en Guardar. El informe se guarda en formato de archivo de pgina web MHTML en la ubicacin que seleccion.
En el cuadro de dilogo Descarga finalizada, haga clic en Cerrar.
Ver registros
Puede generar una lista de eventos para ver desde los registros que se basan en un conjunto de opciones de filtro seleccionadas. Cada tipo de registro y de contenido tiene una configuracin de filtro predeterminada que puede utilizarse como est o modificarse. Es posible adems crear y guardar nuevas configuraciones de filtro. Estos nuevos filtros se pueden basar en el filtro predeterminado o en un filtro existente que usted cre previamente. Si guarda la configuracin del filtro, puede generar la misma vista de registro en una fecha posterior sin tener que volver a configurar las opciones. Es posible eliminar las configuraciones de filtro personalizadas si ya no las necesita.
617
Nota: Si se producen errores de base de datos cuando se visualizan los registros que incluyen una gran cantidad de datos, puede ser recomendable modificar los parmetros de tiempo de espera de la base de datos. Si se muestran errores CGI o de terminacin de procesos, puede ser necesario cambiar otros parmetros de tiempo de espera. Ver "Cmo cambiar los parmetros de tiempo de espera para revisar informes y registros" en la pgina 1081. Debido a que los registros contienen cierta informacin que se recopila a intervalos, es posible actualizar las vistas de los registros. Para configurar la frecuencia de actualizacin del registro, visualice el registro y seleccinelo del cuadro de lista Actualizacin automtica en la parte superior derecha de la vista de ese registro. Nota: Si ve datos de registro usando fechas especficas, los datos permanecen iguales cuando se hace clic en Actualizacin automtica. Los informes y los registros siempre muestran el idioma en el que se instal el servidor de administracin. Para ver esta informacin cuando utiliza una consola o un navegador remoto de Symantec Endpoint Protection Manager, la fuente apropiada debe estar instalada en el equipo. Ver "Acerca de los registros" en la pgina 618. Ver "Guardado y eliminacin de registros personalizados con filtros" en la pgina 621. Para ver un registro
1 2 3 4 5
En la ventana principal, haga clic en Supervisin. En la ficha Registros, del cuadro de lista Tipo de registro, seleccione el tipo de registro que desea ver. En algunos tipos de registros, aparece un cuadro de lista Contenido del registro. Si aparece, seleccione el contenido del registro que desea ver. En el cuadro de lista Usar un filtro guardado, seleccione un filtro guardado o deje el valor Predeterminado. Seleccione un tiempo del cuadro de lista Intervalo de tiempo o deje el valor predeterminado. Si selecciona Definir fechas especficas, defina la fecha o las fechas y la hora para las cuales desea visualizar entradas.
618
Haga clic en Configuracin avanzada para limitar la cantidad de entradas que se visualizan. Es posible adems configurar cualquier otra Configuracin avanzada disponible para el tipo de registro que seleccion. Nota: Los campos de opcin del filtro que aceptan caracteres comodn y buscan coincidencias no diferencian entre maysculas y minsculas. El carcter del asterisco ASCII es el nico carcter de asterisco que se puede utilizar como carcter comodn.
Despus de tener la configuracin de vista que desea, haga clic en Ver registro. La vista de registro aparece en la misma ventana.
Acerca de los registros

Los registros contienen registros sobre cambios en la configuracin de los clientes, actividades relacionadas con la seguridad y errores. Estos registros se llaman eventos. Los registros muestran estos eventos con cualquier informacin adicional relevante. Las actividades relacionadas con la seguridad incluyen informacin sobre detecciones de virus, el estado del equipo, y el trfico entrante o saliente del equipo cliente. Los registros son un mtodo importante para conocer la actividad del equipo de cada cliente y su interaccin con otros equipos y redes. Es posible usar estos datos para analizar el estado general de seguridad de la red y para modificar la proteccin en los equipos cliente. Es posible realizar un seguimiento de las tendencias que se relacionan con virus, riesgos para la seguridad y ataques. Si varias personas utilizan el mismo equipo, es posible que pueda identificar quin introduce riesgos, y ayudar a esa persona a tomar mayores precauciones. Es posible ver los datos de registro en la ficha Registros de la pgina Supervisin. El servidor de administracin carga regularmente la informacin en los registros de los clientes al servidor de administracin. Es posible ver esta informacin en los registros o en informes. Dado que los informes son estticos y no incluyen tantos detalles como los registros, es posible que prefiera supervisar la red principalmente con registros.
619
Nota: Si tiene solamente Symantec Network Access Control instalado, solo algunos de los registros contienen datos; algunos registros estn vacos. Los registros de auditora, de cumplimiento, de estado del equipo y del sistema contienen datos. Si tiene solamente Symantec Endpoint Protection instalado, los registros de cumplimiento y los registros de Enforcer estn vacos, pero el resto de los registros contienen datos. Es posible ver la informacin sobre las notificaciones creadas en la ficha Notificaciones y la informacin sobre el estado de los comandos en la ficha Estado del comando. Es posible adems ejecutar comandos desde algunos registros. Ver "Ejecucin de comandos en el equipo cliente desde los registros" en la pgina 623. La Tabla 23-3 describe los distintos tipos de contenido que es posible ver y las acciones que pueden efectuarse desde cada registro. Tabla 23-3 Tipo de registro
Auditora
Tipos de registros
Contenido y acciones
Los registros de auditora contienen informacin sobre la actividad de modificacin de polticas. La informacin disponible incluye la hora y el tipo de evento; la poltica modificada; el dominio, el sitio y el nombre de usuario implicado; y una descripcin. No hay ninguna accin asociada a este registro.
El registro de control de aplicaciones y el registro de control de dispositivos contienen informacin sobre los eventos en los que se bloque determinado tipo de comportamiento. Los siguientes registros de control de aplicaciones y dispositivos estn disponibles: Control de aplicaciones, que incluye informacin sobre proteccin contra intervenciones Control de dispositivos
La informacin disponible incluye la hora en que ocurri el evento, las medidas tomadas, el dominio y el equipo que estaban implicados, el usuario que estaba implicado, la gravedad, la regla que estaba implicada, el proceso de llamada y el destino. Es posible crear un control de aplicaciones o una excepcin de Proteccin contra intervenciones del registro Control de aplicaciones. Ver "Exclusin de aplicaciones del control de aplicaciones" en la pgina 528.
620
Tipo de registro
Cumplimiento
Los registros de cumplimiento contienen informacin sobre el servidor de Enforcer, los clientes Enforcer y el trfico de Enforcer, y sobre cumplimiento de los hosts. No hay ninguna accin asociada a estos registros.
estado del equipo
Los registros de estado del equipo contienen informacin sobre el estado operacional de los equipos cliente de la red en tiempo real. La informacin disponible incluye el nombre del equipo, la direccin IP, el estado infectado, las tecnologas de proteccin, el estado Auto-Protect, las versiones, la fecha de las definiciones, el usuario, la hora del ltimo registro, la poltica, el grupo, el dominio y el estado que indica que debe reiniciar. Es posible adems borrar el estado infectado de los equipos desde este registro.
Proteccin contra amenazas Los registros de proteccin contra amenazas de red contienen informacin sobre de red ataques en el firewall y en la prevencin de intrusiones. Existe informacin disponible sobre ataques de negacin de servicio, anlisis de puertos y los cambios que fueron realizados a los archivos ejecutables. Adems contienen la informacin sobre las conexiones que se hacen a travs del firewall (trfico) y los paquetes de datos que pasan a travs de l. Estos registros adems contienen algunos de los cambios operacionales que se realizan en los equipos, como detectar aplicaciones de red y configurar software. No hay ninguna accin asociada a estos registros. SONAR El El registro de SONAR contiene informacin sobre las amenazas que se han detectado durante el anlisis de amenazas de SONAR. Estos son los anlisis en tiempo real que detectan aplicaciones potencialmente maliciosas cuando se ejecutan en sus equipos cliente. La informacin disponible incluye elementos, como la hora de la incidencia, la accin real del evento, el nombre de usuario, el equipo o el dominio, la aplicacin o el tipo de aplicacin, el recuento y el archivo o la ruta. Ver "Acerca de SONAR" en la pgina 379. Riesgo El registro de riesgos contiene informacin sobre eventos de riesgo. La informacin disponible incluye la hora del evento, la accin real del evento, el nombre de usuario, el equipo o el dominio, el nombre del riesgo o el origen, el recuento y el archivo o la ruta.
621
Tipo de registro
Analizar
El Registro de anlisis contiene informacin sobre la actividad de anlisis de virus y spyware. La informacin disponible incluye elementos, tales como el inicio del anlisis, el equipo, la direccin IP, el estado, la duracin, las detecciones, los elementos analizados, los elementos omitidos y el dominio. No hay ninguna accin asociada a estos registros.
Sistema
Los registros de sistema contienen informacin sobre eventos tales como cundo se inician y se detienen los servicios. No hay ninguna accin asociada a estos registros.
Guardado y eliminacin de registros personalizados con filtros

Es posible crear filtros personalizados con Configuracin bsica y Configuracin avanzada para modificar la informacin que se desea ver. Es posible guardar la configuracin del filtro en la base de datos de modo que se pueda volver a generar la misma vista en el futuro. Cuando guarda la configuracin, se guarda en la base de datos. El nombre que se da al filtro aparece en el cuadro de lista Usar un filtro guardado para ese tipo de registros y de informes. Nota: Si seleccion ltimas 24 horas como el intervalo de tiempo para un filtro de registro, el intervalo de tiempo de 24 horas se inicia al seleccionar el filtro por primera vez. Si se actualiza la pgina, no se restablece el inicio del intervalo de 24 horas. Si selecciona el filtro y espera para crear un registro, el intervalo de tiempo se inicia al seleccionar el filtro. No se inicia cuando ve el registro. Para asegurarse de que el intervalo de las ltimas 24 horas comience en este momento, seleccione un intervalo de tiempo diferente y vuelva a seleccionar ltimas 24 horas. Para guardar un registro personalizado con un filtro
1 2 3
En la ventana principal, haga clic en Supervisin. En la ficha Registros, seleccione el tipo de vista de registro para la que desea configurar un filtro, desde el cuadro de lista Tipo de registro. En algunos tipos de registros, aparece un cuadro de lista Contenido del registro. Si aparece, seleccione el contenido del registro para el que desea configurar un filtro.
622
4 5 6 7 8
En el cuadro de lista Usar un filtro guardado, seleccione el filtro desde el cual desea establecer el inicio. Por ejemplo, seleccione el filtro predeterminado. En la seccin Qu configuracin de filtros desea utilizar, haga clic en Configuracin avanzada. Modifique cualquiera de las opciones. Haga clic en Guardar filtro. En el cuadro de dilogo que aparece, en el cuadro Nombre del filtro, escriba el nombre que desee utilizar para esta configuracin de filtro de registro. Solo se muestran los primeros 32 caracteres del nombre cuando el filtro guardado se agrega a la lista de filtros. Haga clic en Aceptar. El nombre del nuevo filtro se agrega al cuadro de lista Usar un filtro guardado.
10 Cuando aparezca el cuadro de dilogo de confirmacin, haga clic en Aceptar.

Para eliminar un filtro guardado
1 2 3
En el cuadro de lista Usar un filtro guardado, seleccione el nombre de la configuracin del filtro que desea eliminar. Al lado del cuadro de lista Usar un filtro guardado, haga clic en el icono Eliminar. Cuando se le solicite confirmar si desea eliminar el filtro, haga clic en S.
Visualizacin de registros de otros sitios

Si desea ver los registros de otro sitio, deber iniciar sesin en a un servidor en el sitio remoto de la consola de Symantec Endpoint Protection Manager. Si tiene una cuenta en un servidor en el sitio remoto, es posible iniciar sesin remotamente y ver los registros de ese sitio. Si ha configurado partners de replicacin, puede elegir copiar todos los registros de los partners de replicacin a un partner local, y viceversa. Ver "Cmo especificar qu datos reproducir" en la pgina 183. Si elige replicar los registros, de forma predeterminada, ver la informacin de su sitio y de los sitios replicados cuando visualiza cualquier registro. Si desea ver un solo sitio, es necesario filtrar los datos para limitarlos a la ubicacin que desea ver. Nota: Si elige replicar registros, asegrese de que tiene suficiente espacio libre en el disco para registros adicionales en todos los partners de replicacin.
Supervisin de proteccin con los informes y los registros Ejecucin de comandos en el equipo cliente desde los registros
623
Para ver los registros de otro sitio
1 2
Abra un navegador web. Escriba el nombre del servidor o la direccin IP y el nmero de puerto, 9090, en el cuadro de texto de la direccin, de la siguiente manera: http://192.168.1.100:9090 La consola empieza a descargar. El equipo desde el cual usted inici sesin debe tener el entorno Java 2 Runtime Environment (JRE, Java Runtime Environment) instalado. Si no, se le pedir que lo descargue e instale. Siga las indicaciones para instalar JRE.
3 4
En el cuadro de dilogo de inicio de sesin de la consola, escriba su nombre de usuario y su contrasea. En el cuadro de texto Servidor, si no se completa automticamente, escriba el nombre del servidor o la direccin IP y el nmero de puerto 8443, de la siguiente manera: http://192.168.1.100:8443
Haga clic en Iniciar sesin.
Ejecucin de comandos en el equipo cliente desde los registros

Desde el registro Estado del equipo, es posible ejecutar varios comandos en los equipos cliente. Es posible tambin hacer clic con el botn derecho en un grupo directamente desde la pgina Clientes de la consola de Symantec Endpoint Protection Manager para ejecutar comandos. Ver "Acerca de los comandos que puede ejecutar en los equipos cliente" en la pgina 213. Ver "Ejecucin de comandos en el equipo cliente desde la consola" en la pgina 215. Desde la ficha Estado del comando, es posible ver el estado de los comandos que se han ejecutado desde la consola y sus detalles. Es posible adems cancelar un anlisis especfico desde esta ficha si el anlisis est en curso. Es posible ver el estado de los comandos que se han ejecutado desde la consola y sus detalles. Es posible adems cancelar un anlisis especfico desde esta ficha si el anlisis est en curso.
624
Es posible cancelar todos los anlisis en curso y en cola para los clientes seleccionados. Si confirma el comando, la tabla se actualiza y se ve que el comando de cancelacin se agrega a la tabla de estado del comando. Nota: Si ejecuta un comando de anlisis y selecciona un Anlisis personalizado, el anlisis utiliza la configuracin del anlisis de comando que usted configur en la pgina Anlisis definido por el administrador. El comando usa la configuracin que est en la poltica de proteccin antivirus y antispyware que se aplica a los equipos cliente seleccionados. Si ejecuta un comando Reiniciar equipo cliente, el comando se enva inmediatamente. Si hay usuarios conectados al cliente, se les advierte sobre el reinicio, de acuerdo con las opciones que el administrador haya configurado para ese cliente. Es posible configurar opciones de reinicio de clientes en la ficha Configuracin general. Ver "Cmo reiniciar equipos cliente" en la pgina 143. Desde el registro de Riesgos, es posible adems eliminar los archivos de Cuarentena. Ver "Cmo usar el registro de riesgos para eliminar los archivos en cuarentena en sus equipos cliente" en la pgina 344. Para ejecutar un comando desde el registro Estado del equipo
1 2 3 4 5
Haga clic en Supervisin. En la ficha Registros, del cuadro de lista Tipo de registro, seleccione Estado del equipo. Haga clic en Ver registro. Seleccione un comando del cuadro de lista Accin. Haga clic en Start(Iniciar). Si hay opciones de configuracin para el comando que usted seleccion, aparecer una nueva pgina donde es posible configurar las opciones apropiadas.
Cuando haya finalizado la configuracin, haga clic en S o Aceptar.
625
7 8
En el cuadro de mensaje de confirmacin del comando que aparece, haga clic en S. En el cuadro de dilogo Mensaje, haga clic en Aceptar. Si el comando no se pone en cola correctamente, es posible que se deba repetir este procedimiento. Se puede verificar si el servidor no funciona. Si la consola ha perdido conectividad con el servidor, es posible finalizar la sesin en la consola y a continuacin volver a iniciarla para ver si ayuda.
Para ver los detalles del estado del comando
1 2
Haga clic en Supervisin. En la ficha Estado del comando, seleccione un comando de la lista y a continuacin haga clic en Detalles.
Para cancelar un anlisis especfico que est en curso
1 2 3
Haga clic en Supervisin. En la ficha Estado del comando, haga clic en el icono Cancelar anlisis de la columna Comando del comando de anlisis que desee cancelar. Cuando aparece una confirmacin de que el comando se puso en cola correctamente, haga clic en Aceptar.
Para cancelar todos los anlisis en curso y puestos en cola
1 2 3 4 5 6
Haga clic en Supervisin. En la ficha Registros, del cuadro de lista Tipo de registro, seleccione Estado del equipo. Haga clic en Ver registro. Seleccione uno o ms equipos de la lista y a continuacin active Cancelar todos los anlisis de la lista de comandos. Haga clic en Start(Iniciar). Cuando aparezca el cuadro de dilogo de confirmacin, haga clic en S para cancelar todos los anlisis en curso y puestos en cola de los equipos seleccionados. Cuando aparece una confirmacin de que el comando se puso en cola correctamente, haga clic en Aceptar.
626
Captulo
24
Administracin de notificaciones

Cmo administrar notificaciones Establecimiento de la comunicacin entre el servidor de administracin y los servidores de correo electrnico Visualizacin y reconocimiento de notificaciones Cmo guardar y eliminar los filtros de notificaciones administrativas Cmo configurar notificaciones de administrador Cmo las actualizaciones de otra versin afectan las condiciones de las notificaciones
Cmo administrar notificaciones

Las notificaciones advierten a los administradores y usuarios del equipo sobre problemas de seguridad potenciales. Algunos tipos de notificacin contienen valores predeterminados cuando se los configura. Estas pautas proporcionan puntos de partida razonables segn el tamao de su entorno, pero es posible que deban ser ajustados. Tal vez sea necesario utilizar prueba y error para encontrar el equilibrio correcto entre demasiadas y demasiadas pocas notificaciones para su entorno. Configure el umbral en un lmite inicial y espere algunos das. Despus de algunos das, se puede ajustar la configuracin de las notificaciones. Para la deteccin de virus, riesgos para la seguridad y eventos de firewall, suponga que tiene menos de 100 equipos en una red. Un punto de partida razonable en
628
Administracin de notificaciones Cmo administrar notificaciones
esta red es configurar una notificacin cuando dos eventos de riesgo se detectan en el plazo de un minuto. Si tiene 100 a 1000 equipos, detectar cinco eventos de riesgo en el plazo de un minuto puede ser un punto de partida ms til. Las notificaciones se administran en la pgina Supervisin. Es posible usar la Pgina principal para determinar el nmero de notificaciones no reconocidas que necesitan atencin. La Tabla 24-1 enumera las tareas que se pueden realizar para administrar notificaciones. Tabla 24-1 Tarea
Aprenda sobre notificaciones Confirme que se configur el servidor de correo electrnico para habilitar notificaciones por correo electrnico
Administracin de notificaciones Descripcin

Aprenda cmo las notificaciones funcionan. Ver "Cmo funcionan las notificaciones" en la pgina 629. Las notificaciones enviadas por correo electrnico necesitan que Symantec Endpoint Protection Manager y el servidor de correo electrnico estn correctamente configurados. Ver "Establecimiento de la comunicacin entre el servidor de administracin y los servidores de correo electrnico" en la pgina 635.
Revise las notificaciones Revise las notificaciones configuradas previamente configuradas previamente proporcionadas por Symantec Endpoint Protection. Consulte las notificaciones Consulte las notificaciones no reconocidas y respndalas. no reconocidas Ver "Visualizacin y reconocimiento de notificaciones" en la pgina 635. Configure las nuevas notificaciones Cree opcionalmente notificaciones para que les recuerden al usuario y a otros administradores sobre problemas importantes. Ver "Cmo configurar notificaciones de administrador" en la pgina 638. Ver "Acerca de activar las notificaciones para los clientes remotos" en la pgina 250. Cree filtros de notificacin Cree opcionalmente los filtros para expandir o para limitar su vista de todas las notificaciones que se han activado. Ver "Cmo guardar y eliminar los filtros de notificaciones administrativas" en la pgina 637.
629
Cmo funcionan las notificaciones

Las notificaciones alertan a los administradores y los usuarios sobre problemas de seguridad potenciales. Por ejemplo, una notificacin puede alertar a los administradores sobre una licencia caducada o una infeccin por virus. Los eventos activan una notificacin. Un nuevo riesgo para la seguridad, un cambio de hardware en un equipo cliente o la caducidad de una licencia de software de prueba pueden activar una notificacin. Puede tomar medidas el sistema una vez que se activa una notificacin. Una accin puede registrar la notificacin en un registro o ejecutar un archivo por lotes o un archivo ejecutable o enviar un correo electrnico. Nota: Las notificaciones por correo electrnico necesitan que las comunicaciones entre Symantec Endpoint Protection Manager y el servidor de correo electrnico estn configuradas correctamente. Es posible configurar un perodo de reduccin para las notificaciones. El perodo de reduccin especifica el tiempo que debe pasar antes de que la condicin de notificacin sea comprobada en busca de nuevos datos. Cuando una condicin de notificacin tiene un perodo de reduccin, la notificacin se emite solamente en la primera incidencia de activacin de la condicin en ese perodo. Por ejemplo, suponga que ocurre un ataque de virus grande y que hay una condicin de notificacin configurada para enviar un correo electrnico siempre que los virus infecten cinco equipos en la red. Si configura un perodo de reduccin de un hora para esa condicin de notificacin, el servidor enva solamente un correo electrnico de notificacin por hora durante el ataque. Ver "Cmo administrar notificaciones" en la pgina 627. Ver "Establecimiento de la comunicacin entre el servidor de administracin y los servidores de correo electrnico" en la pgina 635. Ver "Acerca de las notificaciones con configuracin previa" en la pgina 629. Ver "Cmo configurar notificaciones de administrador" en la pgina 638. Ver "Visualizacin y reconocimiento de notificaciones" en la pgina 635.
Acerca de las notificaciones con configuracin previa

Symantec Endpoint Protection Manager proporciona las condiciones de notificacin configuradas previamente para los administradores. Es posible personalizar estas notificaciones configuradas previamente para cumplir con sus necesidades determinadas. Por ejemplo, puede agregar filtros para limitar una
630
condicin de activacin solamente para equipos especficos. O puede configurar notificaciones para tomar medidas especficas cuando se activan. De forma predeterminada, algunas de estas condiciones se habilitan cuando se instala Symantec Endpoint Protection Manager. Las condiciones de notificacin que se habilitan de forma predeterminada se configuran para registrar el servidor y para enviar correos electrnicos a los administradores del sistema. Ver "Cmo administrar notificaciones" en la pgina 627. Ver "Cmo las actualizaciones de otra versin afectan las condiciones de las notificaciones" en la pgina 639. Tabla 24-2 Notificacin
Error de autenticacin
Notificaciones configuradas previamente Descripcin

La notificacin de error de autenticacin se activa con un determinado nmero de errores de inicio de sesin en un perodo definido. Es posible configurar el nmero de errores de inicio de sesin y el perodo dentro del que debe ocurrir para activar la notificacin. Las notificaciones se activan cuando hay un cambio en la lista de clientes existente. Esta condicin de notificacin se habilita de forma predeterminada. Los cambios de la lista de clientes pueden incluir lo siguiente:

Lista de clientes modificada
La incorporacin de un cliente Un cambio en el grupo de un cliente Un cambio en el nombre de un cliente La eliminacin de un cliente Un cambio en el hardware de un cliente
Un cambio en el estado del detector no administrado de un cliente Un cambio de modo de cliente
631
Notificacin
Alerta de seguridad de cliente
Descripcin
Esta notificacin se activa en funcin de cualquiera de los siguientes eventos de seguridad:

Eventos de cumplimiento Eventos de proteccin contra amenazas de red Eventos de trfico Eventos de paquetes Eventos de control de dispositivos Eventos de control de aplicaciones
Es posible modificar esta notificacin para especificar el tipo, la gravedad y la frecuencia de las condiciones que activan el perodo de la notificacin dentro del cual ocurren estos eventos. Algunos de estos tipos de incidencia necesitan que adems active el registro en la poltica asociada. Contenido de proteccin de descargas desactualizado Alerta a los administradores con respecto al contenido de la proteccin de descarga desactualizado. Es posible especificar la antigedad en la cual las definiciones activan la notificacin. Esta notificacin se activa cuando el dispositivo Enforcer se desconecta. La notificacin indica el nombre de cada Enforcer, su grupo y la hora de su ltimo estado. Esta notificacin se activa cuando una aplicacin en la lista de aplicaciones comerciales se detecta o cuando una aplicacin en la lista de aplicaciones supervisadas por el administrador se detecta. Alerta a los administradores con respecto a las firmas IPS desactualizadas. Es posible especificar la antigedad en la cual las definiciones activan la notificacin. Esta notificacin alerta a administradores y, opcionalmente, a partners con respecto a licencias pagadas que han caducado o que estn a punto de caducar. Esta condicin de notificacin se habilita de forma predeterminada.
Enforcer est inactivo
Aplicacin forzada detectada
Firmas IPS desactualizadas
Emisin de licencia paga
632
Notificacin
Problema de implementacin excesiva
Descripcin
Esta notificacin alerta a administradores y, opcionalmente, a partners con respecto a licencias pagas sobreimplementadas. Esta condicin de notificacin se habilita de forma predeterminada.
Caducidad de licencia de prueba La notificacin alerta a los administradores con respecto a las licencias de prueba caducadas. Esta notificacin est habilitada de forma predeterminada. Nueva aplicacin reconocidas Esta notificacin se activa cuando el aprendizaje de la aplicacin detecta una nueva aplicacin. Esta notificacin se activa cuando un equipo cliente habilita una aplicacin detectada por Diagnstico Insight de descargas. Un administrador puede usar esta informacin para ayudar a evaluar si desea bloquear o permitir la aplicacin. Esta notificacin se activa siempre que se detecta un nuevo riesgo por anlisis de spyware y virus. Esta notificacin se activa cuando descarga un nuevo paquete de software u ocurre lo siguiente: Un paquete cliente se descarga mediante LiveUpdate. Se actualiza el servidor de administracin.

Nueva aplicacin permitida por el usuario
Nuevo riesgo detectado
Nuevo paquete de software
Los paquetes cliente se importan manualmente mediante la consola.
Es posible especificar si la notificacin se activa solamente ante nuevas definiciones de seguridad, nuevos paquetes cliente o ambas opciones. De forma predeterminada, se habilita la opcin de configuracin Paquetes de cliente y la opcin Definiciones de seguridad se deshabilita para esta condicin. Esta condicin de notificacin se habilita de forma predeterminada.
633
Notificacin
Ataque de riesgo
Descripcin
La notificacin alerta a los administradores con respecto a ataques de riesgos para la seguridad. Configure el nmero y el tipo de incidencias de los nuevos riesgos y del perodo dentro del cual debe ocurrir para activar la notificacin. Los tipos incluyen instancias en cualquier equipo, instancias en un solo equipo o instancias en equipos distintos. Esta condicin de notificacin se habilita de forma predeterminada
Estado del servidor
Los problemas de estado del servidor activan la notificacin. La notificacin detalla el nombre del servidor, el estado, el motivo y el estado en lnea/sin conexin ms actualizado. Esta condicin de notificacin se habilita de forma predeterminada.
Evento de riesgo simple
Esta notificacin se activa ante la deteccin de un nico evento de riesgo y proporciona los detalles sobre el riesgo. Los detalles incluyen el usuario y el equipo implicados, y las medidas tomadas por el servidor de administracin. Alerta a los administradores con respecto a definiciones de SONAR desactualizadas. Es posible especificar la antigedad en la cual las definiciones activan la notificacin. Esta notificacin se activa ante ciertos eventos del sistema y proporciona el nmero de eventos que se detectaron. Los eventos del sistema incluyen los eventos siguientes:

Definicin de SONAR desactualizada
Evento del sistema
Actividades del servidor Actividades de Enforcer Errores de replicacin Eventos de restauracin y copia de seguridad Errores del sistema
Equipos no administrados
Esta notificacin se activa cuando el servidor de administracin detecta equipos no administrados en la red. La notificacin proporciona detalles, incluida la direccin IP, la direccin MAC y el sistema operativo de cada equipo no administrado.
634
Notificacin
Caducidad de la licencia de actualizacin
Descripcin
A las actualizaciones de versiones anteriores de Symantec Endpoint Protection Manager a la versin actual se les conceden licencias de actualizacin. Esta notificacin se activa cuando esa licencia de actualizacin est por caducar. Alerta a los administradores con respecto a definiciones de virus desactualizadas. Es posible especificar la antigedad en la cual las definiciones activan la notificacin.
Definiciones de virus desactualizadas
Acerca de las notificaciones del partner

Cuando el servidor de administracin detecta que los clientes han pagado las licencias que estn a punto de caducar o que han caducado, pueden enviar una notificacin al administrador del sistema. Del mismo modo, el servidor de administracin puede enviar una notificacin al administrador cuando detecta que las licencias estn sobreimplementadas. Sin embargo, en ambos casos, la resolucin del problema puede requerir la adquisicin de nuevas licencias o renovaciones. En muchas instalaciones, es posible que el administrador del servidor tenga la autoridad para efectuar dichas adquisiciones, sino que por el contrario, depende de un partner de Symantec para realizar esta tarea. El servidor de administracin proporciona la capacidad de mantener la informacin de contacto para el partner. Esta informacin se puede proporcionar cuando el servidor est instalado. El administrador del sistema tambin puede suministrar o editar la informacin del partner en cualquier momento despus de la instalacin en el panel Licencias de la consola. Cuando la informacin de contacto del partner est disponible en el servidor de administracin, las notificaciones relacionadas con licencias pagas y con licencias sobreimplementadas se envan automticamente al administrador y al partner. Ver "Acerca de las notificaciones con configuracin previa" en la pgina 629.
Administracin de notificaciones Establecimiento de la comunicacin entre el servidor de administracin y los servidores de correo electrnico
635
Establecimiento de la comunicacin entre el servidor de administracin y los servidores de correo electrnico

Para que el servidor de administracin enve notificaciones automticas por correo electrnico, debe configurar la conexin entre el servidor de administracin y el servidor de correo electrnico. Ver "Cmo administrar notificaciones" en la pgina 627. Para establecer la comunicacin entre el servidor de administracin y los servidores de correo electrnico
1 2 3 4 5
En la consola, haga clic en Administrador y, luego, en Servidores. En Servidores, seleccione el servidor de administracin para el cual desea establecer una conexin al servidor de correo electrnico. En Tareas, haga clic en Editar propiedades de servidor. En el cuadro de dilogo Propiedades del servidor, haga clic en la ficha Servidor de correo electrnico. Especifique la configuracin del servidor de correo electrnico. Para obtener informacin acerca de las opciones de configuracin en este cuadro de dilogo, haga clic en Ayuda.
Visualizacin y reconocimiento de notificaciones

Es posible ver las notificaciones no reconocidas o todas las notificaciones. Es posible reconocer una notificacin no reconocida. Es posible ver todas las condiciones de notificacin que estn configuradas actualmente en la consola. El panel Estado de seguridad en la Pgina principal indica el nmero de notificaciones no reconocidas que han ocurrido durante las ltimas 24 horas. Ver "Cmo administrar notificaciones" en la pgina 627.
636
Administracin de notificaciones Visualizacin y reconocimiento de notificaciones
Para ver las notificaciones no reconocidas recientes
1 2
En la consola, haga clic en Pgina principal. En la Pgina principal, en el panel Estado de seguridad, haga clic en Ver notificaciones. Una lista de notificaciones no reconocidas recientes aparece en la ficha Notificaciones.
Opcionalmente, en la lista de notificaciones, en la columna Informe, haga clic en el icono de documento si existe. El informe de la notificacin aparece en otra ventana de navegador. Si no hay icono de documento, toda la informacin de la notificacin aparece en la columna Mensaje en la lista de notificaciones.
Para ver todas las notificaciones
1 2
En la consola, haga clic en Supervisin y, a continuacin, en la ficha Notificaciones. Opcionalmente, en la ficha Notificaciones, del men Usar un filtro guardado, seleccione un filtro guardado. Ver "Cmo guardar y eliminar los filtros de notificaciones administrativas" en la pgina 637.
3 4
Opcionalmente, en la ficha Notificaciones, del men Intervalo de tiempo, seleccione un intervalo de tiempo. En la ficha Notificaciones, haga clic en Ver notificaciones.
Para reconocer una notificacin
Vea las notificaciones. Ver "Para ver las notificaciones no reconocidas recientes" en la pgina 636. Ver "Para ver todas las notificaciones" en la pgina 636.
En la ficha Notificaciones, en la lista de notificaciones, en la columna Rec., haga clic en el icono rojo para reconocer la notificacin.
Para ver todas las condiciones de notificacin configuradas
1 2
En la consola, haga clic en Supervisin. En la pgina Supervisin, en la ficha Notificaciones, haga clic en Condiciones de notificacin. Se muestran todas las condiciones de notificacin que estn configuradas en la consola. Es posible filtrar la lista seleccionando un tipo de notificacin del men Mostrar tipo de notificacin.
Administracin de notificaciones Cmo guardar y eliminar los filtros de notificaciones administrativas
637
Cmo guardar y eliminar los filtros de notificaciones administrativas

Es posible usar los filtros para expandir o para limitar su vista de notificaciones administrativas en la consola. Es posible guardar los filtros nuevos y se pueden eliminar los filtros previamente guardados. Ver "Visualizacin y reconocimiento de notificaciones" en la pgina 635. Ver "Cmo administrar notificaciones" en la pgina 627. Es posible crear un filtro guardado que use cualquier combinacin de los criterios siguientes:

Intervalo de tiempo Estado de reconocimiento Tipo de notificacin Creado por Nombre de la notificacin
Por ejemplo, se puede crear un filtro que muestre solamente las notificaciones de ataques de riesgo no reconocidos publicadas durante las ltimas 24 horas. Para agregar un filtro de notificacin
1 2 3 4 5
En la consola, haga clic en Supervisin. En la pgina Supervisin, en la ficha Notificaciones, haga clic en Configuracin avanzada. En el encabezado Qu configuracin de filtros desea utilizar?, configure los criterios para el filtro. Haga clic en Guardar filtro. En la ficha Notificaciones, en el cuadro Nombre del filtro, escriba el nombre de un filtro y, a continuacin , haga clic en Aceptar.
Para eliminar un filtro de notificacin guardado
1 2 3 4
En la consola, haga clic en Supervisin. En la pgina Supervisin, en la ficha Notificaciones, en el men Usar un filtro guardado, elija un filtro. A la derecha del men Usar un filtro guardado, haga clic en el icono X. En el cuadro de dilogo Eliminar filtro, haga clic en S.
638
Administracin de notificaciones Cmo configurar notificaciones de administrador
Cmo configurar notificaciones de administrador

Es posible configurar notificaciones para alertarle a usted y a otros administradores cuando ocurren clases determinadas de eventos. Es posible tambin agregar las condiciones que activan las notificaciones que le recuerdan realizar tareas importantes. Por ejemplo, se puede agregar una condicin de notificacin para informarle cuando una licencia ha caducado o cuando se ha detectado un riesgo para la seguridad. Cuando se activa, una notificacin puede realizar acciones especficas, tales como las siguientes:

Registrar la notificacin en la base de datos. Enviar un mensaje de correo electrnico a uno o ms individuos. Ejecutar un archivo por lotes.
Nota: Para enviar notificaciones por correo electrnico, es necesario configurar un servidor de correo electrnico para comunicarse con el servidor de administracin. Ver "Establecimiento de la comunicacin entre el servidor de administracin y los servidores de correo electrnico" en la pgina 635. Se elige la condicin de notificacin de una lista de tipos de notificacin disponibles. Una vez que se elige el tipo de notificacin, configrela de la siguiente manera:
Especifique los filtros. No todos los tipos de notificaciones proporcionan filtros. Cuando lo hacen, se pueden usar los filtros para limitar las condiciones que activan la notificacin. Por ejemplo, se puede restringir una notificacin para que se active solamente cuando los equipos en un grupo especfico se afectan. Especifique la configuracin. Todos los tipos de notificaciones proporcionan configuracin, pero la configuracin especfica vara de tipo a tipo. Por ejemplo, una notificacin de riesgo puede permitirle especificar qu tipo de anlisis activa la notificacin. Especifique las acciones. Todos los tipos de notificaciones proporcionan acciones que se pueden especificar.
Administracin de notificaciones Cmo las actualizaciones de otra versin afectan las condiciones de las notificaciones
639
Para configurar una notificacin de administrador
1 2 3 4
En la consola, haga clic en Supervisin. En la pgina Supervisin, en la ficha Notificaciones, haga clic en Condiciones de notificacin. En la ficha Notificaciones, haga clic en Agregar y despus haga clic en un tipo de notificacin. En el cuadro de dilogo Agregar condicin de notificacin, proporcione la siguiente informacin:
En el cuadro de texto Nombre de la notificacin, escriba un nombre para etiquetar la condicin de notificacin. En el rea Qu configuracin de filtros desea utilizar?, si est presente, especifique la configuracin del filtro para la condicin de notificacin. En el rea Qu configuracin desea para esta notificacin?, especifique las condiciones que activan la notificacin. En el rea Qu debe ocurrir cuando se active esta notificacin?, especifique las medidas que se deben tomar cuando se activa la notificacin.
Ver "Cmo administrar notificaciones" en la pgina 627. Ver "Visualizacin y reconocimiento de notificaciones" en la pgina 635.
Cmo las actualizaciones de otra versin afectan las condiciones de las notificaciones
Cuando Symantec Endpoint Protection est instalado en un nuevo servidor, muchas de las condiciones configuradas previamente de notificacin se habilitan de forma predeterminada. Una actualizacin a Symantec Endpoint Protection de una versin previa, sin embargo, puede afectar qu condiciones de notificacin se habilitan de forma predeterminada. Puede adems afectar su configuracin predeterminada. Las condiciones siguientes de notificacin se habilitan de forma predeterminada en una nueva instalacin de Symantec Endpoint Protection:

Lista de clientes modificada Nuevo software de cliente Emisin de implementacin en exceso Emisin de licencia paga
640
Ataque de riesgo Estado del servidor Caducidad de la licencia del software de prueba Definiciones de virus desactualizadas
Cuando un administrador actualiza el software de una versin anterior, todas las condiciones existentes de notificacin de la versin anterior se conservan. Sin embargo, las condiciones existentes de notificacin Nuevo paquete de software se convierten en condiciones de notificacin Nuevo software de cliente. La condicin Nuevo software de cliente tiene dos opciones de configuracin que no estn presentes en la condicin Nuevo paquete de software : Paquete cliente y Definiciones de seguridad. Cuando se actualiza el software, ambas opciones de configuracin se habilitan para las condiciones de notificacin de este tipo que se conservan en la actualizacin. Las notificaciones Nuevo software de cliente que son condiciones creadas despus de la actualizacin, sin embargo, tienen la configuracin Paquete cliente habilitada y la configuracin Definiciones de seguridad deshabilitada de forma predeterminada. Nota: Cuando la configuracin Definiciones de seguridad en la condicin de notificacin Nuevo software de cliente se habilita, puede hacer que un gran nmero de notificaciones se enven. Esta situacin puede ocurrir cuando hay muchos clientes o cuando hay actualizaciones de definiciones de seguridad frecuentemente programadas. Si no desea recibir notificaciones frecuentes sobre actualizaciones de definiciones de seguridad, se puede editar la condicin de notificacin para deshabilitar la configuracin Definiciones de seguridad Varias condiciones de notificacin pueden tener una nueva configuracin que no apareci en versiones anteriores: Enviar correo electrnico a administradores del sistema. Si esa configuracin es nueva para una condicin de notificacin, se deshabilita de forma predeterminada para cualquier condicin existente de ese tipo despus de la actualizacin. Cuando un tipo predeterminado de condicin de notificacin no se ha agregado en una instalacin anterior, esa condicin de notificacin se agrega en la instalacin actualizada. Sin embargo, el proceso de actualizacin no puede determinar qu condiciones predeterminadas de notificacin puede haber eliminado deliberadamente el administrador en la instalacin anterior. Con una excepcin, por lo tanto, toda la configuracin de acciones siguiente se deshabilita en cada condicin predeterminada de notificacin en una instalacin actualizada: Enviar correo electrnico a administradores del sistema, Registrar la notificacin, Ejecutar el archivo por lotes y Enviar correo electrnico a. Cuando se deshabilitan estas cuatro acciones, la condicin de notificacin no se procesa,
641
aunque la condicin misma est presente. Los administradores pueden editar las condiciones de notificacin para habilitar alguna o todas estas opciones de configuracin. Tenga en cuenta que la condicin de notificacin Nuevo software de cliente es una excepcin: puede producir notificaciones de forma predeterminada cuando se agrega durante el proceso de actualizacin. A diferencia de las otras condiciones de notificacin predeterminadas, la configuracin de las acciones Registrar la notificacin y Enviar correo electrnico a administradores del sistema se habilitan para esta condicin. Si la versin previa del software no admite licencias, se habilita una condicin de notificacin Caducidad de licencia de actualizacin. Algunos tipos de condicin de notificacin no estn disponibles en las versiones previas del software. Esas condiciones de notificacin se habilitan de forma predeterminada cuando se actualiza el software. Ver "Acerca de las notificaciones con configuracin previa" en la pgina 629.
642
Captulo
25
Administracin de dominios

Acerca de los dominios Adicin de un dominio Cmo configurar el dominio actual
Acerca de los dominios

Cuando se instala un servidor de administracin, la consola de Symantec Endpoint Protection Manager incluye un dominio, que se llama Predeterminado. Un dominio es un contenedor estructural en la consola que se usa para organizar una jerarqua de grupos, de clientes, de equipos y de polticas. Se configuran dominios adicionales para administrar los recursos de red. Nota: Los dominios en Symantec Endpoint Protection Manager no se relacionan con los dominios de Microsoft. Cada dominio que se agrega comparte el servidor de administracin y la base de datos, y proporciona una sesin adicional de la consola. Todos los datos de cada dominio estn totalmente separados. Esta separacin impide que los administradores de un dominio vean los datos de otros dominios. Es posible agregar una cuenta de administrador de modo que cada dominio tenga su propio administrador. Estos administradores pueden ver y administrar solamente el contenido de su propio dominio. Si su compaa es grande, con sitios en varias regiones, se recomienda tener una nica vista de la informacin de administracin. Es posible delegar autoridad administrativa, separar fsicamente los datos de seguridad o tener una mayor flexibilidad en el modo de organizacin de los usuarios, los equipos y las polticas.
644
Administracin de dominios Acerca de los dominios
Si es un proveedor de servicios administrados (MSP), es posible que deba administrar varias compaas independientes, adems de proveedores de servicios de Internet. Para cumplir estas necesidades, es posible crear varios dominios. Por ejemplo, es posible crear un dominio separado para cada pas, regin o compaa. Ver "Adicin de un dominio" en la pgina 645. Figura 25-1 Descripcin general de los dominios de Symantec Endpoint Protection Manager
Cliente A
Cliente B
Cliente C
https
https
https
Base de datos de SEPM (dividida por dominio y cliente)
Consola de SEPM
Consola de SEPM
Consola de SEPM
Dominio A
Dominio B
Dominio C
Cuando se agrega un dominio, el dominio est vaco. Es necesario configurar el dominio para que sea el dominio actual. A continuacin, agregue grupos, clientes, equipos y polticas a este dominio. Es posible copiar polticas y clientes de un dominio a otro. Para copiar polticas entre dominios, se debe exportar la poltica del dominio de origen e importarla al dominio de destino. Para copiar clientes entre dominios, es posible usar la herramienta SylinkDrop. Esta herramienta reemplaza el archivo de comunicacin de un cliente para permitir que el cliente se comunique con un servidor de administracin diferente. Ver "Cmo recuperar la configuracin de comunicacin de los clientes usando la herramienta SylinkDrop" en la pgina 1070. Es posible deshabilitar un dominio si ya no lo necesita. Asegrese de que no est configurado como dominio actual cuando intenta deshabilitarlo. Ver "Cmo configurar el dominio actual" en la pgina 646.
Administracin de dominios Adicin de un dominio
645
Adicin de un dominio
Cree un dominio para ordenar una jerarqua de grupos, usuarios, clientes y polticas en su organizacin. Por ejemplo, puede agregar dominios para ordenar usuarios por divisin. Ver "Acerca de los dominios" en la pgina 643. Nota: Es posible agregar un ID de dominio para la recuperacin despus de un desastre. Si todos los servidores de administracin de su organizacin fallan, debe reconstruir el servidor de administracin usando el mismo ID que el servidor anterior. Es posible encontrar el ID de dominio anterior en el archivo sylink.xml en cualquier cliente. Para agregar un dominio
1 2 3 4 5 6
En la consola, haga clic en Administrador. En la pgina Administrador, haga clic en Dominios. En Tareas, haga clic en Agregar dominio. En el cuadro de dilogo Agregar dominio, escriba un nombre de dominio, un nombre de compaa opcional y la informacin de contacto opcional. Si desea agregar un ID de dominio, haga clic en Avanzadas y escriba el valor en el cuadro de texto. Haga clic en Aceptar.
Cmo agregar un titular de inicio de sesin del dominio

Es posible crear y mostrar un mensaje personalizable que todos los administradores vean antes de que puedan iniciar sesin en la consola. Es posible mostrar cualquier mensaje. El objetivo ms comn es mostrar un aviso legal para informar a los administradores que estn a punto de iniciar sesin en un equipo propietario. El mensaje aparecer en la consola despus de que los administradores escriben su nombre de usuario y contrasea y hacen clic en Iniciar sesin. Despus de que los administradores han ledo el mensaje, pueden confirmar la recepcin del aviso haciendo clic en Aceptar, lo que les permite iniciar sesin. Si los administradores hacen clic en Cancelar, se cancela el proceso de inicio de sesin y el administrador regresa a la ventana de inicio de sesin. El mensaje tambin aparece si el administrador ejecuta las funciones de elaboracin de informes desde un navegador web independiente que est conectado al servidor de administracin.
646
Administracin de dominios Cmo configurar el dominio actual
Para agregar un titular de inicio de sesin del dominio
1 2 3 4 5
En la consola, haga clic en Administrador. En la pgina Administrador, haga clic en Dominios. Seleccione el dominio para el cual desee agregar un titular de inicio de sesin. En Tareas, haga clic en Editar propiedades del dominio. En la ficha Titular de inicio de sesin, seleccione Proporciona un aviso legal a los administradores cuando inician sesin en Symantec Endpoint Protection Manager. Escriba el ttulo y el texto del titular. Haga clic en Ayuda para obtener ms informacin. Haga clic en Aceptar.
6 7
Ver "Acerca de los dominios" en la pgina 643. Ver "Adicin de un dominio" en la pgina 645.
Cmo configurar el dominio actual

El nombre de dominio predeterminado es Predeterminado y se configura como el dominio actual. Una vez que se aade un nuevo dominio en la consola de Symantec Endpoint Protection Manager, el dominio est vaco. Para agregar los grupos, los clientes, las polticas y los administradores a un nuevo dominio, se lo debe primero configurar como dominio actual. Cuando un dominio se designa como dominio actual, el texto (Dominio actual) sigue al nombre de dominio en el ttulo. Si tiene muchos dominios, es necesario desplazarse por la lista Dominios para ver cul dominio es el actual. Si inici sesin en la consola como administrador del sistema, puede ver todos los dominios sin importar cul es el dominio actual. Pero solamente puede ver los administradores y los administradores limitados que fueron creados en el dominio actual. Si inici sesin en la consola como administrador o como administrador limitado, ve solamente el dominio al cual tiene acceso. Si quita el dominio actual, el servidor de administracin cierra su sesin. Solo es posible quitar un dominio si no es el dominio actual y no es el nico dominio. Para configurar el dominio actual
1 2 3 4
En la consola, haga clic en Administrador. En la pgina Administrador, haga clic en Dominios. En Dominios, haga clic en el dominio que desee convertir en dominio actual. En Tareas, haga clic en Administrar dominio.
647
5 6
En el cuadro de dilogo Administrar dominio, para confirmar, haga clic en S. Haga clic en Aceptar.
Ver "Acerca de los dominios" en la pgina 643. Ver "Adicin de un dominio" en la pgina 645.
648
Captulo
26
Administracin de cuentas de administrador


Cmo administrar dominios y cuentas de administrador Acerca de los administradores Agregar una cuenta de administrador Acerca de los derechos de acceso Configurar los derechos de acceso para un administrador del dominio Configurar los derechos de acceso para un administrador limitado Cambiar el tipo de administrador Configurar la autenticacin para las cuentas de administrador Configuracin del servidor de administracin para autenticar los administradores que usan RSA SecurID para iniciar sesin Autenticacin de los administradores que usan RSA SecurID para iniciar sesin en el servidor de administracin Especificar la autenticacin SecurID para administrador de Symantec Endpoint Protection Manager Cmo cambiar una contrasea de administrador Permitir que los administradores guarden las credenciales de inicio de sesin Cmo permitir a los administradores restablecer contraseas olvidadas Restablecer una contrasea olvidada
650
Administracin de cuentas de administrador Cmo administrar dominios y cuentas de administrador
Restablecimiento de la contrasea y el nombre de usuario del administrador a admin Bloquear la cuenta de un administrador despus de demasiados intentos de inicio de sesin
Cmo administrar dominios y cuentas de administrador

Se administran dominios y cuentas de administrador en la pgina Administrador. Tabla 26-1 Tarea Administracin de cuentas y de dominios Descripcin
Decidir si aadir varios Decida si aadir dominios adicionales para varios negocios. dominios Ver "Acerca de los dominios" en la pgina 643. Ver "Adicin de un dominio" en la pgina 645. Ver "Cmo configurar el dominio actual" en la pgina 646. Decidir quin necesita Decida quin necesita acceder a Symantec Endpoint Protection una cuenta Manager. Decida si el acceso debe estar restringido o sin restriccin. Ver "Acerca de los administradores" en la pgina 651. Crear cuentas Cree una cuenta para los administradores y los usuarios que necesitan acceso a Symantec Endpoint Protection Manager. Ver "Agregar una cuenta de administrador" en la pgina 655. Conceder derechos de acceso Obtenga informacin sobre los tipos de derechos de acceso y de las tareas que los administradores pueden realizar cuando se conceden los derechos de acceso. Ver "Acerca de los derechos de acceso" en la pgina 656. Ver "Configurar los derechos de acceso para un administrador del dominio" en la pgina 658. Ver "Configurar los derechos de acceso para un administrador limitado" en la pgina 658. Cambie el tipo de administrador Si es necesario, se puede cambiar el tipo de administrador si las responsabilidades de un administrador cambian. Ver "Cambiar el tipo de administrador" en la pgina 659.
Administracin de cuentas de administrador Acerca de los administradores
651
Tarea
Bloquear una cuenta de administrador
Descripcin
Es posible bloquear una cuenta de administrador una vez que alguien ha intentado iniciar sesin en Symantec Endpoint Protection Manager demasiadas veces. Ver "Bloquear la cuenta de un administrador despus de demasiados intentos de inicio de sesin" en la pgina 668.
Restablecer las contraseas
Es posible realizar las siguientes tareas para las contraseas: Es posible permitir que el administrador restablezca la contrasea olvidada de otro administrador. Modificar la contrasea de un administrador. Ver "Cmo cambiar una contrasea de administrador" en la pgina 664. Restablecer la contrasea de administrador de la cuenta a admin.
Ver "Restablecimiento de la contrasea y el nombre de usuario del administrador a admin" en la pgina 667.
Acerca de los administradores

Se usan administradores para administrar la estructura organizativa y la seguridad de la red de su compaa. Para una empresa pequea, es posible que sea necesario solamente un administrador. Para una compaa grande con varios sitios y dominios, probablemente se necesitaran varios administradores, algunos de los cuales tendran ms derechos de acceso que otros. Para ayudarle a administrar la red, la consola de Symantec Endpoint Protection Manager proporciona los siguientes tipos de roles de administrador: administrador del sistema, administrador y administrador limitado. El administrador del sistema es el administrador raz para un sitio. Los administradores del sistema pueden ver y administrar todos los dominios en una organizacin, que pueden incluir servidores, bases de datos y dispositivos Enforcer, si es necesario. Los administradores del dominio pueden ver y administrar un nico dominio. Adems, un administrador del dominio autorizado para administrar completamente sitios tiene los mismos privilegios que un administrador del sistema, pero solamente para un nico dominio. Es decir, el administrador del dominio puede administrar la base de datos y todos los servidores para un sitio, que puede incluir dispositivos Enforcer, si es necesario. Los administradores limitados no cuentan con derechos de acceso de forma predeterminada. Es necesario conceder explcitamente los derechos de acceso para permitir que un administrador limitado realice tareas dentro de un nico
652
dominio. Por ejemplo, puede configurar los derechos de grupo para permitir un acceso completo de administrador limitado, ningn acceso o acceso de solo lectura a grupos especficos en un dominio. O, se pueden conceder derechos del sitio que permiten que un administrador limitado vea o administre las bases de datos y los servidores. Ver "Acerca de los dominios" en la pgina 643. Cuando se instala Symantec Endpoint Protection Manager, se crea un administrador del sistema predeterminado que se llama admin. Es posible entonces crear cuentas para administradores adicionales. Ver "Acerca de los derechos de acceso" en la pgina 656. Tabla 26-2 Roles de administrador y responsabilidades Responsabilidades
Un administrador del sistema puede realizar las siguientes tareas:

Rol de administrador
Administrador del sistema
Administrar todos los dominios.
Crear y administrar el resto de las cuentas del administrador del sistema, las cuentas del administrador y las cuentas del administrador limitado para todos los dominios. Administrar las bases de datos y los servidores de administracin. Administrar dispositivos Enforcer.
Puede ver y administrar toda la configuracin de la consola.
653
Administrador
Responsabilidades
Un administrador, que tambin se denomina administrador del dominio, puede realizar las siguientes tareas:

Administrar un nico dominio.
Crear y administrar cuentas de administrador y cuentas de administrador limitado dentro de un nico dominio. Es posible especificar los derechos de acceso para ejecutar informes y administrar sitios. Ver "Configurar los derechos de acceso para un administrador del dominio" en la pgina 658. Es posible autorizar administradores para administrar completamente un sitio con Derechos del sitio, incluidos la base de datos y todos los servidores para un sitio. Los administradores que estn autorizados completamente para administrar un sitio pueden modificar los derechos del sitio para otros administradores y administradores limitados. Los administradores no pueden modificar sus propios derechos del sitio. Los administradores del sistema deben realizar esta funcin. Para los administradores que no estn autorizados a administrar un sitio con Derechos del sitio, el administrador no puede modificar los derechos del sitio para otros administradores y administradores limitados. Administrar los derechos de contrasea para los administradores limitados y otros administradores que tienen derechos de acceso iguales o menos restrictivos. No puede administrar mdulos de aplicacin Enforcer.
654
Administrador limitado
Responsabilidades
Se puede conceder el acceso a un administrador limitado para realizar tareas dentro de un nico dominio. Estas tareas incluyen: Ejecutar informes en equipos, direcciones IP, grupos y servidores especificados. Ver pginas de Inicio, Supervisin e Informes en la consola solamente si se le han concedido derechos de informes. Administrar los grupos dentro de un nico dominio.

Ejecutar remotamente comandos en los equipos cliente.
Administrar completamente un sitio o ver o administrar la base de datos o los servidores seleccionados para un sitio dentro de un nico dominio. Ver o administrar los paquetes de instalacin. Administrar polticas Los administradores limitados que no tienen acceso a una poltica especfica y a opciones de configuracin relacionadas no pueden ver ni modificar la poltica. Adems, no pueden aplicar, reemplazar o retirar una poltica. Ver "Configurar los derechos de acceso para un administrador limitado" en la pgina 658. No pueden crear otras cuentas de administrador limitado. Solamente un administrador del sistema o un administrador pueden crear cuentas de administrador limitado. Administrar los derechos de la contrasea para su propia cuenta solamente.
Es posible definir un rol de administrador para cada tipo de administrador en su organizacin. Por ejemplo, una compaa grande puede usar los siguientes tipos de administradores:
Un administrador que instale el servidor de administracin y los paquetes de instalacin de clientes. Despus de que el producto est instalado, un administrador a cargo de las operaciones asume el control. Estos administradores probablemente sean administradores del sistema. Un administrador de las operaciones mantiene los servidores, las bases de datos e instala los parches. Si tiene un nico dominio, el administrador de operaciones podra ser un administrador del dominio que est autorizado completamente para administrar sitios.
Administracin de cuentas de administrador Agregar una cuenta de administrador
655
Un administrador de antivirus, que crea y mantiene las polticas antivirus y antispyware y de LiveUpdate en los clientes. Este administrador probablemente sea un administrador del dominio. Un administrador de escritorio, que est a cargo de la seguridad y de crear y mantener las polticas de firewall y las polticas de prevencin de intrusiones para los clientes. Este administrador probablemente sea un administrador del dominio. Un administrador del departamento de soporte tcnico, que crea informes y tiene acceso de solo lectura a las polticas. El administrador antivirus y el administrador de escritorio leen los informes que el administrador del departamento de soporte tcnico enva. Es probable que el administrador del departamento de soporte tcnico sea un administrador limitado al que se le conceden derechos de informes y derechos de polticas.
Ver "Agregar una cuenta de administrador" en la pgina 655. Ver "Acerca de los derechos de acceso" en la pgina 656. Ver "Configurar los derechos de acceso para un administrador del dominio" en la pgina 658. Ver "Configurar los derechos de acceso para un administrador limitado" en la pgina 658.
Agregar una cuenta de administrador

Como administrador del sistema, es posible agregar otro administrador del sistema, administrador o administrador limitado. Como administrador de un dominio, puede agregar otros administradores con derechos de acceso iguales o menos restrictivos que los suyos propios. Los administradores pueden agregar administradores limitados y configurar los derechos de acceso. Ver "Acerca de los administradores" en la pgina 651. Ver "Acerca de los derechos de acceso" en la pgina 656. Ver "Configurar la autenticacin para las cuentas de administrador" en la pgina 660. Para agregar una cuenta de administrador
1 2 3
En la consola, haga clic en Administrador. En la pgina Administrador, haga clic en Administradores. En Tareas, haga clic en Agregar un administrador. Una vez que agrega una cuenta de administrador, puede cambiar el nombre de usuario haciendo clic en Editar el administrador.
656
Administracin de cuentas de administrador Acerca de los derechos de acceso
En el cuadro de dilogo Agregar administrador, en las fichas General, Derechos de acceso y Autenticacin, especifique la informacin de la cuenta. Haga clic en Ayuda para obtener ms informacin.
Acerca de los derechos de acceso

De forma predeterminada, los administradores tienen acceso a todas las funciones de un dominio. Es decir, el administrador puede ver y ejecutar informes, administrar grupos, ejecutar remotamente comandos, administrar paquetes de instalacin y administrar polticas para ese dominio. Adems, el administrador puede ejecutar informes en todos los grupos del dominio, a excepcin de los grupos que migraron desde Symantec AntiVirus 10.x. Es necesario configurar explcitamente los derechos de informes para estos grupos migrados. Adems, se pueden conceder derechos del sitio a los administradores para autorizarlos a administrar completamente un sitio, lo que incluye administrar la base de datos y los servidores. Cuando se crea un nuevo administrador, el administrador no est autorizado para administrar sitios. Es necesario conceder explcitamente privilegios del sitio para permitir que el administrador administre completamente sitios en un nico dominio. Ver "Configurar los derechos de acceso para un administrador del dominio" en la pgina 658. De forma predeterminada, los administradores limitados no tienen derechos de acceso. Es necesario configurar explcitamente los derechos de elaboracin de informes, los derechos de grupo, los derechos de comandos, los derechos del sitio, los derechos del paquete de instalacin y los derechos de polticas para este tipo de administrador. Nota: Las partes de la interfaz de usuario no estn disponibles para los administradores limitados cuando se restringen los derechos de acceso. Ver "Configurar los derechos de acceso para un administrador limitado" en la pgina 658.
Administracin de cuentas de administrador Acerca de los derechos de acceso
657
Tabla 26-3
Tipos de derechos de acceso
Tipo de derechos Descripcin de acceso

Derechos de informes Para los administradores, se especifican los grupos de servidores que ejecutan Symantec AntiVirus 10.x de los cuales el administrador puede ver informes. Los administradores pueden ver todos los informes. Para los administradores limitados, se especifican todos los equipos de los cuales el administrador puede ejecutar informes. Adems, se especifican los grupos de servidores que ejecutan Symantec AntiVirus 10.x de los cuales el administrador puede ver informes. Derechos de grupo Solamente para los administradores limitados, se especifica qu grupos puede ver y administrar el administrador limitado (acceso completo), ver solamente (acceso de solo lectura) o no puede ver (sin acceso). Derechos de comando Solamente para los administradores limitados, se especifica qu comandos puede ejecutar el administrador limitado en los equipos cliente. El administrador limitado solamente puede ejecutar estos comandos en los clientes y los grupos a los cuales tienen acceso completo. Los derechos de comando estn solamente disponibles si los derechos de informes estn configurados para el administrador limitado. Derechos del sitio Especifica el nivel de autorizacin para administrar el sitio seleccionado. Es posible elegir autorizar la administracin completa o nada de administracin del sitio seleccionado. Adems, para un administrador limitado, se pueden especificar privilegios de acceso a base de datos y privilegios de acceso al servidor del sitio seleccionado. Derechos del paquete Derechos de la poltica Para los administradores limitados solamente, se especifica acceso solamente de lectura o acceso completo a los paquetes de instalacin. Solamente para los administradores limitados, se especifica qu polticas y qu configuracin relacionada con las polticas puede administrar el administrador. Para administradores limitados solamente, se limita la capacidad del administrador limitado para crear y modificar las polticas no compartidas solamente
Solo permitir la edicin de polticas especficas de la ubicacin
Los administradores con autorizacin completa para administrar un sitio pueden modificar los derechos del sitio de otros administradores y de administradores limitados, aunque no pueden modificar los derechos del sitio para ellos mismos.
658
Administracin de cuentas de administrador Configurar los derechos de acceso para un administrador del dominio
Los administradores del sistema deben modificar los privilegios del sitio para los administradores que estn autorizados completamente a administrar un sitio. Los administradores limitados no pueden cambiar los derechos de sitio de administradores. Los administradores limitados pueden cambiar los derechos de sitio de otros administradores limitados con iguales o menos privilegios restringidos de sitio.
Configurar los derechos de acceso para un administrador del dominio

Si agrega una cuenta para un administrador del dominio, se deben adems especificar los derechos de acceso del administrador. Es posible especificar los derechos de la elaboracin de informes y los derechos del sitio. Para configurar los derechos de acceso para un administrador del dominio
1 2 3
En la consola, haga clic en Administrador. En la pgina Administrador, haga clic en Administradores. Seleccione un administrador del dominio. Es posible tambin configurar los derechos de acceso cuando se crea una cuenta de administrador del dominio. Ver "Agregar una cuenta de administrador" en la pgina 655.
4 5
En Tareas, haga clic en Editar administrador. En la ficha Derechos de acceso, asegrese de que la opcin Administrador del dominio est seleccionada y realice una de las siguientes acciones:
Haga clic en Derechos de informes. Haga clic en Ayuda para obtener ms informacin. Haga clic en Derechos del sitio. Haga clic en Ayuda para obtener ms informacin.
Ver "Acerca de los derechos de acceso" en la pgina 656.
Configurar los derechos de acceso para un administrador limitado

Si agrega una cuenta para un administrador limitado, se deben adems especificar los derechos de acceso del administrador. Las cuentas de administrador limitado que no cuentan con ningn derecho de acceso se crean en un estado deshabilitado
Administracin de cuentas de administrador Cambiar el tipo de administrador
659
y el administrador limitado no podr iniciar sesin en el servidor de administracin. Ver "Acerca de los derechos de acceso" en la pgina 656. Nota: Las derechos de elaboracin de informes son necesarios para integrar Symantec Endpoint Protection Manager con la versin 1 de Symantec Protection Center. Asegrese de que se concedan derechos de elaboracin de informes para cualquier administrador limitado que use la versin 1 de Protection Center para acceder a la consola de Symantec Endpoint Protection Manager. Para obtener ms informacin, consulte la ayuda de la versin 1 de Protection Center. Para configurar los derechos de acceso para un administrador limitado
1 2 3
En la consola, haga clic en Administrador. En la pgina Administrador, haga clic en Administradores. Seleccione el administrador limitado. Es posible tambin configurar los derechos de acceso cuando se crea una cuenta de administrador limitado. Ver "Agregar una cuenta de administrador" en la pgina 655.
4 5
En Tareas, haga clic en Editar administrador. En la ficha Derechos de acceso, seleccione una opcin y despus haga clic en el botn correspondiente para configurar los derechos de acceso. Haga clic en Ayuda para obtener ms informacin. Si desea autorizar al administrador limitado a crear solamente las polticas no compartidas para una ubicacin, seleccione Solo permitir la edicin de polticas especficas de la ubicacin. Haga clic en Aceptar.
Cambiar el tipo de administrador

Puede ser recomendable cambiar el tipo de administrador si las responsabilidades asociadas a sus administradores cambian. Por ejemplo, es posible que desee que un administrador limitado pueda crear otras cuentas de administrador. O es posible que desee cambiar un administrador por un administrador limitado para limitar los derechos de acceso.
660
Administracin de cuentas de administrador Configurar la autenticacin para las cuentas de administrador
Para modificar el tipo de administrador
1 2 3 4 5
En la consola, haga clic en Administrador. En la pgina Administrador, haga clic en Administradores. En Administradores, seleccione el administrador. En Tareas, haga clic en Editar administrador. En la ficha Derechos de acceso, seleccione el tipo de administrador y configure los derechos de acceso. Haga clic en Ayuda para obtener ms informacin. Ver "Configurar los derechos de acceso para un administrador del dominio" en la pgina 658. Ver "Configurar los derechos de acceso para un administrador limitado" en la pgina 658.
Configurar la autenticacin para las cuentas de administrador

Es posible especificar qu mtodo de autenticacin usa el servidor de administracin para autenticar cuentas de administrador. La opcin predeterminada es usar la autenticacin del Servidor de administracin de Symantec. Se crean un nombre de usuario y una contrasea que se almacenan en la base de datos de Symantec Endpoint Protection Manager. Cuando un administrador escribe un nombre de usuario y una contrasea para iniciar sesin en Symantec Endpoint Protection Manager, se valida con la base de datos de Symantec Endpoint Protection Manager. Para los otros modos, Symantec Endpoint Protection Manager tiene una entrada en la base de datos para el administrador, pero un origen externo valida la contrasea. Estos orgenes externos incluyen Active Directory, LDAP o un servidor RSA. Para configurar la autenticacin para las cuentas de administrador
1 2 3 4
En la consola, haga clic en Administrador. En la pgina Administradores, haga clic en Administradores. Seleccione al administrador. En Tareas, haga clic en Editar administrador.
Administracin de cuentas de administrador Configuracin del servidor de administracin para autenticar los administradores que usan RSA SecurID para iniciar sesin
661
5 6
En la ficha Autenticacin, seleccione el mtodo de autenticacin. Haga clic en Ayuda para obtener ms informacin. Haga clic en Aceptar.
Si desea autenticar a los administradores que utilizan un mecanismo de RSA SecurID, es necesario habilitar la autenticacin cifrada ejecutando el asistente para la instalacin de RSA. Ver "Autenticacin de los administradores que usan RSA SecurID para iniciar sesin en el servidor de administracin" en la pgina 662. Si desea autenticar a los administradores que usan una cuenta de directorio, deber configurar una cuenta en el servidor del directorio. Ver "Agregar servidores de directorios" en la pgina 700.
Configuracin del servidor de administracin para autenticar los administradores que usan RSA SecurID para iniciar sesin
Si su red corporativa incluye un servidor RSA, es necesario instalar el software para un agente de RSA ACE en el equipo en el cual usted instal Symantec Endpoint Protection Manager y configurarlo como cliente de autenticacin de SecurID. Para configurar el servidor de administracin para autenticar los administradores que usan RSA SecurID para iniciar sesin
Instale el software para el agente de RSA ACE en el mismo equipo en el cual usted instal el servidor de administracin. Es posible instalar el software ejecutando el archivo .msi de Windows del disco del producto del agente de autenticacin de RSA. Copie los archivos nodesecret.rec, sdconf.rec y agent_nsload.exe del servidor de RSA ACE al equipo en el cual usted instal el servidor de administracin. En la lnea de comandos, escriba el siguiente comando:
agent_nsload -f nodesecret.rec -p
2 3
donde -p es la contrasea del archivo de secreto de nodo
4 5 6 7
En la consola, haga clic en Administrador y, luego, en Servidores. En Servidores, seleccione el servidor de administracin al cual desea conectar un servidor RSA. En Tareas, haga clic en Configurar autenticacin SecurID. En el panel Asistente para configurar la autenticacin SecurID, haga clic en Siguiente.
662
Administracin de cuentas de administrador Autenticacin de los administradores que usan RSA SecurID para iniciar sesin en el servidor de administracin
En el panel Aptitudes del panel del Asistente para configurar la autenticacin SecurID, lea los requisitos previos de modo que se puedan cumplir todos los requisitos. Haga clic en Siguiente. autenticacin SecurID, busque la carpeta en la cual reside el archivo sdconf.rec. Es posible adems escribir el nombre de ruta.
10 En el panel Cargar archivo RSA del panel del Asistente para configurar la
11 Haga clic en Siguiente. 12 Haga clic en Prueba para probar su configuracin. 13 En el cuadro de dilogo Configuracin de prueba, escriba el nombre de usuario
y la contrasea para su SecurID y despus haga clic en Prueba. Ahora autentica correctamente. Ver "Autenticacin de los administradores que usan RSA SecurID para iniciar sesin en el servidor de administracin" en la pgina 662.
Autenticacin de los administradores que usan RSA SecurID para iniciar sesin en el servidor de administracin
Si desea autenticar a los administradores que utilizan Symantec Endpoint Protection Manager con RSA SecurID, es necesario activar la autenticacin cifrada ejecutando el asistente para la instalacin de RSA. Para autenticar los administradores que usan RSA SecurID para iniciar sesin en el servidor de administracin
1 2 3 4
Instale un servidor RSA ACE, si es necesario. Registre el equipo en el cual usted instal el servidor de administracin como host vlido en el servidor RSA ACE. Cree el archivo de secreto de nodo para el mismo host. Asegrese de que el archivo sdconf.rec en el servidor RSA ACE sea accesible en la red.
Administracin de cuentas de administrador Especificar la autenticacin SecurID para administrador de Symantec Endpoint Protection Manager
663
Asigne una tarjeta o clave de SecurID sincronizada a una cuenta de servidor de administracin; active el nombre de inicio de sesin en el servidor RSA ACE. Asegrese de que el administrador tenga el PIN o la contrasea de RSA disponible.
Symantec admite los siguientes tipos de inicios de sesin de RSA:

Token RSA SecurID (no tokens de software RSA) Tarjeta RSA SecurID Tarjeta de teclado numrico RSA (no tarjetas inteligentes RSA)
Para iniciar sesin en el servidor de administracin con RSA SecurID, el administrador necesita un nombre de inicio de sesin, el token (hardware) y un nmero de pin. Ver "Configuracin del servidor de administracin para autenticar los administradores que usan RSA SecurID para iniciar sesin" en la pgina 661. Ver "Configurar la autenticacin para las cuentas de administrador" en la pgina 660.
Especificar la autenticacin SecurID para administrador de Symantec Endpoint Protection Manager

Es posible especificar que los administradores deben primero ser autenticados por SecurID antes de que puedan registrarse en la consola de administracin. Es posible crear un nuevo administrador o modificar la configuracin para un administrador existente. El procedimiento detallado aqu describe cmo especificar la autenticacin para un nuevo administrador. Ver "Agregar una cuenta de administrador" en la pgina 655. Para crear una autenticacin SecurID para un administrador de Symantec Endpoint Protection Manager
1 2 3 4
En la consola, haga clic en Administrador y, luego, haga clic en Administradores. En Tareas, haga clic en Agregar administrador. En el cuadro de dilogo Agregar administrador, escriba el nombre de un usuario que usted configur previamente para el cliente RSA ACE. Al lado de Tipo de autenticacin, haga clic en Cambiar.
664
Administracin de cuentas de administrador Cmo cambiar una contrasea de administrador
5 6
En el cuadro de dilogo Autenticacin del administrador, seleccione Autenticacin de RSA SecurID y despus haga clic en Aceptar. Haga clic en Aceptar.
Cmo cambiar una contrasea de administrador

Por motivos de seguridad, es posible que sea necesario modificar la contrasea de un administrador. Las reglas siguientes se aplican para cambiar contraseas:
Los administradores del sistema pueden cambiar la contrasea para todos los administradores. Los administradores del dominio pueden cambiar la contrasea para otros administradores del dominio y administradores limitados dentro del mismo dominio. Los administradores limitados pueden cambiar sus propias contraseas solamente.
Nota: Cuando configura el servidor de administracin en el Asistente para la configuracin del servidor de administracin, se selecciona una instalacin predeterminada o personalizada. Si selecciona la instalacin predeterminada, la contrasea especificada es igual que la contrasea de cifrado. Si modifica la contrasea del administrador, la contrasea de cifrado no se modifica. Si la contrasea se restablece para reparar un bloqueo de la cuenta de administrador, el administrador debe an esperar a que el perodo de bloqueo caduque. El perodo predeterminado de bloqueo es de 15 minutos. Ver "Bloquear la cuenta de un administrador despus de demasiados intentos de inicio de sesin" en la pgina 668. Para modificar la contrasea de un administrador
1 2 3 4
En la consola, haga clic en Administrador. En la pgina Administrador, haga clic en Administradores. En Administradores, seleccione la cuenta de administrador a la cual desea cambiarle la contrasea y haga clic en Editar el administrador. Escriba la contrasea para la cuenta de administrador en cuya sesin est actualmente.
Administracin de cuentas de administrador Permitir que los administradores guarden las credenciales de inicio de sesin
665
Escriba y confirme la nueva contrasea de la cuenta a la cual desea cambiarle la contrasea. La contrasea debe tener seis o ms caracteres de largo. Se permiten todos los caracteres.
Permitir que los administradores guarden las credenciales de inicio de sesin

Es posible permitir que sus administradores guarden sus credenciales cuando inicien sesin en la consola de Symantec Endpoint Protection Manager. Para permitir que los administradores guarden las credenciales de inicio de sesin
1 2 3 4 5 6
En la consola, haga clic en Administrador. En la pgina Administrador, haga clic en Dominios. En Dominios, seleccione el dominio para el cual permitir que los administradores guarden las credenciales de inicio de sesin. Haga clic en Editar propiedades del dominio. En la ficha Contraseas, seleccione Permitir a los usuarios guardar credenciales al iniciar sesin. Haga clic en Aceptar.
Cmo permitir a los administradores restablecer contraseas olvidadas

Si tiene derechos de acceso de administrador del sistema para un sitio, puede permitir a los administradores restablecer sus contraseas. Si habilita esta funcin, los administradores pueden hacer clic en el vnculo Olvid su contrasea? en el panel de inicio de sesin para solicitar una contrasea temporal. Nota: Es posible permitir que este mtodo restablezca una contrasea solamente para las cuentas de administrador que se autentican con la autenticacin del servidor de administracin de Symantec. Este mtodo no funciona para ninguna cuenta de administrador que se autentique con la autenticacin de directorio o la autenticacin de RSA SecurID. Ver "Restablecer una contrasea olvidada" en la pgina 666.
666
Administracin de cuentas de administrador Restablecer una contrasea olvidada
Para permitir a los administradores restablecer contraseas olvidadas
1 2 3
En la consola, haga clic en Administrador. En la pgina Administrador, haga clic en Servidores. En Servidores, seleccione el sitio local. Nota: Solo se controla esta configuracin para el sitio local.
4 5 6
Haga clic en Editar propiedades del sitio. En la ficha Contraseas, seleccione Permitir a los administradores que restablezcan las contraseas. Haga clic en Aceptar.
Restablecer una contrasea olvidada

Si tiene derechos de acceso de administrador del sistema para un sitio, puede permitir a los administradores restablecer sus contraseas. Una contrasea es restablecida enviando un mensaje de correo electrnico que contenga un vnculo para activar una contrasea temporal. Ver "Cmo permitir a los administradores restablecer contraseas olvidadas" en la pgina 665. Nota: Es posible usar este mtodo para restablecer una contrasea solamente para las cuentas de administrador que se autentican usando la autenticacin del servidor de administracin de Symantec. Este mtodo no funciona para ninguna cuenta de administrador que se autentique usando la autenticacin de RSA SecurID o la autenticacin del directorio. Ver "Configurar la autenticacin para las cuentas de administrador" en la pgina 660. Nota: Una contrasea temporal se puede solicitar solamente una vez por minuto de una nica consola de Symantec Endpoint Protection Manager.
Nota: Por razones de seguridad, las entradas no se verifican en el servidor. Para comprobar si la restauracin de la contrasea fue correcta, es necesario revisar el correo electrnico del administrador.
Administracin de cuentas de administrador Restablecimiento de la contrasea y el nombre de usuario del administrador a admin
667
Si hay configurado un servidor de correo, se usa el servidor de correo para enviar el mensaje de correo electrnico. Si el mensaje de correo electrnico no se puede enviar por ningn motivo, se usa el servicio SMTP para enviar el mensaje de correo electrnico. Recomendamos configurar un servidor de correo. Para restablecer una contrasea olvidada
En el equipo del servidor de administracin, haga clic en Inicio > Todos los programas > Symantec Endpoint Protection Manager > Symantec Endpoint Protection Manager. En la pantalla Inicio de sesin, haga clic en Olvid su contrasea?. En el cuadro de dilogo Olvid su contrasea, escriba el nombre de usuario para la cuenta cuya contrasea desea restablecer. Para los administradores del dominio y los administradores limitados, escriba el nombre de dominio para la cuenta. Si no configur dominios, deje el campo del dominio en blanco.
2 3
Haga clic en Contrasea temporal. Un mensaje de correo electrnico que contiene un vnculo para activar la contrasea temporal se enva al administrador. Como precaucin de seguridad, el administrador debe cambiar la contrasea temporal inmediatamente despus de iniciar sesin.
Restablecimiento de la contrasea y el nombre de usuario del administrador a admin

Es posible usar la herramienta resetpass.bat para restablecer la contrasea y el nombre de usuario para la cuenta que usa para iniciar sesin en Symantec Endpoint Protection Manager. Si el nombre de usuario o la contrasea no es admin, al ejecutar resetpass.bat ambos se restablecen y pasan a ser admin. Nota: Si se bloque la cuenta debido a repetidos intentos de inicio de sesin, la herramienta resetpass.bat no la desbloquea. El perodo predeterminado de bloqueo es de 15 minutos. Ver "Bloquear la cuenta de un administrador despus de demasiados intentos de inicio de sesin" en la pgina 668.
668
Administracin de cuentas de administrador Bloquear la cuenta de un administrador despus de demasiados intentos de inicio de sesin
Advertencia: Para Symantec Endpoint Protection Enterprise Edition, no use la cuenta admin cuando configure la autenticacin de Active Directory. Es necesario usar una nueva cuenta de administrador para usar la autenticacin de Active Directory. Para obtener ms informacin, consulte el artculo de la base de conocimientos Cmo configurar una cuenta de administrador de SEPM para usar su autenticacin de Active Directory. Para restablecer la contrasea de administrador
1 2 3
Abra el Explorador de Windows en el equipo que ejecuta Symantec Endpoint Protection Manager. Localice la carpeta Unidad:\Archivos de programa\Symantec\Symantec Endpoint Protection Manager\Tools. Haga doble clic en resetpass.bat. El nombre de usuario y la contrasea se restablecen a admin.
Inicie sesin en Symantec Endpoint Protection Manager usando admin tanto para el nombre de usuario como para la contrasea y modifique la contrasea.
Bloquear la cuenta de un administrador despus de demasiados intentos de inicio de sesin

Es posible bloquear la cuenta del administrador despus de determinados intentos fallidos de inicio de sesin. Es posible tambin especificar la duracin para mantener la cuenta bloqueada. Adems, se puede configurar el servidor de administracin para enviar un mensaje de correo electrnico al administrador cuando la cuenta est bloqueada. De forma predeterminada, el umbral de inicio de sesin de los intentos se configura en 5. El valor de intentos de inicio de sesin se restablece a 0 una vez que el administrador correctamente inicia sesin. El intervalo predeterminado de reintento es 15 minutos. Para bloquear la cuenta de un administrador despus de demasiados intentos de inicio de sesin
1 2 3 4
En la consola, haga clic en Administrador. En la pgina Administrador, haga clic en Administradores. En Administradores, seleccione el administrador. En Tareas, haga clic en Editar administrador.
669
En la ficha General, en el cuadro de texto Direccin de correo electrnico, escriba la direccin de correo electrnico del administrador. El servidor de administracin enva un mensaje de correo electrnico a esta direccin cuando bloquea la cuenta del administrador. Es necesario seleccionar la casilla de seleccin Enviar una alerta de correo electrnico al Administrador cuando se bloquee la cuenta para enviar el mensaje de correo electrnico.
Seleccione Bloquear la cuenta despus del nmero especificado de intentos de inicio de sesin incorrectos y despus use las flechas para seleccionar el nmero de intentos de inicio de sesin fallidos que se permiten antes de que la cuenta est bloqueada. La opcin predeterminada es cinco intentos de inicio de sesin fallidos. El intervalo de valor es de 1 a 10. Seleccione Bloquear la cuenta para el nmero especificado de minutos y despus use las flechas para seleccionar el nmero de minutos durante los cuales la cuenta se bloquea. Seleccione o anule la seleccin de Enviar una alerta de correo electrnico al Administrador cuando se bloquee la cuenta. Haga clic en Aceptar.
8 9
670
Seccin
Mantenimiento del entorno de seguridad
Captulo 27. Administracin de servidores Captulo 28. Administracin de servidores de directorio Captulo 29. Administracin de bases de datos Captulo 30. Administracin de la conmutacin por error y el balanceo de carga Captulo 31. Preparacin para la recuperacin despus de un desastre
672
Captulo
27
Administracin de servidores

Administrar servidores Acerca de los tipos de servidores de Symantec Endpoint Protection Cmo administrar la conexin entre el servidor de administracin y los equipos cliente Mejora del rendimiento del cliente y del servidor Exportar e importar opciones del servidor Acerca de los tipos de certificado de servidor Actualizar un certificado de servidor Actualizacin de certificados de seguridad del servidor sin dejar clientes hurfanos Hacer copia de seguridad de un certificado de servidor Configuracin de SSL entre Symantec Endpoint Protection Manager y los clientes Conceder o negar el acceso a las consolas remotas de Symantec Endpoint Protection Manager
Administrar servidores
Es posible configurar Symantec Endpoint Protection Manager para integrarlo con muchos de los diversos tipos de servidores en su entorno de red.
674
Administracin de servidores Administrar servidores
Tabla 27-1 Tarea

Aprenda sobre los servidores
Administracin del servidor Descripcin

Decida qu tipos de servidores es necesario configurar. Ver "Acerca de los tipos de servidores de Symantec Endpoint Protection" en la pgina 676.
Configure los permisos Es posible permitir o denegar el acceso al servidor de de la comunicacin del administracin. Se administra el acceso del servidor agregando servidor las excepciones basadas en una direccin IP de un nico equipo o de un grupo de equipos. Ver "Conceder o negar el acceso a las consolas remotas de Symantec Endpoint Protection Manager" en la pgina 689. Modifique la configuracin del servidor Para modificar la configuracin de la base de datos o restaurar su base de datos en un equipo diferente, se puede modificar la configuracin del servidor. Ver "Reinstalar o reconfigurar Symantec Endpoint Protection Manager" en la pgina 1059. Configure el servidor de correo Para usar un servidor de correo especfico en su red, es necesario configurar el servidor de correo. Ver "Establecimiento de la comunicacin entre el servidor de administracin y los servidores de correo electrnico" en la pgina 635. Administre servidores Es posible integrar Symantec Endpoint Protection con los de directorios servidores de directorios para ayudar a administrar cuentas de administrador o a crear las unidades organizativas. Ver "Agregar servidores de directorios" en la pgina 700. Establezca la configuracin de proxy si se usa un servidor proxy para conectarse a los servidores de Symantec LiveUpdate Importe o exporte las propiedades de servidor Para configurar Symantec Endpoint Protection Manager para conectarse a Internet a travs de un servidor proxy, es necesario configurar la conexin del servidor proxy. Ver "Configurar Symantec Endpoint Protection Manager para conectarse a un servidor proxy para acceder a Internet" en la pgina 555. Es posible exportar la configuracin del servidor a un archivo XML y se puede reimportar la misma configuracin. Ver "Exportar e importar opciones del servidor" en la pgina 682.
Administracin de servidores Administrar servidores
675
Tarea
Administre los certificados de servidor
Descripcin
El servidor de Symantec Endpoint Protection Manager usa el protocolo HTTPS para la comunicacin entre todos los servidores, clientes y dispositivos Enforcer opcionales en una red. El servidor se identifica y se autentica a s mismo con un certificado de servidor. Es posible que sea necesario hacer copia de seguridad o actualizar un certificado de servidor. Ver "Acerca de los tipos de certificado de servidor" en la pgina 682. Ver "Actualizar un certificado de servidor" en la pgina 683. Ver "Hacer copia de seguridad de un certificado de servidor" en la pgina 686.
Configure la autenticacin de SecurID para un servidor
Si elige autenticar cuentas de administrador usando RSA SecurID, se debe adems configurar el servidor de administracin para comunicarse con el servidor RSA. Ver "Configuracin del servidor de administracin para autenticar los administradores que usan RSA SecurID para iniciar sesin" en la pgina 661. Es posible que sea necesario mover el software del servidor de administracin de un equipo a otro por los siguientes motivos: Es necesario mover el servidor de administracin de un entorno de prueba a un entorno de producto. El equipo en el cual el servidor de administracin se ejecuta tiene un error de hardware.
Mueva el servidor a otro equipo
Es posible mover el software del servidor de administracin de las siguientes maneras: Instale el servidor de administracin en otro equipo y realice la replicacin. Ver "Adicin de un partner de replicacin" en la pgina 180. Instale el servidor de administracin en otro equipo usando el archivo de recuperacin. Ver "Reinstalar o reconfigurar Symantec Endpoint Protection Manager" en la pgina 1059.
Inicie y detenga el servidor de administracin
El servidor de administracin se ejecuta como servicio automtico. Es necesario detener el servicio del servidor de administracin cuando se actualiza o realiza la recuperacin despus de un desastre. Ver "Cmo detener e iniciar el servicio del servidor de administracin" en la pgina 163.
676
Administracin de servidores Acerca de los tipos de servidores de Symantec Endpoint Protection
Acerca de los tipos de servidores de Symantec Endpoint Protection

Las definiciones siguientes pueden ser tiles para comprender la administracin de servidores:
Sitio Un sitio incluye uno o ms servidores de administracin, una base de datos (Microsoft SQL Server o la base de datos integrada) y opcionalmente, uno o ms dispositivos Enforcer situados tpicamente juntos en la misma ubicacin del negocio. El sitio en el cual se inicia sesin es el sitio local y se puede modificar directamente. Cualquier sitio con excepcin del sitio local se conoce como sitio remoto. Se conectan sitios usando la replicacin. Servidor de administracin El equipo en el cual el software de Symantec Endpoint Protection Manager est instalado. Desde el servidor de administracin, las polticas pueden ser creadas y asignadas a diversos grupos organizativos. Es posible supervisar clientes, ver informes, registros y alertas, y configurar los servidores y las cuentas de administrador. Varios servidores de administracin en un nico sitio proporcionan funcionalidades de conmutacin por error y de balanceo de carga. Servidor de bases de datos La base de datos usada por Symantec Endpoint Protection Manager. Hay una base de datos por sitio. La base de datos puede estar en el mismo equipo que el servidor de administracin o en otro equipo si se usa una base de datos de SQL Server. Enforcer Symantec Network Access Control usa un Enforcer para permitir o para denegar el acceso a la red de la empresa. Symantec Network Access Control incluye los siguientes tipos de Enforcers: Gateway Enforcer, LAN Enforcer e Integrated Enforcer. Partner de replicacin Una relacin creada entre dos sitios para habilitar la replicacin de datos entre ellos.
Administracin de servidores Cmo administrar la conexin entre el servidor de administracin y los equipos cliente
677
Cmo administrar la conexin entre el servidor de administracin y los equipos cliente

Una vez que se instala el cliente, el servidor de administracin se conecta automticamente al equipo cliente. Es posible realizar las siguientes tareas para configurar cmo el servidor de administracin se conecta a los clientes. Si tiene Symantec Network Access Control instalado, tambin se puede configurar la conexin entre el servidor de administracin y los Enforcers. Tabla 27-2 Tareas que se pueden realizar para administrar las conexiones entre los servidores de administracin y los clientes Descripcin
Es posible usar una lista alternativa de servidores de administracin para la conmutacin por error y el balanceo de carga. La lista de servidores de administracin proporciona una lista de varios servidores de administracin a los que los clientes pueden conectarse. Ver "Configuracin de una lista de servidores de administracin" en la pgina 722. Elegir el mtodo para descargar las polticas y el contenido para los clientes Es posible configurar que el servidor de administracin enve las polticas al cliente o que los clientes obtengan las polticas del servidor de administracin. Ver "Cmo los equipos cliente obtienen actualizaciones de polticas" en la pgina 273. Ver "Configurar el modo de transferencia o al modo de obtencin para actualizar las polticas de los clientes y el contenido" en la pgina 274. Comprobar el nmero de serie de El nmero de serie de las polticas debe coincidir si el polticas en el cliente y en la cliente puede comunicarse con el servidor y recibir consola de administracin actualizaciones de polticas regulares. Es posible realizar una actualizacin de polticas manual y despus comparar los nmeros de serie de polticas. Ver "Cmo usar el nmero de serie de la poltica para comprobar la comunicacin de servidor a cliente" en la pgina 276.
Tarea
Decida si usar la lista de servidores de administracin predeterminada
678
Administracin de servidores Mejora del rendimiento del cliente y del servidor
Tarea
Descripcin
Configurar las opciones de Es posible establecer una configuracin de comunicacin configuracin para una ubicacin aparte para las ubicaciones y para los grupos. Ver "Configurar las opciones de configuracin para una ubicacin" en la pgina 247. Comprobar si el cliente est conectado al servidor de administracin Es posible comprobar el icono de estado en el cliente y en la consola de administracin. El icono de estado muestra si el cliente y el servidor se comunican. Ver "Acerca de los iconos de estado de proteccin de los clientes" en la pgina 205. Un equipo puede tener el software de cliente instalado, pero no tener el archivo de comunicaciones correcto. Ver "Convertir un cliente no administrado en un cliente administrado" en la pgina 219. Solucionar problemas de conectividad con el servidor de administracin Si el servidor de administracin y el cliente no se conectan, se pueden solucionar los problemas de conexin. Ver "Cmo solucionar problemas de comunicacin entre el servidor de administracin y el cliente" en la pgina 1062. Ver "Investigacin de problemas de proteccin usando el archivo de la solucin de problemas en el cliente" en la pgina 1066.
Mejora del rendimiento del cliente y del servidor

Symantec Endpoint Protection Manager incluye diversas funciones que le permiten aumentar el rendimiento del cliente y an as mantener un alto nivel de seguridad.
679
Tabla 27-3 Tarea Descripcin
Tareas para mejorar el rendimiento en el servidor y en el cliente
Cambiar la configuracin de Use el modo extraccin en vez del modo de transferencia para controlar con cunta comunicacin entre servidor frecuencia el servidor de administracin descarga las polticas y las actualizaciones y cliente de contenido a los equipos cliente. En el modo de extraccin, el servidor de administracin puede admitir ms clientes. Aumente el intervalo de latidos de modo que el cliente y el servidor se comuniquen menos frecuentemente. Para los casos con menos de 100 clientes por servidor, aumente el latido entre 15 y 30 minutos. Para casos de 100 a 1000 clientes, aumente el latido entre 30 y 60 minutos. Redes ms grandes podran necesitar un intervalo de latidos ms largo. Aumente el clculo aleatorio de descarga entre una y tres veces el intervalo de latidos. Ver "Configurar el modo de transferencia o al modo de obtencin para actualizar las polticas de los clientes y el contenido" en la pgina 274. Para obtener ms informacin sobre la configuracin de intervalos de latidos, consulte el white paper Prcticas recomendadas de elevacin y determinacin de tamao de Symantec Endpoint.
680
Tarea
Descripcin
Ordenar aleatoriamente y Las actualizaciones de contenido varan de tamao y frecuencia, dependiendo del reducir de actualizaciones de tipo de contenido y de la disponibilidad. Es posible reducir el efecto de la descarga y contenido la importacin de un conjunto completo de actualizaciones de contenido usando los mtodos siguientes: Distribuya la carga del cliente en varios servidores de administracin. Ver "Configuracin de una lista de servidores de administracin" en la pgina 722. Use los mtodos alternativos para distribuir el contenido, tal como el proveedor de actualizaciones de grupo o las herramientas de distribucin de otro fabricante. Un proveedor de actualizaciones de grupo le ayuda a conservar el ancho de banda descargando capacidad de procesamiento del servidor a un cliente que descargue el contenido. Ver "Cmo configurar proveedores de actualizaciones de grupo para distribuir contenido " en la pgina 568. Ver "Cmo usar herramientas de distribucin de otro fabricante para actualizar los equipos cliente" en la pgina 584. Ordene aleatoriamente la hora a la que LiveUpdate descarga contenido a los equipos cliente. Ver "Cmo ordenar aleatoriamente descargas de contenido de un servidor de LiveUpdate" en la pgina 565. Ver "Ordenar aleatoriamente descargas de contenido del servidor de administracin predeterminado o un Proveedor de actualizaciones de grupo" en la pgina 564. Descargue las actualizaciones de contenido cuando los usuarios no estn activamente usando el equipo cliente. Ver "Configurar actualizaciones del cliente para ejecutarse cuando los equipos cliente estn inactivos" en la pgina 566.
Ajustar los anlisis para mejorar el rendimiento del equipo
Los anlisis antivirus y antispyware reducen al mnimo el efecto sobre los recursos de los equipos cliente. Es posible tambin cambiar cierta configuracin del anlisis para mejorar el rendimiento de equipos sin reducir la proteccin. Por ejemplo, se pueden configurar anlisis para omitir los archivos de confianza o para analizar cuando el equipo est inactivo. Ver "Cmo ajustar el anlisis para mejorar rendimiento del equipo" en la pgina 319. Ver "Cmo personalizar Auto-Protect para los clientes Windows" en la pgina 353.
681
Tarea
Descripcin
Reducir el volumen del Es posible configurar las opciones del registro para optimizar los requisitos de registro del cliente de la base almacenamiento y cumplir con las polticas de empresa que controlan la retencin de datos de datos registrados. La base de datos recibe y almacena un flujo constante de entradas en sus archivos de registro. Es necesario administrar los datos que se almacenan en la base de datos de modo que los datos almacenados no consuman todo el espacio libre en el disco disponible. Si hay demasiados datos, pueden causar que el equipo en el cual se ejecuta la base de datos se bloquee. Es posible reducir el volumen de datos de registro realizando las siguientes tareas:
Cargue solamente algunos de los registros de los clientes en el servidor y cambie la frecuencia con la cual los registros de los clientes se cargan. Ver "Especificacin del tamao de registro del cliente y registros para cargar al servidor de administracin" en la pgina 714. Especifique cuntas entradas de registro puede mantener el equipo cliente en la base de datos y cunto tiempo puede guardarlas. Ver "Especificacin del perodo de tiempo para mantener entradas de registro en la base de datos" en la pgina 715. Filtre los eventos del sistema y los eventos de riesgo menos importantes para remitir menos datos al servidor. Ver "Modificacin de la configuracin miscelnea para Proteccin antivirus y antispyware en equipos Windows" en la pgina 362. Reduzca el nmero de clientes que cada servidor de administracin administra. Ver "Configuracin de una lista de servidores de administracin" en la pgina 722. Ver "Cmo instalar el servidor de administracin y la consola" en la pgina 99. Reduzca la frecuencia de latido, que controla cuntas veces los registros de clientes se cargan al servidor. Ver "Configurar el modo de transferencia o al modo de obtencin para actualizar las polticas de los clientes y el contenido" en la pgina 274. Reduzca la cantidad de espacio en el directorio donde se almacenan los datos de registro antes de ser insertados en la base de datos. Ver "Acerca de aumentar el espacio ajustando la cantidad de datos de registro de los clientes" en la pgina 716.
Realizar las tareas de Para aumentar la velocidad de la comunicacin entre el cliente y el servidor, es mantenimiento de la base de necesario programar tareas de mantenimiento de la base de datos regulares. datos Ver "Cmo programar tareas de mantenimiento de base de datos automticas" en la pgina 708.
682
Administracin de servidores Exportar e importar opciones del servidor
Exportar e importar opciones del servidor

Es conveniente exportar o importar la configuracin para un Symantec Endpoint Protection Manager. Las opciones se exportan a un archivo en formato .xml. Ver "Administrar servidores" en la pgina 673. Para exportar opciones del servidor
1 2 3 4 5
En la consola, haga clic en Administrador y, luego, en Servidores. En Servidores, expanda Sitio local (Sitio nombre del sitio) y seleccione el servidor de administracin que desea exportar. Haga clic en Exportar propiedades del servidor. Seleccione una ubicacin en la cual guardar el archivo y especifique un nombre de archivo. Haga clic en Exportar.
Para importar opciones del servidor
1 2 3 4 5
En la consola, haga clic en Administrador y, luego, en Servidores. En Servidores, expanda Sitio local (Sitio nombre del sitio) y seleccione el servidor de administracin para el que desea importar la configuracin. Haga clic en Importar propiedades del servidor. Seleccione el archivo que desea importar y despus haga clic en Importar. Haga clic en S.
Acerca de los tipos de certificado de servidor

Los certificados digitales son el estndar de la industria para autenticar y cifrar datos confidenciales. Si desea prevenir la lectura de informacin cuando esta pasa a travs de los routers en la red, es necesario cifrar los datos. Por lo tanto, se necesita un certificado digital que utilice el protocolo HTTPS. Como parte de este procedimiento seguro, el servidor identifica y se autentica con un certificado de servidor. Symantec utiliza el protocolo HTTPS para la comunicacin entre todos los servidores, clientes y mdulos de Enforcer opcionales en una red. Tambin debe habilitar el cifrado en Symantec Endpoint Protection Manager, de modo que el servidor se identifique y se autentique con un certificado de servidor. Si no habilita esta opcin, la instalacin de un certificado digital no es eficaz. El servidor de administracin admite los siguientes tipos de certificado:
Administracin de servidores Actualizar un certificado de servidor
683
Archivo de almacn de claves JKS (.jks) Una herramienta Java que se llama keytool.exe genera el archivo del almacn de claves. Symantec admite solamente el formato del estndar de claves de Java (JKS). El formato de extensin de criptografa de Java (JCEKS) necesita una versin especfica de Java Runtime Environment (JRE). El servidor de administracin admite solamente un archivo del almacn de claves JCEKS que se genera con la misma versin que el kit de desarrollo de Java (JDK) en el servidor de administracin. El almacn de claves debe contener un certificado y una clave privada. La contrasea del almacn de claves debe ser igual que la contrasea principal. Archivo de almacn de claves PKCS12 (.pfx y .p12) Archivo de claves privadas y certificado (formato DER y PEM) Symantec admite certificados y claves privadas no cifrados en los formatos DER o PEM. Los archivos de clave privada PKCS8 cifrados no se admiten.
Sera aconsejable hacer una copia de seguridad de la informacin sobre el certificado como medida de seguridad. Si se daa el servidor de administracin o se olvida la contrasea del almacn de claves, es posible extraer fcilmente la contrasea. Ver "Actualizar un certificado de servidor" en la pgina 683. Ver "Hacer copia de seguridad de un certificado de servidor" en la pgina 686.
Actualizar un certificado de servidor

Es posible utilizar el asistente para actualizar certificados de servidor como gua para el proceso de actualizar certificados. Para actualizar un certificado de servidor
1 2 3 4 5
En la consola, haga clic en Administrador y, luego, en Servidores. En Servidores, haga clic en el servidor de administracin para el cual desea actualizar el certificado de servidor. En Tareas, haga clic en Administrar certificado del servidor y haga clic en Siguiente. En el panel Administrar certificado de servidor, haga clic en Actualizar el certificado de servidor y en Siguiente. En el panel Actualizar certificado del servidor, realice una de las siguientes tareas y, a continuacin, haga clic en Siguiente :

Haga clic en Archivo de almacn de claves JKS (.jks) Haga clic en Archivo de almacn de claves PKCS12 (.pfx y .p12)
684
Administracin de servidores Actualizacin de certificados de seguridad del servidor sin dejar clientes hurfanos
Haga clic en Archivo de claves privadas y certificados. Este certificado usa los formatos DER y PEM.
6 7
Para cada tipo del certificado, siga las instrucciones en los paneles y haga clic en Finalizar. Cierre sesin y reinicie el servidor de administracin antes de que el certificado sea eficaz. Ver "Cmo detener e iniciar el servicio del servidor de administracin" en la pgina 163.
Ver "Acerca de los tipos de certificado de servidor" en la pgina 682.
Actualizacin de certificados de seguridad del servidor sin dejar clientes hurfanos

Cuando los clientes usan la comunicacin segura con el servidor, un certificado de seguridad digitalmente firmado se intercambia entre los clientes y el servidor. Este intercambio establece una relacin de confianza entre el servidor y los clientes. Cuando el certificado cambia en el servidor, la relacin de confianza se quiebra y los clientes ya no pueden comunicarse. Se llama a este problema dejar hurfanos a los clientes. Nota: Use este proceso para actualizar un servidor de administracin o varios servidores de administracin al mismo tiempo. Tabla 27-4 enumera los pasos para actualizar el certificado sin dejar hurfano a los clientes que el servidor administra. Tabla 27-4 Paso Tarea
1
Cmo actualizar los certificados del servidor y los clientes
Descripcin
Deshabilitar la Deshabilite las comunicaciones seguras entre el servidor y los clientes. verificacin de firmas Ver "Cmo configurar comunicaciones seguras para evitar dejar hurfanos a los de polticas clientes" en la pgina 685. Esperar a que todos Dependiendo del nmero de clientes administrados que se conectan al servidor, el los clientes reciban la proceso de implementar la poltica actualizada puede tardar una semana o ms. Las poltica actualizada instalaciones grandes pueden tardar varios das en completar el proceso porque los equipos administrados deben estar en lnea para recibir la nueva poltica. Algunos usuarios pueden estar de vacaciones y sus equipos, desconectados.
Administracin de servidores Actualizacin de certificados de seguridad del servidor sin dejar clientes hurfanos
685
Paso Tarea
3 Actualizar el certificado de servidor
Descripcin
Ver "Actualizar un certificado de servidor" en la pgina 683. Si migra o actualiza el servidor de administracin, realice la migracin del servidor. Ver "Migrar un servidor de administracin" en la pgina 161.
Habilitar la Vuelva a habilitar las comunicaciones seguras entre el servidor y los clientes verificacin de firmas repitiendo el paso 1 y seleccionando Habilitar comunicacin segura entre el servidor de polticas de administracin y los clientes mediante el uso de certificados digitales para autenticacin. Esperar a que todos Puede tardar una semana o ms en actualizar todos los clientes. los clientes reciban la poltica actualizada Restaurar la relacin Si el servidor que usted actualiz replica con otros servidores de administracin, de replicacin restaure la relacin de replicacin. (opcional) Ver "Cmo activar la replicacin despus de una migracin o actualizacin" en la pgina 161.
Cmo configurar comunicaciones seguras para evitar dejar hurfanos a los clientes
Cuando los clientes usan la comunicacin segura con el servidor, un certificado de seguridad digitalmente firmado se intercambia entre los clientes y el servidor. Este intercambio establece una relacin de confianza entre el servidor y los clientes. Cuando el certificado cambia en el servidor, la relacin de confianza se quiebra y los clientes ya no pueden comunicarse. Se llama a este problema dejar hurfanos a los clientes. Es necesario deshabilitar comunicaciones seguras entre los clientes y el servidor para evitar que dejen hurfanos a los clientes administrados durante la migracin o la actualizacin. Una vez que se migra o actualiza al servidor, se activan comunicaciones seguras. Nota: Use este proceso para actualizar un servidor de administracin o varios servidores de administracin al mismo tiempo. Ver Tabla 27-4 en la pgina 684.
686
Administracin de servidores Hacer copia de seguridad de un certificado de servidor
Cmo configurar las comunicaciones seguras para una actualizacin
1 2
En la consola, haga clic en Clientes > Polticas > Configuracin general. En la ficha Configuracin de seguridad, anule la seleccin de Habilitar comunicacin segura entre el servidor de administracin y los clientes mediante el uso de certificados digitales para autenticacin. Haga clic en Aceptar.
Hacer copia de seguridad de un certificado de servidor

En caso de que se dae el servidor de administracin, es necesario hacer una copia de seguridad de la clave privada as como de los archivos que representan el certificado. El archivo del almacn de claves JKS se incluye en una copia de seguridad durante la instalacin inicial. Un archivo denominado servermarca de hora.xml tambin se incluye en una copia de seguridad. El archivo del almacn de claves JKS incluye el par de claves privada y pblica del servidor y el certificado autofirmado. Para hacer una copia de seguridad de un certificado de servidor
1 2 3 4 5
En la consola, haga clic en Administrador y, luego, en Servidores. En Servidores, haga clic en el servidor de administracin de cuyo certificado de servidor desea hacer copia de seguridad. En Tareas, haga clic en Administrar certificado del servidor y haga clic en Siguiente. En el panel Administrar certificado de servidor, haga clic en Hacer copia de seguridad del certificado del servidor y en Siguiente. En el panel Hacer copia de seguridad del certificado de servidor, haga clic en Examinar para especificar una carpeta de copia de seguridad y en Abrir. Observe que se hace una copia de respaldo del certificado de servidor de administracin en la misma carpeta.
6 7
En el panel Hacer copia de seguridad del certificado de servidor, haga clic en Siguiente. Haga clic en Finalizar.
Ver "Acerca de los tipos de certificado de servidor" en la pgina 682.
Administracin de servidores Configuracin de SSL entre Symantec Endpoint Protection Manager y los clientes
687
Configuracin de SSL entre Symantec Endpoint Protection Manager y los clientes

Se habilita la comunicacin de Secure Sockets Layer (SSL) editando el archivo httpd.config de Apache. De forma predeterminada, el trfico SSL usa el puerto 433. Es posible que sea necesario cambiar el puerto predeterminado si este ya se usa. Tabla 27-5 Paso Accin
1
Cmo habilitar la comunicacin SSL con el cliente
Descripcin
Compruebe que En algunas redes, el puerto 433 puede estar vinculado ya a otra aplicacin o servicio. el puerto SSL Antes de que habilite la comunicacin SSL, es necesario comprobar y ver si el puerto predeterminado predeterminado (433) est disponible. est disponible Ver "Cmo verificar la disponibilidad del puerto" en la pgina 687. Segn sea Si el puerto 433 no est disponible, elija un puerto sin usar del amplio rango de puertos necesario, (49152-65535). Ajuste la configuracin de servidor para usar el nuevo puerto. cambie el puerto Ver "Cmo cambiar la asignacin del puerto SSL" en la pgina 688. SSL predeterminado Habilitar la comunicacin SSL con el cliente Edite el archivo httpd.config de Apache para permitir la comunicacin SSL con el cliente. Ver "Cmo habilitar la comunicacin SSL entre el servidor de administracin y el cliente" en la pgina 689.
Ver "Acerca de la migracin a Symantec Endpoint Protection" en la pgina 152. Ver "Cmo migrar de Symantec Client Security o de Symantec AntiVirus" en la pgina 154.
Cmo verificar la disponibilidad del puerto

Algunas opciones de configuracin de Symantec Endpoint Protection Manager necesitan que se cambie una asignacin del puerto predeterminado para evitar un conflicto con otras aplicaciones o servicios. Antes de que asigne un nuevo puerto, es necesario comprobar si est seguro de que el nuevo puerto no est en uso ya.
688
Administracin de servidores Configuracin de SSL entre Symantec Endpoint Protection Manager y los clientes
Para verificar la disponibilidad del puerto
1 2
Abra una lnea de comandos y ejecute el comando netstat -an En la columna Direccin local, busque una entrada que finalice con el nmero de puerto que desee comprobar. Por ejemplo, para consultar si el puerto 443 est disponible, busque en la columna Direccin local una entrada que finalice en 443. Si ninguna entrada finaliza en 443, el puerto est disponible.
Ver "Configuracin de SSL entre Symantec Endpoint Protection Manager y los clientes" en la pgina 687.
Cmo cambiar la asignacin del puerto SSL

En algunos casos, puede ser necesario cambiar la asignacin del puerto SSL predeterminado. Nota: Este procedimiento asume que un nuevo puerto SSL se ha elegido y se ha verificado que est sin usar. Ver "Cmo verificar la disponibilidad del puerto" en la pgina 687. Para cambiar la asignacin del puerto SSL
1 2
En un programa de edicin de texto, abra el archivo %SEPM%\apache\conf\ssl\sslForClients.conf. Edite la cadena, Listen 443 con el nuevo nmero de puerto. Por ejemplo, si el nuevo nmero de puerto es 53300, la cadena editada se convierte en Listen 53300. Guarde el archivo y cierre el programa de edicin de texto. Reinicie Symantec Endpoint Protection Manager. Para verificar que el nuevo puerto funcione correctamente, en un navegador web, entre a la URL https://ServerHostName:<new port number>/secars/secars.dll?hello.secars. En la URL, ServerHostName es el nombre del equipo para Symantec Endpoint Protection Manager. Si se muestra la palabra hola, el cambio del puerto es correcto. Si se muestra un error de la pgina, repita los primeros pasos y verifique que la cadena tenga el formato correcto. Adems compruebe si escribi la URL correctamente. En la consola, en la ficha Polticas, haga clic en Componentes de polticas > Listas de servidores de administracin.
3 4 5
Administracin de servidores Conceder o negar el acceso a las consolas remotas de Symantec Endpoint Protection Manager
689
En la lista de servidores de administracin, haga clic en el servidor de administracin que se est configurando para usar SSL y despus haga clic en Editar. En la ventana Editar el servidor de administracin, haga clic en Personalizar puerto HTTPS y despus especifique el nuevo nmero de puerto. Haga clic en Aceptar.
8 9
Cmo habilitar la comunicacin SSL entre el servidor de administracin y el cliente

Se edita el archivo httpd.config para habilitar la comunicacin de Secure Sockets Layer (SSL) entre Symantec Endpoint Protection Manager y los clientes. Cmo habilitar la comunicacin SSL entre el servidor de administracin y el cliente
1 2 3 4
En un programa de edicin de texto, abra el archivo %SEPM%\apache\conf\httpd.conf. Busque la entrada #Include conf/ssl/sslForClients.conf Elimine la marca hash (#) de la cadena de texto y despus guarde el archivo. Reinicie Symantec Endpoint Protection Manager. Ver "Cmo detener e iniciar el servicio del servidor de administracin" en la pgina 163.
Ver "Detencin e inicio del Servidor Web Apache" en la pgina 1067. Ver "Configuracin de SSL entre Symantec Endpoint Protection Manager y los clientes" en la pgina 687.
Conceder o negar el acceso a las consolas remotas de Symantec Endpoint Protection Manager
Es posible proteger la consola principal concediendo o negando el acceso a los equipos en los cuales una consola remota est instalada. De forma predeterminada, a todas las consolas se les permite el acceso. Los administradores pueden iniciar sesin en la consola principal localmente o remotamente desde cualquier equipo en la red. Adems de conceder o de negar el acceso globalmente, es posible especificar excepciones por la direccin IP. La lista de excepciones niega automticamente el acceso si ha elegido conceder acceso a todas las consolas remotas. Inversamente, si se niega el acceso a todas las consolas remotas, se concede automticamente el acceso a todas las excepciones.
690
Cuando se crea una excepcin, el equipo que usted especific debe tener una direccin IP esttica. Es posible adems crear una excepcin para un grupo de equipos especificando una mscara de subred. Por ejemplo, es posible permitir el acceso en todas las reas que se administran. Sin embargo, es posible negar el acceso a una consola que se encuentra en un rea pblica. Para conceder o negar el acceso a una consola remota
1 2 3 4 5
En la consola, haga clic en Administrador y, luego, en Servidores. En Servidores, seleccione el servidor cuyo permiso de acceso a la consola desea modificar. En Tareas, haga clic en Editar las propiedades del servidor. En la ficha General, haga clic en Acceso concedido o Acceso denegado. Si desea especificar las direcciones IP de los equipos que estn exentos de los permisos de acceso de la consola, haga clic en Agregar. Los equipos que se agregan se convierten en excepciones a las cuales se concede acceso. Se niega el acceso a estos equipos. Si selecciona Acceso denegado, los equipos que se especifican se convierten en los nicos a los que se permite el acceso. Cree una excepcin para un solo equipo o un grupo de equipos.
En el cuadro de dilogo Denegar acceso a la consola, haga clic en una de las siguientes opciones:
Equipo individual Para un equipo, escriba la direccin IP. Grupo de equipos Para varios equipos, escriba la direccin IP y la mscara de subred para el grupo.
Haga clic en Aceptar. Los equipos ahora aparecen en la lista de excepciones. Para cada direccin IP y mscara, aparece el estado de los permisos. Si modifica Acceso concedido por Acceso denegado, o viceversa, todas las excepciones se modifican tambin. Si ha creado excepciones para negar el acceso, ahora tienen acceso.
Haga clic en Editar todo para modificar las direcciones IP o los nombres de host de los equipos que aparecen en la lista de excepciones. El editor de direcciones IP aparece. El editor de direcciones IP es un programa de edicin de texto que permite editar direcciones IP y mscaras de subred.
691
Haga clic en Aceptar. en Aceptar.
10 Cuando finaliza de agregar excepciones a la lista o de editar la lista, haga clic
692
Captulo
28
Administracin de servidores de directorio


Acerca de las unidades organizativas y el servidor LDAP Acerca de la sincronizacin de unidades organizativas Acerca de la importacin de la informacin del usuario y de la cuenta de equipo de un servidor de directorios LDAP Sincronizacin de cuentas de usuario entre servidores de directorio y Symantec Endpoint Protection Manager Buscar usuarios en un servidor de directorios LDAP Importar usuarios desde una lista de resultados de bsqueda de un servidor de directorios LDAP Importacin de las unidades organizativas de un servidor de Active Directory o de LDAP Agregar servidores de directorios
Acerca de las unidades organizativas y el servidor LDAP

Symantec Endpoint Protection Manager puede sincronizar automticamente usuarios, equipos y la estructura de grupos entera en una unidad organizativa (OU) desde un servidor de Active Directory o LDAP. Cuando se importan, es posible asignar polticas a los grupos que se crean. Las unidades organizativas importadas no pueden modificarse en la consola. Si necesita agregarlas, eliminarlas o
694
Administracin de servidores de directorio Acerca de la sincronizacin de unidades organizativas
modificarlas de cualquier manera, es necesario realizar estas tareas en el servidor LDAP. El servidor de administracin sigue automticamente sincronizado con la estructura que se implementa en el servidor de directorios si se activa la sincronizacin. Adems, es posible crear grupos en la consola y copiar usuarios en ellos desde las OU. El mismo usuario puede existir en el grupo en el servidor de administracin y una OU. En esta situacin, la prioridad del grupo es mayor que la prioridad de la OU. Por lo tanto, la poltica del grupo se aplica al usuario o al equipo.
Acerca de la sincronizacin de unidades organizativas

La integracin y la sincronizacin con los servidores LDAP y Active Directory es una funcin opcional de Symantec Endpoint Protection Manager. Es posible importar unidades organizativas desde otros servidores y configurar la sincronizacin automtica de las unidades importadas con los otros servidores. Ver "Sincronizacin de cuentas de usuario entre servidores de directorio y Symantec Endpoint Protection Manager" en la pgina 695. Cualquier cambio que realice en el servidor LDAP no aparece inmediatamente en la unidad organizativa que se import al servidor de administracin. El perodo de latencia depende de la frecuencia de la sincronizacin. Es posible configurar la frecuencia de sincronizacin editando propiedades del servidor en la consola. El nombre del usuario an aparece en el grupo de la consola, incluso si realiza las siguientes tareas:

Copiar un usuario de una unidad organizativa a un grupo Eliminar ese usuario del servidor LDAP posteriormente
La sincronizacin ocurre solamente entre el servidor LDAP y la unidad organizativa.
Acerca de la importacin de la informacin del usuario y de la cuenta de equipo de un servidor de directorios LDAP
Los administradores pueden importar informacin sobre cuentas de usuario y del equipo desde un servidor de directorios LDAP usando el protocolo LDAP. Si planea importar la informacin sobre usuarios y cuentas, debe primero establecer una conexin entre Symantec Endpoint Protection Manager y un servidor de directorios.
Administracin de servidores de directorio Sincronizacin de cuentas de usuario entre servidores de directorio y Symantec Endpoint Protection Manager
695
Ver "Agregar servidores de directorios" en la pgina 700. Es posible despus buscar e importar informacin sobre usuarios y cuentas realizando las siguientes tareas:
Buscar usuarios en el servidor LDAP. Ver "Buscar usuarios en un servidor de directorios LDAP" en la pgina 696. Importar la informacin sobre las cuentas de usuario. Ver "Importar usuarios desde una lista de resultados de bsqueda de un servidor de directorios LDAP" en la pgina 698.
Sincronizacin de cuentas de usuario entre servidores de directorio y Symantec Endpoint Protection Manager
Es posible configurar los servidores de directorio para importar y sincronizar usuarios con Symantec Endpoint Protection Manager. Es necesario haber agregado los servidores de directorios antes de sincronizar la informacin sobre los usuarios. Nota: Si elimina una conexin del servidor de directorio de Symantec Endpoint Protection Manager, debe eliminar cualquier unidad organizativa (OU) que cre antes de sincronizar datos entre los servidores. Ver "Agregar servidores de directorios" en la pgina 700. Para sincronizar cuentas de usuario entre servidores de directorio y Symantec Endpoint Protection Manager
1 2 3 4 5
En la consola, haga clic en Administrador y, luego, en Servidores. En Servidores, seleccione el servidor de administracin al cual desea agregar un servidor de directorios. En Tareas, haga clic en Editar propiedades de servidor. En el cuadro de dilogo Propiedades del servidor, haga clic en la ficha Servidores de directorios. Active Sincronizar con servidores de directorios si no est marcada. Esta es la opcin predeterminada.
Para configurar la programacin para cuantas veces desea sincronizar al servidor de administracin con el servidor del directorio, realice una de las siguientes acciones:
696
Administracin de servidores de directorio Buscar usuarios en un servidor de directorios LDAP
Para sincronizar automticamente cada 24 horas, haga clic en Programacin automtica. La configuracin predeterminada se programa para sincronizar cada 86 400 segundos. Tambin puede personalizar el intervalo al editar el archivo tomcat\etc\conf.properties. Para especificar la frecuencia de sincronizacin deseada, haga clic en Sincronizar cada y especifique el nmero de horas.
Buscar usuarios en un servidor de directorios LDAP

Es necesario buscar usuarios en un servidor LDAP cuando se importa informacin sobre usuarios al servidor de administracin. Ver "Acerca de la importacin de la informacin del usuario y de la cuenta de equipo de un servidor de directorios LDAP" en la pgina 694. Para buscar usuarios en un servidor de directorios LDAP
1 2 3 4 5
En la consola, haga clic en Clientes. En Clientes, seleccione el grupo al que desea importar usuarios. En Tareas, haga clic en Importar usuarios de Active Directory o LDAP. En el cuadro de dilogo Importar usuarios de Active Directory o LDAP, escriba la direccin IP o el nombre de host en el cuadro Servidor. En el cuadro Puerto del servidor, escriba el nmero de puerto del servidor de LDAP o del servidor de Active Directory. El nmero de puerto predeterminado es 389.
Si desea conectarse con el servidor de directorios usando Secure Sockets Layer (SSL), haga clic en Usar conexin segura. Si no activa esta opcin, se utiliza una conexin sin cifrar.
Administracin de servidores de directorio Buscar usuarios en un servidor de directorios LDAP
697
Enumere los usuarios haciendo clic en Enumerar usuarios. Es posible adems escribir una consulta LDAP para localizar los nombres de los usuarios que desee importar en el cuadro Base de bsqueda LDAP. Es posible especificar opciones de bsqueda, tales como pares de atributo y valor. Los atributos deben estar separados por comas.
CN DC L ST O OU C STREET NombreComn ComponenteDominio NombreLocalidad NombreEstadoOProvincia NombreOrganizacin NombreUnidadOrganizativa NombrePas DireccinCalle
No todos los servidores LDAP admiten todas las opciones. Por ejemplo, Microsoft Active Directory no admite O. El orden en el cual se especifican los pares de atributos y valores es importante, ya que indica la ubicacin de la entrada en la jerarqua de directorios LDAP. Si durante la instalacin de un servidor de directorios, usted especific un nombre de dominio de tipo DNS tal como itsupport.sygate.com, es posible consultar un servidor de directorios, pues itsupport es un nombre de dominio NetBIOS NT tpico. Para realizar una consulta en ese servidor de Active Directory, especifique la base de la bsqueda LDAP en este orden:
CN=Users, DC=itsupport, DC=sygate, DC=com
Es posible utilizar caracteres comodn o expresiones regulares en la base de bsqueda. Por ejemplo:
CN=a*, CN=Users, DC=itsupport, DC=sygate, DC=com
Esta consulta devuelve todos los nombres de usuario que se inician con la letra a. Otro ejemplo representa las organizaciones en las cuales es posible realizar una bsqueda de directorio estructural, tal como:
698
Administracin de servidores de directorio Importar usuarios desde una lista de resultados de bsqueda de un servidor de directorios LDAP
mycorp.com -> engineering.mycorp.com or sales.mycorp.com
Es posible especificar cualquier opcin aplicable donde se desee iniciar la bsqueda en el directorio LDAP.
o=mycorp.com or o=engineering.mycorp.com
Es posible especificar una comparacin lgica usando > o < en una cadena de bsqueda LDAP. Una consulta LDAP que proporciona ms de 1000 resultados puede fallar. Asegrese de configurar la base de bsqueda de forma que se informen menos de 1000 usuarios.
8 9
Escriba el nombre de la cuenta de usuario LDAP en el cuadro Cuentas autorizadas. Escriba la contrasea de la cuenta de usuario LDAP en el cuadro Contrasea. servidor LDAP. Si se marca Mostrar solo usuarios que no se hayan agregado a ningn grupo, solo aparecen los usuarios que no se han agregado.
10 Haga clic en Enumerar usuarios para visualizar una lista de usuarios en el
Importar usuarios desde una lista de resultados de bsqueda de un servidor de directorios LDAP
Es posible tambin importar usuarios desde una lista de resultados de bsqueda de un servidor LDAP. Ver "Acerca de la importacin de la informacin del usuario y de la cuenta de equipo de un servidor de directorios LDAP" en la pgina 694. Para importar usuarios desde una lista de resultados de bsqueda de un servidor de directorios LDAP
1 2
En la consola, haga clic en Clientes. En el rbol Lista de grupos, seleccione el grupo al que desee agregar usuarios desde el servidor LDAP. Haga clic en Agregar todo si desea agregar todos los usuarios o seleccione usuarios especficos de la lista, y despus haga clic en Agregar.
Haga clic en el nombre del campo segn el cual se clasificar. Es posible clasificar los resultados de la bsqueda por campo en orden ascendente o descendente.
Administracin de servidores de directorio Importacin de las unidades organizativas de un servidor de Active Directory o de LDAP
699
Seleccione uno o ms usuarios desde el rea de Lista de usuarios de LDAP. Es posible utilizar las teclas de seleccin estndar de Windows como Ctrl para seleccionar usuarios no continuos.
5 6 7
Haga clic en Agregar de modo que los nombres de nuevos usuarios aparezcan en el rbol del grupo. Repita este proceso para agregar usuarios a otros grupos, como sea necesario, hasta que haya agregado todos los nuevos usuarios a los grupos apropiados. Haga clic en Cerrar.
Importacin de las unidades organizativas de un servidor de Active Directory o de LDAP

Si desea importar una unidad organizativa o un contenedor, ya debera haber conectado Symantec Endpoint Protection Manager a un servidor LDAP. Ver "Agregar servidores de directorios" en la pgina 700. No es posible filtrar resultados desde el cuadro de dilogo Importar unidades organizativas. Si es necesario filtrar usuarios, debe hacerlo cuando se agrega el servidor LDAP al servidor de administracin. Los servidores de Active Directory no se pueden filtrar en cualquier lugar. Este proceso puede tardar bastante tiempo, dependiendo del nmero de usuarios. Una unidad organizativa no se puede poner en ms de un rbol de grupos. Los caracteres especiales siguientes estn permitidos en los nombres de Active Directory, pero se deben convertir antes de importarse a Symantec Endpoint Protection Manager:

Un espacio o un carcter hash (#) que aparece al inicio de una entrada Un carcter de espacio que aparece al final de una entrada Cualquiera de los siguientes caracteres: coma (,), signo ms (+), comilla (), smbolos de menor o mayor que (< o >), signo de igualdad (=), punto y coma (;), barra invertida (\)
Para poder importar un nombre que incluya estos caracteres que se importarn, debe preceder cada carcter con un carcter de barra invertida (\). Para importar una unidad organizativa desde un servidor LDAP
1 2
En la consola, haga clic en Clientes. En Clientes, seleccione el grupo en el que desea agregar la unidad organizativa o el contenedor.
700
Administracin de servidores de directorio Agregar servidores de directorios
3 4 5 6
En Tareas, haga clic en Importar unidad organizativa o contenedor. Elija el dominio. Seleccione la unidad organizativa. Haga clic en Aceptar.
Agregar servidores de directorios

Con los servidores de Active Directory, no se pueden filtrar a los usuarios antes de importar los datos. Con los servidores LDAP, es posible filtrar los usuarios antes de importar datos. Por lo tanto, es posible agregar un servidor de Active Directory compatible con LDAP como servidor LDAP si es necesario filtrar los datos. Despus de que usted termine de agregar un servidor de directorios, puede configurar la sincronizacin. Ver "Sincronizacin de cuentas de usuario entre servidores de directorio y Symantec Endpoint Protection Manager" en la pgina 695. Para agregar servidores de directorios
1 2 3 4 5 6 7
En la consola, haga clic en Administrador y, luego, en Servidores. En Servidores, seleccione el servidor de administracin al cual desea agregar un servidor de directorios. En Tareas, haga clic en Editar las propiedades del servidor. En el cuadro de dilogo Propiedades del servidor para nombre del sitio, en la ficha Servidores de directorios, haga clic en Agregar. En el cuadro de dilogo Agregar servidor de directorios, escriba el nombre para el servidor de directorios que desee agregar en el campo Nombre. En el cuadro de dilogo Agregar servidor de directorios, seleccione Active Directory o LDAP como Tipo de servidor. En el cuadro de dilogo Agregar servidor de directorios, escriba la direccin IP, el nombre de host o el nombre de dominio en el cuadro Nombre o direccin IP del servidor. Es necesario escribir la direccin IP, el nombre de host o el nombre de dominio del servidor de directorios que desee agregar.
701
Si agrega un servidor LDAP, escriba el nmero de puerto del servidor LDAP en el cuadro Puerto LDAP. No es posible modificar los valores si se agrega un servidor de Active Directory. La configuracin de puerto predeterminado es 389.
Si agrega un servidor LDAP, escriba LDAP BaseDN en el cuadro BaseDN LDAP. directorios en el cuadro Nombre de usuario.
10 Escriba el nombre de usuario de la cuenta autorizada del servidor de 11 Escriba la contrasea para la cuenta del servidor de directorios en el cuadro
Contrasea.
12 Si desea conectarse con el servidor de directorios usando Secure Sockets

Layer (SSL), seleccione Usar conexin segura. Si no selecciona esta opcin, se utiliza una conexin sin cifrar normal.
702
Captulo
29
Administracin de bases de datos


Mantener la base de datos Cmo programar las copias de seguridad de base de datos automticas Cmo programar tareas de mantenimiento de base de datos automticas Exportar datos a un servidor Syslog Exportar datos de registro a un archivo de texto Exportar datos de registro a un archivo de texto delimitado por comas Especificacin del tamao de registro del cliente y registros para cargar al servidor de administracin Especificacin del perodo de tiempo para mantener entradas de registro en la base de datos Acerca de aumentar el espacio ajustando la cantidad de datos de registro de los clientes Limpieza manual de datos del registro de la base de datos
Mantener la base de datos

Symantec Endpoint Protection admite una base de datos integrada y la base de datos de Microsoft SQL Server. Si tiene ms de 1000 clientes, deber usar la base de datos de Microsoft SQL Server.
704
Administracin de bases de datos Mantener la base de datos
Symantec Endpoint Protection Manager instala de forma automtica una base de datos integrada. La base de datos contiene informacin sobre las polticas de seguridad, valores de configuracin, datos de ataques, registros e informes. Una vez que se instala Symantec Endpoint Protection Manager, el servidor de administracin comienza a lentificarse despus de algunas semanas o algunos meses. Para mejorar el rendimiento del servidor de administracin, es posible que sea necesario reducir el espacio de almacenamiento de la base de datos y programar diversas tareas de mantenimiento de base de datos. Tabla 29-1 Tarea Descripcin Tareas de administracin de base de datos
Programar copias de Es necesario programar copias de seguridad de la base de datos regulares en caso de que la seguridad de base de base de datos resulte daada. datos regulares Ver "Hacer copia de seguridad de la base de datos y los registros" en la pgina 729. Ver "Cmo programar las copias de seguridad de base de datos automticas" en la pgina 707. Ver "Ejecucin de recuperacin despus de un desastre" en la pgina 1057. Opcionalmente, para evitar un barrido automtico de la base de datos hasta despus de que una copia de seguridad ocurra, se pueden barrer manualmente los datos de la base de datos. Ver "Limpieza manual de datos del registro de la base de datos" en la pgina 717. Programar tareas de Es posible acelerar el tiempo de interaccin entre el servidor de administracin y la base de mantenimiento de la datos programando tareas de mantenimiento de la base de datos. Es posible programar el base de datos servidor de administracin para realizar las tareas de mantenimiento siguientes de forma inmediata o para cuando los usuarios no estn en los equipos cliente.

Elimine los datos sin usar del registro de transacciones. Regenere los ndices de la tabla de la base de datos para mejorar las funcionalidades de orden y bsqueda de la base de datos.
Ver "Cmo programar tareas de mantenimiento de base de datos automticas" en la pgina 708. Comprobar peridicamente el tamao del archivo de la base de datos Si usa la base de datos de Microsoft SQL Server en lugar de la base de datos integrada, asegrese de que la base de datos no alcance el tamao de archivo mximo. Ver "Cmo aumentar el tamao del archivo de la base de datos de Microsoft SQL Server" en la pgina 710.
705
Tarea
Descripcin
Calcular el espacio de Antes de decidir cmo reducir la cantidad de espacio de almacenamiento, calcule la cantidad almacenamiento de de espacio libre en disco total que se necesita. la base de datos que El almacenamiento de la base de datos se basa en los factores siguientes: se necesita Tamao del registro y perodo de caducidad.

Cantidad de equipos cliente. Cantidad promedio de virus por mes. Cantidad de eventos que es necesario conservar para cada registro.
Cantidad de actualizaciones de contenido. Las actualizaciones de contenido necesitan cerca de 300 MB cada una. Ver "Cmo configurar el espacio libre en disco que se usa para descargas de LiveUpdate" en la pgina 562. Ver "Cmo controlar las revisiones de contenido que usan los clientes" en la pgina 561. Cantidad de versiones de los clientes que es necesario conservar para cada idioma. Por ejemplo, su red puede tener clientes de 32 bits y clientes de 64 bits. Cantidad de copias de seguridad que es necesario guardar. El tamao de la copia de seguridad es aproximadamente el 75% del tamao de la base de datos, multiplicado por el nmero de copias de seguridad que se guarde. Para obtener ms informacin sobre cmo calcular el espacio en el disco duro que se necesita, consulte el white paper de SymantecRecomendaciones de tamao y elevacin para Symantec Endpoint Protection.
706
Tarea
Reducir el volumen de datos de registro
Descripcin
La base de datos recibe y almacena un flujo constante de entradas en sus archivos de registro. Es necesario administrar los datos que se almacenan en la base de datos de modo que los datos almacenados no consuman todo el espacio libre en el disco disponible. Si hay demasiados datos, pueden causar que el equipo en el cual se ejecuta la base de datos se bloquee. Es posible reducir el volumen de datos de registro realizando las siguientes tareas:
Cargue solamente algunos de los registros de los clientes en el servidor y cambie la frecuencia con la cual los registros de los clientes se cargan. Ver "Especificacin del tamao de registro del cliente y registros para cargar al servidor de administracin" en la pgina 714. Especifique cuntas entradas de registro puede mantener el equipo cliente en la base de datos y cunto tiempo puede guardarlas. Ver "Especificacin del perodo de tiempo para mantener entradas de registro en la base de datos" en la pgina 715. Filtre los eventos del sistema y los eventos de riesgo menos importantes para remitir menos datos al servidor. Ver "Modificacin de la configuracin miscelnea para Proteccin antivirus y antispyware en equipos Windows" en la pgina 362. Reduzca la cantidad de espacio en el directorio donde se almacenan los datos de registro antes de ser insertados en la base de datos. Ver "Acerca de aumentar el espacio ajustando la cantidad de datos de registro de los clientes" en la pgina 716. Reduzca el nmero de clientes que cada servidor de administracin administra. Ver "Configuracin de una lista de servidores de administracin" en la pgina 722. Reduzca la frecuencia de latido, que controla cuntas veces los registros de clientes se cargan al servidor. Ver "Configurar el modo de transferencia o al modo de obtencin para actualizar las polticas de los clientes y el contenido" en la pgina 274.
Exportar datos de registro a otro servidor
Por motivos de seguridad, puede ser recomendable conservar la cantidad de registros por un perodo ms largo. Para mantener bajo el volumen de datos de registro, se pueden exportar los datos de registro a otro servidor. Ver "Exportar datos de registro a un archivo de texto" en la pgina 711. Ver "Exportar datos a un servidor Syslog" en la pgina 710.
Crear paquetes de instalacin del cliente con solamente la proteccin que se necesita
Cuantas ms funciones de proteccin se instalan con el cliente, ms espacio ocupa la informacin del cliente en la base de datos. Cree el paquete de instalacin de clientes con solamente el nivel apropiado de proteccin que el equipo cliente necesita. Cuanto ms grupos se agregan, ms espacio ocupa la informacin del cliente en la base de datos. Ver "Configuracin de funciones de paquetes de instalacin de clientes" en la pgina 148.
Administracin de bases de datos Cmo programar las copias de seguridad de base de datos automticas
707
Tarea
Usar el Proveedor de actualizaciones de grupo para descargar el contenido
Descripcin
Si tiene poco ancho de banda o ms de 100 equipos cliente, use el Proveedor de actualizaciones de grupo para descargar el contenido. Por ejemplo, 2000 clientes que usan el Proveedor de actualizaciones de grupo son el equivalente de usar cuatro o cinco servidores de administracin para descargar el contenido. Ver "Cmo configurar proveedores de actualizaciones de grupo para distribuir contenido " en la pgina 568. Para reducir el espacio libre en disco y el tamao de la base de datos, puede reducir el nmero de revisiones de contenido que se mantiene en el servidor. Ver "Cmo configurar el espacio libre en disco que se usa para descargas de LiveUpdate" en la pgina 562.
Restaure la base de datos
Es posible recuperar una base de datos daada restaurando la base de datos en el mismo equipo en el cual fue instalada originalmente. Es posible instalar la base de datos en un diferente equipo. Ver "Cmo restaurar la base de datos" en la pgina 1058.
Ver "Cmo verificar la conexin con la base de datos" en la pgina 1073. La informacin de la base de datos se almacena en las tablas, tambin llamadas esquemas de base de datos. Puede ser recomendable el esquema para la elaboracin de informes especializada. Para obtener ms informacin, consulte la Referencia del esquema de la base de datos de Symantec Endpoint Protection Manager del sitio de la documentacin de Symantec Endpoint Protection.
Cmo programar las copias de seguridad de base de datos automticas

Es posible programar la copia de seguridad de la base de datos para que se ejecute en el momento en que menos usuarios han iniciado sesin en la red. Es posible tambin hacer copia de seguridad de la base de datos en cualquier momento. Ver "Hacer copia de seguridad de la base de datos y los registros" en la pgina 729. Para programar las copias de seguridad de base de datos automticas
1 2 3
En la consola, haga clic en Administrador y, luego, haga clic en Servidores. En Servidores, haga clic en el icono que representa la base de datos de la que desea hacer copia de seguridad. En Tareas, haga clic en Editar propiedades de la base de datos.
708
Administracin de bases de datos Cmo programar tareas de mantenimiento de base de datos automticas
En el cuadro de dilogo Propiedades de la base de datos, en la ficha Configuracin de copia de seguridad, realice las siguientes tareas.
En la lista desplegable Servidor de copias de seguridad, especifique en qu servidor de administracin desea guardar la copia de seguridad. Seleccione Hacer copia de seguridad de registros si necesita guardar una copia de los registros con fines de seguridad o poltica de la compaa. De lo contrario, deje esta opcin deshabilitada, dado que los registros usan mucho espacio libre en el disco. Especifique el nmero de copias de seguridad si la poltica de empresa lo requiere.
5 6
Asegrese de que Programar copias de seguridad est seleccionado y configure la programacin. Haga clic en Aceptar.
Cmo programar tareas de mantenimiento de base de datos automticas

Una vez que se instala el servidor de administracin, el espacio en la base de datos crece continuamente. El servidor de administracin se lentifica despus de algunas semanas o meses. Para reducir el tamao de la base de datos y mejorar el tiempo de respuesta con la base de datos, el servidor de administracin realiza las tareas de mantenimiento de base de datos siguientes:
Trunca el registro de transacciones. El registro de transacciones registra casi todos los cambios que ocurren dentro de la base de datos. El servidor de administracin elimina datos sin usar del registro de transacciones. Regenera el ndice. El servidor de administracin desfragmenta los ndices de la tabla de la base de datos para mejorar el tiempo que se tarda en ordenar y buscar en la base de datos.
De forma predeterminada, el servidor de administracin realiza estas tareas segn una programacin. Es posible realizar las tareas de mantenimiento de forma inmediata o ajustar la programacin para cuando los usuarios no estn en sus equipos.
Administracin de bases de datos Cmo programar tareas de mantenimiento de base de datos automticas
709
Nota: Es posible tambin realizar las tareas de mantenimiento de base de datos en Microsoft SQL Server Management Studio. Sin embargo, es necesario realizar estas tareas en Symantec Endpoint Protection Manager o Management Studio, pero no en ambos. Consulte el artculo de la base de conocimientos: Creacin de planes de mantenimiento de la base de datos en MS SQL Server 2005 con SQL Server Integration Services (SSIS). Para ejecutar las tareas de mantenimiento de base de datos cuando lo necesite
1 2 3
En la consola, haga clic en Administrador y, luego, en Servidores. En Servidores, haga clic en el icono que representa la base de datos. En Tareas, seleccione cualquiera de las siguientes opciones:

Truncar registro de transacciones ahora Regenerar ndices ahora
4 5
Haga clic en Ejecutar. Una vez que la tarea se completa, haga clic en Cerrar.
Para programar tareas de mantenimiento de base de datos para que se ejecuten de forma automtica
1 2 3 4
En la consola, haga clic en Administrador y, luego, en Servidores. En Servidores, haga clic en el icono que representa la base de datos. En Tareas, haga clic en Editar propiedades de la base de datos. En la ficha General, seleccione cualquiera de las siguientes opciones o ambas, despus haga clic en Programar tarea y especifique la programacin para cada tarea.
Truncar los registros de transacciones de la base de datos. La programacin predeterminada para esta tarea es cada cuatro horas. Regenerar ndices. La programacin predeterminada para esta tarea es cada domingo a las 2:00.
Advertencia: Si realiza estas tareas en el SQL Server Management Studio, anule la seleccin de estas opciones. Ver "Cmo programar las copias de seguridad de base de datos automticas" en la pgina 707.
710
Administracin de bases de datos Exportar datos a un servidor Syslog
Cmo aumentar el tamao del archivo de la base de datos de Microsoft SQL Server
Si usa la base de datos de Microsoft SQL Server, compruebe peridicamente el tamao de la base de datos para asegurarse de que la base de datos no alcance su tamao mximo. Si se puede, aumente el tamao mximo que la base de datos de Microsoft SQL Server puede tener. Ver "Cmo programar tareas de mantenimiento de base de datos automticas" en la pgina 708. Para aumentar el tamao de la base de datos de Microsoft SQL Server
En el servidor de administracin, localice la ruta de instalacin para Microsoft SQL Server. La ruta predeterminada es C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Data.
2 3 4 5 6
Expanda la carpeta Datos, haga clic con el botn derecho en sem5 y haga clic en Propiedades. En el cuadro de dilogo Propiedades de base de datos, seleccione Archivos. En Archivos de base de datos, seleccione sem5_log1 y desplcese hacia la derecha para ver la columna Crecimiento automtico. En la columna Crecimiento automtico, haga clic en el botn de . En el cuadro de dilogo Cambiar crecimiento automtico para sem5_log1, haga clic en No limitar el crecimiento de los archivos y despus haga clic en Aceptar. Haga clic en Aceptar.
Exportar datos a un servidor Syslog

Para aumentar el espacio en la base de datos, puede configurar el servidor de administracin para enviar los datos de registro a un servidor Syslog. Cuando se exportan los datos de los registros a un servidor Syslog, es necesario configurar el servidor Syslog para que reciba esos registros. Ver "Exportar datos de registro a un archivo de texto" en la pgina 711. Para exportar datos de registro a un servidor Syslog
1 2
En la consola, haga clic en Administrador. Haga clic en Servidores.
Administracin de bases de datos Exportar datos de registro a un archivo de texto
711
3 4 5 6
Haga clic en el sitio local o el sitio remoto desde el cual desee exportar datos de registro. Haga clic en Configurar el registro externo. En la ficha General, en el cuadro de lista Frecuencia de actualizacin, seleccione la frecuencia con la que desea enviar los datos de registro al archivo. En el cuadro de lista Servidor de registro maestro, seleccione el servidor de administracin al que desea enviar los registros. Si usa SQL Server y conecta varios servidores de administracin a la base de datos, especifique a solamente un servidor como servidor de registro maestro.
7 8
Marque Activar la transmisin de registros a un servidor Syslog. Proporcione la siguiente informacin:
Servidor Syslog Especifique la direccin IP o el nombre de dominio del servidor Syslog que recibir los datos de registro. Puerto de destino Seleccione el protocolo para usar y escriba el puerto de destino que el servidor Syslog usa para escuchar mensajes de Syslog. Recurso de registro Escriba el nmero del recurso de registro que desea que use el archivo de configuracin Syslog o use la opcin predeterminada. Los valores vlidos van de 0 a 23.
En la ficha Filtro de registros, seleccione los registros que desea exportar.
Exportar datos de registro a un archivo de texto

Cuando se exportan datos de los registros a un archivo de texto, de forma predeterminada, los archivos se colocan en una carpeta. Esa ruta de carpeta es unidad:\Program Files\Symantec\Symantec Endpoint Protection Manager\data\dump. Las entradas se colocan en un archivo .tmp hasta que los registros se transfieran al archivo de texto. Si no tiene Symantec Network Access Control instalado, algunos de estos registros no existen. Nota: No es posible restaurar la base de datos a partir de los datos de registro exportados.
712
La Tabla 29-2 muestra la correspondencia de los tipos de datos de registro con los nombres de los archivos de datos de registro exportados. Los nombres de registro no corresponden uno a uno con los nombres de registro que se usan en la ficha Registros de la pgina Supervisin. Tabla 29-2 Nombres de archivos de texto del registro para Symantec Endpoint Protection Nombre de archivo de texto
scm_admin.log agt_behavior.log scm_agent_act.log scm_policy.log scm_system.log agt_packet.log agt_proactive.log agt_risk.log agt_scan.log agt_security.log agt_system.log agt_traffic.log
Datos de registro
Administracin de servidor Control de aplicaciones y dispositivos Cliente de servidor Poltica de servidor Sistema de servidor Paquete cliente Amenaza proactiva del cliente Riesgos del cliente Anlisis de clientes Seguridad del cliente Sistema del cliente Trfico del cliente
La Tabla 29-3 muestra la correspondencia de los tipos de datos de registro con los nombres de los archivos de datos de registro exportados para los registros de Enforcer. Tabla 29-3 Datos de registro
Actividades de Enforcer del servidor Actividad del cliente Enforcer Sistema de Enforcer Trfico de Enforcer
Nombres de archivo de texto de registro para registros Enforcer Nombre de archivo de texto
scm_enforcer_act.log enf_client_act.log enf_system.log enf_traffic.log
713
Nota: Cuando se exporta a un archivo de texto, el nmero de registros exportados puede ser distinto del nmero que se establece en el cuadro de dilogo Registro externo. Esta situacin se presenta cuando se reinicia el servidor de administracin. Despus de reiniciar el servidor de administracin, la cantidad de entradas de registro se restablece a cero, pero ya puede haber entradas en los archivos de registro temporales. En esta situacin, el primer archivo *.log de cada tipo que se genera despus del reinicio contiene ms entradas que el valor especificado. Cualquier archivo de registro que se exporte posteriormente contiene el nmero correcto de entradas. Para exportar datos de registro al archivo de texto
1 2 3 4 5 6
En la consola, haga clic en Administrador. Haga clic en Servidores. Haga clic en el sitio local o en el sitio remoto para el que desee configurar el registro externo. Haga clic en Configurar el registro externo. En la ficha General, seleccione la frecuencia con la que se enviarn los datos de registro al archivo. En el cuadro de lista Servidor de registro maestro, seleccione el servidor al que desee enviar registros. Si utiliza Microsoft SQL con ms de un servidor de administracin conectado a la base de datos, solo necesita un servidor como Servidor de registro maestro.
7 8
Active Exportar registros a un archivo de volcado. Si es necesario, active Limitar registros de archivos de volcado y escriba el nmero de entradas que se quieran enviar al mismo tiempo al archivo de texto. En la ficha Filtro de registros, seleccione todos los registros que se quieran enviar a los archivos de texto. Si el tipo de registro seleccionado permite definir el nivel de gravedad, debe activar los niveles de gravedad que desea exportar.
714
Administracin de bases de datos Exportar datos de registro a un archivo de texto delimitado por comas
Exportar datos de registro a un archivo de texto delimitado por comas

Es posible exportar los datos de los registros a un archivo de texto delimitado por comas. Ver "Exportar datos a un servidor Syslog" en la pgina 710. Para exportar registros a un archivo de texto delimitado por comas
1 2 3 4 5 6 7
En la consola, haga clic en Supervisin. En la ficha Registros, seleccione el registro que desea exportar. Haga clic en Ver registro. Haga clic en Exportar. En el cuadro de dilogo Descarga del archivo, haga clic en Guardar. Especifique el nombre del archivo y la ubicacin, y haga clic en Guardar. Haga clic en Cerrar.
Especificacin del tamao de registro del cliente y registros para cargar al servidor de administracin
La poltica de la compaa requerir un aumento del tiempo y del tipo de eventos de registro que conserva la base de datos. Es posible especificar el nmero de entradas almacenadas en los registros y el nmero de das que cada entrada se conserva en el cliente. Es posible configurar si desea cargar o no cada tipo de registro de clientes al servidor y el tamao mximo de las cargas. Si elige no cargar los registros de clientes, las consecuencias sern las siguientes:
No es posible ver los datos de registro del cliente desde la consola de Symantec Endpoint Protection Manager usando la ficha Registros en la pgina Supervisin. No es posible hacer copias de seguridad de los registros de clientes cuando se realiza una copia de seguridad de la base de datos. No es posible exportar los datos de registro de clientes a un archivo o a un servidor de registros centralizado.
Administracin de bases de datos Especificacin del perodo de tiempo para mantener entradas de registro en la base de datos
715
Nota: Una cierta configuracin de registro del cliente es especfica del grupo y algunas se configuran en la poltica de proteccin antivirus y antispyware que se puede aplicar a una ubicacin. Si desea que todas las opciones de configuracin de registro del cliente remoto y de registro de cliente de oficina se diferencien, debe usar grupos en lugar de ubicaciones para administrar clientes remotos. Ver "Especificacin del perodo de tiempo para mantener entradas de registro en la base de datos" en la pgina 715. Para especificar del tamao de registro del cliente y registros para cargar al servidor de administracin
1 2 3
En la consola, haga clic en Clientes y seleccione un grupo. En la ficha Polticas, en Configuracin y polticas independientes de la ubicacin, haga clic en Configuracin de registros de clientes. En el cuadro de dilogo Configuracin de registros de clientes para nombre de grupo, configure el tamao mximo del archivo y el nmero de das que se deben conservar las entradas de registro. Active Cargar en servidor de administracin para los registros que desee que los clientes reenven al servidor. Para el registro de Seguridad y el registro de Trfico, configure el perodo atenuador y el perodo de reduccin inactivo. Esta configuracin determina la frecuencia con la que se agregan los eventos de Proteccin contra amenazas de red.
4 5
Especificacin del perodo de tiempo para mantener entradas de registro en la base de datos
Para ayudar a controlar el espacio en el disco duro, puede disminuir el nmero de entradas de registro que la base de datos guarde. Es posible adems configurar el nmero de das que se guardan las entradas. Nota: La informacin del registro en la ficha consola de Symantec Endpoint Protection Manager Registros en la pgina Supervisin se presenta en los grupos lgicos para que usted los vea. Los nombres del registro en la ficha Configuracin del registro de las propiedades del sitio corresponden al contenido del registro en lugar de los tipos de registro en la ficha Registros de la pgina Supervisin.
716
Administracin de bases de datos Acerca de aumentar el espacio ajustando la cantidad de datos de registro de los clientes
Ver "Especificacin del tamao de registro del cliente y registros para cargar al servidor de administracin" en la pgina 714. Para especificar el perodo de tiempo para mantener entradas de registro en la base de datos
1 2 3 4
En la consola, haga clic en Administrador. En Servidores, expanda Sitio local y haga clic en la base de datos. En Tareas, haga clic en Editar propiedades de la base de datos. En la ficha Configuracin del registro, configure el nmero de entradas y el nmero de das para guardar las entradas de registro para cada tipo de registro. Haga clic en Aceptar.
Acerca de aumentar el espacio ajustando la cantidad de datos de registro de los clientes

Una configuracin que carga una gran cantidad de datos de registro de clientes al servidor puede causar frecuentemente problemas de espacio en el servidor. Si es necesario cargar un gran volumen de datos de registro de clientes, es posible tener que ajustar algunos valores predeterminados para evitar estos problemas de espacio. A medida que se implementan clientes, es necesario supervisar el espacio en el servidor en el directorio de insercin de registros y ajustar estos valores segn sea necesario. El directorio predeterminado donde los registros se convierten en archivos .dat y, luego, se incluyen en la base de datos es Unidad:\Program Files\Symantec\ Symantec Endpoint Protection Manager\data\inbox\log. Para ajustar los valores que controlan el espacio disponible en el servidor, es necesario modificar estos valores en el registro de Windows. Las claves de registro de Windows que se necesitan cambiar se encuentran en el servidor en HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\SEPM. Tabla 29-4 enumera las claves de registro de Windows y sus valores predeterminados, y describe sus funciones.
Administracin de bases de datos Limpieza manual de datos del registro de la base de datos
717
Tabla 29-4
Claves de registro de Windows que contienen opciones de carga de registro Descripcin

Especifica el espacio asignado para el directorio donde los archivos de registro se convierten a archivos .dat antes de que se almacenen en la base de datos. El valor predeterminado es de 200 MB.
Nombre del valor

MaxInboxSpace
MinDataFreeSpace
Especifica la cantidad de espacio mnima que se debe mantener libre en este directorio. Esta clave es til para asegurarse de que otras aplicaciones que utilizan el mismo directorio tengan suficiente espacio para ejecutarse sin afectar el rendimiento. El valor predeterminado es 0.
IntervalOfInboxSpaceChecking Especifica cunto tiempo el servidor de administracin espera antes de que compruebe la cantidad de espacio en la bandeja de entrada que est disponible para los datos de registro. El valor predeterminado es 30 segundos.
Ver "Mantener la base de datos" en la pgina 703.
Limpieza manual de datos del registro de la base de datos

Es posible realizar un barrido manual del registro despus de hacer una copia de seguridad de la base de datos, si se prefiere utilizar este mtodo como parte del mantenimiento de base de datos de rutina. Si permite que ocurra un barrido automtico, es posible perder algunos datos de registro si las copias de seguridad de la base de datos no se realizan con la suficiente frecuencia. Si realiza regularmente un barrido manual del registro despus de haber realizado una copia de seguridad de la base de datos, sta garantiza que se conserven todos sus datos de registro. Este procedimiento es muy til si es necesario conservar sus registros por un perodo relativamente largo, tal como un ao. Puede borrar manualmente los registros, pero este paso es opcional y no tiene que hacerlo. Ver "Hacer copia de seguridad de la base de datos y los registros" en la pgina 729. Ver "Especificacin del perodo de tiempo para mantener entradas de registro en la base de datos" en la pgina 715.
718
Administracin de bases de datos Limpieza manual de datos del registro de la base de datos
Para borrar datos del registro de la base de datos manualmente
1 2 3
Para impedir el borrado automtico de la base de datos hasta despus de crear una copia de seguridad, aumente el tamao del registro del sitio al mximo. Realice la copia de seguridad, segn corresponda. En el equipo donde est instalado el administrador, abra un navegador Web y escriba la siguiente URL: https://localhost:8443/servlet/ConsoleServlet?ActionType=ConfigServer&action =SweepLogs Cuando haya realizado esta tarea, las entradas de registro para todos los tipos de registros se guardan en la tabla de base de datos alterna. La tabla original se guarda hasta que se inicie el siguiente barrido.
Para vaciar todo excepto las entradas ms actuales, realice un segundo barrido. Se borra la tabla original y las entradas comienzan a almacenarse all de nuevo. Vuelva la configuracin en la ficha Configuracin del registro del cuadro de dilogo Propiedades del sitio a su configuracin preferida.
Captulo
30
Administracin de la conmutacin por error y el balanceo de carga


Cmo configurar la conmutacin por error y el balanceo de carga Acerca de la conmutacin por error y el balanceo de carga Configuracin de una lista de servidores de administracin Asignar una lista de servidores de administracin a un grupo y a una ubicacin
Cmo configurar la conmutacin por error y el balanceo de carga

Los equipos cliente deben poder conectarse a un servidor de administracin siempre para descargar las polticas de seguridad y recibir eventos de registro. La conmutacin por error se usa para mantener la comunicacin con Symantec Endpoint Protection Manager cuando el servidor de administracin no est disponible. El balanceo de carga se usa para distribuir la administracin de clientes entre varios servidores de administracin. Es posible configurar la conmutacin por error y el balanceo de carga con la base de datos de Microsoft SQL Server solamente y no la base de datos integrada. Para configurar la conmutacin por error y el balanceo de carga, se agregan varios servidores de administracin o Enforcers a una lista de servidores de administracin.
720
Administracin de la conmutacin por error y el balanceo de carga Acerca de la conmutacin por error y el balanceo de carga
La Tabla 30-1 enumera las tareas que necesita realizar para configurar la conmutacin por error y el balanceo de carga. Tabla 30-1 Proceso para configurar la conmutacin por error y el balanceo de carga Descripcin
Tareas
Leer sobre Es necesario comprender si es necesario configurar una conmutacin por error conmutacin por error y los valores de balanceo de carga y cundo y balanceo de carga. debe hacerse. Ver "Acerca de la conmutacin por error y el balanceo de carga" en la pgina 720. Agregar servidores de administracin a una lista de servidores de administracin. Es posible usar la lista de servidores de administracin predeterminada o agregar los servidores de administracin a una nueva lista de servidores de administracin. Una lista de servidores de administracin incluye las direcciones IP o los nombres del host de los servidores de administracin a los cuales los clientes y los Enforcers pueden conectarse. Ver "Configuracin de una lista de servidores de administracin" en la pgina 722. Asignar la lista de servidores de administracin personalizada a un grupo. Una vez que haya creado una lista de servidores de administracin personalizada, debe asignar la lista de servidores de administracin a un grupo. Ver "Asignar una lista de servidores de administracin a un grupo y a una ubicacin" en la pgina 724.
Reparar problemas de Si el servidor de administracin se desconecta o el servidor de comunicacin con el administracin y el cliente no se comunican, debe tambin servidor de solucionar el problema. administracin. Ver "Cmo solucionar problemas de comunicacin entre el servidor de administracin y el cliente" en la pgina 1062.
Acerca de la conmutacin por error y el balanceo de carga

Es necesario instalar dos o ms servidores de administracin que se comuniquen con una base de datos de Microsoft SQL Server y configurarlos para la conmutacin por error o el balanceo de carga. No es posible proporcionar conmutacin por error o balanceo de carga para una base de datos integrada.
Administracin de la conmutacin por error y el balanceo de carga Acerca de la conmutacin por error y el balanceo de carga
721
Una lista de servidores de administracin es una lista prioritaria de servidores de administracin que es asignada a un grupo. Es necesario agregar por lo menos dos servidores de administracin a un sitio para distribuir automticamente la carga entre ellos. Es posible instalar ms servidores de administracin que los necesarios para administrar sus clientes y protegerlos contra el error de un servidor de administracin individual. En una lista de servidores de administracin personalizada, cada servidor es asignado a un nivel de prioridad. Un cliente que viene a la red selecciona un servidor de prioridad uno para conectarse al azar. Si el primer servidor que prueba no est disponible y hay otros servidores de prioridad uno en la lista, intenta aleatoriamente conectarse a otro. Si no hay ningn servidor de prioridad uno disponible, el cliente intenta conectarse a uno de los servidores de prioridad dos en la lista. Este mtodo de distribuir las conexiones de los clientes distribuye aleatoriamente la carga del cliente entre sus servidores de administracin. La Figura 30-1 muestra los componentes en diversas subredes. Los servidores de administracin y los servidores de base de datos pueden estar en las mismas subredes. Los servidores se identifican con los nmeros 1 y 2, lo que significa una configuracin de conmutacin por error. Figura 30-1 Configuracin de la conmutacin por error
Clientes
1 Symantec Endpoint Protection Manager
2 Symantec Endpoint Protection Manager
Microsoft SQL Server
722
Administracin de la conmutacin por error y el balanceo de carga Configuracin de una lista de servidores de administracin
En una configuracin de conmutacin por error, todos los clientes envan trfico al servidor 1 y reciben trfico de este. Si el servidor 1 se desconecta, todos los clientes envan el trfico al servidor 2 y lo reciben de este hasta que el servidor 1 vuelve a estar en lnea. La base de datos se ilustra como instalacin remota, pero adems se puede instalar en un equipo que ejecute Symantec Endpoint Protection Manager. Es posible tambin que desee considerar la conmutacin por error para las actualizaciones de contenido, si se propone usar servidores locales. Todos los componentes que ejecutan LiveUpdate pueden adems usar una lista prioritaria de orgenes de actualizaciones. Sus servidores de administracin pueden usar un servidor y una conmutacin por error local de LiveUpdate para los servidores de LiveUpdate en otras ubicaciones fsicas. Nota: El uso de los servidores internos de LiveUpdate, de los proveedores de actualizaciones de grupo y de la replicacin del sitio no proporciona verdaderas funcionalidades de alta disponibilidad, conmutacin por error, recuperacin despus de un desastre ni balanceo de carga. No es necesario configurar varios sitios para el balanceo de carga. Ver "Configuracin de una lista de servidores de administracin" en la pgina 722. Ver "Determinacin de los sitios que necesita" en la pgina 176. Para obtener ms informacin sobre trabajos de creacin de clsters de conmutacin por error y de balanceo de carga, consulte el artculo de la base de conocimientos: Acerca del balanceo de carga y la creacin de clsters de conmutacin por error en Symantec Endpoint Protection.
Configuracin de una lista de servidores de administracin

De forma predeterminada, los servidores de administracin reciben la misma prioridad cuando estn configurados para la conmutacin por error y el balanceo de carga. Si desea cambiar la prioridad predeterminada despus de la instalacin, puede hacerlo usando la consola de Symantec Endpoint Protection Manager. La conmutacin por error y el balanceo de carga pueden configurarse solamente cuando un sitio incluye ms de un servidor de administracin. Para proporcionar el balanceo de carga y el uso mvil:
Habilite el DNS y ponga un nombre de dominio como la nica entrada en una lista de servidores de administracin personalizada.
Administracin de la conmutacin por error y el balanceo de carga Configuracin de una lista de servidores de administracin
723
Habilite la funcin de reconocimiento de la ubicacin de Symantec Endpoint Protection y use una lista de servidores de administracin personalizada para cada ubicacin. Cree por lo menos una ubicacin para cada uno de sus sitios. Use un dispositivo de hardware que proporcione conmutacin por error o balanceo de carga. Muchos de estos dispositivos adems ofrecen una configuracin para el uso mvil.
Ver "Acerca de la conmutacin por error y el balanceo de carga" en la pgina 720. Para configurar una lista de servidores de administracin
1 2 3 4 5
En la consola, haga clic en Polticas. Expanda Componentes de polticas y haga clic en Listas de servidores de administracin. En Tareas, haga clic en Agregar una lista de servidores de administracin. En el cuadro de dilogo Listas de servidores de administracin, haga clic en Agregar > Nuevo servidor. En el cuadro de dilogo Agregar servidor de administracin, en el cuadro Direccin del servidor, escriba el nombre de dominio completo o la direccin IP de un servidor de administracin o de Enforcer. Si escribe una direccin IP, asegrese de que sea esttica y de que todos los clientes pueden resolverla.
6 7 8 9
Haga clic en Aceptar. Agregue cualquier servidor adicional. Para configurar el balanceo de carga con otro servidor de administracin, haga clic en Agregar > Nueva prioridad. Para cambiar la prioridad de un servidor para el balanceo de carga, seleccione un servidor y, a continuacin, realice una de las siguientes las tareas:
Para obtener clientes para conectarse a ese servidor determinado primero, haga clic en Subir. Para otorgar al servidor una prioridad ms baja, haga clic en Bajar.

A continuacin, debe aplicar la lista de servidores de administracin a un grupo. Ver "Asignar una lista de servidores de administracin a un grupo y a una ubicacin" en la pgina 724.
724
Administracin de la conmutacin por error y el balanceo de carga Asignar una lista de servidores de administracin a un grupo y a una ubicacin
Asignar una lista de servidores de administracin a un grupo y a una ubicacin

Despus de agregar una poltica, necesita asignarla a un grupo o una ubicacin, o a ambas. Tambin es posible usar la lista de servidores de administracin para mover un grupo de clientes desde un servidor de administracin a otro. Es necesario haber finalizado la adicin o la edicin de una lista de servidores de administracin antes de que pueda asignar la lista. Ver "Configuracin de una lista de servidores de administracin" en la pgina 722. Para asignar una lista de servidores de administracin a un grupo y a una ubicacin
1 2 3 4 5
En la consola, haga clic en Polticas. En la pgina Polticas, expanda Componentes de polticas y haga clic en Listas de servidores de administracin. En el panel Listas de servidores de administracin, seleccione la lista del servidor de administracin que desea asignar. En Tareas, haga clic en Asignar la lista. En el cuadro de dilogo Aplicar lista de servidores de administracin, marque los grupos y las ubicaciones a las que desee aplicar la lista de servidores de administracin. Haga clic en Asignar. Haga clic en S.
6 7
Para asignar una lista de servidores de administracin a un grupo o la ubicacin en la pgina Clientes
1 2
En la consola, haga clic en Clientes > Polticas. En la ficha Polticas, seleccione el grupo y anule la seleccin de Heredar polticas y configuracin del grupo principal. No es posible configurar ninguna opcin de comunicacin para un grupo a menos que el grupo ya no herede polticas y configuracin de un grupo principal.
En Configuracin y polticas independientes de la ubicacin, haga clic en Configuracin de la comunicacin.
725
En el cuadro de dilogo Configuracin de la comunicacin para nombre del grupo, en Lista de servidores de administracin, seleccione la lista de servidores de administracin. El grupo seleccionado utiliza esta lista de servidores de administracin al comunicarse con el servidor de administracin.
726
Captulo
31
Preparacin para la recuperacin despus de un desastre


Preparacin para la recuperacin despus de un desastre Hacer copia de seguridad de la base de datos y los registros
Preparacin para la recuperacin despus de un desastre

En el caso de un error de hardware o de daos en la base de datos, se debe preparar para la recuperacin despus de un desastre haciendo copia de seguridad de la informacin que se recopil mientras se instalaba Symantec Endpoint Protection Manager. A continuacin, copie estos archivos a otro equipo.
728
Preparacin para la recuperacin despus de un desastre Preparacin para la recuperacin despus de un desastre
Tabla 31-1
Pasos de alto nivel necesarios para prepararse para la recuperacin despus de un desastre Descripcin
Paso
Paso 1
Accin
Hacer copia de seguridad de la base de datos Haga copia de seguridad de la base de datos de forma regular, preferiblemente por semana. La carpeta de copias de seguridad de la base de datos se guarda en Unidad: \\Program Files\Symantec\Symantec Endpoint Protection Manager\data\backup. El archivo de copia de seguridad se denomina fecha_marca de hora.zip. Ver "Hacer copia de seguridad de la base de datos y los registros" en la pgina 729.
Paso 2
Hacer copia de seguridad del archivo de recuperacin despus de un desastre.
El archivo de recuperacin incluye la contrasea de cifrado, el Id. de dominio de los archivos del almacn de claves, los archivos de certificado, los archivos de licencia y los nmeros de puerto. Una vez que instale el servidor de administracin, copie el archivo de recuperacin comprimido a otro equipo. De forma predeterminada, el archivo se encuentra en el siguiente directorio: Unidad:\\Program Files\Symantec\ Symantec Endpoint Protection Manager\Server Private Key Backup\recovery_marca de hora.zip El archivo de recuperacin almacena solamente el Id. de dominio predeterminado. Si tiene dominios varios, el archivo de recuperacin no almacena esa informacin. Si es necesario realizar la recuperacin despus de un desastre, se debe volver a agregar dominios adicionales. Ver "Adicin de un dominio" en la pgina 645. Si actualiza el certificado autofirmado a otro tipo de certificado, el servidor de administracin crea un nuevo archivo de recuperacin. Como el archivo de recuperacin tiene una marca de fecha, se puede decir qu archivo es el ltimo archivo. Ver "Actualizar un certificado de servidor" en la pgina 683.
729
Paso
Paso 3
Accin
Descripcin
Guarde la direccin IP y el nombre del host Si se produce un error de hardware catastrfico, deber del servidor de administracin en un archivo reinstalar el servidor de administracin y usar la direccin de texto (opcional). IP y el nombre del host del servidor de administracin original. Agregue la direccin IP y el nombre del host a un archivo de texto que se llame Backup.txt.
Paso 4
Copie los archivos de los que usted hizo copia Copie los archivos incluidos en copias de seguridad en un de seguridad de en los pasos anteriores en equipo en una ubicacin segura. otro equipo.
Ver "Ejecucin de recuperacin despus de un desastre" en la pgina 1057. Ver "Hacer copias de seguridad de los archivos de licencia" en la pgina 122. Consulte el artculo de la base de conocimientos llamado Prcticas recomendadas para la recuperacin despus de un desastre con Symantec Endpoint Protection Manager.
Hacer copia de seguridad de la base de datos y los registros

Symantec recomienda que se haga una copia de seguridad de la base de datos por lo menos semanalmente. Es necesario almacenar el archivo de copia de seguridad en otro equipo. El archivo de copia de seguridad se guarda en la carpeta siguiente, de forma predeterminada: Unidad:\Program Files\Symantec\Symantec Endpoint Protection Manager\data\backup. Las copias de seguridad se colocan en un archivo .zip. De forma predeterminada, el archivo de la base de datos de copias de seguridad se denomina fecha_marca de hora .zip, la fecha en la cual se hace la copia de seguridad. Nota: Evite guardar el archivo de copia de seguridad en el directorio de instalacin del producto. De lo contrario, se elimina el archivo de copia de seguridad cuando se desinstala el producto. No se hace copia de seguridad de los datos de registro a menos que se configure Symantec Endpoint Protection Manager para hacerlo. Si no hace copia de seguridad de los registros, slo se guardan las opciones de configuracin del registro en la copia de seguridad. Puede utilizar la copia de seguridad para restaurar la base de
730
datos, pero los registros de la base de datos estn vacos de datos cuando se restauran. Es posible conservar hasta 10 versiones de las copias de seguridad del sitio. Debe asegurarse de tener el espacio libre en el disco adecuado para guardar todos los datos si se elige guardar varias versiones. La copia de seguridad de la base de datos puede tardar varios minutos para completarse. Es posible comprobar el Registro del sistema y la carpeta de copias de seguridad para conocer el estado durante la copia de seguridad y despus de ella. Es posible hacer copia de seguridad de la base de datos de forma inmediata o programar la copia de seguridad para hacerla de forma automtica. Es posible hacer copia de seguridad de una base de datos integrada o una base de datos de Microsoft SQL Server que se configure como la base de datos de Symantec Endpoint Protection Manager. Ver "Cmo programar las copias de seguridad de base de datos automticas" en la pgina 707. Ver "Preparacin para la recuperacin despus de un desastre" en la pgina 727. Para hacer copia de seguridad de la base de datos y los registros
En el equipo que ejecuta Symantec Endpoint Protection Manager, en el men Inicio, haga clic en Todos los programas > Symantec Endpoint Protection Manager > Symantec Endpoint Protection Manager Tools > Database Back Up and Restore. En el cuadro de dilogo Database Back Up and Restore, haga clic en Copia de seguridad. En el cuadro de dilogo Hacer copia de seguridad de la base de datos, seleccione la opcin Registros de copias de seguridad y despus haga clic en S. Haga clic en Aceptar. Cuando finalice la copia de seguridad de la base de datos, haga clic en Salir. Copie el archivo de la base de datos de copias de seguridad a otro equipo.
2 3
4 5 6
Para hacer copia de seguridad de la base de datos y los registros dentro de la consola
1 2 3
En la consola, haga clic en Administrador y, luego, en Servidores. En Servidores, haga clic en el icono que representa la base de datos. En Tareas, haga clic en Hacer copia de seguridad de la base de datos ahora.
731
En el cuadro de dilogo Hacer copia de seguridad de la base de datos, seleccione la opcin Registros de copias de seguridad y despus haga clic en S. Haga clic en Aceptar. Haga clic en Cerrar.
5 6
732
Seccin
Administracin del cumplimiento de la red con Symantec Network Access Control
Captulo 32. Introduccin de Symantec Network Access Control Captulo 33. Utilizacin de Symantec Network Access Control Captulo 34. Configuracin de la integridad del host Captulo 35. Adicin de requisitos personalizados Captulo 36. Introduccin de los dispositivos Symantec Network Access Control Enforcer Captulo 37. Instalacin de todos los tipos de dispositivos Enforcer Captulo 38. Actualizacin y creacin de todos los tipos de imgenes del dispositivo Enforcer Captulo 39. Ejecucin de tareas bsicas en la consola de todos los tipos de dispositivos Enforcer
734
Captulo 40. Planificacin para la instalacin del dispositivo Gateway Enforcer Captulo 41. Configuracin del dispositivo Symantec Gateway Enforcer de Symantec Endpoint Protection Manager Captulo 42. Planificacin de la instalacin de un dispositivo LAN Enforcer Captulo 43. Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Captulo 44. Administracin de mdulos de aplicacin Enforcer en Symantec Endpoint Protection Manager Captulo 45. Presentacin de los dispositivos Symantec Integrated Enforcer Captulo 46. Instalacin de Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft Captulo 47. Configuracin de dispositivos Symantec Integrated Enforcer en la consola de Enforcer Captulo 48. Configuracin de Symantec Network Access Control Integrated Enforcer para el servidor DHCP de Microsoft en Symantec Endpoint Protection Manager Captulo 49. Instalacin de Symantec Integrated Enforcer para Microsoft Network Access Protection Captulo 50. Configuracin de Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection en una consola Enforcer Captulo 51. Configuracin de Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection en Symantec Endpoint Protection Manager Captulo 52. Configuracin de conexiones temporales para los clientes disponibles bajo demanda de Symantec Network Access Control
Captulo
32
Introduccin de Symantec Network Access Control


Acerca de Symantec Network Access Control Acerca de los tipos de aplicacin en Symantec Network Access Control Cmo funciona Symantec Network Access Control Cmo funciona la aplicacin automtica Cmo funcionan los dispositivos Symantec Network Access Control Enforcer con polticas de integridad del host Cmo funciona el dispositivo Gateway Enforcer Cmo funciona el dispositivo LAN Enforcer Cmo funciona Integrated Enforcer para servidores DHCP de Microsoft Cmo funciona Integrated Enforcer para la Proteccin de acceso a redes de Microsoft con un servidor de polticas de red de Microsoft (NPS) Cmo funciona On-Demand Client
Acerca de Symantec Network Access Control

Symantec Network Access Control garantiza que los equipos cliente de una compaa sean compatibles con las polticas de seguridad de la empresa antes de permitir a los equipos acceder a la red. Cuando los controles de aplicacin no estn presentes, los datos de su organizacin son vulnerables a la prdida prevista o a la prdida inadvertida. Recuperar los
736
Introduccin de Symantec Network Access Control Acerca de los tipos de aplicacin en Symantec Network Access Control
datos puede dar lugar a tiempo de inactividad y a prdidas financieras que se asocian a productividad perdida. Para evitar estas prdidas, Symantec Network Access Control controla el acceso en el sitio y remoto a los recursos de red corporativa. Symantec Network Access Control proporciona una completa solucin de control de acceso a la red de punta a punta. Symantec Network Access Control usa una poltica de integridad del host y un Symantec Enforcer opcional para detectar y para evaluar qu equipos son compatibles. Los clientes que no cumplen las polticas son dirigidos a un servidor de reparacin. El servidor de reparacin descarga, entre otros elementos, software, parches y actualizaciones de definiciones de virus necesarios para lograr que el equipo cliente cumpla con las polticas. Symantec Network Access Control adems supervisa continuamente los cambios de los endpoints en el estado de cumplimiento. Symantec Network Access Control es un producto que acompaa a Symantec Endpoint Protection. Ambos productos incluyen Symantec Endpoint Protection Manager, que proporciona la infraestructura para instalar y para administrar los clientes de Symantec Network Access Control y Symantec Endpoint Protection. Ver "Acerca de Symantec Endpoint Protection" en la pgina 41. Ver "Acerca de los tipos de aplicacin en Symantec Network Access Control" en la pgina 736. Ver "Cmo funciona la aplicacin automtica" en la pgina 739.
Acerca de los tipos de aplicacin en Symantec Network Access Control

Symantec Network Access Control proporciona mtodos diferentes de aplicacin para controlar el acceso a la red. La Tabla 32-1 describe las diferencias entre la aplicacin basada en host y la aplicacin basada en redes.
Introduccin de Symantec Network Access Control Acerca de los tipos de aplicacin en Symantec Network Access Control
737
Tabla 32-1
Tipos de aplicacin Descripcin
Tipo de aplicacin
Aplicacin automtica Permite que los equipos cliente obtengan y ejecuten el software basada en host que necesitan para reparar automticamente los errores de cumplimiento. Cuando se repara el equipo cliente, este puede acceder con seguridad a la red. La aplicacin basada en host usa el firewall del equipo de escritorio de Symantec para permitir o bloquear el acceso. El firewall se incluye como parte del producto Symantec Endpoint Protection. La aplicacin basada en host incluye los siguientes mtodos: La autoaplicacin usa el firewall de escritorio de Symantec para controlar el acceso a la red, proporcionar la opcin ms fcil y ms rpida para implementar la aplicacin. Es posible implementar la autoaplicacin ms fcil si la organizacin ha implementado ya el producto de Symantec Endpoint Protection. La aplicacin de punto a punto asegura que la comunicacin de cliente a cliente ocurra solamente entre los equipos de la compaa y los equipos que cumplen con las polticas fuera de la compaa. Los equipos que cumplen con las polticas tienen la ltima poltica de seguridad de la compaa.
Ver "Acerca de la reparacin de integridad del host" en la pgina 772. Aplicacin basada en redes Usa los dispositivos de Symantec Enforcer y los Enforcers del software integrado para permitirle controlar el acceso a la red. La aplicacin basada en redes autentica y permite el acceso a la red solamente a los clientes que cumplen los requisitos en la poltica de integridad del host. La aplicacin basada en redes adems comprueba que la poltica sea actual. Adems, si la implementacin incluye un dispositivo Gateway Enforcer, puede permitir que los invitados sin software en cumplimiento accedan a la red temporalmente. Estos dispositivos Enforcer permiten que los invitados accedan al instalar clientes bajo demanda en los equipos invitados y eliminarlos cuando los invitados terminan la sesin. Los accesos de invitado funcionan con clientes de Windows y Mac. Necesita un dispositivo Enforcer.
Ver "Cmo funciona Symantec Network Access Control" en la pgina 738. Ver "Cmo implementar Symantec Network Access Control" en la pgina 754.
738
Introduccin de Symantec Network Access Control Cmo funciona Symantec Network Access Control
Cmo funciona Symantec Network Access Control

Symantec Network Access Control realiza el cumplimiento de endpoints siguiendo estos pasos: Tabla 32-2 Proceso que Symantec Network Access Control usa para comprobar y reparar el cumplimiento en los equipos cliente Descripcin
Paso Accin
1
Detecta todos los El endpoint se conecta a la red. Enforcer determina la intentos de acceso a su configuracin del endpoint. red. Se comprueba el cumplimiento de la configuracin en comparacin con la poltica. Comprueba que todos los equipos cliente que accedan a su red cumplan con los requisitos de su poltica de seguridad.
Tome medidas en Para los equipos cliente que no cumplen con los requisitos, funcin en el resultado un dispositivo Enforcer: del anlisis de Repara descargando, instalando y ejecutando el software polticas. que se necesita. Permite el acceso limitado.
Permite el acceso completo y el registro de todos los intentos de acceso a la red.
Supervisa el endpoint Supervisa y elabora informes sobre dispositivos Enforcer, para asegurar el trfico del sistema y estado del cumplimiento. cumplimiento continuo.
La Figura 32-1 muestra cmo Symantec Endpoint Protection Manager impone la poltica de seguridad en un equipo cliente administrado.
Introduccin de Symantec Network Access Control Cmo funciona la aplicacin automtica
739
Figura 32-1
Arquitectura de Symantec Network Access Control
Ver "Cmo funciona la aplicacin automtica" en la pgina 739. Ver "Cmo funciona el dispositivo Gateway Enforcer" en la pgina 744. Ver "Cmo funciona el dispositivo LAN Enforcer" en la pgina 745. Ver "Cmo funciona Integrated Enforcer para servidores DHCP de Microsoft" en la pgina 747. Ver "Cmo funciona Integrated Enforcer para la Proteccin de acceso a redes de Microsoft con un servidor de polticas de red de Microsoft (NPS)" en la pgina 749. Ver "Cmo funciona On-Demand Client" en la pgina 749.
Cmo funciona la aplicacin automtica

Durante la comprobacin de integridad del host, el cliente sigue los requisitos que se configuran en la poltica de integridad del host. Examina las aplicaciones activas, la fecha y el tamao de un archivo y otros parmetros. Si estos cumplen los requisitos de la poltica de integridad del host, el cliente puede acceder a la red. Si no lo hace, el cliente genera automticamente una entrada detallada de mensaje en el registro de seguridad para todos los requisitos que presentan errores. El cliente entonces sigue los pasos de la reparacin que ha diseado en la poltica de integridad del host. Es posible que haya configurado una poltica en la que el cliente puede acceder a la red incluso si falla la comprobacin de integridad del host. Lo ms probable es que haya configurado los pasos de reparacin para lograr el cumplimiento de las polticas de seguridad. Si el equipo cliente no puede cumplir los requisitos, el cliente se puede configurar para conectarlo silenciosamente a un servidor de reparacin. Desde all puede
740
Introduccin de Symantec Network Access Control Cmo funciona la aplicacin automtica
descargar e instalar el software necesario. El software puede incluir una revisin del software, una correccin, una actualizacin de definiciones de virus y ms. El cliente puede dar al usuario la opcin de descargar inmediatamente o de posponer una descarga. La poltica se puede configurar para que el equipo no se pueda conectar a la red empresarial hasta que el software est instalado. Ver "Acciones que pueden llevarse a cabo con polticas de integridad del host" en la pgina 758. Cada vez que un cliente recibe una nueva poltica de seguridad, ejecuta inmediatamente otra comprobacin de integridad del host. El cliente se puede configurar para descargar y para instalar automticamente las polticas de integridad del host predefinidas o personalizadas ms actuales desde Symantec Endpoint Protection Manager. Si el cliente no puede conectarse a la consola, el cliente On-Demand de Windows o Mac obtiene la poltica de integridad del host del dispositivo Enforcer cuando se descarga por primera vez. Despus de eso, consigue la poltica de integridad del host desde Symantec Endpoint Protection Manager. Es posible considerar algunos de los ejemplos siguientes cuando se configuran los requisitos para el cumplimiento de la integridad del host:

El cliente ejecuta el software antivirus actualizado. Se realiza la comprobacin de integridad del host solamente cuando el cliente intenta conectarse a la red mediante Enforcer. La comprobacin activa las acciones que ocurren silenciosamente en el cliente.
Es posible tambin utilizar Enforcer para hacer cumplir estas polticas. Enforcer es una aplicacin de software o un dispositivo opcional de hardware que media la conectividad del cliente con la red. La mayora de los ejemplos siguientes muestran el uso de Enforcer. Enforcer se puede configurar para que automticamente haga lo siguiente:

Verificar que un cliente se haya instalado en el equipo de un usuario. Solicitar a un cliente descargar polticas de seguridad actualizadas, si estn disponibles. Incite al cliente a ejecutar la comprobacin de integridad del host.
El cliente primero verifica que el software antivirus ms reciente est instalado y lo ejecuta. Si se ha instalado pero no se est ejecutando, el cliente inicia silenciosamente la aplicacin antivirus. Si no est instalado, el cliente descarga el software desde la URL que se especifica en el requisito de integridad del host. Despus, el cliente instala e inicia el software.
Introduccin de Symantec Network Access Control Cmo funcionan los dispositivos Symantec Network Access Control Enforcer con polticas de integridad del host
741
A continuacin, el cliente verifica que los archivos de firmas del antivirus sean actuales. Si los archivos del antivirus no son actuales, el cliente extrae e instala silenciosamente los archivos actualizados. El cliente ejecuta la comprobacin de integridad del host de nuevo y la aprueba. Enforcer recibe los resultados y concede el acceso del cliente a la red de la empresa. En este ejemplo, deben cumplirse los siguientes requisitos:
El servidor de archivos que se utiliza para las actualizaciones de integridad del host tiene los ltimos archivos instalados. El cliente obtiene aplicaciones actualizadas del servidor de archivos. Es posible configurar uno o ms servidores de reparacin que se conecten a la red de la empresa. Desde los servidores de reparacin, los usuarios pueden copiar o descargar automticamente las revisiones y las correcciones necesarias para cualquier aplicacin obligatoria. Si un servidor de reparacin falla, la reparacin de integridad del host tambin fallar. Si el cliente intenta conectarse mediante Enforcer, este bloquea el cliente si la integridad del host falla. Si el cliente est conectado a Symantec Endpoint Protection Manager, se puede configurar la consola para pasar la comprobacin de integridad del host aunque la comprobacin falle. En este caso, Enforcer puede bloquear al cliente. La informacin sobre la comprobacin de integridad del host con fallas se asienta en el registro de seguridad del cliente. El servidor de administracin debe configurarse para enviar las actualizaciones de la poltica de seguridad automticamente a cualquier equipo que ejecute el cliente.
Si Enforcer bloquea al cliente, el cliente intenta recuperarse. La poltica de integridad del host se configura para actualizar los archivos antes de permitir al cliente conectarse a la red. A continuacin, se notifica al usuario que una actualizacin necesita ser proporcionada. Un indicador de progreso para la actualizacin sigue a la actualizacin. Ver "Adicin de requisitos de integridad del host" en la pgina 765.
Cmo funcionan los dispositivos Symantec Network Access Control Enforcer con polticas de integridad del host
Las polticas de seguridad que todos los dispositivos Enforcer ordenan a los clientes de Symantec Network Access Control o Symantec Endpoint Protection que ejecuten en los equipos cliente se llaman polticas de integridad del host. Se crean y
742
administran las polticas de integridad del host en la consola de Symantec Endpoint Protection Manager. Las polticas de integridad del host especifican el software que debe ejecutarse en un cliente. Por ejemplo, es posible especificar que el siguiente software de seguridad que se encuentra en un equipo cliente debe cumplir ciertos requisitos:

Software antivirus Software antispyware Software de firewall Parches Service packs
Cuando un cliente intenta conectarse a la red, ejecuta una comprobacin de integridad del host. A continuacin, enva los resultados a un dispositivo Enforcer. Es posible configurar clientes para que ejecuten comprobaciones de integridad del host en varios momentos. Tpicamente, el dispositivo Enforcer est configurado para verificar que el cliente aprueba la comprobacin de integridad del host antes de conceder acceso a la red al cliente. Si el cliente aprueba la comprobacin de integridad del host, cumple con la poltica de integridad del host en su compaa. Sin embargo, cada tipo de dispositivo Enforcer define los criterios de acceso de red de forma diferente. Ver "Cmo funciona el dispositivo Gateway Enforcer" en la pgina 744. Ver "Cmo funciona el dispositivo LAN Enforcer" en la pgina 745.
Comunicacin entre un dispositivo Enforcer y Symantec Endpoint Protection Manager

El dispositivo Enforcer permanece conectado a Symantec Endpoint Protection Manager. En intervalos regulares (latidos), el dispositivo Enforcer obtiene la configuracin desde el servidor de administracin que controla cmo funciona. Cuando se realiza cualquier cambio en el servidor de administracin que afecte al dispositivo Enforcer, el dispositivo Enforcer recibe la actualizacin durante el latido siguiente. El dispositivo Enforcer transmite su informacin de estado al servidor de administracin. Puede registrar los eventos que remite al servidor de administracin. La informacin entonces aparece en los registros en el servidor de administracin. Symantec Endpoint Protection Manager mantiene una lista de servidores de administracin con la informacin de base de datos reproducida. Descarga la lista de servidores de administracin a los dispositivos Enforcer y a los clientes administrados e invitados conectados. Si el dispositivo Enforcer pierde la
743
comunicacin con un servidor de administracin, puede conectarse a otro servidor de administracin que se incluya en la lista de servidores de administracin. Si se reinicia el dispositivo Enforcer, este utiliza la lista de servidores de administracin para restablecer una conexin a un servidor de administracin. Cuando un cliente intenta conectarse a la red a travs del dispositivo Enforcer, el dispositivo Enforcer autentica el identificador nico global (GUID) del cliente. El dispositivo Enforcer enva el GUID al servidor de administracin y recibe una respuesta de aceptacin o de rechazo. Si un dispositivo Enforcer se configura para autenticar el GUID, puede extraer la informacin del servidor de administracin. El dispositivo Enforcer puede entonces determinar si el perfil del cliente se ha actualizado con las ltimas polticas de seguridad. Si la informacin del cliente cambia en el servidor de administracin, el servidor de administracin puede enviar la informacin al dispositivo Enforcer. El dispositivo Enforcer puede realizar de nuevo la autenticacin de hosts en el cliente. Ver "Cambiar valores de configuracin del dispositivo Gateway Enforcer en Symantec Endpoint Protection Manager" en la pgina 839. Ver "Cambio de configuracin de LAN Enforcer en Symantec Endpoint Protection Manager" en la pgina 891.
Comunicacin entre el dispositivo Enforcer y los clientes

La comunicacin entre el dispositivo Enforcer y un cliente comienza cuando el cliente intenta conectarse a la red. El dispositivo Enforcer puede detectar si un cliente se est ejecutando. Si un cliente est ejecutndose, Enforcer comienza el proceso de autenticacin con el cliente. El cliente responde ejecutando una comprobacin de integridad del host y enviando los resultados, junto con su informacin de perfil, a Enforcer. El cliente tambin enva su identificador nico global (GUID), que Enforcer pasa al Administrador para la autenticacin. El dispositivo Enforcer utiliza la informacin de perfil para verificar que el cliente est actualizado con las polticas de seguridad ms recientes. Si no lo est, el dispositivo Enforcer notifica al cliente que actualice su perfil. Una vez que el dispositivo Gateway Enforcer permite al cliente conectarse, contina comunicndose con el cliente en los intervalos regulares predefinidos. Esta comunicacin permite al dispositivo Enforcer continuar con la autenticacin del cliente. Para el dispositivo LAN Enforcer, el conmutador 802.1x dirige esta autenticacin peridica. Por ejemplo, los conmutadores 802.1 inician una nueva sesin de autenticacin cuando es necesario volver a realizar una autenticacin.
744
Introduccin de Symantec Network Access Control Cmo funciona el dispositivo Gateway Enforcer
El dispositivo Enforcer necesita ejecutarse siempre; si no los clientes que intentan conectarse a la red corporativa pueden ser bloqueados. Ver "Cmo crear y probar una poltica de integridad del host" en la pgina 759.
Cmo funciona el dispositivo Gateway Enforcer

Los dispositivos Gateway Enforcer realizan comprobaciones unidireccionales. Comprueban los clientes que intentan conectarse por medio de la NIC externa del dispositivo Gateway Enforcer a la red de la compaa. Un dispositivo Gateway Enforcer usa los procesos siguientes para comprobar los equipos cliente y determinar si pueden acceder a la red:
El dispositivo Gateway Enforcer comprueba la existencia de informacin del cliente y la verifica que el cliente haya aprobado la comprobacin de integridad del host. Ver "Cmo funcionan los dispositivos Symantec Network Access Control Enforcer con polticas de integridad del host" en la pgina 741. Si el cliente satisface los requisitos para el acceso, el dispositivo Gateway Enforcer lo conecta a la red. Si un cliente no satisface los requisitos para el acceso, se puede configurar el dispositivo Gateway Enforcer para que realice las siguientes acciones:

Supervisar y registrar determinados eventos. Bloquear usuarios si falla la comprobacin de integridad del host. Mostrar un mensaje emergente en el cliente. Proporcionar al cliente acceso limitado a la red a fin de permitir el uso de recursos de red para la reparacin. Para proporcionar acceso limitado, se reorientan solicitudes HTTP del cliente a un servidor web con la informacin de reparacin. Por ejemplo, este servidor web puede incluir instrucciones sobre dnde obtener software de reparacin. O puede permitir que el cliente descargue el software del cliente Symantec Network Access Control.
Permitir que el cliente acceda a la red aunque no haya aprobado la comprobacin de integridad del host. El dispositivo Gateway Enforcer tiene las funcionalidades de configuracin opcionales siguientes:

Permite que los equipos cliente con direcciones IP de confianza accedan a la red de forma inmediata.
Introduccin de Symantec Network Access Control Cmo funciona el dispositivo LAN Enforcer
745
Es posible configurar qu direcciones IP de clientes comprobar y qu direcciones IP son de confianza. Se concede a los clientes con direcciones IP de confianza el acceso sin la autenticacin adicional. Permite a los equipos que no ejecutan Windows acceder a la red. En este caso, el dispositivo Gateway Enforcer funciona como un puente en vez de un router. Tan pronto como se autentica el cliente, el dispositivo Gateway Enforcer remite los paquetes para permitir que el cliente acceda a la red. Ver Acerca de los dispositivos LAN Enforcer en la pgina 799. Ver "Acciones que pueden llevarse a cabo con dispositivos Symantec Enforcer" en la pgina 751. Ver "Acerca de cmo instalar un dispositivo Enforcer" en la pgina 801.
Cmo funciona el dispositivo LAN Enforcer

El dispositivo LAN Enforcer le da la opcin de la autenticacin 802.1x EAP (Protocolo de autenticacin extensible) junto con el cliente que realiza una comprobacin de integridad del host. Nota: Para obtener informacin sobre EAP, consulte la RFC 2284 de IETF en http://www.ietf.org/rfc/rfc2284.txt. Para obtener detalles adicionales sobre el estndar IEEE 802.1x, consulte el texto del estndar en http://www.ieee802.org/1/files/public/MIBs/802-1x-2001-mib.txt. Es posible implementar LAN Enforcer usando uno de los siguientes modos:
Modo transparente: Comprueba si el cliente cumple con la poltica de seguridad de la integridad del host, pero no comprueba el nombre de usuario ni la contrasea. El modo transparente no usa un servidor RADIUS, sino que necesita un conmutador compatible con 802.1x. Modo 802.1x completo: Autentica las credenciales del usuario (nombre de usuario y contrasea) adems de comprobar la autenticacin del host del cliente. Se dirige a los clientes que no cumplen a una VLAN de invitado que su organizacin ha configurado para la reparacin de seguridad del cliente. La autenticacin 802.1x completa necesita un servidor RADIUS, un conmutador que pueda utilizar 802.1x o un punto de acceso inalmbrico y software del suplicante (cliente).
En modo transparente, un dispositivo LAN Enforcer usa los mtodos siguientes para procesar solicitudes del equipo cliente para acceder a la red:
746
Introduccin de Symantec Network Access Control Cmo funciona el dispositivo LAN Enforcer
El equipo cliente conecta y enva el inicio de sesin, el cumplimiento de la autenticacin del host y los datos de polticas a travs del EAP. El conmutador o el punto de acceso inalmbrico reenvan los datos del equipo cliente al dispositivo LAN Enforcer. El dispositivo LAN Enforcer verifica que el cliente haya aprobado una comprobacin de integridad del host. Ver "Cmo funcionan los dispositivos Symantec Network Access Control Enforcer con polticas de integridad del host" en la pgina 741. Si el cliente aprueba la comprobacin de integridad del host, Enforcer abre a una parte del conmutador y permite el acceso completo a la red. Si el cliente no aprueba la comprobacin de integridad del host, Enforcer asigna el cliente a la VLAN de cuarentena donde puede acceder a recursos de reparacin.
En modo 802.1x completo, un dispositivo LAN Enforcer hace lo siguiente para procesar solicitudes del equipo cliente para acceder a la red:
El equipo cliente conecta y enva el inicio de sesin, el cumplimiento de la autenticacin del host y los datos de polticas a travs del EAP. El suplicante en el equipo cliente pide al usuario su nombre de usuario y contrasea. El conmutador reenva el nombre de usuario y la contrasea a LAN Enforcer. LAN Enforcer reenva el nombre de usuario y la contrasea al servidor RADIUS. El servidor RADIUS genera un desafo EAP (nombre de usuario y contrasea). LAN Enforcer recibe el desafo EAP y agrega la comprobacin de integridad del host. LAN Enforcer verifica que el cliente haya aprobado una comprobacin de integridad del host. LAN Enforcer comprueba los resultados de la integridad del host y los reenva al servidor RADIUS. El servidor RADIUS realiza la autenticacin EAP y enva el resultado a LAN Enforcer. LAN Enforcer recibe los resultados de la autenticacin y reenva los resultados y la accin que se debe realizar al conmutador. Si el cliente pasa los desafos del EAP y de la integridad del host, el conmutador permite el acceso a la red. Si el cliente no pasa los desafos, el conmutador lo dirige a una VLAN alternativa donde puede acceder a recursos de reparacin.
Introduccin de Symantec Network Access Control Cmo funciona Integrated Enforcer para servidores DHCP de Microsoft
747
El dispositivo LAN Enforcer tiene las funcionalidades de configuracin opcionales adicionales siguientes. Es posible:
Usar un conmutador o un punto de acceso inalmbrico para dirigir al cliente a una VLAN de reparacin. (recomendado) Configurar las respuestas posibles de error en funcin de si se usa la autenticacin EAP o la comprobacin de integridad del host. Conectar varios dispositivos LAN Enforcer a un conmutador para la conmutacin por error de LAN Enforcer. Configurar varios servidores RADIUS para la conmutacin por error del servidor RADIUS.
Ver "Acciones que pueden llevarse a cabo con dispositivos Symantec Enforcer" en la pgina 751.
Cmo funciona Integrated Enforcer para servidores DHCP de Microsoft

Integrated Enforcer para servidores DHCP de Microsoft comprueba la existencia de instalaciones de clientes de Symantec Endpoint Protection o Symantec Network Access Control en los clientes de DHCP que el servidor DHCP administra. A continuacin, aplica las polticas para esos clientes segn lo configurado en Symantec Endpoint Protection Manager. Integrated Enforcer para servidores DHCP de Microsoft adems autentica en el cliente:

La existencia de un agente. Un identificador nico global (GUID). Cumplimiento de integridad del host La versin del perfil de cada poltica configurada.
Integrated Enforcer para servidores DHCP de Microsoft es un componente de software que interacta con el servidor DHCP de Microsoft. Aunque ambos se deben instalar en el mismo equipo, Integrated Enforcer para servidores DHCP de Microsoft no depende del servidor DHCP. Cuando Integrated Enforcer para servidores DHCP de Microsoft reside en el mismo equipo que el servidor DHCP, elimina la necesidad del hardware adicional.
748
Introduccin de Symantec Network Access Control Cmo funciona Integrated Enforcer para servidores DHCP de Microsoft
Nota: La detencin del servidor DHCP no detiene Integrated Enforcer para servidores DHCP de Microsoft. La detencin de Integrated Enforcer para servidores DHCP de Microsoft no detiene el servidor DHCP. Se usa Symantec Endpoint Protection Manager para configurar las polticas de seguridad. Sin embargo, Integrated Enforcer para servidores DHCP de Microsoft impone las polticas de seguridad. Integrated Enforcer para servidores DHCP de Microsoft autentica los equipos cliente comprobando la respuesta con respecto a los criterios siguientes:
El cliente de Symantec Endpoint Protection o el cliente de Symantec Network Access Control se ejecutan en un equipo cliente? El cliente de Symantec Endpoint Protection o el cliente de Symantec Network Access Control tienen el identificador nico global correcto (GUID)? Es el GUID un nmero hexadecimal de 128 bits? Este nmero se asigna a un equipo cliente que ejecute el cliente de Symantec Endpoint Protectiono el cliente de Symantec Network Access Control. El servidor de administracin genera un GUID cuando el cliente se conecta inicialmente. El cliente cumple con la poltica de integridad del host ms actual que el administrador configur en la consola de Symantec Endpoint Protection Manager? El cliente ha recibido la poltica de seguridad ms actual?
Si Integrated Enforcer para servidores DHCP de Microsoft no puede autenticar al cliente, proporciona el acceso a un rea en cuarentena. La zona de cuarentena proporciona recursos de red limitados al cliente. La zona de cuarentena se configura en el mismo equipo que Integrated Enforcer para servidores DHCP de Microsoft y el servidor DHCP de Microsoft. Es posible tambin configurar el acceso a un servidor de reparacin. El servidor de reparacin proporciona a los clientes vnculos a software que les permite cumplir con la seguridad. Ver "Acerca de Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft" en la pgina 959.
Introduccin de Symantec Network Access Control Cmo funciona Integrated Enforcer para la Proteccin de acceso a redes de Microsoft con un servidor de polticas de red de Microsoft (NPS)
749
Cmo funciona Integrated Enforcer para la Proteccin de acceso a redes de Microsoft con un servidor de polticas de red de Microsoft (NPS)
Integrated Enforcer para Microsoft Network Access Protection funciona permitiendo que se amplen las funcionalidades de Microsoft Network Access Protection (NAP), que incluyen:
Comprobar el cumplimiento de polticas de seguridad de endpoints. Los clientes que se conectan pueden usar las mismas polticas o diferentes. Controlar el acceso de invitados. Autenticar usuarios finales.
Cuando un Network Policy Server (NPS) est configurado como servidor de polticas de NAP, evala las declaraciones de la seguridad (SoH) enviadas por los clientes que pueden utilizar NAP. Si los clientes estn en buen estado, se pueden conectar a la red. Es posible configurar polticas de NAP en NPS que permitan que los equipos cliente actualicen su configuracin para cumplir con la poltica de seguridad de su organizacin. Se configuran esas polticas segn la documentacin de NPS. Ver "Acerca de Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection" en la pgina 960.
Cmo funciona On-Demand Client

On-Demand Client comprueba el cumplimiento del equipo si usted intenta conectar el equipo a una red protegida como invitado. Si el equipo cliente cumple todos los requisitos, se establece automticamente una conexin entre el equipo cliente y Symantec Endpoint Protection Manager. Si el cliente cumple todos los requisitos de seguridad, el cliente puede entonces acceder a la red protegida. En ese momento, el equipo cliente que cumple con las polticas de seguridad puede realizar cualquier tarea que el administrador haya habilitado para este grupo en Symantec Endpoint Protection Manager;. Si el equipo cliente no puede cumplir todos los requisitos, una conexin entre el equipo cliente y la red protegida no se puede establecer automticamente. El usuario necesita reparar todos los requisitos que no cumplen con las polticas en el equipo cliente. Para ello, debe descargar los archivos de reparacin segn lo configurado por el administrador. Hasta que la reparacin est completa, el cliente no puede acceder a la red protegida como invitado.
750
Introduccin de Symantec Network Access Control Cmo funciona On-Demand Client
Su equipo debe aprobar o no aprobar una comprobacin del estado de cumplimiento cuando intenta conectarse a la red protegida de una empresa. Por lo tanto, el estado del acceso a la red protegida de una empresa es de la siguiente manera:
Permitido: se puede conectar a la red. En el modo Permitido no hay ninguna comunicacin con Enforcer o Enforcer no est instalado en la red. Aprobado: puede conectarse a la red mediante Symantec Network Access Control. En cuarentena: Symantec Network Access Control se ha puesto en un rea de cuarentena porque su estado de cumplimiento no se aprob, o la poltica no es la ms reciente.
Ver "Habilitar clientes bajo demanda de Symantec Network Access Control para conectarse temporalmente a una red" en la pgina 1037.
Captulo
33
Utilizacin de Symantec Network Access Control


Acciones que pueden llevarse a cabo con dispositivos Symantec Enforcer Acciones que pueden llevarse a cabo con mdulos de aplicacin Symantec Integrated Enforcer Acciones que pueden llevarse a cabo con clientes On-Demand Cmo implementar Symantec Network Access Control
Acciones que pueden llevarse a cabo con dispositivos Symantec Enforcer

El dispositivo Enforcer se instala en los puntos finales de la red para los clientes externos o los clientes internos. Por ejemplo, se puede instalar un dispositivo Enforcer entre la red y un servidor VPN. Puede tambin configurarlo para la aplicacin en los equipos cliente que se conectan a la red por un conmutador compatible con 802.1x o un punto de acceso inalmbrico. Un dispositivo Enforcer realiza la autenticacin de hosts en lugar de la autenticacin a nivel de los usuarios. Garantiza que los equipos cliente que intentan conectarse a una red corporativa cumplan con la poltica de seguridad de esa empresa. Es posible configurar las polticas de seguridad especficas en Symantec Endpoint Protection Manager. Si el cliente no cumple con las polticas de seguridad, el dispositivo Enforcer puede tomar las medidas siguientes:
752
Utilizacin de Symantec Network Access Control Acciones que pueden llevarse a cabo con dispositivos Symantec Enforcer
Bloquea el acceso a la red. Permite acceso a recursos limitados solamente. Permite el acceso cuando el cliente no es compatible y registra esa accin.
El dispositivo Enforcer puede redirigir al cliente a una zona de cuarentena con un servidor de reparacin. El cliente puede entonces obtener el software, las aplicaciones, los archivos de firmas o los parches necesarios del servidor de reparacin. Por ejemplo, una parte de la red puede ya estar configurada para los clientes que se conectan a la red de rea local (LAN) a travs de conmutadores compatibles con 802.1x. Si ese es el caso, es posible usar un dispositivo LAN Enforcer para estos clientes. Es posible tambin usar un dispositivo LAN Enforcer para los clientes que se conectan a travs de un punto de acceso inalmbrico compatible con 802.1x. Ver "Cmo funciona el dispositivo LAN Enforcer" en la pgina 745. Ver "Planificacin para la instalacin de un dispositivo LAN Enforcer" en la pgina 879. Si tiene empleados que trabajan remotamente y se conectan mediante VPN, es posible utilizar el dispositivo Gateway Enforcer para esos clientes. Es posible tambin usar el dispositivo Gateway Enforcer si un punto de acceso inalmbrico no es compatible con 802.1x. Ver "Cmo funciona el dispositivo Gateway Enforcer" en la pgina 744. Ver "Planificacin de la instalacin para un dispositivo Gateway Enforcer" en la pgina 821. Si se requiere amplia disponibilidad, es posible instalar dos o ms dispositivos Gateway o LAN Enforcer en la misma ubicacin para proporcionar conmutacin por error. Ver "Planificacin conmutacin por error de dispositivos Gateway Enforcer" en la pgina 830. Ver "Planificar la conmutacin por error para dispositivos LAN Enforcer" en la pgina 883. Si desea implementar amplia disponibilidad para los dispositivos LAN Enforcer, es necesario instalar varios dispositivos LAN Enforcer y un conmutador compatible con 802.1x. La amplia disponibilidad se obtiene por medio de la adicin de un conmutador compatible con 802.1x. Si instala solamente varios dispositivos LAN Enforcer sin un conmutador compatible con 802.1x, no se obtendr amplia disponibilidad. Es posible configurar un conmutador compatible con 802.1x para amplia disponibilidad.
Utilizacin de Symantec Network Access Control Acciones que pueden llevarse a cabo con mdulos de aplicacin Symantec Integrated Enforcer
753
Para obtener informacin sobre la configuracin de un conmutador compatible con 802.1x para amplia disponibilidad, consulte la documentacin que acompaa el conmutador compatible con 802.1x. En algunas configuraciones de red, un cliente puede conectarse a una red a travs de ms de un dispositivo Enforcer. Despus de que el primer dispositivo Enforcer proporciona autenticacin al cliente, los dispositivos Enforcer restantes deben autenticar el cliente antes de que el cliente pueda conectarse a la red.
Acciones que pueden llevarse a cabo con mdulos de aplicacin Symantec Integrated Enforcer
Los mdulos de aplicacin Symantec Network Access Control Integrated Enforcer opcionales son mdulos de aplicacin Enforcer proporcionados como componentes del software. Es posible configurarlos para asegurarse de que los clientes que intenten conectarse a la red cumplan con las polticas de seguridad configuradas de su organizacin.
Use Symantec Network Access Control Integrated Enforcer para servidores DHCP para asegurarse de que los clientes del servidor DHCP de Microsoft cumplan con las polticas de seguridad. Use Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection para asegurarse de que los clientes cumplan con las polticas de seguridad del cliente de Microsoft. Es posible tambin utilizar el agente de estado de Symantec para comprobar las polticas de estado de Symantec por sobre las polticas de estado de Microsoft.
Es posible realizar las siguientes tareas con los mdulos de aplicacin Integrated Enforcer:
Asegurarse de que los equipos cliente que intentan conectarse a la red cumplan con las polticas de seguridad que usted configur en Symantec Endpoint Protection Manager. Configurar una conexin a Symantec Endpoint Protection Manager. Iniciar y detener el servicio de Enforcer. Ver el estado de conexin. Consultar los registros de seguridad y del sistema en Symantec Endpoint Protection Manager.
Ver "Cmo funciona Integrated Enforcer para servidores DHCP de Microsoft" en la pgina 747.
754
Utilizacin de Symantec Network Access Control Acciones que pueden llevarse a cabo con clientes On-Demand
Ver "Cmo funciona Integrated Enforcer para la Proteccin de acceso a redes de Microsoft con un servidor de polticas de red de Microsoft (NPS)" en la pgina 749.
Acciones que pueden llevarse a cabo con clientes On-Demand

Cuando los usuarios no pueden conectarse a su red porque les falta el software de cumplimiento necesario, usted puede proporcionarlo con los clientes On-Demand. Cuando un cliente On-Demand est instalado, autentica al usuario y se asegura de que el equipo apruebe una comprobacin de cumplimiento antes de que acceda a la red. Los clientes On-Demand permanecen en efecto hasta que el invitado termine una sesin. Estn disponibles para los equipos invitados de Windows y de Macintosh. Los clientes On-Demand protegen la informacin comercial confidencial de su red contra prdida de datos. Con un cliente On-Demand, los invitados y el personal remoto pueden conectarse a su red con aplicaciones habilitadas para la Web sin la introduccin del spyware, los registradores de pulsaciones y otro software malicioso que puede infectar su red. El proceso de aprovisionamiento necesita:

Un Gateway Enforcer configurado para proporcionar clientes On-Demand. Una descarga y una instalacin del cliente On-Demand en los equipos invitados.
Ver "Habilitar clientes bajo demanda de Symantec Network Access Control para conectarse temporalmente a una red" en la pgina 1037. Ver "Configurar la autenticacin en la consola de Gateway Enforcer para los clientes disponibles bajo demanda de Symantec Network Access Control" en la pgina 1040.
Cmo implementar Symantec Network Access Control

El mejor enfoque para implementar Symantec Network Access Control es hacerlo en fases. Este enfoque permite que su organizacin desarrolle una implementacin que se ajuste a sus necesidades. Se basa en cada fase anterior en vez de hacer completamente de nuevo toda su infraestructura de seguridad para hacer cambios o mejoras.
Utilizacin de Symantec Network Access Control Cmo implementar Symantec Network Access Control
755
Tabla 33-1 Fase

Fase 1
Fases para implementar Symantec Network Access Control Descripcin

Es posible controlar el acceso de los equipos porttiles, los equipos de escritorio y los servidores que su organizacin administra con aplicacin automtica. Con aplicacin automtica, los equipos pueden obtener el software que necesitan para cumplir su poltica de seguridad. Ver "Encendido y ejecucin de Symantec Endpoint Protection por primera vez" en la pgina 57. Ver "Cmo funciona la aplicacin automtica" en la pgina 739. Ver "Cmo crear y probar una poltica de integridad del host" en la pgina 759.
Accin
Instale los clientes Symantec Endpoint Protection Manager y Symantec Network Access Control. Use Symantec Endpoint Protection Manager para configurar las polticas de integridad del host.
Fase 2
Instale y configure el dispositivo Gateway Para una proteccin de red parcial, controle el acceso conectado Enforcer. por cable e inalmbrico a la red para los clientes administrados y no administrados y para los equipos invitados. Los clientes administrados son los que ejecutan el cliente de Symantec Network Access Control. Los clientes no administrados son los que: No estn ejecutando el software de cliente de Symantec Network Access Control. Estn ejecutando el software de cliente de Symantec Network Access Control, pero no tienen las actualizaciones de polticas ms recientes.
Los clientes invitados son los equipos porttiles, los equipos de escritorio y los servidores que no cumplen sus requisitos de seguridad para elementos, como el software instalado y las contraseas seguras. Estos son dispositivos que poseen invitados, como contratistas, consultores y partners. Es posible permitir a estos clientes invitados conectarse con seguridad y temporalmente a su red con los clientes On-Demand. Ver "Acerca de cmo instalar un dispositivo Enforcer" en la pgina 801. Ver "Instalar un dispositivo Enforcer" en la pgina 802. Ver "Cmo funciona el dispositivo Gateway Enforcer" en la pgina 744. Ver "Cmo funciona On-Demand Client" en la pgina 749.
756
Utilizacin de Symantec Network Access Control Cmo implementar Symantec Network Access Control
Fase
Fase 3
Accin
Instale y configure un dispositivo LAN Enforcer
Descripcin
Para una proteccin de red completa, se puede controlar el acceso WAN de los equipos cliente y los equipos invitados. Para los clientes administrados, use un dispositivo LAN Enforcer. Para los clientes no administrados, use los dispositivos LAN o Gateway Enforcer.
Ver "Acerca de cmo instalar un dispositivo Enforcer" en la pgina 801. Ver "Instalar un dispositivo Enforcer" en la pgina 802. Ver "Cmo funciona el dispositivo LAN Enforcer" en la pgina 745.
Ver "Acerca de los tipos de aplicacin en Symantec Network Access Control" en la pgina 736.
Captulo
34
Configuracin de la integridad del host


Acciones que pueden llevarse a cabo con polticas de integridad del host Acerca del trabajo con polticas de integridad del host Cmo crear y probar una poltica de integridad del host Acerca de los requisitos de integridad del host Adicin de requisitos de integridad del host Cmo configurar Integridad del host para Mac Cmo habilitar, deshabilitar y eliminar los requisitos de integridad del host Modificar la secuencia de requisitos de integridad del host Adicin de un requisito de integridad del host desde una plantilla Acerca de la configuracin para las comprobaciones de integridad del host Permitir que se apruebe la comprobacin de integridad del host si un requisito falla Configurar las notificaciones de las comprobaciones de integridad del host Acerca de la reparacin de integridad del host Especificar la cantidad de tiempo que el cliente espera para la reparacin Permitir que los usuarios pospongan o cancelen la reparacin de Integridad del host
758
Configuracin de la integridad del host Acciones que pueden llevarse a cabo con polticas de integridad del host
Acciones que pueden llevarse a cabo con polticas de integridad del host
Use las polticas de integridad del host para asegurarse de que los equipos cliente que accedan a su red cumplan la poltica de seguridad de su organizacin. Por ejemplo, se pueden usar las polticas de integridad del host para asegurarse de que los equipos cliente:
Estn ejecutando aplicaciones de proteccin antivirus y antispyware. Si no lo hacen, permita que lo reparen descargando e instalando las aplicaciones de proteccin antivirus y antispyware necesarias. Tengan las definiciones de virus ms actuales. Si no las tienen, descargue automticamente las actualizaciones de definiciones de virus. Tengan los parches y los Service Packs ms actuales. Si no los tienen, permita que lo reparen descargando e instalando el parche o el Service Pack necesarios. Usan las contraseas seguras y las cambian tan frecuentemente como sea necesario. Sean ms seguros en general. Por ejemplo, deshabilitar el acceso al escritorio remoto si es necesario, controlar la incorporacin y eliminacin de programas, controlar el uso de las herramientas de registro, etc. Tengan software de copia de seguridad instalado. Si no lo tienen, permita que lo reparen descargando e instalando el software de copia de seguridad necesario. Tengan el software que le permite realizar las instalaciones remotas. Si no lo hacen, permita que lo reparen descargando e instalando el software de instalacin remota necesario, posiblemente usando un script personalizado creado por el administrador.
Ver "Cmo crear y probar una poltica de integridad del host" en la pgina 759.
Acerca del trabajo con polticas de integridad del host

Se crean y editan polticas de integridad del host de la misma forma en que se crean y modifican otros tipos de polticas. Puede asignar, quitar, reemplazar, copiar, exportar, importar o eliminar polticas de integridad del host. Se asigna tpicamente una poltica a varios grupos de su red de seguridad. Es posible crear una poltica especfica de una ubicacin no compartida si tiene requisitos especficos para una ubicacin determinada. Ver "Cmo funciona la aplicacin automtica" en la pgina 739.
Configuracin de la integridad del host Cmo crear y probar una poltica de integridad del host
759
Acerca de la poltica de cuarentena

La poltica de cuarentena es una poltica para el cliente de Symantec Network Access Control que ejecuta la comprobacin de integridad del host. Si los requisitos de la poltica de integridad del host no se cumplen, el cliente intenta la reparacin. Si la reparacin falla, el cliente pasa automticamente a una poltica de seguridad de cuarentena. Una poltica de cuarentena puede ser una poltica antivirus y antispyware, una poltica de firewall, una poltica de prevencin de intrusiones, una poltica de LiveUpdate o una poltica de control de aplicaciones y dispositivos. Es posible configurar y asignar una poltica de cuarentena a una ubicacin. Ver "Configurar la cuarentena automtica" en la pgina 979.
Cmo crear y probar una poltica de integridad del host

La poltica de integridad del host es la base de Symantec Network Access Control. La poltica creada para esta prueba es solo con fines de demostracin. La poltica detecta la existencia de un sistema operativo y, cuando se detecta, genera un evento de ERROR. Normalmente, los eventos de ERROR se generaran por otros motivos. Ver "Acciones que pueden llevarse a cabo con polticas de integridad del host" en la pgina 758. Es posible, entonces, probar la poltica de integridad del host desde Symantec Endpoint Protection Manager. Nota: Si compr e instal Symantec Network Access Control y Symantec Endpoint Protection, puede crear una poltica de firewall para los equipos cliente que no pasan la comprobacin de Integridad del host. Si ejecuta Symantec Enforcer con Symantec Network Access Control, es posible aislar los clientes que no pasan la comprobacin de Integridad del host a segmentos de la red especficos. Este aislamiento impide la autenticacin del cliente y el acceso al dominio. Hay varias medidas que es necesario tomar para tener polticas de integridad del host eficaces: Medidas que se deben tomar para prepararse para la implementacin de Integridad del host:

Descargue las ltimas plantillas de Integridad del host de Symantec. Cree una poltica de integridad del host para probar.
760
Pruebe la poltica de integridad del host que ha creado.
Para descargar las ltimas plantillas de Integridad del host de Symantec.
1 2 3 4 5 6
En la consola de administracin, haga clic en Administrador. En Servidores, haga clic en Sitio local (Mi sitio). En Tareas, haga clic en Editar propiedades del sitio. En el cuadro de dilogo Propiedades del sitio para Sitio local (Mi sitio), haga clic en la ficha LiveUpdate. En la ficha LiveUpdate, haga clic en Editar servidores de origen. En el cuadro de dilogo Servidores de LiveUpdate, haga clic en Aceptar. Nota: Puede usar el servidor predeterminado de Symantec LiveUpdate o puede usar un servidor interno especificado de LiveUpdate. Si usa un servidor interno de LiveUpdate, asegrese de que las plantillas de Integridad del host Windows o de Mac estn presentes y disponibles.
7 8
En el panel Plataformas para descargar, haga clic en Cambiar plataforma. En el cuadro de dilogo Plataformas para descargar, seleccione las plataformas para las cuales desee descargar el contenido de LiveUpdate y haga clic en Aceptar. En el panel Tipos de contenido para descargar, haga clic en Modificar seleccin. la casilla de verificacin Plantillas de integridad del host est seleccionada y despus haga clic en Aceptar.
10 En el cuadro de dilogo Tipos de contenido para descargar, asegrese de que
11 En el cuadro de dilogo Propiedades del sitio para Sitio local (Mi sitio), haga
clic en Aceptar.
12 En Tareas, haga clic en Descargar contenido de LiveUpdate, despus, revise

los datos que usted acaba de configurar en el cuadro de dilogo Descargar contenido de LiveUpdate.
13 Si todo est correcto, haga clic en Descargar para comenzar a descargar los
contenidos. Nota: Cuando el panel de LiveUpdate muestra que las plantillas de integridad del host 12.1 para Windows se actualizaron correctamente o las plantillas de integridad del host 12.1 para Mac se actualizaron correctamente, la plantilla de integridad del host se descarg al servidor de administracin.
761
Para crear una poltica de integridad del host
1 2 3 4 5 6 7 8 9
En la consola, haga clic en Polticas. En Polticas, haga clic para seleccionar Integridad del host. En el panel derecho, si una poltica de integridad del host est resaltada en amarillo, anule la seleccin de la poltica. En Tareas, haga clic en Agregar una poltica de integridad del host. En el panel Descripcin general, en el cuadro Nombre de poltica, escriba un nombre para la poltica. Haga clic en Requisitos. En el panel Requisitos, seleccione Comprobar siempre la integridad del host y, despus, haga clic en Agregar. En el cuadro de dilogo Agregar requisito, en el men desplegable Tipo, haga clic en Requisito personalizado y, despus, haga clic en Aceptar. En la ventana Requisito personalizado, en el cuadro Nombre, escriba un nombre para el Requisito personalizado. Insertar instrucciones a continuacin y, despus, haga clic en Agregar > IF .. THEN.
10 En Script del requisito personalizado, haga clic con el botn secundario en
11 En el panel derecho, en el men desplegable Seleccione una condicin, haga

clic en Utilidad: El sistema operativo es.
12 En Sistema operativo, seleccione uno o ms sistemas operativos que sus

equipos cliente ejecuten y que desee comprobar.
13 En Script del requisito personalizado, haga clic con el botn secundario en

THEN //Insertar instrucciones aqu y, despus, haga clic en Agregar > Funcin > Utilidad: Mostrar cuadro de dilogo del mensaje.
14 En Leyenda del cuadro de mensaje, escriba un nombre que aparecer en el

ttulo del mensaje.
15 En el cuadro Texto del cuadro de mensaje, escriba el texto que usted quisiera
mostrar en el mensaje.
16 Para visualizar informacin sobre la configuracin y personalizar el mensaje,

hacen clic en Ayuda.
17 En el panel izquierdo, en Script del requisito personalizado, haga clic en

Aprobado.
18 En el panel derecho, en Arrojar lo siguiente como resultado del requisito,

marque Error y despus haga clic en Aceptar.
762
Configuracin de la integridad del host Acerca de los requisitos de integridad del host
19 En la ventana Integridad del host, haga clic en Aceptar. 20 En la indicacin Asignar poltica, haga clic en S. 21 En el cuadro de dilogo Asignar poltica de integridad del host, seleccione
los grupos a los que desee asignar la poltica. Nota: Una poltica de integridad del host se puede asignar a varios grupos; mientras que un grupo puede solamente tener una nica poltica de integridad del host. Esto significa que si asigna una poltica de integridad del host a un grupo al que ya se le ha asignado otra poltica de integridad del host, la preexistente ser reemplazada por la nueva.
22 Haga clic en Asignar. 23 Haga clic en S.

Para probar una poltica de integridad del host
1 2 3 4 5
En la consola, haga clic en Clientes. En el panel derecho, haga clic en la ficha Clientes. En el panel izquierdo, en Equipos, haga clic y resalte el grupo que contiene los equipos cliente a los cuales usted aplic la poltica de integridad del host. En Tareas, haga clic en Ejecutar comando en el grupo > Actualizar contenido. Inicie sesin en un equipo cliente que ejecute Symantec Network Access Control y observe el cuadro de mensaje que aparece. Si la regla activ un error en la prueba, el cuadro de mensaje aparece. Despus de la prueba, deshabilite o elimine la poltica de prueba.
Ver "Cmo funciona la aplicacin automtica" en la pgina 739.
Acerca de los requisitos de integridad del host

Cuando se planifican los requisitos de integridad del host, es necesario considerar los puntos siguientes:
Qu software (aplicaciones, archivos, parches y as sucesivamente) desea exigir para la seguridad empresarial? Qu ocurre si un requisito no se cumple? Por ejemplo:
El cliente puede conectarse a un servidor y restaurar el software para que se cumpla el requisito.
763
La comprobacin de la integridad del host puede aprobarse aunque no se cumpla el requisito. La comprobacin de la integridad del host puede no aprobarse y el acceso de red puede ser bloqueado. Un mensaje puede notificar al usuario qu hacer despus.
Considere las siguientes reas ms detalladamente:
Qu aplicaciones antivirus, aplicaciones antispyware, aplicaciones de firewall, parches o actualizaciones son obligatorios en el equipo de cada usuario cuando se conecta a la red? Se crea generalmente un requisito separado para cada tipo de software. Los requisitos predefinidos de integridad del host le permiten fcilmente configurar estos requisitos de uso comn. Es posible dar a usuarios el derecho de seleccionar qu aplicaciones de firewall, antispyware o antivirus desean ejecutar en sus equipos. Los requisitos predefinidos le permiten especificar una aplicacin especfica o una lista entera de aplicaciones compatibles aceptables. Es posible crear un requisito personalizado que incluya las aplicaciones que son aceptables en su compaa. Cmo manejar la restauracin del equipo de un usuario para cumplir los requisitos? Normalmente, es necesario configurar un servidor de reparacin con el software obligatorio. Cuando se configura el requisito, es necesario especificar la URL desde la cual el cliente puede descargar e instalar el software obligatorio. Algunos parches necesitan que el usuario reinicie el equipo. Las actualizaciones se terminan en un orden especfico para aplicar todas las actualizaciones antes de que un usuario tenga que reiniciar. Como parte de la poltica de integridad del host, es posible configurar el orden en el cual se seleccionan los requisitos y se intenta la reparacin. Se debe, adems, considerar qu ocurre si un requisito falla y no puede ser restaurado. Para cada requisito, tiene la opcin de permitir que la comprobacin de integridad del host se apruebe aunque ese requisito no lo haga. Como parte de la poltica general de integridad del host, tambin puede configurar mensajes. El cliente muestra estos mensajes al usuario si la comprobacin de integridad del host falla o si se aprueba despus de un fallo anterior. Quiz desee planificar instrucciones adicionales para el usuario en estos mensajes. Adems, es posible configurar una poltica de cuarentena que deba activarse si la integridad del host falla. Es posible simplificar la administracin de aplicaciones obligatorias si incluye aplicaciones similares en un requisito personalizado. Por ejemplo, es posible incluir navegadores de Internet, como Internet Explorer y Firefox, en un requisito.
764
Como parte de un requisito personalizado, puede especificar si desea permitir que la comprobacin de integridad del host se apruebe si el requisito falla. Cuando usted planifique cuntas condiciones se deben comprobar en un script, recuerde que esta configuracin se aplica al script del requisito personalizado en conjunto. Este aspecto de la configuracin puede afectar si desea crear varios requisitos personalizados pequeos o uno ms largo que incluya varios pasos.
Es posible que encuentre til configurar una hoja de clculo que represente los requisitos de cumplimiento de integridad del host de su empresa. La poltica de integridad del host incluye los siguientes tipos de requisito:
Los requisitos predefinidos cubren los tipos ms comunes de comprobaciones de integridad del host y permiten elegir entre los siguientes tipos:

Requisito de antivirus Requisito de proteccin antispyware Requisito de firewall Requisito de parche Requisito de Service Pack
Ver "Adicin de requisitos de integridad del host" en la pgina 765.
Requisitos personalizados, que se definen usando el editor de requisitos personalizados. Ver "Escribir un script de requisito personalizado" en la pgina 789. Plantillas de requisitos de integridad del host, que se actualizan como parte de Symantec Enterprise Protection LiveUpdate. Ver "Adicin de un requisito de integridad del host desde una plantilla" en la pgina 768.
Cuando se agrega un nuevo requisito, es posible seleccionar uno de los tipos de requisitos predefinidos. Se muestra un cuadro de dilogo con el grupo de opciones predefinidas que usted puede configurar. Si la configuracin predefinida no cumple sus necesidades, es posible crear un requisito personalizado. Tambin es posible modificar la posicin de los requisitos. La posicin de un requisito determina el orden en el que se ejecuta. Ver "Modificar la secuencia de requisitos de integridad del host" en la pgina 768.
Configuracin de la integridad del host Adicin de requisitos de integridad del host
765
Adicin de requisitos de integridad del host

Una poltica de integridad del host configura los requisitos para firewalls, antivirus, antispyware, parches, Service Packs u otras aplicaciones obligatorias en los equipos cliente. Cada poltica de integridad del host incluye requisitos y una configuracin general. Los requisitos especifican los puntos siguientes:

Qu condiciones comprobar Qu acciones (como descargas e instalaciones) el cliente admite como respuesta a la condicin.
Cuando se especifican requisitos de integridad del host, es posible elegir entre los siguientes tipos: requisitos predefinidos, personalizados o de la plantilla. Los requisitos de la plantilla estn disponibles mediante el servicio de LiveUpdate de polticas de integridad del host. Es posible copiar y pegar, y exportar e importar requisitos entre polticas. La configuracin general le permite configurar cundo y cuntas veces el cliente ejecuta una comprobacin de integridad del host, opciones de reparacin y notificaciones. Es posible crear una nueva poltica de integridad del host compartido o no compartido. Una vez que cree una nueva poltica, es posible agregar un requisito predefinido, un requisito personalizado o ambos. Ver "Acerca de los requisitos de integridad del host" en la pgina 762. Para agregar un requisito de integridad del host
1 2
En la consola, abra una poltica de integridad del host. En la pgina Poltica de integridad de host, haga clic en Requisitos.
766
Configuracin de la integridad del host Cmo configurar Integridad del host para Mac
En la pgina Requisitos, seleccione cundo las comprobaciones de integridad del host deben ejecutarse en el cliente entre una de las siguientes opciones:
Comprobar siempre la integridad del Esta opcin es la predeterminada. Siempre host se realiza una comprobacin de integridad del host en esta ubicacin en el intervalo de frecuencia que usted especifica. Solo compruebe la integridad del host La comprobacin de integridad del host se por medio de Gateway Enforcer realiza en esta ubicacin solamente cuando el cliente se autentica por medio de Gateway Enforcer. Comprobar la integridad del host solo Se realiza una comprobacin de integridad cuando est conectado al servidor de del host en esta ubicacin solamente cuando administracin el cliente est conectado a un servidor de administracin. No comprobar nunca la integridad del Nunca se realiza una comprobacin de host integridad del host en esta ubicacin.
4 5 6
Haga clic en Agregar. En el cuadro de dilogo Agregar requisito, seleccione uno de los tipos de requisito y despus haga clic en Aceptar. Configure las opciones para el requisito. Ver "Acerca de los requisitos de integridad del host" en la pgina 762.
En la pgina Configuracin avanzada, configure las opciones para la comprobacin, la reparacin y las notificaciones de integridad del host. Para obtener ms informacin, haga clic en Ayuda. Ver "Acerca de la configuracin para las comprobaciones de integridad del host" en la pgina 769.
8 9
Cuando haya terminado la configuracin de la poltica, haga clic en Aceptar. Asigne la poltica a grupos o ubicaciones.
Cmo configurar Integridad del host para Mac

Integridad del host para Mac es similar a la versin que est disponible para Windows. Todas las opciones se describen claramente en la interfaz de usuario.
Configuracin de la integridad del host Cmo habilitar, deshabilitar y eliminar los requisitos de integridad del host
767
Nota: Cuando se migra de las versiones de Enforcer anteriores a la actual, el proceso de actualizacin no transporta las polticas de Integridad del host para Mac. Se deben especificar de nuevo.
Cmo habilitar, deshabilitar y eliminar los requisitos de integridad del host

Cuando se crean requisitos para una poltica de integridad del host, es posible crear requisitos para uso futuro. Se debe desactivarlos para utilizarlos cuando sea necesario. Es posible deshabilitar un requisito temporalmente al probar una poltica de integridad del host. Para activar y desactivar los requisitos de integridad del host
1 2 3
En la consola, abra una poltica de integridad del host. En la pgina Poltica de integridad de host, haga clic en Requisitos. En la pgina Requisitos, seleccione un requisito y, a continuacin, realice una de las siguientes las tareas:
Para activar un requisito, active la casilla de verificacin Activar para el requisito seleccionado. Para desactivar un requisito, desactive la casilla de verificacin Activar para el requisito seleccionado.
Cuando haya terminado la configuracin de la poltica, haga clic en Aceptar.
Para eliminar los requisitos de integridad del host
1 2 3 4 5
En la consola, haga clic en Polticas. En Polticas, haga clic en Integridad del host. Seleccione la poltica de integridad del host que desee eliminar del panel derecho. Cuando se selecciona una poltica, se resalta en amarillo. En Tareas, en el panel izquierdo, haga clic en Eliminar la poltica. En el cuadro de dilogo Eliminar poltica, haga clic en S. Nota: No es posible eliminar una poltica que est en uso. Para eliminar una poltica que est en uso, es necesario retirar la poltica de las ubicaciones asignadas primero.
Ver "Acciones que pueden llevarse a cabo con polticas de integridad del host" en la pgina 758.
768
Configuracin de la integridad del host Modificar la secuencia de requisitos de integridad del host
Modificar la secuencia de requisitos de integridad del host

Es posible modificar la posicin de los requisitos. Cuando modifica la posicin, usted determina en qu orden se ejecutan. La posicin puede ser importante cuando usted descarga software que necesite un reinicio despus de la instalacin. Configure el orden para asegurarse de que los requisitos que necesitan un reinicio para la reparacin se realicen en ltimo lugar. Para modificar la secuencia de requisitos de integridad del host
1 2 3 4
En la consola, abra una poltica de integridad del host. En la pgina de integridad del host, haga clic en Requisitos. En la pgina Requisitos, seleccione el requisito que desee mover y haga clic en Subir o Bajar. Cuando haya terminado la configuracin de la poltica, haga clic en Aceptar.
Adicin de un requisito de integridad del host desde una plantilla

El servicio de suscripcin en lnea proporciona plantillas de integridad del host. Es posible importar las ltimas plantillas y utilizarlas al desarrollar requisitos personalizados para una poltica de integridad del host. Es posible seleccionar la cantidad de requisitos que desee. Puede seleccionar el requisito y usarlo como est o modificarlo segn sea necesario para su entorno. Si su suscripcin ha caducado, los requisitos importados previamente an pueden ser utilizados. Sin embargo, las ltimas actualizaciones ya no estn disponibles para importar. Si importa un requisito por segunda vez y existe un requisito con el mismo nombre, el requisito importado no sobrescribe el requisito existente. En cambio, el requisito importado se muestra con el nmero 2 al lado de su nombre en la tabla Requisitos. Ver "Acerca de los requisitos de integridad del host" en la pgina 762. Para agregar un requisito de integridad del host desde una plantilla
1 2 3
En la consola, abra una poltica de integridad del host. En la pgina Integridad del host, haga clic en Requisitos. En la pgina Requisitos, haga clic en Agregar.
Configuracin de la integridad del host Acerca de la configuracin para las comprobaciones de integridad del host
769
4 5 6 7 8
En el cuadro de dilogo Agregar requisito, seleccione Plataforma de cliente y Usar las plantillas existentes y, a continuacin, haga clic en Aceptar. En el cuadro de dilogo Actualizacin en lnea de la integridad del host, expanda Plantillas y seleccione una categora de plantilla. Al lado de cada plantilla que desee agregar, haga clic en Agregar. Haga clic en Importar. Cuando haya terminado la configuracin de la poltica, haga clic en Aceptar.
Acerca de la configuracin para las comprobaciones de integridad del host

Cuando se configuran polticas de integridad del host, es posible seleccionar entre varias opciones. Estas opciones se relacionan con la forma en que se realiza la comprobacin de integridad del host y cmo se manejan los resultados. Ver "Cmo funciona la aplicacin automtica" en la pgina 739. Si modifica una poltica de integridad del host, esta se descarga al cliente en el siguiente latido. El cliente entonces ejecuta una comprobacin de integridad del host. Si el usuario cambia a una ubicacin con una poltica de integridad del host diferente mientras una comprobacin de integridad del host est en curso, el cliente detiene la comprobacin. Se detienen tambin los intentos de reparacin, si los requiere la poltica. El usuario puede recibir un mensaje de tiempo de espera agotado si no hay una conexin de servidor de reparacin disponible en la nueva ubicacin. Cuando el anlisis se completa, el cliente rechaza los resultados. A continuacin, el cliente ejecuta inmediatamente una nueva comprobacin de integridad del host basada en la nueva poltica para la ubicacin. Si la poltica es igual en la nueva ubicacin, el cliente mantiene cualquier configuracin del temporizador de integridad del host. El cliente ejecuta una nueva comprobacin de integridad del host solamente cuando lo requieren las opciones de la poltica. Tabla 34-1 muestra la configuracin para las comprobaciones de integridad del host. Tabla 34-1 Configuracin Configuracin de las comprobaciones de integridad del host Descripcin
Comprobar la integridad del Especifica la frecuencia de las comprobaciones de integridad host cada: del host.
770
Configuracin de la integridad del host Permitir que se apruebe la comprobacin de integridad del host si un requisito falla
Configuracin
Descripcin
Continuar comprobando los Configura la duracin para conservar los resultados de resultados durante integridad del host. Es posible configurar la cantidad de tiempo que un cliente conserva el resultado de una comprobacin de integridad del host anterior. El cliente guarda el resultado incluso si el usuario toma medidas que normalmente daran lugar a una nueva comprobacin de integridad del host. Por ejemplo, el usuario puede descargar nuevo software o modificar una ubicacin. Continuar la comprobacin de requisitos despus de un error Especifica que el cliente contine comprobando los requisitos incluso si un requisito falla. El cliente detiene la comprobacin de integridad del host hasta que se restaure el requisito fallado. El cliente comprueba los requisitos de integridad del host en el orden que se especifica en la poltica de integridad del host. Si habilita esta opcin, la comprobacin de integridad del host falla, pero es posible intentar otras acciones de reparacin, si es necesario. Es posible permitir que la comprobacin de integridad del host se apruebe incluso si un requisito falla. Esta opcin se encuentra en el cuadro de dilogo Requisitos para cada tipo de requisito. Se aplica la opcin por separado para cada requisito.
Permitir que se apruebe la comprobacin de integridad del host si un requisito falla

Adems de habilitar o deshabilitar un requisito en su poltica de integridad del host para determinar si el cliente ejecuta el script de requisito, es posible hacer que el cliente ejecute el script de requisito y registre los resultados, pero ignore los resultados. Es posible permitir que se apruebe la comprobacin de integridad del host independientemente de si el requisito falla. Un requisito puede aprobarse incluso si no se cumple la condicin del requisito. La opcin Permitir que se apruebe el control de la integridad del host aunque este requisito no se cumpla se habilita en el cuadro de dilogo para un requisito especfico. Si desea aplicar esta opcin a todos los requisitos, debe activar la opcin en cada requisito por separado. Esta opcin est desactivada de forma predeterminada.
Configuracin de la integridad del host Configurar las notificaciones de las comprobaciones de integridad del host
771
Si activa la opcin para permitir que la comprobacin de integridad del host se apruebe incluso si el requisito falla, aparecer el siguiente mensaje en la ventana del cliente cuando ocurra el evento:
Host Integrity failed but reported as pass
Para permitir que se apruebe la comprobacin de integridad del host si un requisito falla
1 2 3 4 5 6
En la consola, abra una poltica de integridad del host. En la pgina Integridad del host, haga clic en Requisitos. En la pgina Requisitos, haga clic en Agregar, agregue un requisito predefinido o un requisito personalizado y haga clic en Aceptar. En el cuadro de dilogo para el requisito, marque Permitir que se apruebe el control de la integridad del host aunque este requisito no se cumpla. Haga clic en Aceptar. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
Configurar las notificaciones de las comprobaciones de integridad del host

Cuando el cliente ejecuta una comprobacin de integridad del host, es posible configurar las notificaciones para que aparezcan cuando ocurren las condiciones siguientes:

Una comprobacin de integridad del host falla. Se aprueba una comprobacin de integridad del host despus de haber fallado.
Los resultados de la comprobacin de integridad del host aparecen en el registro de seguridad del cliente. Se cargan en el registro de Cumplimiento en la pgina Supervisin del servidor de administracin. El registro de seguridad del cliente contiene varios paneles. Si selecciona un tipo de evento de comprobacin de integridad del host, el panel inferior izquierdo muestra si el requisito individual ha aprobado o tiene errores. El panel inferior derecho muestra las condiciones del requisito. Es posible configurar el cliente para suprimir la informacin en el panel inferior derecho. Aunque se pueda necesitar esta informacin al solucionar problemas, es posible que no desee que los usuarios vean la informacin. Por ejemplo, es posible escribir un requisito personalizado que especifique un valor de registro o un nombre de archivo. Los detalles an se registran en el registro de seguridad.
772
Configuracin de la integridad del host Acerca de la reparacin de integridad del host
Es posible tambin activar una notificacin que d al usuario la opcin de descargar el software de forma inmediata o posponer la reparacin. Ver "Permitir que los usuarios pospongan o cancelen la reparacin de Integridad del host" en la pgina 775. Para configurar las notificaciones de las comprobaciones de integridad del host
1 2 3
En la consola, abra una poltica de integridad del host. En la pgina Integridad del host, haga clic en Configuracin avanzada. En la pgina Configuracin avanzada, en Notificaciones, para ver la informacin del requisito detallado, active Mostrar un registro detallado de la integridad del host. El panel inferior derecho del registro de seguridad del cliente muestra la informacin completa sobre un requisito de integridad del host.
Compruebe cualquiera de las siguientes opciones:
Mostrar un mensaje de notificacin cuando se produzca un error en la comprobacin de la integridad del host. Mostrarunmensajedenotificacincuandoseapruebeunacomprobacin de la integridad del host despus de haber presentado un error.
Para agregar un mensaje personalizado, haga clic en Establecer texto adicional y escriba hasta 512 caracteres de texto adicional. A continuacin, haga clic en Aceptar. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
Acerca de la reparacin de integridad del host

Si la comprobacin de integridad del host del cliente muestra que los requisitos de integridad del host no se cumplen, el cliente puede intentar restaurar los archivos necesarios para cumplir los requisitos despus el equipo cliente necesita aprobar la comprobacin de integridad del host. El cliente descarga e instala archivos, o ejecuta las aplicaciones necesarias. Cuando se configuran polticas de integridad del host, es posible especificar qu sucede durante el proceso de reparacin. Es posible especificar no solo desde dnde descargar el cliente los archivos de reparacin, sino tambin cmo se ejecuta el proceso de reparacin. Es posible permitir que el usuario cancele la descarga de software. Es posible tambin configurar el nmero de veces que el usuario puede posponer una descarga y durante cunto tiempo. La configuracin se aplica a todos los tipos de requisitos de la poltica excepto aquellos en los cuales se ha desactivado la cancelacin de la reparacin. Los usuarios solamente pueden cancelar requisitos predefinidos.
Configuracin de la integridad del host Acerca de la reparacin de integridad del host
773
Ver "Acerca de la reparacin de aplicaciones y archivos para la integridad del host" en la pgina 773.
Acerca de la reparacin de aplicaciones y archivos para la integridad del host

Cuando se configura la reparacin para un requisito, se especifica la ubicacin de un paquete de instalacin o de los archivos que se descargarn e instalarn. Ver "Acerca de la reparacin de integridad del host" en la pgina 772. Cuando se especifica la ubicacin del paquete de instalacin o del archivo que se descargar, es posible utilizar cualquiera de los siguientes formatos:
UNC \\nombredeservidor\nombrecompartido\nombredir\nombredearchivo La restauracin de UNC no funciona si la opcin Bsqueda de entorno de red est desactivada en el cliente de destino. Asegrese de que Bsqueda de entorno de red no fue desactivada si usted utiliza rutas UNC para la reparacin. FTP HTTP FTP://ftp.nuestroftp.nuestraempresa.com/carpeta/nombredearchivo HTTP://www.nuestrawww.nuestraempresa.com/carpeta/nombredearchivo
Los paquetes de instalacin o los archivos se descargan siempre al directorio temporal. Cualquier ruta relativa se refiere a este directorio. El directorio temporal se define en la variable de entorno TMP si existe, o en la variable de entorno TEMP, si existe. El directorio predeterminado est en el directorio de Windows. Para la ejecucin del archivo, el directorio de trabajo actual se establece siempre como el directorio temporal de Windows. Las variables de entorno se sustituyen antes de la ejecucin. La ruta de directorio de Windows sustituye el comando %windir%. Es posible utilizar %F% (la opcin predeterminada) para ejecutar el archivo que especific en el campo URL de descarga. La variable %F% representa el ltimo archivo descargado. Despus de la descarga, la instalacin o la ejecucin de un comando para restaurar un requisito, el cliente siempre reexamina el requisito. Adems, el cliente registra los resultados como aprobado o error.
Reparacin de integridad del host y configuracin de Enforcer

Cuando se configuran los requisitos de integridad del host, es posible especificar que, si no se cumplen los requisitos, el cliente debe actualizar el sistema del cliente
774
Configuracin de la integridad del host Especificar la cantidad de tiempo que el cliente espera para la reparacin
con los elementos necesarios conectndose a un servidor de reparacin. Si aplica tales requisitos a los clientes que se conectan a la red mediante Enforcer, usted debe asegurarse de que el cliente, mientras est bloqueado su acceso de red regular, pueda acceder al servidor de reparacin. Si no, el cliente no podr restaurar la integridad del host y continuar sin aprobar el requisito de integridad del host. La forma en que se realiza esta tarea depende del tipo de Enforcer. La siguiente lista ofrece algunos ejemplos:
Para Gateway Enforcer, es posible configurar el mdulo de Gateway Enforcer para que reconozca el servidor de reparacin como una direccin IP interna de confianza. Para LAN Enforcer, si se usa un conmutador con funcionalidad de VLAN dinmica, es posible configurar una VLAN con acceso al servidor de reparacin.
Ver "Acerca de la reparacin de integridad del host" en la pgina 772.
Especificar la cantidad de tiempo que el cliente espera para la reparacin

Es posible especificar la cantidad de tiempo que el cliente debe esperar antes de intentar instalar e iniciar la descarga de la reparacin de nuevo. Independientemente del tiempo que se especifica, siempre que se inicia una nueva comprobacin de integridad del host, el cliente intenta reparar el equipo cliente de nuevo. Para especificar la cantidad de tiempo que el cliente espera para la reparacin
1 2 3 4 5
En la consola, abra una poltica de integridad del host. En la pgina Poltica de integridad del host, haga clic en Requisitos. En la pgina Requisitos, haga clic en Agregar, agregue un requisito predefinido y despus haga clic en Aceptar. En el cuadro de dilogo de cada requisito predefinido, marque Instalar nombre del requisitosi no se instal en el cliente. Marque Descargar paquete de instalacin. Para el requisito Antivirus, marque Descargar el paquete de instalacin.
6 7 8
Marque Especificar el tiempo de espera para volver a intentar la descarga si hay errores. Especifique el tiempo de espera en minutos, horas o das. Cuando haya terminado la configuracin de la poltica, haga clic en Aceptar.
Configuracin de la integridad del host Permitir que los usuarios pospongan o cancelen la reparacin de Integridad del host
775
Permitir que los usuarios pospongan o cancelen la reparacin de Integridad del host
Si un requisito especifica una accin de reparacin, es posible permitir que el usuario cancele la reparacin. Tambin es posible permitir que el usuario posponga la reparacin hasta un momento ms conveniente. Entre los ejemplos de acciones de reparacin se incluyen la instalacin de una aplicacin o una actualizacin de un archivo de firmas. Es posible establecer un lmite de cuntas veces puede cancelarse una reparacin y durante cunto tiempo el usuario puede posponerla. Los lmites establecidos determinan las selecciones disponibles para el usuario en la ventana de mensaje que el cliente ve cuando es necesaria una reparacin. Tambin es posible agregar texto a la ventana de mensaje. Las opciones de tiempo mnimo y mximo determinan el intervalo de opciones disponibles en la ventana de mensaje. El usuario ve la ventana de mensaje cuando un requisito falla. El intervalo aparece como una lista al lado del icono Recordrmelo ms tarde en la ventana de mensaje . Si el usuario selecciona un perodo para posponer ms breve que la frecuencia de comprobacin de integridad del host, se anula la seleccin del usuario. La ventana de mensaje no aparece de nuevo hasta que el cliente ejecute otra comprobacin de integridad del host. Si el usuario ha optado por recibir un recordatorio en 5 minutos, pero la comprobacin de integridad del host se ejecuta cada 30 minutos, la ventana de mensaje de la reparacin no aparece hasta que hayan pasado 30 minutos. Para que sea menos confuso para el usuario, es posible sincronizar la opcin de tiempo mnima con la opcin de la frecuencia de comprobacin de integridad del host. Si el usuario pospone la reparacin, el cliente registra el suceso. El requisito no se cumple, y la integridad del host se mostrar como no aprobada. El usuario puede ejecutar manualmente una nueva comprobacin de integridad del host en cualquier momento desde la interfaz de usuario del cliente. Si el usuario ha pospuesto una accin de reparacin y, en el intervalo, el cliente recibe una poltica actualizada, la cantidad de tiempo disponible para la reparacin se reajusta al mximo especificado. Para permitir que los usuarios pospongan una reparacin de integridad del host
1 2 3
En la consola, abra una poltica de integridad del host. En la pgina Poltica de integridad del host, haga clic en Configuracin avanzada. En la pgina Configuracin avanzada, en Opciones del cuadro de dilogo de correccin, establezca un lmite de tiempo mnimo y el lmite de tiempo mximo por el cual un usuario puede posponer la reparacin.
776
Configuracin de la integridad del host Permitir que los usuarios pospongan o cancelen la reparacin de Integridad del host
4 5
Escriba el nmero mximo de veces que el usuario puede cancelar la reparacin. Para agregar un mensaje personalizado en el equipo cliente, haga clic en Establecer texto adicional. El mensaje que usted escribe se muestra en la ventana de reparacin del cliente si el usuario hace clic en la opcin Detalles. Si no especifica ningn texto adicional, el texto predeterminado de la ventana se repite en el rea Detalles si el usuario hace clic en Detalles.
6 7
En el cuadro de dilogo Introducir texto adicional, escriba un mensaje personalizado de 512 caracteres cmo mximo y haga clic en Aceptar. Cuando haya terminado la configuracin de la poltica, haga clic en Aceptar.
Para permitir que los usuarios cancelen una reparacin de integridad del host
1 2 3 4 5
En la consola, abra una poltica de integridad del host. En la pgina Poltica de integridad del host, haga clic en Requisitos. En la pgina Requisitos, haga clic en Agregar, agregue un requisito predefinido y despus haga clic en Aceptar. En el cuadro de dilogo de cada requisito predefinido, marque Instalar nombre del requisito si no se instal en el cliente. Marque Descargar paquete de instalacin. Para el requisito Antivirus, marque Descargar el paquete de instalacin.
6 7
Marque Permitir al usuario cancelar la descarga para la reparacin de la integridad del host. Cuando haya terminado la configuracin de la poltica, haga clic en Aceptar.
Captulo
35
Adicin de requisitos personalizados


Acerca de los requisitos personalizados Acerca de las condiciones Acerca de las funciones Acerca de la lgica de los requisitos personalizados Escribir un script de requisito personalizado Mostrar un cuadro de dilogo de mensaje Descargar un archivo Cmo configurar un valor del registro Incremento de un valor DWORD del registro Ejecutar un programa Ejecutar un script Configurar la marca de hora de un archivo Cmo especificar un tiempo de espera para el script de requisito personalizado
Acerca de los requisitos personalizados

Los requisitos personalizados buscan en un equipo cliente cualquier nmero de criterios definidos o seleccionados por el administrador. Es posible escribir
778
Adicin de requisitos personalizados Acerca de las condiciones
requisitos personalizados para reparar cualquier problema de conformidad identificado. Es posible crear un script de requisito complejo o simple usando selecciones y campos predefinidos. Los campos y las listas disponibles en los cuadros de dilogo predefinidos del requisito estn disponibles cuando se crean requisitos personalizados. Sin embargo, los requisitos personalizados ofrecen ms flexibilidad. En requisitos personalizados, es posible agregar aplicaciones que no se incluyen en las listas predefinidas de aplicaciones. Es posible crear subconjuntos de las listas predefinidas agregando cada aplicacin individualmente. Ver "Acerca de las condiciones" en la pgina 778. Ver "Acerca de las funciones" en la pgina 785. Ver "Acerca de la lgica de los requisitos personalizados" en la pgina 786.
Acerca de las condiciones

Las condiciones son las comprobaciones que se pueden realizar dentro de un script de requisito personalizado para detectar problemas de cumplimiento. Es posible elegir una de las siguientes categoras de condiciones:
Comprobaciones de proteccin contra virus Ver "Acerca de las condiciones del antivirus" en la pgina 779. Comprobaciones de la Proteccin antispyware Ver "Acerca de las condiciones antispyware" en la pgina 779. Comprobaciones de firewall Ver "Acerca de condiciones del firewall" en la pgina 780. Comprobaciones y operacin de archivos Ver "Acerca de las condiciones de archivo" en la pgina 781. Comprobaciones y operaciones del registro Ver "Acerca de condiciones del Registro" en la pgina 783. Utilidades
Es posible especificar que las condiciones estn presentes o ausentes (NOT). Es posible incluir varias instrucciones de condicin usando AND u OR.
779
Acerca de las condiciones del antivirus

Para un requisito personalizado, es posible especificar aplicaciones de proteccin contra virus e informacin del archivo de firmas que se comprobar como parte de su instruccin condicional IF-THEN. Es posible comprobar las siguientes condiciones:

La proteccin contra virus est instalada La proteccin contra virus est en ejecucin El archivo de firmas de la proteccin contra virus est actualizado
Al comprobar aplicaciones y archivos de firmas como parte de un requisito personalizado, usted especifica la misma informacin que cuando crea un requisito predefinido. Los nombres de las opciones pueden ser levemente distintos. Si selecciona la opcin de cualquier producto antivirus, cualquiera de las aplicaciones de la lista desplegable cumple con el requisito. Es posible incluir un subconjunto de aplicaciones seleccionando cada una y usando la palabra clave O. Cuando se especifica informacin del archivo de firmas, es posible elegir una o ambas opciones para comprobar que el archivo de firmas est actualizado. Si selecciona ambas, las siguientes condiciones se deben satisfacer para cumplir el requisito:
Seleccione Comprobar si el archivo de firmas es menor que y escriba un nmero de das. Un archivo con fecha anterior al nmero de das especificado est desactualizado. Seleccione Comprobar si la fecha del archivo de firmas es y seleccione antes de, Despus de, Igual a o No es igual a y especifique una fecha con el formato mm/dd/aaaa. Opcionalmente, especifique una hora y minutos; la configuracin predeterminada es 00:00. La fecha de la ltima modificacin del archivo determina la antigedad del archivo de firmas.
Acerca de las condiciones antispyware

Para un requisito personalizado de integridad del host, es posible especificar aplicaciones antispyware e informacin del archivo de firmas que se comprobar como parte de su instruccin condicional IF-THEN. Es posible comprobar las siguientes condiciones:

Hay una aplicacin antispyware instalada Software antispyware en ejecucin
780
El archivo de firmas de antispyware est actualizado
Al comprobar aplicaciones y archivos de firmas como parte de un requisito personalizado, usted puede especificar la misma informacin que cuando crea un requisito predefinido. Los nombres de las opciones pueden ser levemente distintos. Si selecciona Cualquier producto de proteccin contra software espa, cualquiera de las aplicaciones de la lista desplegable cumple con el requisito. Cuando se especifica informacin del archivo de firmas, es posible elegir una o ambas opciones para comprobar que el archivo de firmas est actualizado. Si selecciona ambas opciones, deben darse las condiciones siguientes para cumplir el requisito:
Seleccione Comprobar archivo de firmas para especificar la antigedad del archivo. Especifique una cantidad de das como la antigedad mxima del archivo. Un archivo con fecha anterior al nmero de das especificado est desactualizado. Seleccione Comprobar si la fecha del archivo de firmas es anterior a y seleccione antes de, Despus de, Igual a o No es igual a y especifique una fecha con el formato mm/dd/aaaa. Opcionalmente, especifique una hora y minutos; la configuracin predeterminada es 00:00. La fecha de la ltima modificacin del archivo determina la antigedad del archivo de firmas.
Acerca de condiciones del firewall

Para un requisito personalizado de integridad del host, es posible especificar aplicaciones de firewall que se comprobarn como parte de su instruccin condicional IF-THEN. Es posible comprobar las siguientes condiciones:

Firewall instalado Firewall en funcionamiento
Si desea seleccionar aplicaciones de la lista desplegable, es posible seleccionar la opcin cualquier producto de firewall. Es posible incluir un subconjunto de aplicaciones seleccionando cada una y usando la palabra clave O. Ver "Adicin de requisitos de integridad del host" en la pgina 765.
781
Acerca de las condiciones de archivo

Para un requisito personalizado de integridad del host, es posible comprobar una aplicacin o un archivo como parte de su instruccin condicional IF-THEN. Es posible especificar las siguientes opciones para comprobar la informacin de archivo en un requisito personalizado de integridad del host:
Archivo: Comparar la antigedad del archivo con Archivo: Comparar la fecha del archivo con Especifique un nmero de das o semanas y seleccione: mayor que o menor que. Especifique una fecha en el formato mm/dd/aaaa. Opcionalmente, especifique una hora y minutos. La hora predeterminada es 00:00. Es posible seleccionar: igual a, no es igual a, antes o despus.
Archivo: Comparar el tamao Especifique el nmero de bytes. Es posible seleccionar: igual del archivo con a, no es igual, menor que o mayor que. Archivo: Comparar la versin Especifique una versin del archivo en el formato x.x.x.x del archivo con donde x representa un nmero decimal a partir de 0 a 65535. Es posible seleccionar: igual a, no es igual, menor que o mayor que. Archivo: El archivo existe Especifique el nombre del archivo que se comprobar.
Archivo: La huella digital de Normalmente, esta informacin se obtiene seleccionando archivos es igual a una aplicacin mediante Buscar aplicaciones. Es necesario especificar la huella digital de archivos.
Nota: Es posible buscar la huella digital de archivos en una

lista de equipos cliente. Especificar un nmero hexadecimal (hasta 32 dgitos) Cuando se selecciona una opcin, los campos adicionales aparecen en el cuadro de dilogo. Para cada opcin, usted especifica el nombre de archivo y la ruta, y escribe la informacin adicional necesaria.
Archivo: Finaliz la descarga Es posible descargar un archivo de una ubicacin que se del archivo especifique a un directorio que se especifique y descargarlo por FTP, UNC o HTTP. Si se requiere autenticacin para acceder a una ubicacin de archivo, es posible especificar el nombre de usuario y la contrasea.
Nota: Si desea que los usuarios descarguen el archivo de

un recurso compartido FTP o UNC, es necesario configurar la carpeta compartida o el servidor FTP para permitir el acceso annimo.
782
Es posible utilizar variables de sistema, valores del registro o una combinacin de ambos para especificar el nombre del archivo y la ruta. Cuando se selecciona una de las opciones de archivo, el cuadro de dilogo muestra ejemplos de maneras de escribir el nombre de archivo y la ruta. Es posible ubicar las aplicaciones que han sido registradas usando la funcin Buscar aplicaciones. Cuando se especifican opciones de archivo en el script de requisitos personalizados, la opcin Buscar aplicaciones proporciona acceso a la misma herramienta de bsqueda que la herramienta Buscar aplicaciones. Es posible buscar los grupos definidos en el servidor de administracin para filtrar las aplicaciones, escribir una consulta de bsqueda y exportar los resultados a un archivo. Para buscar usando variables de entorno del sistema o valores de registro:
Para utilizar la variable de Para especificar el archivo denominado cmd.exe situado bajo entorno del sistema el directorio que se especifica en la variable de entorno WINDIR, escriba el siguiente comando: %WINDIR%\cmd.exe Para utilizar el valor del registro Para leer el valor HKEY_LOCAL_MACHINE\Software\ Symantec\\AppPath como la ruta del archivo sem.exe, escriba el siguiente comando: #HKEY_LOCAL_MACHINE\Software\Symantec\AppPath#\sem.exe Para utilizar la variable combinada del registro y el entorno del sistema Utilice el siguiente ejemplo para utilizar la variable combinada del valor del registro y el entorno del sistema: %SYSTEMDIR%\#HKEY_LOCAL_MACHINE\Software\Symantec\\AppPath#.
Acerca de las condiciones del sistema operativo

Para un requisito personalizado de integridad del host, es posible especificar informacin del sistema operativo que se comprobar como parte de su instruccin condicional IF-THEN. Cuando se selecciona una opcin, los campos adicionales aparecen en el cuadro de dilogo.
Utilidad: El sistema operativo es Especifique un sistema operativo. Cuando desee actualizar un parche, deber seleccionar las versiones exactas que necesitan ese parche. Es posible utilizar la palabra clave O para especificar ms de un sistema operativo.
783
Utilidad: El idioma del sistema operativo es
La funcin detecta la versin de idioma del sistema operativo del cliente. Si la versin de idioma no est incluida en el cuadro de dilogo Requisito personalizado, es posible agregar idiomas escribiendo sus identificadores en el campo Identificadores de idioma. Para agregar varios identificadores, utilice una coma para separar cada ID, tal como 0405,0813. Consulte la tabla Identificadores de idioma en la ayuda contextual para conocer la lista de identificadores.
Parche: Comparar Service Pack actual Escriba el nmero del Service Pack que desee con la versin especificada comprobar si existe, por ejemplo, 2. El nmero se limita a dos caracteres. Es posible comprobar las siguientes condiciones: igual a, no igual a, menor que o mayor que. Un nmero seguido por una letra se considera mayor que el nmero solo; por ejemplo, el Service Pack 6a se considera mayor que 6. Asegrese de aplicar los parches uno a la vez. Parche: Parche instalado Escriba el nombre del parche que desea comprobar. Por ejemplo: KB12345. Es posible escribir solamente nmeros y letras en este campo.
Asegrese de que el nmero de parche o Service Pack coincida con la versin correcta del sistema operativo. Si especifica un sistema operativo que no coincide con el parche o el Service Pack, el requisito falla. Ver "Adicin de requisitos de integridad del host" en la pgina 765.
Acerca de condiciones del Registro

Para un requisito personalizado de integridad del host, es posible especificar opciones de registro de Windows que se comprobarn como parte de su instruccin condicional IF-THEN. Es posible adems especificar maneras de modificar valores del registro. Solamente HKEY_CLASSES_ROOT, HKEY_CURRENT_USER, HKEY_LOCAL_MACHINE, HKEY_USERS y HKEY_CURRENT_CONFIG son configuraciones de registro admitidas. Las siguientes selecciones estn disponibles para comprobar la configuracin del registro.
Registro: La clave de registro existe Especifique un nombre de clave de registro para comprobar si existe.
784
Registro: El valor del Registro es igual Especifique un nombre de clave de registro y un a nombre de valor, y especifique con qu datos se comparar el valor. Registro: El valor del registro existe Especifique un nombre de clave de registro para comprobar si tiene el nombre de valor especificado. Especifique un valor para asignarlo a la clave especificada; si la clave no existe, se crear. Esta seleccin reemplaza un valor existente, independientemente de si es del mismo tipo. Si el valor existente es un valor DWORD, pero se especifica un valor de cadena, reemplaza DWORD por el valor de cadena.
Registro: Se estableci correctamente el valor del Registro
Registro: Se increment correctamente Especifique un valor DWORD. Esta seleccin le el valor DWORD del Registro permite realizar conteos, tales como permitir que un equipo sin parche cumpla el requisito no ms que n veces.
Cuando se especifican las claves del registro, recuerde las consideraciones siguientes:

El nombre de la clave se limita a 255 caracteres. Si la clave de registro tiene una barra invertida (\) en el final, se interpreta como una clave de registro. Por ejemplo: HKEY_LOCAL_MACHINE\SOFTWARE\ Si la clave de registro no tiene ninguna barra invertida en el final, se interpreta como un nombre de registro. Por ejemplo:
HKEY_LOCAL_MACHINE\SOFTWARE\ActiveTouch
Cuando se especifican los valores del registro, recuerde las consideraciones siguientes:

El nombre del valor se limita a 255 caracteres. Es posible comprobar si hay valores como DWORD (decimal), Binario (hexadecimal) o Cadena. Para los valores DWORD, es posible comprobar si el valor es menor, igual, diferente o mayor que el valor especificado. Para los valores Cadena, es posible comprobar si los datos del valor son iguales a una cadena determinada o la contienen. Si desea que la comparacin de cadenas incluya la diferenciacin entre maysculas y minsculas, seleccione la casilla de Coincidir maysculas y minsculas.
Adicin de requisitos personalizados Acerca de las funciones
785
Para los valores Binario, es posible comprobar si los datos del valor son iguales a un fragmento determinado de datos binarios o lo contienen. Los bytes hexadecimales representan los datos. Si especifica el valor "contiene", es posible adems especificar el desplazamiento para estos datos. Si el desplazamiento se deja en blanco, se busca el valor de los datos binarios especificados. Los valores permitidos para el cuadro de edicin hexadecimal son nmeros del 0 al 9 y letras de la "a" a la "f".
Los siguientes son ejemplos de valores del registro:

DWORD Binario Cadena 12345 (en decimal) 31 AF BF 69 74 A3 69 (en hexadecimal) ef4adf4a9d933b747361157b8ce7a22f
Acerca de las funciones

Las funciones se utilizan para definir las acciones que se realizan cuando una expresin condicional se evala como verdadera o falsa. Una condicin de requisito personalizado puede comprobar la instalacin de un producto antivirus determinado, pero no es posible configurarla para que instale el producto como accin de reparacin. Cuando se escriben requisitos personalizados, es necesario definir explcitamente las acciones de reparacin que deben realizarse mediante instrucciones de funcin. Las funciones aparecen en las instrucciones THEN y ELSE, o pueden aparecer en la parte superior o al final de un script de requisito personalizado. Para obtener un resultado de reparacin deseado, puede ser necesario especificar varias funciones. Cada funcin realiza una tarea muy especfica, por ejemplo, descargar un archivo o ejecutar un archivo. No se definen funciones individuales para proporcionar acciones de reparacin especficas, por ejemplo, para instalar un producto antivirus especfico. Para descargar un producto antivirus especfico, es necesario utilizar la funcin general de descarga. La Tabla 35-1 muestra las siguientes funciones en un script de requisito personalizado:
786
Adicin de requisitos personalizados Acerca de la lgica de los requisitos personalizados
Tabla 35-1 Funcin
Funciones de requisito personalizado Descripcin

Descarga un archivo al que se hace referencia mediante una URL o UNC al equipo cliente. Si se usa una URL, se admiten HTTP y FTP. Crea y, a continuacin, configura o incrementa un valor de registro de Windows dentro de una clave de registro especificada.
descargar un archivo
Establecer el valor del Registro Incrementar el valor DWORD del Registro mensaje de registro
Especifica un mensaje personalizado que se agregar al registro de seguridad del cliente y al registro. Ejecuta un programa que ya existe en el equipo cliente. Es posible especificar que el programa se ejecute independientemente de si el usuario ha iniciado sesin. Ejecuta un script personalizado en el equipo cliente. Es posible usar el programa de edicin de texto integrado para crear contenido de script. El script puede ser un archivo por lotes, un archivo INI o cualquier formato ejecutable Windows reconoce. Adems, el script puede contener solamente parmetros que se proporcionarn a otro programa. Marca un archivo especificado en el equipo cliente con la hora y la fecha actuales. Muestra una ventana de cuadro de dilogo de mensaje en el equipo cliente con una opcin Aceptar. Se puede especificar un tiempo de espera predeterminado. Interrumpe momentneamente la ejecucin del script de requisito personalizado por un perodo especificado.
ejecutar un programa
ejecutar un script
establecer marca de hora
mostrar cuadro de dilogo del mensaje
esperar
Acerca de la lgica de los requisitos personalizados

Para escribir los requisitos personalizados, se usa una lgica similar a la de script. Las normas utilizan la lgica IF..THEN..ELSE a partir de una lista de condiciones y acciones predefinidas. Ver "Acerca de la instruccin RETURN" en la pgina 787. Ver "Acerca de la instruccin IF, THEN y ENDIF" en la pgina 787.
787
Ver "Acerca de la instruccin ELSE" en la pgina 787. Ver "Acerca de la palabra clave NOT" en la pgina 788. Ver "Acerca de las palabras clave AND y OR" en la pgina 788.
Acerca de la instruccin RETURN

Es posible agregar una instruccin RETURN para especificar el resultado general de Integridad del host del requisito. La instruccin RETURN incluye la palabra clave PASS y la palabra clave FAIL. Todos los requisitos personalizados deben incluir una instruccin RETURN al final. A diferencia de un requisito predefinido, un requisito personalizado debe especificar explcitamente el resultado de la comprobacin de integridad del host. En algunos casos, la evaluacin de un conjunto de condiciones como verdaderas se debe interpretar como la aprobacin de la evaluacin de integridad del host del requisito personalizado. En otros casos, es posible interpretar la misma evaluacin como una falla en la evaluacin de integridad del host. Ver "Adicin de requisitos de integridad del host" en la pgina 765.
Acerca de la instruccin IF, THEN y ENDIF

Es posible definir la estructura lgica principal de un requisito personalizado mediante una o ms declaraciones IF, THEN y ENDIF. Una declaracin IF, THEN y ENDIF:
Define una estructura en la cual se comprueban las condiciones especficas (IF). Medidas que se toman cuando esas condiciones se evalan como verdaderas (THEN).
Es posible jerarquizar las instrucciones IF, THEN y ENDIF para formar requisitos personalizados ms complejos. Es necesario jerarquizar las instrucciones IF, THEN y ENDIF siempre que una condicin deba ser verdadera antes de que otra condicin pueda ser evaluada. Ver "Agregar una instruccin IF THEN" en la pgina 790.
Acerca de la instruccin ELSE

Una declaracin IF, THEN y ENDIF es un conjunto de condiciones y de acciones que se ejecuten cuando las condiciones se evalan como verdaderas. En muchos casos, puede ser necesario especificar una o ms acciones que se tomarn para realizar una accin de reparacin deseada. Es posible agregar una instruccin
788
ELSE para identificar las acciones que se tomarn siempre que las condiciones especificadas se consideren falsas. Ver "Adicin de una instruccin ELSE" en la pgina 791.
Acerca de la palabra clave NOT

Es posible utilizar la palabra clave NOT para invertir la evaluacin lgica de una condicin determinada. Despus de agregar una condicin al script de requisitos personalizados, es posible hacer clic con el botn secundario en la condicin y seleccionar Alternar NOT para invertir la lgica de la condicin. Utilizar la palabra clave NOT no modifica la evaluacin general como verdadera o falsa de la instruccin IF. Invierte solamente el estado verdadero y falso de una condicin determinada. Ver "Adicin de requisitos de integridad del host" en la pgina 765.
Acerca de las palabras clave AND y OR

Es posible especificar varias condiciones dentro de una instruccin IF, THEN o ENDIF; sin embargo, se deben agregar palabras clave adicionales para hacerlo. Dentro de cualquier instruccin IF, es posible agregar las palabras clave AND y OR para asociar lgicamente varias condiciones. La asociacin lgica de las condiciones afecta directamente la evaluacin verdadera o falsa total de la instruccin IF. Si utiliza la palabra clave AND en una instruccin IF, todas las condiciones de la instruccin IF se deben evaluar como verdaderas para que la instruccin IF sea verdadera. Si utiliza la palabra clave OR, slo una de las condiciones de la instruccin IF se debe evaluar para que la instruccin IF sea verdadera. Cuando se especifican varias condiciones, es necesario interpretar la asociacin lgica de las condiciones para anticipar cual debe ser la evaluacin verdadera o falsa correcta. El script del requisito personalizado no muestra la expresin con un formato de parntesis, sino con palabras clave y nodos jerarquizados. La primera expresin comienza siempre con la primera condicin especificada y contina mientras se utilice la misma palabra clave de operador lgico. Por ejemplo, es posible utilizar la palabra clave OR para asociar tres condiciones diferentes. Mientras se utilice la palabra clave OR, todas las condiciones se incluyen dentro de la misma expresin lgica. Ver "Adicin de requisitos de integridad del host" en la pgina 765.
Adicin de requisitos personalizados Escribir un script de requisito personalizado
789
Escribir un script de requisito personalizado

Para crear un requisito personalizado, agregue una o ms instrucciones IF...THEN... al script. Cuando se ejecuta el script, la comprobacin de integridad del host busca la condicin que se muestra bajo el nodo IF. Dependiendo de la condicin, se ejecuta la accin mencionada bajo el nodo THEN. Se devuelve el resultado (aprobado o error). El script visualiza una estructura de rbol en el panel izquierdo y una lista desplegable de condiciones o funciones en el panel derecho. Como parte de un requisito personalizado, puede especificar si desea permitir que la comprobacin de integridad del host se apruebe si el requisito falla. Cuando se planean cuntas condiciones diferentes comprobar en un script, recuerde que esta configuracin se aplique al script entero del requisito personalizado. Esta opcin puede afectar si desea crear varios requisitos personalizados pequeos o uno ms amplio que incluya pasos varios. Para escribir un script de requisito personalizado
Agregar un requisito personalizado. Ver "Adicin de requisitos de integridad del host" en la pgina 765.
En el cuadro de dilogo Requisito personalizado, escriba un nombre para el requisito. El nombre del requisito puede aparecer en el equipo cliente. El nombre notifica al usuario si el requisito est aprobado o si el requisito ha fallado, o incita al usuario descargar el software.
3 4
Para agregar una condicin, en Script del requisito personalizado, haga clic en Agregar y, a continuacin, en IF..THEN... Con el punto culminante en la condicin vaca bajo el nodo IF, en el panel derecho, seleccione una condicin. La comprobacin de integridad del host busca la condicin en el equipo cliente.
5 6
En la lista desplegable Seleccione una condicin, especifique la informacin adicional obligatoria. En Script del requisito personalizado, haga clic en THEN y, luego, en Agregar. La instruccin THEN proporciona las medidas que deben ser tomadas si la condicin es verdadera.
Haga clic en cualquiera de las siguientes opciones:
IF.. THEN Use la instruccin anidada IF.. THEN.. para proporcionar condiciones y acciones adicionales.
790
Ver "Agregar una instruccin IF THEN" en la pgina 790.
Funcin Utilice una funcin para definir una accin de reparacin. Ver "Acerca de las funciones" en la pgina 785. Return Utilice una instruccin return para especificar si los resultados de la evaluacin de la condicin pasan o fallan. Cada requisito personalizado debe finalizar con una instruccin que pasa o falla. Comentario Utilice un comentario para explicar la funcionalidad de las condiciones, las funciones o las instrucciones que va a agregar. Ver "Agregar un comentario" en la pgina 791.
En el panel derecho, defina los criterios que agreg. Para obtener ms informacin sobre estas opciones, haga clic en Ayuda.
Para agregar ms condiciones, funciones o instrucciones anidadas, en Script del requisito personalizado, haga clic con el botn secundario en el nodo y, despus, haga clic en Agregar.
10 Repita los pasos 7 a 9 segn sea necesario. 11 Para permitir que la comprobacin de integridad del host pase
independientemente del resultado, marque Permitir que se apruebe el control de la integridad del host aunque este requisito no se cumpla.
12 Cuando haya terminado la configuracin del requisito, haga clic en Aceptar.
Agregar una instruccin IF THEN

Agregue una instruccin IF..THEN a un script personalizado para definir condiciones para comprobar y acciones para realizar si la condicin se evala como verdadera. Para agregar una instruccin IF THEN
Escriba un script del requisito personalizado. Ver "Escribir un script de requisito personalizado" en la pgina 789.
En Script del requisito personalizado, seleccione una de las siguientes opciones:

Para agregar la primera instruccin IF THEN, seleccione el nodo principal. Para agregar una instruccin IF THEN en el mismo nivel que una existente, active END IF.
791
Para agregar una instruccin IF THEN anidada, seleccione la lnea bajo la cual desea agregarla.
3 4
Haga clic en Agregar. Haga clic en IF..THEN.
Alternar entre la instruccin IF e IF NOT

Es posible que sea necesario alternar entre comprobar la presencia o la ausencia de una condicin. Para alternar entre la instruccin IF e IF NOT
Haga clic con el botn secundario en la condicin y haga clic en Alternar NOT.
Adicin de una instruccin ELSE

Es posible agregar una instruccin ELSE para identificar las acciones que se tomarn siempre que las condiciones especificadas se consideren falsas. Para agregar una instruccin ELSE
2 3
En Script del requisito personalizado, haga clic en THEN. Haga clic en Agregar y haga clic en ELSE.
Agregar un comentario
Con fines informativos, se puede elegir agregar un comentario a una declaracin. Para agregar un comentario
2 3 4
En Script del requisito personalizado, seleccione cualquier instruccin que haya agregado y, despus, haga clic en Agregar. Haga clic en Comentario. Haga clic en //Insertar instrucciones aqu y, en el panel derecho, en el campo de texto Comentario, escriba sus comentarios.
792
Adicin de requisitos personalizados Mostrar un cuadro de dilogo de mensaje
Copiar y pegar instrucciones IF, condiciones, funciones y comentarios

Es posible copiar y pegar instrucciones o nodos IF THEN enteros dentro de requisitos personalizados o entre ellos. Es conveniente copiar y pegar estos elementos si desea moverlos a otra parte del script o repetir las funciones. Para copiar y pegar una instruccin IF
2 3
En Script del requisito personalizado, haga clic con el botn secundario en el elemento del script y, despus, haga clic en Copiar. Haga clic con el botn secundario en una lnea de instruccin vaca y, despus, clic en Pegar
Eliminar una instruccin, una condicin o una funcin

Es posible eliminar instrucciones, condiciones o funciones en cualquier momento. Si hay solamente una declaracin de condicin bajo un nodo IF, al eliminarla, se elimina la instruccin IF THEN completa. Para eliminar una instruccin, una condicin o una funcin
2 3 4
En Script del requisito personalizado, seleccione el elemento del requisito que desee eliminar. Haga clic en Eliminar. Si se le solicita que confirme la eliminacin, haga clic en S.
Mostrar un cuadro de dilogo de mensaje

Es posible especificar una funcin o una condicin en el requisito personalizado de la integridad del host que crea un mensaje que el cliente muestra al usuario. La funcin o condicin devuelve el valor verdadero si el usuario hace clic en Aceptar o S. Si no, devuelve un valor falso. Para visualizar un cuadro de dilogo de mensaje
En el cuadro de dilogo Requisito personalizado, en Script del requisito personalizado, seleccione el nodo donde desea agregar la funcin.
Adicin de requisitos personalizados Descargar un archivo
793
3 4
Haga clic en Agregar y haga clic en Funcin. Haga clic en Utilidad: Mostrar cuadro de dilogo del mensaje. Para insertar una condicin, active IFTHEN y seleccione la rama apropiada. A continuacin, seleccione Utilidad: El valor devuelto en el cuadro de dilogo del mensaje es igual a.
5 6 7
Escriba un ttulo para el cuadro de mensaje de hasta 64 caracteres. Escriba el texto para el cuadro de mensaje de hasta 480 caracteres. Seleccione uno de los siguientes iconos para visualizar: Informacin, Pregunta, Advertencia o Error. Aparecen el icono y el texto.
Seleccione al conjunto de opciones que aparecen en el cuadro de dilogo:

Aceptar Aceptar y Cancelar S y No
Seleccione la opcin predeterminada para cada conjunto de opciones. de que pase un tiempo sin interaccin de usuario, active Accin que se efectuar para cerrar el cuadro de mensaje tras el tiempo mximo de espera y especifique el tiempo de espera. El valor de tiempo debe ser mayor que 0.
10 Para cerrar el cuadro de mensaje y restaurar un valor predeterminado despus
Descargar un archivo
Para un requisito personalizado, es posible especificar que un archivo se descargue en el equipo cliente. Para descargar un archivo
2 3 4
En el cuadro de dilogo Requisito personalizado, en Script del requisito personalizado, seleccione el nodo donde desea agregar la funcin. Haga clic en Agregar y haga clic en Funcin. Haga clic en Archivo: Descargar un archivo.
794
Adicin de requisitos personalizados Cmo configurar un valor del registro
Escriba la direccin URL desde la que el archivo se descarga y la carpeta del equipo cliente en la que desea que el archivo se descargue. Es posible especificar la ubicacin mediante una URL o UNC. Si utiliza una URL, se admiten HTTP y FTP. Si elige HTTP, seleccione Autenticacin requerida slo para HTTP. Escriba el nombre de usuario y la contrasea para la autenticacin.
6 7
Marque Mostrar el cuadro de dilogo del proceso de descarga de modo que los usuarios puedan ver el archivo mientras se descarga en el equipo cliente. Si desea que el usuario pueda cancelar la descarga del archivo, marque Permitir al usuario cancelar la integridad del host para este requisito. Usuarios puede perder trabajos si el archivo se descarga en el momento incorrecto.
Cmo configurar un valor del registro

Para un requisito personalizado, se puede configurar un valor del registro de Windows en un valor especfico. La funcin Establecer el valor del Registro crea el valor si an no existe. Para configurar un valor del registro
2 3 4 5 6 7
En el cuadro de dilogo Requisito personalizado, en Script del requisito personalizado, seleccione el nodo donde desea agregar la funcin. Haga clic en Agregar y haga clic en Funcin. Haga clic en Registro: Establecer el valor del Registro. El valor del registro contiene el nombre y el tipo del valor que se comprobarn. Escriba la clave de registro en el campo Clave del Registro. Escriba un nombre del valor para comprobar en el campo Nombre del valor. En Especifique el tipo y los datos, elija uno de los siguientes tipos de valores y contenido:

Valor de DWORD Valor de cadena Valor binario
Adicin de requisitos personalizados Incremento de un valor DWORD del registro
795
Incremento de un valor DWORD del registro

Para un requisito personalizado, se puede incrementar el valor DWORD del registro de Windows. La funcin Incrementar el valor DWORD del Registro crea la clave si no existe. Para incrementar el valor DWORD del registro
2 3
En el cuadro de dilogo Requisito personalizado, en Script del requisito personalizado, seleccione el nodo donde desea agregar la funcin. Haga clic en Agregar y haga clic en Funcin. Haga clic en Registro: Incrementar el valor DWORD del Registro.
4 5
Escriba la clave de registro para comprobar en el campo Clave del Registro. Escriba un nombre del valor para comprobar en el campo Nombre del valor.
Ejecutar un programa
Para un requisito personalizado de integridad del host, es posible especificar una funcin para hacer que el cliente inicie un programa. Para ejecutar un programa
2 3 4 5
En el cuadro de dilogo Requisito personalizado, en Script del requisito personalizado, seleccione el nodo donde desea agregar la funcin. Haga clic en Agregar y haga clic en Funcin. Haga clic en Utilidad: Ejecutar un programa. En el campo de texto de comando, escriba el comando para ejecutar el script. Las variables de entorno se sustituyen antes de la ejecucin. Por ejemplo, %windir% reemplaza la ruta de directorio de Windows.
En Ejecutar el programa, seleccione una de las siguientes opciones:

en el contexto del sistema en el contexto de un usuario conectado
796
Adicin de requisitos personalizados Ejecutar un script
El comando Ejecutar debe incluir la ruta de archivo completa, mostrando el nombre del usuario que inicio sesin. Si no hay ningn usuario conectado, el resultado falla.
Para especificar la cantidad de tiempo que se debe permitir para que se complete la ejecucin del comando, seleccione una de las siguientes opciones:
No esperar La accin devuelve un valor verdadero si la ejecucin se realiza correctamente, pero no espera hasta que se termine la ejecucin. Esperar hasta que finalice la ejecucin Escriba el tiempo mximo. Escriba el tiempo en segundos. Si el comando de ejecucin no se termina en el tiempo especificado, se finaliza la ejecucin del archivo.
Opcionalmente, anule la seleccin de Mostrar una nueva ventana de proceso si no desea ver una ventana que muestre el requisito que ejecuta el programa.
Ejecutar un script
En el requisito personalizado de integridad del host, es posible especificar una funcin para hacer que el cliente ejecute un script. Es posible utilizar un lenguaje de programacin de scripts, tal como JScript o VBScript, que se puede ejecutar con Microsoft Windows Script Host. Para ejecutar un script
2 3 4 5 6 7
En el cuadro de dilogo Requisito personalizado, en Script del requisito personalizado, seleccione el nodo donde desea agregar la funcin. Haga clic en Agregar y haga clic en Funcin. Haga clic en Utilidad: Ejecutar un script. Escriba un nombre de archivo para el script, como miscript.js. Escriba el contenido del script. En el campo de texto Ejecutar el comando, escriba el comando para ejecutar el script. Utilice %F para especificar el nombre del archivo de script. El script se ejecuta en el contexto del sistema.
Adicin de requisitos personalizados Configurar la marca de hora de un archivo
797
Para especificar la cantidad de tiempo que se debe permitir para que se complete la ejecucin del comando, seleccione una de las siguientes opciones:
No esperar La accin devuelve un valor verdadero si la ejecucin se realiza correctamente, pero no espera hasta que se termine la ejecucin. Esperar hasta que finalice la ejecucin Escriba el tiempo mximo. Escriba el tiempo en segundos. Si el comando de ejecucin no se termina en el tiempo especificado, se finaliza la ejecucin del archivo.
Opcionalmente, anule la seleccin de Eliminar el archivo temporal despus de haber finalizado o terminado la ejecucin si usted ya no lo necesita. Esta opcin est desactivada y no disponible si se selecciona No esperar.
10 Opcionalmente, anule la seleccin de Mostrar una nueva ventana de proceso

si no desea ver una ventana que muestre el requisito que ejecuta el script.
Configurar la marca de hora de un archivo

En el requisito personalizado de la integridad del host, es posible especificar la funcin Establecer marca de hora para crear una configuracin de registro de Windows para almacenar la fecha y la hora actuales. Es posible utilizar la condicin Establecer marca de hora para descubrir si ha transcurrido una cantidad de tiempo especificada desde que la marca de hora fue creada. Por ejemplo, si la comprobacin de integridad del host se ejecuta cada 2 minutos, se puede especificar una accin para que se realice en un intervalo ms largo, como un da. En este caso, se quita el valor de tiempo almacenado:

Cuando el cliente recibe un nuevo perfil. Cuando el usuario ejecuta manualmente una comprobacin de integridad del host.
Para configurar la marca de hora de un archivo
2 3
En el cuadro de dilogo Requisito personalizado, en Script del requisito personalizado, seleccione el nodo donde desea agregar la funcin. Haga clic en Agregar y haga clic en Funcin.
798
Adicin de requisitos personalizados Cmo especificar un tiempo de espera para el script de requisito personalizado
4 5
Haga clic en Utilidad: Establecer marca de hora. Escriba un nombre de hasta 256 caracteres de largo para la opcin del registro que almacena la informacin sobre la fecha y la hora.
Para comparar la hora actual con el valor almacenado
2 3 4 5 6
En el cuadro de dilogo Requisito personalizado, en Script del requisito personalizado, seleccione el nodo donde desea agregar la condicin. Haga clic en Agregar y, despus, clic en IF..THEN... Haga clic en Utilidad: Comprobar marca de hora. Escriba el nombre que especific para la opcin de registro de hora almacenada. Especifique una cantidad de tiempo en minutos, horas, das o semanas. Si la cantidad de tiempo especificada fue aprobada, o si el valor de la opcin del registro est vaco, la funcin Establecer marca de hora devuelve un valor verdadero.
Cmo especificar un tiempo de espera para el script de requisito personalizado

En el requisito personalizado de integridad del host, es posible especificar una funcin que haga que el script del requisito personalizado espere una cantidad de tiempo especificada para ejecutarse. Para especificar un tiempo de espera para el script
2 3 4 5
En el cuadro de dilogo Requisito personalizado, en Script del requisito personalizado, seleccione el nodo donde desea agregar la funcin. Haga clic en Agregar y haga clic en Funcin. Haga clic en Utilidad: Esperar. Escriba el nmero de segundos que se esperar.
Captulo
36
Introduccin de los dispositivos Symantec Network Access Control Enforcer


Acerca de los dispositivos Symantec Network Access Control Enforcer Soporte para soluciones de aplicacin de otros fabricantes
Acerca de los dispositivos Symantec Network Access Control Enforcer

Los dispositivos Symantec Enforcer son los componentes de red opcionales que funcionan con los clientes habilitados para Symantec Network Access Control y los clientes de Symantec Network Access Control. Symantec Network Access Control viene con las imgenes de Enforcer basado en Linux siguientes que se instalan en los dispositivos Symantec Enforcer:

Imagen de dispositivo Symantec Network Access Control Gateway Enforcer Imagen de dispositivo Symantec Network Access Control LAN Enforcer
Adems, todos los mdulos de aplicacin Symantec Enforcer basados en Windows funcionan con los clientes administrados para proteger su red. Estos clientes incluyen el cliente de Symantec Endpoint Protection y el cliente de Symantec Network Access Control.
800
Introduccin de los dispositivos Symantec Network Access Control Enforcer Soporte para soluciones de aplicacin de otros fabricantes
Ver "Instalar un dispositivo Enforcer" en la pgina 802. Ver "Planificacin de la instalacin para un dispositivo Gateway Enforcer" en la pgina 821. Ver "Instalar un dispositivo Enforcer" en la pgina 802.
Soporte para soluciones de aplicacin de otros fabricantes

Symantec proporciona soluciones de aplicacin para los fabricantes externos siguientes:
API de aplicacin universal Symantec ha desarrollado la API de aplicacin universal para permitir que otros proveedores con tecnologa relacionada integren sus soluciones con el software de Symantec. Control de admisin de red de Cisco Los clientes de Symantec son compatibles con la solucin Control de admisin de red de Cisco.
Captulo
37
Instalacin de todos los tipos de dispositivos Enforcer


Acerca de cmo instalar un dispositivo Enforcer Instalar un dispositivo Enforcer Acerca de los indicadores y los controles del dispositivo Enforcer Cmo configurar un dispositivo Enforcer Iniciar sesin en un dispositivo Enforcer Cmo configurar un dispositivo Enforcer
Acerca de cmo instalar un dispositivo Enforcer

Usted selecciona el tipo de dispositivo Enforcer que desea durante el proceso de instalacin. Antes de iniciar la instalacin de cualquier dispositivo Enforcer:

Conozca ms sobre las ubicaciones de los componentes en su red. Localice el disco de instalacin 2 de Symantec Network Access Control Enforcer. Este disco contiene el software para todos los tipos de dispositivos Symantec Network Access Control Enforcer. Identifique el nombre del host que desee asignar al dispositivo Enforcer. El nombre de host predeterminado es Enforcer. Es conveniente modificar este nombre para facilitar la identificacin de cada dispositivo Enforcer en una red.
802
Instalacin de todos los tipos de dispositivos Enforcer Instalar un dispositivo Enforcer
Identifique las direcciones IP de las tarjetas de interfaz de red (NIC) en el dispositivo Enforcer. Identifique la direccin IP, el nombre de host o el ID del dominio del servidor de nombre de dominio (DNS), si es necesario. Solamente los servidores DNS pueden resolver nombres de host. Si desea que el dispositivo Enforcer se conecte a Symantec Endpoint Protection Manager usando un nombre de host, necesita conectarse a un servidor DNS. Es posible configurar la direccin IP del servidor DNS durante la instalacin. Sin embargo, se puede usar el comando de configuracin de DNS para cambiar la direccin IP de un servidor DNS de la consola Enforcer con el comando de configuracin de DNS.
Ver "Instalar un dispositivo Enforcer" en la pgina 802.
Instalar un dispositivo Enforcer

Tabla 37-1 enumera los pasos para instalar todos los tipos de dispositivos Enforcer. Tabla 37-1 Paso
Paso 1
Resumen de instalacin para un dispositivo Enforcer Descripcin
Accin
Aprenda dnde colocar Los dispositivos Enforcer necesitan ser colocados en dispositivos Enforcer en ubicaciones especficas en su red para garantizar que su red. todos los endpoints cumplan con su poltica de seguridad. Ver "Planificacin de la instalacin para un dispositivo Gateway Enforcer" en la pgina 821. Ver "Dnde colocar dispositivos LAN Enforcer" en la pgina 880.
Paso 2
Configure el dispositivo. Conecte el dispositivo Enforcer a su red. Ver "Acerca de cmo instalar un dispositivo Enforcer" en la pgina 801. Ver "Acerca de los indicadores y los controles del dispositivo Enforcer" en la pgina 803. Ver "Cmo configurar un dispositivo Enforcer" en la pgina 804.
Instalacin de todos los tipos de dispositivos Enforcer Acerca de los indicadores y los controles del dispositivo Enforcer
803
Paso
Paso 3
Accin
Descripcin
Configure el dispositivo. Inicie sesin y configure el dispositivo Enforcer desde la lnea de comandos de Enforcer. Ver "Iniciar sesin en un dispositivo Enforcer" en la pgina 806. Ver "Cmo configurar un dispositivo Enforcer" en la pgina 806.
Acerca de los indicadores y los controles del dispositivo Enforcer

El dispositivo Enforcer se instala en un chasis montable sobre bastidor 1U con soporte para rieles estticos. La Figura 37-1 muestra los controles, los indicadores y los conectores que se encuentran detrs del bisel opcional en el panel frontal. Figura 37-1 Panel anterior del dispositivo Enforcer
1 2 3 4 5 6 7
Unidad de DVD-ROM Interruptor Icono de reinicio Puertos USB Luz del disco duro Supervisor Reservado; no utilizar
La Figura 37-2 muestra el panel posterior del sistema.
804
Instalacin de todos los tipos de dispositivos Enforcer Cmo configurar un dispositivo Enforcer
Figura 37-2
Panel trasero del dispositivo Enforcer (se muestra el modelo abierto por defecto)
1 2 3 4 5 6 7 8 9 10
Conector del cable elctrico Conector del mouse Conector del teclado Puertos USB Puerto serie Supervisor Reservado; no utilizar Puertos de red reservados; no utilizar Puerto de red eth0 Puerto de red eth1
Es posible utilizar el puerto serie proporcionado y el cable de serie para conectarse a otro sistema que est conectado a un monitor y un teclado. Alternativamente, es posible conectar un monitor o un teclado directamente. Si se conecta mediante el puerto serie, la velocidad de transferencia en baudios predeterminada que se configura en Enforcer es 9600 bps. Es necesario configurar la conexin en el otro sistema para que coincida. La conexin por el puerto serie es el mtodo preferido. Permite transferir archivos, tales como informacin de depuracin, al equipo conectado para la solucin de problemas. Ver "Instalar un dispositivo Enforcer" en la pgina 802. Ver "Cmo configurar un dispositivo Enforcer" en la pgina 804.
Cmo configurar un dispositivo Enforcer

Configure el hardware del dispositivo Enforcer conectndolo a su red, encendindolo e iniciando sesin en la lnea de comandos. Ver "Instalar un dispositivo Enforcer" en la pgina 802.
805
Ver "Acerca de los indicadores y los controles del dispositivo Enforcer" en la pgina 803. Para instalar un dispositivo Enforcer
1 2
Desempaquete el dispositivo Enforcer. Monte el dispositivo Enforcer en un bastidor o colquelo en una superficie llana. Consulte las instrucciones de montaje en bastidor que se incluyen con el dispositivo Enforcer.
3 4
Enchfelo en una toma de corriente. Conecte el dispositivo Enforcer usando uno de los mtodos siguientes:
Conecte otro equipo al dispositivo Enforcer usando un puerto serie. Use un cable de mdem nulo con un conector DB9 (hembra). Es necesario usar software de terminal, como HyperTerminal, CRT o NetTerm, para acceder a la consola de Enforcer. Configure su software de terminal a 9600 bps, 8 bits de datos, sin paridad, 1 bit de parada, control de flujo nulo. Conecte un teclado y el monitor VGA directamente al dispositivo Enforcer.
Conecte los cables Ethernet a los puertos de la interfaz de red de la siguiente manera:
dispositivo Gateway Enforcer Conecte dos cables Ethernet: un cable se conecta al puerto eth0 (NIC interna). El otro cable se conecta al puerto eth1 (NIC externa) en la parte posterior del dispositivo Enforcer. La NIC interna conecta la red protegida y Symantec Endpoint Protection Manager. La NIC externa se conecta a los endpoints. Dispositivo LAN Enforcer Conecte un cable Ethernet al puerto eth0 en la parte posterior del dispositivo Enforcer. Este cable se conecta a la red interna. La red interna se conecta a un conmutador compatible con 802.1x y a cualquier conmutador adicional compatible con 802.1x en su red.
Conecte la energa. El dispositivo Enforcer se inicia.
Ver "Iniciar sesin en un dispositivo Enforcer" en la pgina 806. Ver "Cmo configurar un dispositivo Enforcer" en la pgina 806.
806
Instalacin de todos los tipos de dispositivos Enforcer Iniciar sesin en un dispositivo Enforcer
Iniciar sesin en un dispositivo Enforcer

Cuando se activa o reinicia el dispositivo Enforcer, aparece la indicacin de inicio de sesin para la consola del dispositivo Enforcer:
Inicio de sesin de Enforcer
Los siguientes niveles de acceso estn disponibles:

Superusuario Normal Acceso a todos los comandos Acceso solamente a los comandos clear, exit, help y show para cada nivel de la jerarqua del comando
Nota: El dispositivo Enforcer desconecta automticamente a los usuarios despus de 90 segundos de inactividad. Ver "Cmo configurar un dispositivo Enforcer" en la pgina 804. Para iniciar sesin en un dispositivo Enforcer con acceso a todos los comandos
En la lnea de comandos, inicie sesin en un dispositivo Enforcer con acceso a todos los comandos escribiendo el comando siguiente:
root
Escriba la contrasea que cre durante la instalacin inicial. La contrasea predeterminada es symantec. La lnea de comandos de la consola para la raz es Enforcer#.
Para iniciar sesin en un dispositivo Enforcer con acceso limitado a los comandos
Si desea iniciar sesin en un dispositivo Enforcer con acceso limitado a los comandos, escriba el comando siguiente en la lnea de comandos:
admin
Escriba la contrasea en la lnea de comandos. La contrasea predeterminada es symantec. La lnea de comandos de la consola para el administrador es Enforcer$.
Ver "Cmo configurar un dispositivo Enforcer" en la pgina 806.
Cmo configurar un dispositivo Enforcer

Configure el dispositivo desde la interfaz de lnea de comandos de Enforcer.
807
Ver "Acerca de la jerarqua de comandos de la CLI del dispositivo Enforcer" en la pgina 1131. Ver "Iniciar sesin en un dispositivo Enforcer" en la pgina 806. Para configurar un dispositivo Enforcer
Especifique el tipo de dispositivo Enforcer respondiendo a las indicaciones de Enforcer:

1. Select Enforcer mode [G] Gateway [L] LAN
Donde:
G L dispositivo Gateway Enforcer Dispositivo LAN Enforcer
Modifique el nombre de host del dispositivo Enforcer o presione Enter (Intro) para dejar el nombre de host del dispositivo Enforcer sin cambios. La configuracin predeterminada o el nombre de host del dispositivo Enforcer es Enforcer. El nombre del dispositivo Enforcer se registra automticamente en Symantec Endpoint Protection Manager durante el latido siguiente. En la lnea de comandos, escriba el comando siguiente si desea modificar el nombre de host del dispositivo Enforcer:
2. Set the host name Note: 1) Input new hostname or press "Enter" for no change. [Enforcer]: hostname nombre de host
Ver "Nombre de host" en la pgina 1141. donde nombre_de_host es el nuevo nombre de host para el dispositivo Enforcer. Asegrese de registrar el nombre de host del dispositivo Enforcer en el servidor de nombres de dominio.
Escriba el comando siguiente para confirmar el nuevo nombre de host del dispositivo Enforcer:
show hostname
Escriba la direccin IP del servidor DNS y presione Enter (Intro).
808
Escriba la nueva contrasea raz cuando se lo indique escribiendo primero el comando siguiente:
contrasea Contrasea anterior: nueva contrasea
Es necesario modificar la contrasea raz con la que usted iniciaba sesin en el dispositivo Enforcer. El acceso remoto no se habilitar hasta que usted modifique la contrasea. La nueva contrasea debe contener, por lo menos, nueve caracteres y una letra minscula, una letra mayscula, un dgito y un smbolo.
6 7
Escriba la nueva contrasea administrativa. Configure la zona horaria siguiendo estas indicaciones.
Set the time zone Current time zone is [+0000]. Change it? [Y/n] If you click 'Y', follow the steps below: 1) Select a continent or ocean 2) Select a country 3) Select one of the time zone regions 4) Set the date and time Enable the NTP feature [Y/n] Set the NTP server: Note: We set up the NTP server as an IP address
8 9
Configure la fecha y la hora. Configure las opciones de configuracin de red y termine la instalacin siguiendo las indicaciones de Enforcer.
Enter network settings Configure eth0: Note: Input new settings. IP address []: Subnet mask []: Set Gateway? [Y/n] Gateway IP[]: Apply all settings [Y/N]:
Captulo
38
Actualizacin y creacin de todos los tipos de imgenes del dispositivo Enforcer


Acerca de actualizar y crear nuevas imgenes del dispositivo Enforcer Matriz de compatibilidad de hardware de Enforcer Determinar la versin actual de una imagen del dispositivo Enforcer Cmo actualizar la imagen de dispositivo Enforcer Crear una imagen de un dispositivo Enforcer
Acerca de actualizar y crear nuevas imgenes del dispositivo Enforcer

Determine la versin del software del dispositivo Enforcer antes de planear actualizar o crear una nueva imagen del software del dispositivo Enforcer. Ver "Determinar la versin actual de una imagen del dispositivo Enforcer" en la pgina 811. Es posible que sea necesario actualizar la imagen de un dispositivo Enforcer a la versin actual si desea conectarse a la versin ms actual de Symantec Endpoint Protection Manager. La actualizacin permite aprovechar las nuevas funciones que el dispositivo Symantec Network Access Control Enforcer proporciona. Los dispositivos Enforcer funcionan con Symantec Endpoint Protection Manager 11.0 y todas las versiones y actualizaciones de versiones subsiguientes.
810
Actualizacin y creacin de todos los tipos de imgenes del dispositivo Enforcer Matriz de compatibilidad de hardware de Enforcer
Es posible seleccionar cualquiera de los siguientes mtodos para actualizar la imagen del dispositivo Enforcer:
Actualizar la imagen actual del dispositivo Enforcer. Ver "Cmo actualizar la imagen de dispositivo Enforcer" en la pgina 811. Instalar una imagen de dispositivo Enforcer diferente sobre una imagen de dispositivo Enforcer anterior. Ver "Crear una imagen de un dispositivo Enforcer" en la pgina 812.
Matriz de compatibilidad de hardware de Enforcer

La Matriz de compatibilidad de hardware de Enforcer enumera las versiones de imagen del dispositivo Symantec Network Access Control y su nivel de prueba y compatibilidad con los modelos de hardware del dispositivo Enforcer de Dell. Tabla 38-1 Matriz de compatibilidad de hardware de Enforcer Dell PE 850 Dell PE 860
Probado parcialmente y admitido completamente Probado parcialmente y admitido completamente Probado completamente y admitido completamente Probado completamente y admitido completamente
Versin de imagen
Dell R200
Probado completamente y admitido completamente Probado completamente y admitido completamente
Dell R210
Probado completamente y admitido completamente Probado completamente y admitido completamente
Versin de imagen 12.1 No admitido
Versin de imagen 11.0.6100 y superior (RU6 MP1 y superior)
Probado parcialmente y admitido completamente Probado completamente y admitido completamente
Versin de imagen 11.0.6
Probado No admitido completamente y admitido completamente Probado No admitido completamente y admitido completamente No admitido
Versiones de imgenes Probado 11.0.2, 11.0.3, 11.0.4 y completamente 11.0.5 y admitido completamente Versin de imagen 11.0.0, 11.0.1 Probado completamente y admitido completamente
Probado No admitido completamente y admitido completamente
Actualizacin y creacin de todos los tipos de imgenes del dispositivo Enforcer Determinar la versin actual de una imagen del dispositivo Enforcer
811
Determinar la versin actual de una imagen del dispositivo Enforcer

Es necesario determinar la versin actual de la imagen que se admite en el dispositivo Enforcer. Es necesario intentar actualizarla si no tiene la ltima versin. Para comprobar la versin actual de una imagen del dispositivo Enforcer, escriba el comando siguiente en la interfaz de lnea de comandos de un dispositivo Enforcer: show version Ver "Show" en la pgina 1143.
Cmo actualizar la imagen de dispositivo Enforcer

Es posible usar cualquiera de los siguientes mtodos para actualizar una imagen de dispositivo Enforcer a la imagen ms actual:
Actualice la imagen del dispositivo Enforcer de 5.1.x a la versin actual con un disco USB (bus de serie universal). Actualice la imagen del dispositivo Enforcer de 5.1.x a la versin actual desde un servidor TFTP.
Para actualizar la imagen del dispositivo Enforcer de 5.1.x con un disco USB
1 2
Copie los dos archivos de la actualizacin, initrd-Enforcer.img.gpg y la lista de paquetes, a un disco USB. Escriba el comando siguiente para actualizar automticamente el dispositivo Enforcer: Enforcer# update Ver "Update" en la pgina 1144.
Para actualizar la imagen del dispositivo Enforcer de 5.1.x con un servidor TFTP
Cargue los dos archivos de actualizacin, initrd-Enforcer.img.gpg y la lista de paquetes, a un servidor TFTP (Protocolo de transferencia de archivos trivial) al que pueda conectarse un dispositivo Enforcer. Ejecute el comando siguiente en la consola del dispositivo Enforcer: Enforcer:# update tftp://direccin IP del servidor TFTP Ver "Update" en la pgina 1144.
Seleccione Y cuando se le pida que inicie la nueva imagen.
812
Actualizacin y creacin de todos los tipos de imgenes del dispositivo Enforcer Crear una imagen de un dispositivo Enforcer
Seleccione 1 para reiniciar el dispositivo Enforcer despus de aplicar la nueva imagen. No inicie la nueva imagen sin reiniciar el dispositivo Enforcer.
5 6
Inicie sesin en el dispositivo Enforcer. Ver "Iniciar sesin en un dispositivo Enforcer" en la pgina 806.
Crear una imagen de un dispositivo Enforcer

El dispositivo Enforcer incluye software de creacin de imgenes para todos los dispositivos Enforcer: Gateway y LAN. El software de creacin de imgenes incluye el sistema operativo Linux reforzado y el software del dispositivo Enforcer para el reemplazo en una imagen de dispositivo Enforcer. Cuando se inicia la instalacin del CD 2, el proceso de creacin de imgenes borra la configuracin existente en el dispositivo Enforcer. Los nuevos archivos se instalan sobre todos los archivos existentes. Se pierde cualquier configuracin que fuera hecha previamente en el dispositivo Enforcer. Es posible instalar un tipo diferente de imagen de dispositivo Enforcer si desea modificar el tipo que usted utiliza. Si modifica el tipo de imagen del dispositivo Enforcer, puede ser necesario volver a encontrar un dispositivo Enforcer en la red corporativa. Cuando se crea una nueva imagen de Enforcer, se debe adems desechar toda la informacin del grupo relacionada con ese Enforcer que fue almacenada en Symantec Endpoint Protection Manager. Est apenas empezando con el nuevo tipo de Enforcer. Enforcer desecha toda la informacin del grupo anterior de Symantec Endpoint Protection Manager totalmente. Es necesario crear una nueva clave de recurso compartido y la informacin del grupo de Symantec Endpoint Protection Manager debe configurarse de nuevo manualmente segn las necesidades para asegurar la coordinacin apropiada. Para crear una imagen de un dispositivo Enforcer
1 2
Inserte el disco 2 del producto en la unidad de discos del dispositivo Enforcer. En la lnea de comandos, escriba el comando siguiente: Enforcer:# reboot Este comando reinicia el dispositivo Enforcer.
813
En el men Instalacin, seleccione Instalar Symantec Enforcer desde el disco del producto. Si el men de instalacin no funciona, el dispositivo Enforcer se reinicia desde el disco duro, en vez de hacerlo desde el disco del producto. Para crear una imagen, es necesario reiniciar del disco.
Instale y configure el dispositivo Enforcer. Ver "Acerca de cmo instalar un dispositivo Enforcer" en la pgina 801.
814
Captulo
39
Ejecucin de tareas bsicas en la consola de todos los tipos de dispositivos Enforcer


Acerca de realizar tareas bsicas en la consola de un dispositivo Enforcer Configuracin de conexin entre un dispositivo Enforcer y Symantec Endpoint Protection Manager Comprobar el estado de comunicacin de un dispositivo Enforcer en la consola de Enforcer Acceso remoto a un dispositivo Enforcer
Acerca de realizar tareas bsicas en la consola de un dispositivo Enforcer

Es necesario ya haber configurado los parmetros siguientes durante la instalacin del dispositivo Enforcer:

Nombre de host del dispositivo Enforcer Nombre de grupo del grupo de dispositivos Enforcer al cual pertenece el dispositivo Enforcer determinado Direcciones IP de las tarjetas de interfaz de red (NIC) internas y externas
816
Ejecucin de tareas bsicas en la consola de todos los tipos de dispositivos Enforcer Configuracin de conexin entre un dispositivo Enforcer y Symantec Endpoint Protection Manager
Direccin IP del servidor DNS, si es necesario Direccin IP del servidor NTP, si es necesario
Sin embargo, debe an configurar una conexin entre un dispositivo Enforcer y Symantec Endpoint Protection Manager. Se ejecuta el comando spm en la consola del dispositivo Enforcer para configurar esta conexin. No es posible proceder con el uso de un dispositivo Enforcer a menos que se termine esta tarea. Ver "Configuracin de conexin entre un dispositivo Enforcer y Symantec Endpoint Protection Manager" en la pgina 816. Despus de la instalacin y la configuracin inicial de un dispositivo Enforcer, pueden realizar tareas administrativas de la consola de Enforcer o de Symantec Endpoint Protection Manager. Si se administran varios dispositivos Enforcer, es conveniente administrar todos a partir de una ubicacin centralizada. Todos los dispositivos Enforcer, adems, tienen una interfaz de lnea de comandos (CLI) desde la cual es posible ejecutar comandos para modificar cualquier nmero de parmetros. Ver "Acerca de la jerarqua de comandos de la CLI del dispositivo Enforcer" en la pgina 1131.
Configuracin de conexin entre un dispositivo Enforcer y Symantec Endpoint Protection Manager

Es necesario establecer la comunicacin entre el dispositivo Enforcer y Symantec Endpoint Protection Manager en la consola de Enforcer. Se debe haber completado la instalacin del dispositivo Enforcer y de la configuracin de las NIC internas y externas en el dispositivo Enforcer. Ver "Acerca de cmo instalar un dispositivo Enforcer" en la pgina 801. Si desea establecer la comunicacin entre un dispositivo Enforcer y Symantec Endpoint Protection Manager en una consola de Enforcer, se necesita la siguiente informacin:
Direccin IP de Symantec Endpoint Protection Manager Consulte al administrador del servidor en que Symantec Endpoint Protection Manager ha sido instalado para obtener la direccin IP. Nombre de grupo de Enforcer al cual desea asignar el dispositivo Enforcer Una vez que finaliza la configuracin del nombre de grupo de Enforcer para el dispositivo Enforcer, el nombre de grupo se registra automticamente en Symantec Endpoint Protection Manager
817
Nmero de puerto en Symantec Endpoint Protection Manager que se usa para comunicarse con el dispositivo Enforcer El nmero de puerto predeterminado es 8014. La contrasea cifrada que fue creada durante la instalacin inicial de Symantec Endpoint Protection Manager
Para configurar una conexin entre un dispositivo Enforcer y Symantec Endpoint Protection Manager
1 2
En la lnea de comandos de la consola del dispositivo Enforcer, escriba configure. Tipo

spm ip direccin IP group nombre de grupo de Enforcer http nmero de puerto key contrasea cifrada
Ver "Configuracin de SPM" en la pgina 818. Es posible utilizar el ejemplo siguiente como gua:
spm ip 192.168.0.64 group CorpAppliance http 8014 key symantec
Este ejemplo configura el dispositivo Enforcer para comunicarse con Symantec Endpoint Protection Manager con direccin IP 192.168.0.64 en el grupo CorpAppliance. Utiliza el protocolo HTTP en el puerto 8014 con la contrasea cifrada o el secreto compartido previamente symantec.
Compruebe el estado de la comunicacin del dispositivo Enforcer y de Symantec Endpoint Protection Manager. Ver "Comprobar el estado de comunicacin de un dispositivo Enforcer en la consola de Enforcer" en la pgina 819.
Configure, implemente e instale o descargue el software de cliente si no lo ha hecho. Para permitir que los invitados (equipos cliente no administrados) descarguen automticamente clientes de Symantec Network Access Control On-Demand, configure un dispositivo Gateway Enforcer para administrar el proceso de descarga automtica. Ver "Habilitar clientes bajo demanda de Symantec Network Access Control para conectarse temporalmente a una red" en la pgina 1037.
818
Configuracin de SPM
El comando configure SPM configura la conexin entre el dispositivo Enforcer y Symantec Endpoint Protection Manager. Es necesario escribir todos los valores si usted modifica alguno de ellos. Cualquier valor que no se especifique automticamente utiliza los valores predeterminados. El comando configure spm utiliza la sintaxis siguiente:
configure spm {[ip <ipaddress>] | [group <group-name>] | [http <port-number>] | https <port-number>] | [key <key-name>]} | [del key <shared-key>]
donde:
ip <direccin_ip> Le permite agregar la direccin IP de Symantec Endpoint Protection Manager.
del key Elimina la clave secreta compartida. <clave_compartida> group Le permite especificar un nombre de grupo preferido para el dispositivo <nombre_de_grupo> Enforcer. Por lo tanto, se recomienda asignar un nombre de grupo nico para distinguir los dispositivos Enforcer en la consola de Symantec Endpoint Protection Manager. http Le permite especificar el protocolo HTTP y el nmero de puerto para <nmero_de_puerto> comunicarse con Symantec Endpoint Protection Manager. El protocolo predeterminado es HTTP. El nmero de puerto predeterminado para el protocolo HTTP es 80. https Le permite especificar el protocolo HTTPS y el nmero de puerto para <nmero_de_puerto> comunicarse con Symantec Endpoint Protection Manager. Es necesario usar este comando solamente si Symantec Endpoint Protection Manager se ha configurado para usar el protocolo HTTPS. El nmero de puerto predeterminado para el protocolo HTTPS es 443. key Le permite especificar la contrasea cifrada que es necesaria si <nombre_de_clave> Symantec Endpoint Protection Manager ha sido instalado con una.
El ejemplo siguiente describe la configuracin de un dispositivo Enforcer para comunicarse con Symantec Endpoint Protection Manager en la direccin IP 192.168.0.64 en un grupo de Enforcer llamado CorpAppliance. Usa el protocolo HTTP en el puerto 80 con la contrasea cifrada security.
configure spm ip 192.168.0.64 group CorpAppliance http 80 key security
Ejecucin de tareas bsicas en la consola de todos los tipos de dispositivos Enforcer Comprobar el estado de comunicacin de un dispositivo Enforcer en la consola de Enforcer
819
Ver "Jerarqua de comandos de la CLI" en la pgina 1132.
Comprobar el estado de comunicacin de un dispositivo Enforcer en la consola de Enforcer

Es posible comprobar el estado de comunicacin de un dispositivo Enforcer desde la consola de Enforcer. Para comprobar el estado de comunicacin de un dispositivo Enforcer en la consola de Enforcer
Inicie sesin en la consola de Enforcer si no ha iniciado sesin an. Ver "Iniciar sesin en un dispositivo Enforcer" en la pgina 806.
Escriba el comando siguiente: show status Es posible ver informacin sobre el estado de conexin actual. El ejemplo siguiente indica que el dispositivo Enforcer est en lnea y conectado a Symantec Endpoint Protection Manager con una direccin IP 192.168.0.1 y el puerto de comunicaciones 8014:
Enforcer#: show status Enforcer Status: Policy Manager Connected: Policy Manager: Packets Received: Packets Transmitted: Packet Receive Failed: Packet Transfer Failed: Enforcer Health: Enforcer Uptime: Policy ID:
ONLINE(ACTIVE) YES 192.168.0.1 HTTP 8014 3659 3615 0 0 EXCELLENT 10 days 01:10:55 24/03/2010 21:31:55
Acceso remoto a un dispositivo Enforcer

Para comunicarse con seguridad con Enforcer para el acceso a la lnea de comandos, utilice uno de los mtodos siguientes:

Conmutador KVM conectado o dispositivo similar Cliente de SSH que admite un servidor de consola de terminal SSH v2 Cable de serie
Ver "Cmo configurar un dispositivo Enforcer" en la pgina 804.
820
Ejecucin de tareas bsicas en la consola de todos los tipos de dispositivos Enforcer Acceso remoto a un dispositivo Enforcer
Captulo
40
Planificacin para la instalacin del dispositivo Gateway Enforcer


Planificacin de la instalacin para un dispositivo Gateway Enforcer Configuracin de la NIC del dispositivo Gateway Enforcer Planificacin conmutacin por error de dispositivos Gateway Enforcer Planificacin de apertura y cierre en caso de error para un dispositivo Gateway Enforcer
Planificacin de la instalacin para un dispositivo Gateway Enforcer

Un dispositivo Gateway Enforcer se utiliza generalmente en lnea como puente seguro de aplicacin de polticas para proteger una red corporativa contra intrusos externos. Antes de instalar un dispositivo Gateway Enforcer, es necesario pensar cmo ubicarlo apropiadamente en la red. Los dispositivos Gateway Enforcer pueden ser colocados en toda la empresa para asegurarse de que todos los puntos finales cumplen con la poltica de seguridad. Otro uso del dispositivo Gateway Enforcer es albergar los clientes On-Demand para los usuarios invitados. Se proporciona acceso temporal a Enforcer para estos clientes, se verifican sus credenciales de seguridad y despus se permiten en la red.
822
Planificacin para la instalacin del dispositivo Gateway Enforcer Planificacin de la instalacin para un dispositivo Gateway Enforcer
Ver "Acerca de los clientes de Symantec Network Access Control On-Demand" en la pgina 1030. Gateway Enforcer en este caso no pasa los paquetes, sino que sirve como host. Esta funcionalidad no es de uso frecuente y se hace as desde la lnea de comandos Enforcer.
configure > advanced > guest-enf enable
Ver "Acerca de la jerarqua de comandos de la CLI del dispositivo Enforcer" en la pgina 1131. Nota: Si actualiza clientes de Symantec Sygate Endpoint Protection 5.1, es necesario actualizar Symantec Endpoint Protection Manager primero y luego sus Enforcers y sus clientes a la versin 12.1 primero. Una vez que tiene Symantec Endpoint Protection Manager y sus Enforcers en la versin 11.x, es necesario seleccionar Permitir clientes de una versin anterior en el men Enforcer, si tiene clientes de versiones anteriores a 11.x, antes de realizar el paso final. A continuacin finalice la actualizacin a la versin actual. Los dispositivos Gateway Enforcer se utilizan tpicamente en las ubicaciones de red siguientes:

VPN Punto de acceso inalmbrico (WAP) Acceso telefnico (servidor de acceso remoto [RAS]) Segmentos de Ethernet (red de rea local [LAN])
Hay varios tipos de informacin sobre planificaciones que pueden ayudarle a implementar los dispositivos Gateway Enforcer en una red. Disposicin general:

Ver "Dnde colocar un dispositivo Gateway Enforcer" en la pgina 823. Ver "Instrucciones para las direcciones IP de un dispositivo Gateway Enforcer" en la pgina 825. Ver "Acerca de usar dos dispositivos Gateway Enforcer en una serie" en la pgina 825.
reas especficas de la red:
Ver "Proteccin del acceso VPN mediante un dispositivo Gateway Enforcer" en la pgina 826. Ver "Proteccin de un punto de acceso inalmbrico mediante un dispositivo Gateway Enforcer" en la pgina 826.
823
Ver "Proteccin de servidores mediante un dispositivo Gateway Enforcer" en la pgina 826. Ver "Proteccin de servidores y clientes que no utilizan Windows mediante un dispositivo Gateway Enforcer" en la pgina 827. Ver "Requisitos para permitir a los clientes que no utilizan Windows sin autenticacin" en la pgina 828.
Dnde colocar un dispositivo Gateway Enforcer

Es posible colocar mdulos de aplicacin Gateway Enforcer en las ubicaciones donde todo el trfico debe pasar a travs de Gateway Enforcer antes de que un cliente pueda:

Conectarse a una red corporativa. Ingresar a reas protegidas de una red.
Ver "Instrucciones para las direcciones IP de un dispositivo Gateway Enforcer" en la pgina 825. Tpicamente, los dispositivos Gateway Enforcer se colocan en las ubicaciones siguientes:
VPN Entre los concentradores de la red privada virtual (VPN) y la red corporativa Entre un punto de acceso inalmbrico y la red corporativa
Punto de acceso inalmbrico (WAP) Servidores
Delante de los servidores corporativos
Las organizaciones ms grandes pueden necesitar un dispositivo Gateway Enforcer para proteger cada punto de entrada de la red. Los mdulos de aplicacin Gateway Enforcer tpicamente se ubican en diferentes subredes. En la mayora de los casos, es posible integrar dispositivos Gateway Enforcer en una red corporativa sin tener que realizar cambios de configuracin de hardware. Es posible colocar dispositivos Gateway Enforcer al lado de un punto de acceso inalmbrico (WAP) o una red privada virtual (VPN). En una red corporativa, tambin es posible salvaguardar los servidores que contienen informacin confidencial. Los dispositivos Gateway Enforcer deben utilizar dos tarjetas de interfaz de red (NIC). La Figura 40-1 proporciona un ejemplo de dnde es posible colocar dispositivos Gateway Enforcer en la configuracin de red general.
824
Figura 40-1
Disposicin de los dispositivos Gateway Enforcer

Clientes remotos VPN
Fuera de la empresa Internet Inalmbrico Dentro de la empresa
Clientes internos Clientes inalmbricos internos Punto de acceso inalmbrico NIC externa NIC interna Gateway Enforcer NIC externa NIC interna Gateway Enforcer Backbone corporativa Firewall corporativo Servidor de VPN
NIC externa NIC interna Gateway Enforcer
Clientes internos NIC externa NIC interna Gateway Enforcer Servidores protegidos
Otra ubicacin donde un dispositivo Gateway Enforcer protege una red es en un servidor de acceso remoto (RAS). Los clientes pueden utilizar una conexin de acceso telefnico para conectarse a una red corporativa. Los clientes de acceso
825
telefnico RAS se configuran de forma similar a los clientes inalmbricos y VPN. La NIC externa se conecta al servidor RAS y la NIC interna se conecta a la red.
Instrucciones para las direcciones IP de un dispositivo Gateway Enforcer

Siga estas instrucciones cuando se configura la direccin de la NIC interna para un dispositivo Gateway Enforcer:
La NIC interna de un dispositivo Gateway Enforcer debe poder comunicarse con Symantec Endpoint Protection Manager. De forma predeterminada, la NIC interna debe estar frente a Symantec Endpoint Protection Manager. Los clientes deben poder comunicarse con la direccin IP interna del dispositivo Gateway Enforcer. El servidor VPN o el punto de acceso inalmbrico pueden estar en una diferente subred. Esto funciona si los clientes pueden ser dirigidos a la misma subred que la direccin IP interna del dispositivo Gateway Enforcer. Para el dispositivo Gateway Enforcer que protege los servidores internos, la NIC interna se conecta a la VLAN que, a su vez, se conecta a los servidores. Si utiliza varios dispositivos Gateway Enforcer en una configuracin de conmutacin por error, la direccin IP de la NIC interna de cada dispositivo Gateway Enforcer debe tener su propia direccin IP nica.
El dispositivo Gateway Enforcer genera una direccin de NIC externa falsa, basada en la direccin de la NIC interna. No es necesario configurar esta direccin de nuevo si se instala otro dispositivo Gateway Enforcer. Ver "Cmo configurar un dispositivo Enforcer" en la pgina 804.
Acerca de usar dos dispositivos Gateway Enforcer en una serie

Si una red admite dos dispositivos Gateway Enforcer en una serie de modo que un cliente se conecte a la red a travs de ms de un dispositivo Gateway Enforcer, es necesario especificar el dispositivo Enforcer ms cercano a Symantec Endpoint Protection Manager como direccin IP interna de confianza del otro dispositivo Gateway Enforcer. Si no, puede haber un retraso de cinco minutos antes de que el cliente pueda conectarse a la red. Este retraso puede ocurrir cuando el cliente ejecuta una comprobacin de integridad del host que falle. Como parte de la correccin de integridad del host, el cliente descarga las actualizaciones de software necesarias. A continuacin, el cliente ejecuta la comprobacin de integridad del host de nuevo. En ese momento, la comprobacin de integridad del host se aprueba, pero el acceso de red se retrasa. Ver "Agregar una direccin IP interna de confianza para los clientes en un servidor de administracin" en la pgina 869.
826
Proteccin del acceso VPN mediante un dispositivo Gateway Enforcer

La proteccin del acceso VPN es el primer motivo, y el ms comn, por el cual se utiliza un dispositivo Gateway Enforcer. Es posible colocar dispositivos Gateway Enforcer en los puntos de entrada VPN para asegurar el acceso a una red corporativa. El dispositivo Gateway Enforcer se coloca entre el servidor VPN y la red corporativa. Permite el acceso solamente a los usuarios autorizados e impide el acceso de cualquier otra persona. Ver "Dnde colocar un dispositivo Gateway Enforcer" en la pgina 823. Ver "Cmo configurar un dispositivo Enforcer" en la pgina 804.
Proteccin de un punto de acceso inalmbrico mediante un dispositivo Gateway Enforcer

Los dispositivos Enforcer protegen la red corporativa en los puntos de acceso inalmbricos (WAP). El dispositivo Gateway Enforcer se asegura de que cualquier persona que se conecta a la red usando tecnologa inalmbrica ejecute el cliente y cumpla los requisitos de seguridad. Despus de que se cumplan estas condiciones, se concede acceso al cliente a la red. El dispositivo Gateway Enforcer se coloca entre el WAP y la red corporativa. La NIC externa apunta en la direccin del WAP y la NIC interna apunta en la direccin de la red corporativa. Ver "Dnde colocar un dispositivo Gateway Enforcer" en la pgina 823. Ver "Cmo configurar un dispositivo Enforcer" en la pgina 804.
Proteccin de servidores mediante un dispositivo Gateway Enforcer

Los dispositivos Gateway Enforcer pueden proteger los servidores corporativos que almacenan informacin confidencial en la red corporativa. Una organizacin puede colocar datos importantes en servidores que pueden encontrarse en una sala de computacin bloqueada. Solamente los administradores del sistema pueden tener acceso a la sala de computacin bloqueada. El dispositivo Gateway Enforcer acta como un bloqueo adicional en la puerta. Cumple esta funcin al permitir solamente a los usuarios que cumplen los criterios para acceder a los servidores protegidos. Los servidores localizan la NIC interna en esta configuracin. Sin embargo, los usuarios que intentan acceder deben pasar a travs de la NIC externa. Para salvaguardar estos servidores, es posible limitar el acceso solamente a los clientes con las direcciones IP sealadas y configurar normas estrictas de integridad del host. Por ejemplo, es posible configurar un dispositivo Gateway
827
Enforcer para proteger los servidores en una red. Un dispositivo Gateway Enforcer puede colocarse entre los clientes en una LAN corporativa y los servidores que salvaguarda. La NIC externa hace referencia a la LAN corporativa dentro de la compaa, y la NIC interna hace referencia a los servidores protegidos. Esta configuracin impide que los usuarios o los clientes no autorizados accedan a los servidores. Ver "Dnde colocar un dispositivo Gateway Enforcer" en la pgina 823. Ver "Cmo configurar un dispositivo Enforcer" en la pgina 804.
Proteccin de servidores y clientes que no utilizan Windows mediante un dispositivo Gateway Enforcer
Es posible instalar los servidores y los clientes en Microsoft Windows y otros sistemas operativos. Sin embargo, el dispositivo Gateway Enforcer no puede autenticar servidores ni clientes que no se ejecuten en un equipo que no admita Microsoft Windows. Si una organizacin incluye los servidores y los clientes con los sistemas operativos en los cuales el software de cliente no est instalado, debe decidir cul de los mtodos siguientes usar:

Implementacin de compatibilidad a travs de un dispositivo Gateway Enforcer. Ver "Implementacin de clientes que no utilizan Windows a travs de un dispositivo Gateway Enforcer" en la pgina 827. Implementacin de compatibilidad sin un dispositivo Gateway Enforcer. Ver "Implementacin de clientes que no utilizan Windows sin un dispositivo Gateway Enforcer" en la pgina 828.
Implementacin de clientes que no utilizan Windows a travs de un dispositivo Gateway Enforcer

Es posible implementar la compatibilidad para los clientes que no utilizan Windows mediante la configuracin del dispositivo Gateway Enforcer para permitir que todos los clientes que no utilizan Windows accedan a la red. Si se configura el dispositivo Gateway Enforcer de esta manera, realiza la deteccin del sistema operativo para identificar los clientes que ejecutan sistemas operativos que no son de Windows. Ver "Dnde colocar un dispositivo Gateway Enforcer" en la pgina 823. Ver "Cmo configurar un dispositivo Enforcer" en la pgina 804.
828
Implementacin de clientes que no utilizan Windows sin un dispositivo Gateway Enforcer

Es posible implementar compatibilidad para los clientes que no utilizan Windows permitiendo que los clientes que no son de Windows accedan a la red a travs de un punto de acceso separado. Es posible conectar los siguientes clientes que admiten sistemas operativos que no son de Windows a travs de un servidor VPN separado:
Un servidor VPN puede admitir clientes que tienen el software de cliente instalado. Los equipos cliente basados en Windows pueden conectarse a la red corporativa a travs de un dispositivo Gateway Enforcer. Otros El servidor VPN admite clientes que ejecutan sistemas operativos que no son de Windows. Entonces, el equipo cliente que no est basado en Windows puede conectarse a la red corporativa sin un dispositivo Gateway Enforcer.
Ver "Dnde colocar un dispositivo Gateway Enforcer" en la pgina 823. Ver "Cmo configurar un dispositivo Enforcer" en la pgina 804.
Requisitos para permitir a los clientes que no utilizan Windows sin autenticacin
Es posible configurar el dispositivo Gateway Enforcer para permitir los clientes que no utilizan Windows sin autenticacin. Ver "Requisitos para clientes que no utilizan Windows" en la pgina 829. Cuando un cliente intenta acceder a la red por medio de un dispositivo Gateway Enforcer, el dispositivo Enforcer primero comprueba si el software de cliente ha sido instalado en el equipo cliente. Si el cliente no se ejecuta y la opcin de permitir los clientes que no utilizan Windows est configurada, el dispositivo Gateway Enforcer comprueba el sistema operativo.. Comprueba el sistema operativo enviando paquetes de informacin para sondear el cliente a fin de detectar el tipo de sistema operativo que ejecuta actualmente. Si el cliente ejecuta un sistema operativo que no es Windows, se le permite el acceso de red regular.
Requisitos para los clientes de Windows

Cuando un dispositivo Gateway Enforcer se configura para permitir que los clientes que no son de Windows se conecten a una red, primero intenta determinar cul es el sistema operativo del cliente. Si el sistema operativo es un sistema operativo basado en Windows, el dispositivo Gateway Enforcer autentica el cliente. Si no,
Planificacin para la instalacin del dispositivo Gateway Enforcer Configuracin de la NIC del dispositivo Gateway Enforcer
829
el dispositivo Gateway Enforcer permite que el cliente se conecte a la red sin la autenticacin. El dispositivo Gateway Enforcer detecta correctamente el sistema operativo Windows si el cliente con Windows cumple los siguientes requisitos:
La opcin Cliente para redes Microsoft debe estar instalada y habilitada en el cliente. Consulte la documentacin de Windows. El puerto UDP 137 debe estar abierto en el cliente. Debe ser accesible para Gateway Enforcer.
Si un cliente de Windows no cumple estos requisitos, el dispositivo Gateway Enforcer puede interpretar el cliente de Windows como un cliente que no utiliza Windows. Por lo tanto, el dispositivo Gateway Enforcer puede permitir que el cliente que no utiliza Windows se conecte a la red sin autenticacin. Ver "Permitir que los clientes que no utilizan Windows se conecten a una red sin autenticacin" en la pgina 857.
Requisitos para clientes que no utilizan Windows

El dispositivo Gateway Enforcer debe cumplir los siguientes requisitos antes de que permita que un cliente de Macintosh se conecte a una red:
El Uso compartido de Windows debe estar activado. Se habilita esta configuracin predeterminada. El firewall integrado de Macintosh debe estar apagado. sta es la opcin predeterminada.
Gateway Enforcer tiene el requisito siguiente para permitir un cliente de Linux::
El sistema Linux debe ejecutar el servicio Samba.
Ver "Permitir que los clientes que no utilizan Windows se conecten a una red sin autenticacin" en la pgina 857.
Configuracin de la NIC del dispositivo Gateway Enforcer

Las tarjetas de interfaz de red (NIC) en un dispositivo Gateway Enforcer se configuran de forma predeterminada para usar eth0 para la NIC interna. La NIC interna debe conectarse a Symantec Endpoint Protection Manager. Es posible utilizar el comando configure interface-role si es necesario modificar qu NIC es externa y cul es interna.
830
Planificacin para la instalacin del dispositivo Gateway Enforcer Planificacin conmutacin por error de dispositivos Gateway Enforcer
Nota: Si usa Gateway Enforcer para descargar clientes bajo demanda y ha habilitado el enlace 801.q en el conmutador, compruebe la velocidad de conexin de NIC. Para descargar correctamente el cliente bajo demanda, ambas NIC deben conectarse al conmutador con la misma velocidad de conexin. Ver "Comandos de nivel superior" en la pgina 1139.
Planificacin conmutacin por error de dispositivos Gateway Enforcer

Una empresa puede admitir dos dispositivos Gateway Enforcer configurados para continuar funcionando cuando uno de los dispositivos Gateway Enforcer falla. Si un dispositivo Gateway Enforcer falla en una red que no est configurada para la conmutacin por error, el acceso a la red de esa ubicacin se bloquea automticamente. Si un dispositivo Gateway Enforcer falla en una red que no permita la conmutacin por error, los clientes no podrn conectarse a la red. Se sigue bloqueando el acceso de los clientes a la red hasta que el problema con el dispositivo Gateway Enforcer se corrija. Para un dispositivo Gateway Enforcer, la conmutacin por error se implementa mediante el dispositivo Gateway Enforcer y no mediante conmutadores de otro fabricante. Si la configuracin se establece correctamente, Symantec Endpoint Protection Manager sincroniza automticamente la configuracin de los dispositivos Gateway Enforcer para la conmutacin por error. Nota: Las funcionalidades de la conmutacin por error no son posibles si configuran los Enforcers en modo de apertura en caso de error. Elija tener funcionalidades de conmutacin por error o de apertura en caso de error. Las opciones se excluyen mutuamente. Ver "Configurar dispositivos Gateway Enforcer para conmutacin por error" en la pgina 834. Ver "Planificacin de apertura y cierre en caso de error para un dispositivo Gateway Enforcer" en la pgina 834.
Cmo funciona la conmutacin por error con los dispositivos Gateway Enforcer en la red
El dispositivo Gateway Enforcer en funcionamiento se denomina dispositivo Gateway Enforcer activo. El dispositivo Gateway Enforcer de reserva se llama dispositivo Gateway Enforcer en espera. El dispositivo Gateway Enforcer activo
831
tambin se denomina dispositivo Gateway Enforcer primario. Si el dispositivo Gateway Enforcer activo falla, el dispositivo Gateway Enforcer en espera asume el control las tareas de aplicacin. La secuencia en la cual se inician los dos dispositivos Gateway Enforcer es la siguiente:
Cuando se inicia el primer dispositivo Gateway Enforcer, se ejecuta en modo de espera. Mientras est en modo espera, consulta la red para determinar si hay otro dispositivo Gateway Enforcer en ejecucin. Enva tres consultas para buscar otro Gateway Enforcer. Por lo tanto, puede tardar varios minutos en modificar su estado a En lnea. Si el primer dispositivo Gateway Enforcer no detecta otro dispositivo Gateway Enforcer, el primero se convierte en el dispositivo Gateway Enforcer activo. Mientras que el dispositivo Gateway Enforcer activo se ejecute, difunde los paquetes de conmutacin por error en las redes internas y externas. Contina difundiendo los paquetes de conmutacin por error. Cuando se inicia el segundo dispositivo Gateway Enforcer, se ejecuta en modo de espera. Consulta la red para determinar si hay otro dispositivo Gateway Enforcer en ejecucin. El segundo dispositivo Gateway Enforcer detecta el dispositivo Gateway Enforcer activo que se est ejecutando y, por lo tanto, permanece en modo de espera. Si el dispositivo Gateway Enforcer activo falla, se detiene para difundir paquetes de conmutacin por error. El dispositivo Gateway Enforcer en espera ya no detecta un dispositivo Gateway Enforcer activo. Por lo tanto, ahora se convierte en el dispositivo Gateway Enforcer activo que maneja las conexiones de red y la seguridad en esta ubicacin. Si se inicia el otro dispositivo Gateway Enforcer, ste permanece como dispositivo Gateway Enforcer en espera porque detecta que otro dispositivo Gateway Enforcer est funcionando.
Ver "Configurar dispositivos Gateway Enforcer para conmutacin por error" en la pgina 834.
Dnde colocar dispositivos Gateway Enforcer para la conmutacin por error en una red con una o ms VLAN
Se configura un dispositivo Gateway Enforcer para la conmutacin por error por su ubicacin fsica y por la configuracin que se realiza en Symantec Endpoint Protection Manager. Si utiliza un hub que admita varias VLAN, es posible utilizar
832
solamente una VLAN a menos que se integre un conmutador compatible con 802.1q en vez de un hub. El dispositivo Gateway Enforcer para la conmutacin por error se debe configurar en el mismo segmento de la red. No se puede instalar un router o un gateway entre los dos dispositivos Gateway Enforcer. Un router o gateway no remite el paquete de conmutacin por error. Las NIC internas deben conectarse a la red interna mediante el mismo conmutador o hub. Las NIC externas deben conectarse al servidor de VPN externa o al punto de acceso mediante el mismo conmutador o hub. Se utilizan procesos similares para configurar dispositivos Gateway Enforcer para la conmutacin por error en un AP inalmbrico, un RAS de acceso telefnico u otros puntos de acceso. Las NIC externas de ambos dispositivos Gateway Enforcer se conectan a la red externa a travs de un AP inalmbrico o un servidor RAS. Las NIC internas se conectan a la red interna o al rea que est protegida. En la Figura 40-2 se muestra cmo configurar dos dispositivos Gateway Enforcer para que la conmutacin por error proteja el acceso de red en un concentrador VPN.
833
Figura 40-2
Disposicin de dos dispositivos Gateway Enforcer

Clientes remotos
VPN
Fuera de la empresa Internet Dentro de la empresa
Clientes internos Firewall corporativo Firewall corporativo NIC externa NIC interna Gateway Enforcer 1 NIC externa Hub/VLAN NIC interna Gateway Enforcer 2
Hub/VLAN
Red troncal corporativa
Clientes internos Servidores protegidos
Ver "Configurar dispositivos Gateway Enforcer para conmutacin por error" en la pgina 834.
834
Planificacin para la instalacin del dispositivo Gateway Enforcer Planificacin de apertura y cierre en caso de error para un dispositivo Gateway Enforcer
Configurar dispositivos Gateway Enforcer para conmutacin por error

Se debe familiarizar con los conceptos que estn implicados en la conmutacin de error del dispositivo Gateway Enforcer antes de configurar dispositivos Enforcer en espera. Ver "Cmo funciona la conmutacin por error con los dispositivos Gateway Enforcer en la red" en la pgina 830. Para configurar dispositivos Gateway Enforcer para conmutacin por error
Coloque los equipos en la red. Ver "Dnde colocar dispositivos Gateway Enforcer para la conmutacin por error en una red con una o ms VLAN" en la pgina 831.
Configure las NIC internas. Las NIC externas de varios dispositivos Gateway Enforcer deben cada una tener una diferente direccin IP. Ver "Instrucciones para las direcciones IP de un dispositivo Gateway Enforcer" en la pgina 825.
Planificacin de apertura y cierre en caso de error para un dispositivo Gateway Enforcer

La falla en estado abierto est disponible para los modelos del dispositivo Gateway Enforcer con una NIC con falla en estado abierto. La falla en estado abierto es una alternativa de la conmutacin por error que proporciona disponibilidad de red cuando el servicio de Enforcer no est disponible. Nota: A partir de Symantec Network Access Control versin 11.0 RU6 MP1, Enforcer viene con una tarjeta Silcom NIC Enforcers que est configurada en modo de apertura en caso de error. Para configurar Enforcer en modo de cierre en caso de error, emita el siguiente comando de la CLI:
configure interface failopen disable
Nota: Las funcionalidades de la conmutacin por error no son posibles si configuran los Enforcers en modo de apertura en caso de error. Elija tener funcionalidades de conmutacin por error o de apertura en caso de error. Las opciones se excluyen mutuamente. Ver "Instalar un dispositivo Enforcer" en la pgina 802.
835
Ver "Planificacin conmutacin por error de dispositivos Gateway Enforcer" en la pgina 830.
836
Captulo
41
Configuracin del dispositivo Symantec Gateway Enforcer de Symantec Endpoint Protection Manager
Acerca de configurar el dispositivo Symantec Gateway Enforcer en la consola de Symantec Endpoint Protection Manager Cambiar valores de configuracin del dispositivo Gateway Enforcer en Symantec Endpoint Protection Manager Acerca de la configuracin general en un dispositivo Gateway Acerca de la configuracin de la autenticacin en un dispositivo Gateway Configuracin del intervalo de autenticacin Acerca de la configuracin avanzada del dispositivo Gateway Enforcer
838
Configuracin del dispositivo Symantec Gateway Enforcer de Symantec Endpoint Protection Manager Acerca de configurar el dispositivo Symantec Gateway Enforcer en la consola de Symantec Endpoint Protection Manager
Acerca de configurar el dispositivo Symantec Gateway Enforcer en la consola de Symantec Endpoint Protection Manager
Es posible agregar o editar la configuracin para el dispositivo Gateway Enforcer en la consola de Symantec Endpoint Protection Manager. Antes de que pueda proceder, es necesario completar las siguientes tareas:
Instale el software para Symantec Endpoint Protection Manager en un equipo. Ver "Cmo instalar el servidor de administracin y la consola" en la pgina 99. El equipo en el cual el software de Symantec Endpoint Protection Manager est instalado adems se conoce como el servidor de administracin. Conecte el dispositivo Symantec Gateway Enforcer a la red. Ver "Cmo configurar un dispositivo Enforcer" en la pgina 804. Configure el dispositivo Symantec Gateway Enforcer en la consola local de Gateway Enforcer durante la instalacin. Ver "Cmo configurar un dispositivo Enforcer" en la pgina 806.
Una vez que finalice estas tareas, es posible especificar todas las opciones de configuracin adicionales para el dispositivo Gateway Enforcer en un servidor de administracin. Cuando se instala un dispositivo Gateway Enforcer, un nmero de configuraciones y puertos predeterminados se configuran automticamente. Las configuraciones predeterminadas del dispositivo Gateway Enforcer en Symantec Endpoint Protection Manager permiten que todos los clientes se conecten a la red si el cliente aprueba la comprobacin de integridad del host. El dispositivo Gateway Enforcer acta como puente. Por lo tanto es posible completar el proceso de configuracin del dispositivo Gateway Enforcer e implementar clientes sin bloquear el acceso a la red. Sin embargo, es necesario cambiar la configuracin predeterminada en Symantec Endpoint Protection Manager para limitar qu clientes tienen permitido el acceso sin autenticacin. Opcionalmente, hay otras opciones de configuracin predeterminadas de Enforcer para el dispositivo Gateway Enforcer que pueden personalizarse antes de comenzar la implementacin.
Configuracin del dispositivo Symantec Gateway Enforcer de Symantec Endpoint Protection Manager Cambiar valores de configuracin del dispositivo Gateway Enforcer en Symantec Endpoint Protection Manager
839
Cambiar valores de configuracin del dispositivo Gateway Enforcer en Symantec Endpoint Protection Manager
Es posible modificar las opciones de configuracin del dispositivo Gateway Enforcer en un servidor de administracin. Las opciones de configuracin se descargan automticamente del servidor de administracin al dispositivo Gateway Enforcer durante el latido siguiente. Para cambiar valores de configuracin del dispositivo Gateway Enforcer en Symantec Endpoint Protection Manager
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, haga clic en Servidores. En Servidores, seleccione el grupo de mdulos de aplicacin Enforcer del que el dispositivo Gateway Enforcer es un miembro. El grupo de Enforcer debe incluir el dispositivo Gateway Enforcer para el cual las opciones de configuracin deben modificarse.
Seleccione el dispositivo Gateway Enforcer para el cual la configuracin se debe cambiar.
840
En Tareas, haga clic en Editar propiedades de grupo.
841
En el cuadro de dilogo Configuracin, modifique cualquiera de las opciones de configuracin. El cuadro de dilogo Configuracin de Gateway Enforcer proporciona las categoras siguientes de opciones de configuracin:
General Configuracin de la descripcin del grupo y la lista de servidores de administracin de Enforcer. Ver "Acerca de la configuracin general en un dispositivo Gateway" en la pgina 842. Autenticacin Configuracin para una variedad de parmetros que afectan el proceso de autenticacin del cliente. Si an no se encuentra una direccin que coincida, el dispositivo Gateway Enforcer comienza la sesin de autenticacin y enva el paquete de desafo. Ver "Acerca de la configuracin de la autenticacin en un dispositivo Gateway" en la pgina 846. Intervalo de aut. Configuracin que especifica una direccin IP individual para un cliente o intervalos de direcciones IP para los clientes que necesitan ser autenticados. Es posible tambin especificar una direccin IP individual o intervalos de direcciones IP para los clientes a los que se permite conectarse a una red sin autenticacin. Ver "Configuracin del intervalo de autenticacin" en la pgina 861. Avanzado Configuracin para los parmetros de tiempos de espera de la autenticacin y tiempos de espera de mensaje del dispositivo Gateway Enforcer. Configuracin para las direcciones MAC para los hosts de confianza que el dispositivo Gateway Enforcer permite que se conecten sin autenticacin (opcional). Configuracin para Falsificacin de DNS y Autenticacin local. Configuracin para los protocolos que se permitirn sin bloquear clientes. Ver "Acerca de la configuracin avanzada del dispositivo Gateway Enforcer" en la pgina 873.
842
Configuracin del dispositivo Symantec Gateway Enforcer de Symantec Endpoint Protection Manager Acerca de la configuracin general en un dispositivo Gateway
Configuracin del registro
Configuracin para habilitar el registro de los registros de servidor y los registros de actividades del cliente, y para especificar parmetros del archivo de registro. Ver "Acerca de los informes y registros de Enforcer" en la pgina 953. Ver "Configurar opciones de registro de Enforcer" en la pgina 954.
Acerca de la configuracin general en un dispositivo Gateway

Es posible agregar o editar la descripcin de un dispositivo Gateway Enforcer o de un grupo de dispositivos Gateway Enforcer en Symantec Endpoint Protection Manager. Ver "Agregar o editar la descripcin de un grupo de dispositivos Gateway Enforcer" en la pgina 843. Ver "Agregar o editar la descripcin de un dispositivo Gateway Enforcer" en la pgina 843. No es posible agregar ni editar el nombre de un grupo de dispositivos Gateway Enforcer en Symantec Endpoint Protection Manager. No es posible agregar ni editar la direccin IP o el nombre del host de un dispositivo Gateway Enforcer en Symantec Endpoint Protection Manager. En cambio, es necesario realizar estas tareas en la consola de Enforcer. Es posible agregar o editar la direccin IP o el nombre de host de un dispositivo Gateway Enforcer en una lista de servidores de administracin. Ver "Agregar o editar la direccin IP o el nombre de host del dispositivo Gateway Enforcer" en la pgina 844. Tambin se puede agregar o editar la direccin IP o el nombre de host de Symantec Endpoint Protection Manager en una lista de servidores de administracin. Ver "Establecer la comunicacin entre un dispositivo Gateway Enforcer y Symantec Endpoint Protection Manager a travs de una lista de servidores de administracin y el archivo conf.properties" en la pgina 844.
843
Agregar o editar la descripcin de un grupo de dispositivos Gateway Enforcer

Es posible agregar o editar la descripcin de un grupo de Enforcer al cual pertenece un dispositivo Symantec Gateway Enforcer. Es posible realizar esta tarea en la consola de Symantec Endpoint Protection Manager en vez de realizarla en la consola de Enforcer. Ver "Acerca de configurar el dispositivo Symantec Gateway Enforcer en la consola de Symantec Endpoint Protection Manager" en la pgina 838. Ver "Acerca de la configuracin general en un dispositivo Gateway" en la pgina 842. Para agregar o editar la descripcin de un grupo de dispositivos Gateway Enforcer
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione y expanda el dispositivo Gateway Enforcer cuya descripcin se desea agregar o editar. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin, en la ficha General, agregue o edite una descripcin para el grupo de dispositivos Gateway Enforcer en el campo Descripcin. Haga clic en Aceptar.
Agregar o editar la descripcin de un dispositivo Gateway Enforcer

Es posible agregar o editar la descripcin del dispositivo Gateway Enforcer. Es posible realizar esta tarea en la consola de Symantec Endpoint Protection Manager en vez de realizarla en la consola de Enforcer. Una vez que complete esta tarea, la descripcin aparecer en el campo Descripcin del panel Servidor de administracin. Ver "Acerca de la configuracin general en un dispositivo Gateway" en la pgina 842. Ver "Acerca de configurar el dispositivo Symantec Gateway Enforcer en la consola de Symantec Endpoint Protection Manager" en la pgina 838. Para agregar o editar la descripcin de un dispositivo Gateway Enforcer
1 2
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores.
844
3 4 5 6 7
Seleccione y expanda el dispositivo Gateway Enforcer cuya descripcin se desea agregar o editar. Seleccione el dispositivo Gateway Enforcer cuya descripcin desea agregar o editar. En Tareas, haga clic en Editar propiedades de Enforcer. En el cuadro de dilogo Propiedades de Enforcer, agregue o edite una descripcin para el dispositivo Gateway Enforcer en el campo Descripcin. Haga clic en Aceptar.
Agregar o editar la direccin IP o el nombre de host del dispositivo Gateway Enforcer

Solamente es posible modificar la direccin IP o el nombre de host de un dispositivo Gateway Enforcer en la consola de Gateway Enforcer durante la instalacin. Si desea modificar la direccin IP o el nombre de host de un dispositivo Gateway Enforcer ms adelante, es posible hacerlo en la consola de Gateway Enforcer. Ver "Acerca de la jerarqua de comandos de la CLI del dispositivo Enforcer" en la pgina 1131. Ver "Acerca de configurar el dispositivo Symantec Gateway Enforcer en la consola de Symantec Endpoint Protection Manager" en la pgina 838. Ver "Acerca de la configuracin general en un dispositivo Gateway" en la pgina 842.
Establecer la comunicacin entre un dispositivo Gateway Enforcer y Symantec Endpoint Protection Manager a travs de una lista de servidores de administracin y el archivo conf.properties
Los dispositivos Gateway Enforcer deben poder conectarse a los servidores en los cuales Symantec Endpoint Protection Manager est instalado. Symantec Endpoint Protection Manager incluye un archivo que ayuda a administrar el trfico entre los clientes, los servidores de administracin y los mdulos de Enforcer opcionales, como un dispositivo Gateway Enforcer. Este archivo se denomina lista de servidores de administracin. La lista de servidores de administracin especifica a qu Symantec Endpoint Protection Manager se conecta Gateway Enforcer. Adems, especifica a qu Symantec Endpoint Protection se conecta Gateway Enforcer en caso de error de un servidor de administracin. Una lista predeterminada de servidores de administracin se crea automticamente para cada sitio durante la instalacin inicial. Todos los servidores de administracin
845
disponibles en ese sitio se agregan automticamente a la lista de servidores de administracin predeterminada. Una lista predeterminada de servidores de administracin incluye las direcciones IP o los nombres de host del servidor de administracin al cual los dispositivos Gateway Enforcer pueden conectarse despus de la instalacin inicial. Es conveniente crear una lista personalizada de servidores de administracin antes de implementar cualquier dispositivo Gateway Enforcer. Si crea una lista personalizada de servidores de administracin, es posible especificar la prioridad con la cual un dispositivo Gateway Enforcer puede conectarse a los servidores de administracin. Si un administrador ha creado varias listas de servidores de administracin, es posible seleccionar la lista especfica de servidores de administracin que incluye las direcciones IP o los nombres de host de los servidores de administracin a los que es necesario que el dispositivo Gateway Enforcer se conecte. Si hay solamente un servidor de administracin en un sitio, es posible seleccionar la lista predeterminada de servidores de administracin. Ver "Configuracin de una lista de servidores de administracin" en la pgina 722. Ver "Acerca de configurar el dispositivo Symantec Gateway Enforcer en la consola de Symantec Endpoint Protection Manager" en la pgina 838. Ver "Acerca de la configuracin general en un dispositivo Gateway" en la pgina 842. Para establecer la comunicacin entre Gateway Enforcer y Symantec Endpoint Protection Manager
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione y expanda el grupo de Enforcers. El grupo de Enforcer debe incluir el dispositivo Gateway Enforcer para el cual desee modificar la direccin IP o el nombre de host en una lista de servidores de administracin.
4 5
En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin, en la ficha General, en Comunicacin, seleccione la lista de servidores de administracin que desee que el dispositivo Gateway Enforcer use. Haga clic en Seleccionar. Es posible ver las direcciones IP y los nombres de host de todos los servidores de administracin disponibles, adems de las prioridades que se les han asignado.
846
Configuracin del dispositivo Symantec Gateway Enforcer de Symantec Endpoint Protection Manager Acerca de la configuracin de la autenticacin en un dispositivo Gateway
7 8
En el cuadro de dilogo Lista de servidores de administracin, haga clic en Cerrar. En el cuadro de dilogo Configuracin, haga clic en Aceptar.
Es posible tambin activar o desactivar si el servidor de administracin est escuchando a Enforcer, cambiando una lnea en el archivo conf.properties. Para configurar el servidor de administracin a fin de que escuche el subproceso de Enforcer editando el archivo conf.properties
Abra el archivo conf.properties en un programa de edicin de texto simple, tal como el Bloc de notas. El archivo conf.properties se encuentra en la carpeta siguiente: C:\Program Files\Symantec\Symantec Endpoint Protection Manager\tomcat\etc.
2 3 4
Busque la lnea que comienza con scm.radius.port.enabled Para deshabilitar el subproceso de Enforcer, aada =0 al final la lnea, lo que dar como resultado scm.radius.port.enabled=0 Para habilitar el subproceso de Enforcer , aada =1 a la lnea, lo que dar como resultado scm.radius.port.enabled=1
Acerca de la configuracin de la autenticacin en un dispositivo Gateway

Es posible especificar un nmero de opciones de autenticacin para una sesin de autenticacin del dispositivo Gateway Enforcer. Cuando se aplican los cambios, estos se envan automticamente al dispositivo Gateway Enforcer seleccionado durante el latido siguiente. Ver "Configuracin de la autenticacin en un dispositivo Gateway" en la pgina 846.
Configuracin de la autenticacin en un dispositivo Gateway

Es conveniente implementar varias opciones de autenticacin para proteger ms la red. La Tabla 41-1 proporciona ms informacin sobre las opciones en la ficha Autenticacin.
847
Tabla 41-1
Opciones de configuracin de autenticacin para el dispositivo Gateway Enforcer Descripcin

El nmero mximo de paquetes que el dispositivo Gateway Enforcer enva en cada sesin de autenticacin. El nmero predeterminado es 10 paquetes. El intervalo es de 2 a 100 paquetes. Ver "Especificar el nmero mximo de paquetes de desafo durante una sesin de autenticacin" en la pgina 852.
Opcin
Cantidad mxima de paquetes por sesin de autenticacin
Tiempo entre los paquetes en El tiempo en segundos entre cada paquete que Enforcer la sesin de autenticacin enva. (segundos) El valor predeterminado es 3 segundos. El intervalo es de 3 a 10. Ver "Especificar la frecuencia de los paquetes de desafo que se enviarn a los clientes" en la pgina 853. Tiempo durante el cual se bloquear al cliente rechazado (segundos) La cantidad de tiempo en segundos durante la cual un cliente se bloquea despus de que falle la autenticacin. La configuracin predeterminada es 30 segundos. El intervalo es de 10 a 300 segundos. Ver "Especificar el perodo durante el cual un cliente queda bloqueado despus de que falle la autenticacin" en la pgina 854. Tiempo durante el cual se admitir al cliente autenticado (segundos) La cantidad de tiempo en segundos durante la cual se permite a un cliente conservar su conexin de red sin reautenticacin. La configuracin predeterminada es 30 segundos. El intervalo es de 10 a 300 segundos. Ver "Especificar el perodo durante el cual se permite a un cliente conservar su conexin de red sin reautenticacin" en la pgina 855.
848
Opcin
Permitir todos los clientes, pero seguir registrando aquellos que no estn autenticados
Descripcin
Si se habilita esta opcin, el dispositivo Gateway Enforcer autentica todos los usuarios comprobando que estn ejecutando un cliente. El dispositivo Gateway Enforcer adems comprueba si el cliente pas la comprobacin de integridad del host. Si el cliente aprueba la comprobacin de integridad del host, el dispositivo Gateway Enforcer registra los resultados. A continuacin, transmite la solicitud de Gateway para recibir una configuracin de red normal, en lugar de una configuracin de red de cuarentena, sin importar si aprueba o falla la comprobacin. En la configuracin predeterminada, no se habilita. Ver "Permitir todos los clientes con el registro continuo de clientes no autenticados" en la pgina 855.
Permitir todos los clientes Si se habilita esta opcin, Gateway Enforcer comprueba el con sistemas operativos que sistema operativo del cliente. El dispositivo Gateway no sean Windows Enforcer entonces permite que todos los clientes que no ejecuten sistemas operativos de Windows reciban una configuracin de red normal sin ser autenticados. Si esta opcin no se habilita, los clientes reciben una configuracin de red de cuarentena. En la configuracin predeterminada, no se habilita. Ver "Permitir que los clientes que no utilizan Windows se conecten a una red sin autenticacin" en la pgina 857. Comprobar el nmero de serie de la poltica en el cliente antes de permitir que acceda a la red Si se habilita esta opcin, el dispositivo Gateway Enforcer verifica que el cliente haya recibido las ltimas polticas de seguridad del servidor de administracin. Si el nmero de serie de la poltica no es el ms reciente, Gateway Enforcer notifica al cliente para que actualice su poltica de seguridad. El cliente entonces transmite la solicitud de Gateway para recibir una configuracin de red de cuarentena. Si esta opcin no se habilita y si la comprobacin de integridad del host es correcta, el dispositivo Gateway Enforcer transmite la solicitud de Gateway para recibir una configuracin de red normal. Gateway Enforcer remite la solicitud, incluso si el cliente no tiene la ltima poltica de seguridad. En la configuracin predeterminada, no se habilita. Ver "Cmo comprobar el nmero de serie de la poltica en un cliente" en la pgina 858.
849
Opcin
Descripcin
Habilitar el mensaje Si se habilita esta opcin, se muestra un mensaje a los emergente en el cliente si el usuarios en los equipos con Windows que intentan cliente no se est ejecutando conectarse a una red empresarial sin ejecutar un cliente. El mensaje predeterminado est configurado para mostrarse solo una vez. El mensaje dice a los usuarios que estn bloqueados y no pueden acceder a la red porque no se est ejecutando un cliente y les indica que lo instalen. Para editar el mensaje o modificar cuantas veces se visualiza, es posible hacer clic en Message (Mensaje). La longitud de mensaje mxima es de 128 caracteres. La configuracin predeterminada est habilitada.
Nota: Los mensajes emergentes no aparecen en clientes

Mac. Ver "Enviar un mensaje del dispositivo Gateway Enforcer a un cliente sobre incumplimiento" en la pgina 859. Habilitar la redireccin HTTP Si se habilita esta opcin, Gateway Enforcer puede redirigir en el cliente si este no se est los clientes a un sitio web de reparacin. ejecutando Si se habilita esta opcin, el dispositivo Gateway Enforcer redirige las solicitudes HTTP a un servidor web interno si el cliente no se ejecuta. Esta opcin no se puede habilitar sin especificar la URL. La configuracin predeterminada se habilita, con el valor http://localhost. Ver "Redireccin de solicitudes HTTP a una pgina web" en la pgina 860. URL de redireccin HTTP Es posible especificar una URL de hasta 255 caracteres cuando se redirigen los clientes a un sitio web de reparacin. La configuracin predeterminada para la URL de redireccin es http://localhost. Ver "Redireccin de solicitudes HTTP a una pgina web" en la pgina 860.
850
Opcin
Descripcin
Puerto de redireccin HTTP Es posible especificar un nmero de puerto, con excepcin del 80, cuando se redirigen los clientes a un sitio web de reparacin. La configuracin predeterminada para el servidor web es el puerto 80. Ver "Redireccin de solicitudes HTTP a una pgina web" en la pgina 860.
Acerca de las sesiones de autenticacin en Gateway Enforcer dispositivo

Cuando un cliente intenta acceder a la red interna, Gateway Enforcer establece una sesin de autenticacin con este. Una sesin de autenticacin es un conjunto de paquetes de desafo enviados desde un dispositivo Gateway Enforcer a un cliente. Durante una sesin de autenticacin, el dispositivo Gateway Enforcer enva un paquete de desafo al cliente en una frecuencia especificada. La configuracin predeterminada es cada 3 segundos. Sigue enviando paquetes hasta que recibe una respuesta del cliente o hasta que ha enviado el nmero mximo de paquetes especificados. El nmero predeterminado es 10 paquetes. Si el cliente responde y aprueba la autenticacin, el dispositivo Gateway Enforcer le otorga acceso a la red interna durante un nmero especificado de segundos. La configuracin predeterminada es de 30 segundos. El dispositivo Gateway Enforcer inicia una nueva sesin de autenticacin durante la cual el cliente debe responder para conservar la conexin a la red interna. El dispositivo Gateway Enforcer desconecta los clientes que no responden o son rechazados porque fallan la autenticacin. Si el cliente no responde o falla la autenticacin, el dispositivo Gateway Enforcer lo bloquea durante un nmero especificado de segundos. La configuracin predeterminada es de 30 segundos. Si otro cliente intenta iniciar sesin usando esa misma direccin IP, tiene que ser reautenticada. Es posible configurar la sesin de autenticacin para cada dispositivo Gateway Enforcer en el servidor de administracin. Ver "Cambiar valores de configuracin del dispositivo Gateway Enforcer en Symantec Endpoint Protection Manager" en la pgina 839. Ver "Configuracin de la autenticacin en un dispositivo Gateway" en la pgina 846.
851
Acerca de la autenticacin de clientes en Gateway Enforcer dispositivo

El dispositivo Gateway Enforcer autentica los clientes remotos antes de permitir el acceso a la red. La autenticacin del cliente en Gateway Enforcer realiza las siguientes funciones:
Determina si se autenticar el cliente o se lo permitir sin autenticacin. Es posible especificar clientes individuales o intervalos de direcciones IP en los que se confiar o que se autenticarn en la ficha Intervalo de aut. Realiza la sesin de autenticacin. Se configuran las opciones para la sesin de autenticacin en la ficha Autenticacin.
Cada Gateway Enforcer mantiene las siguientes listas de direcciones IP de confianza a las que se permite conectarse a la red a travs de Gateway Enforcer:
Una lista esttica Las direcciones IP externas de confianza que se configuran para Enforcer en la ficha Intervalo de aut. Una lista dinmica Las direcciones IP de confianza adicionales que se agregan y se descartan como clientes son autenticadas, reciben permiso para conectarse a la red y finalmente son desconectadas.
Cuando el trfico llega desde un nuevo cliente, el dispositivo Gateway Enforcer determina si este cliente est incluido en la lista de direcciones IP de clientes de confianza. Si el cliente tiene una direccin IP de confianza, se permite en la red sin autenticacin adicional. Si al cliente le falta una direccin IP de confianza, el dispositivo Gateway Enforcer comprueba si la direccin IP de confianza est dentro del intervalo de la direccin IP del cliente para los clientes que se deben autenticar. Si la direccin IP del cliente est dentro del intervalo de direcciones IP del cliente, el dispositivo Gateway Enforcer comienza una sesin de autenticacin. Durante la sesin de autenticacin, el cliente enva su nmero de ID nico, los resultados de la comprobacin de integridad del host y su nmero de serie de polticas. El nmero de serie de polticas identifica si las polticas de seguridad del cliente estn actualizadas. El dispositivo Gateway Enforcer comprueba los resultados. Puede comprobar opcionalmente el nmero de serie de las polticas. Si los resultados son vlidos, el dispositivo Gateway Enforcer da al cliente un estado autenticado y permite el acceso de red al cliente. Si los resultados no son vlidos, el dispositivo Gateway Enforcer bloquea el cliente y le impide conectarse a la red.
852
Cuando se autentica un cliente, se agrega la direccin IP de ese cliente a la lista dinmica con un temporizador. El intervalo predeterminado del temporizador es de 30 segundos. Despus de que haya transcurrido el intervalo del temporizador, el dispositivo Gateway Enforcer comienza una nueva sesin de autenticacin con el cliente. Si el cliente no responde o falla la autenticacin, se elimina la direccin IP del cliente de la lista. La direccin IP tambin se bloquea durante un intervalo especificado. La configuracin predeterminada es 30 segundos. Cuando otro cliente intenta iniciar sesin usando esa misma direccin IP, este tiene que ser reautenticado. Ver "Configuracin de la autenticacin en un dispositivo Gateway" en la pgina 846.
Especificar el nmero mximo de paquetes de desafo durante una sesin de autenticacin

Durante la sesin de autenticacin, el dispositivo Gateway Enforcer enva un paquete de desafo al cliente en una frecuencia especificada. El dispositivo Gateway Enforcer contina enviando paquetes hasta que se cumplan las condiciones siguientes:

El dispositivo Gateway Enforcer recibe una respuesta del cliente. El dispositivo Gateway Enforcer ha enviado el nmero mximo especificado de paquetes.
La configuracin predeterminada para el nmero mximo de paquetes de desafo para una sesin de autenticacin es de 10 paquetes. El intervalo es de 2 a 100 paquetes. Ver "Acerca de la configuracin de la autenticacin en un dispositivo Gateway" en la pgina 846. Para especificar el nmero mximo de paquetes de desafo durante una sesin de autenticacin
1 2 3
En Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione y expanda el grupo de Enforcers. El grupo de Enforcer debe incluir el dispositivo Gateway Enforcer para el cual desee especificar el nmero mximo de paquetes de desafo durante una sesin de autenticacin.
853
En el cuadro de dilogo Configuracin de Gateway, en la ficha Autenticacin, en Parmetros de autenticacin, escriba el nmero mximo de paquetes de desafo que desee permitir durante una sesin de autenticacin en el campo Cantidad mxima de paquetes por sesin de autenticacin. La configuracin predeterminada es 10 segundos. El intervalo es de 2 a 100 paquetes.
Especificar la frecuencia de los paquetes de desafo que se enviarn a los clientes

Durante la sesin de autenticacin, el dispositivo Gateway Enforcer enva un paquete de desafo al cliente en una frecuencia especificada. El dispositivo Gateway Enforcer contina enviando paquetes hasta que se cumplan las condiciones siguientes:

El dispositivo Gateway Enforcer recibe una respuesta del cliente. El dispositivo Gateway Enforcer ha enviado el nmero mximo especificado de paquetes.
La configuracin predeterminada es cada 3 segundos. El intervalo es de 3 a 10 segundos. Ver "Acerca de la configuracin de la autenticacin en un dispositivo Gateway" en la pgina 846. Para especificar la frecuencia de los paquetes de desafo que se enviarn a los clientes
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione y expanda el grupo de Enforcers. El grupo de Enforcer debe incluir el dispositivo Gateway Enforcer para el cual desee especificar la frecuencia de los paquetes de desafo que se enviarn a los clientes.
En Tareas, haga clic en Editar parmetros de grupo.
854
En el cuadro de dilogo Configuracin, en la ficha Autenticacin, en Parmetros de autenticacin, escriba el nmero mximo de paquetes de desafo que desee que el dispositivo Gateway Enforcer siga enviando a un cliente durante una sesin de autenticacin en el campo Tiempo entre los paquetes en la sesin de autenticacin. La configuracin predeterminada es 3 segundos. El intervalo es de 3 a 10 segundos.
En el cuadro de dilogo Configuracin, en la ficha Autenticacin, haga clic en Aceptar.
Especificar el perodo durante el cual un cliente queda bloqueado despus de que falle la autenticacin
Es posible especificar la cantidad de tiempo durante la cual un cliente quedar bloqueado despus de que falle la autenticacin. La configuracin predeterminada es 30 segundos. El intervalo es de 10 a 300 segundos. Ver "Acerca de la configuracin de la autenticacin en un dispositivo Gateway" en la pgina 846. Especificar el perodo durante el cual un cliente queda bloqueado despus de que falle la autenticacin
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione y expanda el grupo de Enforcers. El grupo de Enforcer debe incluir el dispositivo Gateway Enforcer para el cual desee especificar la cantidad de tiempo durante la cual un cliente se bloquea despus de que falle la autenticacin.
4 5
En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin, en la ficha Autenticacin, en Parmetros de autenticacin, escriba el nmero de segundos para la cantidad de tiempo durante el cual un cliente estar bloqueado despus de que falle la autenticacin en el campo Tiempo durante el cual se bloquear al cliente rechazado (segundos). Haga clic en Aceptar.
855
Especificar el perodo durante el cual se permite a un cliente conservar su conexin de red sin reautenticacin
Es posible especificar la cantidad de tiempo en segundos durante la cual se permite a un cliente conservar su conexin de red sin reautenticacin. La configuracin predeterminada es 30 segundos. El intervalo es de 10 a 300 segundos. Ver "Acerca de la configuracin de la autenticacin en un dispositivo Gateway" en la pgina 846. Especificar el perodo durante el cual se permite a un cliente conservar su conexin de red sin reautenticacin
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. En Servidores, seleccione y expanda el grupo de Enforcers. El grupo de Enforcer debe incluir el dispositivo Gateway Enforcer para el cual desee especificar la cantidad de tiempo durante la cual un cliente se bloquea despus de que falle la autenticacin.
4 5
En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin, en la ficha Autenticacin, en Parmetros de autenticacin, escriba el nmero de segundos durante los cuales se permite a un cliente conservar su conexin de red sin reautenticacin en el campo Tiempo durante el cual se admitir al cliente autenticado (segundos). La configuracin predeterminada es 30 segundos. El intervalo es de 10 a 300 segundos.
Permitir todos los clientes con el registro continuo de clientes no autenticados

Puede tardar bastante tiempo implementar todo el software de cliente. Es conveniente configurar el dispositivo Gateway Enforcer para permitir que todos los clientes se conecten a la red hasta que se haya finalizado de distribuir el paquete cliente a todos los usuarios. El dispositivo Gateway Enforcer bloquea todos los clientes que no ejecutan el cliente. Como el cliente no se ejecuta en sistemas operativos que no son de Windows, tales como Linux o Solaris, el dispositivo
856
Gateway Enforcer bloquea estos clientes. Tiene la opcin de permitir que todos los clientes que no son de Windows se conecten a la red. Si no se autentica un cliente con esta configuracin, el dispositivo Gateway Enforcer detecta el tipo de sistema operativo. Por lo tanto, los clientes de Windows se bloquean y se permite que los clientes que no usan Windows accedan a la red. En la configuracin predeterminada, no se habilita. Utilice las instrucciones siguientes cuando se aplican las opciones de configuracin:
Esta configuracin debe ser una medida temporal porque hace que la red sea menos segura. Mientras esta configuracin est en efecto, es posible revisar los registros de Enforcer. Es posible saber qu tipos de clientes intentan conectarse a la red en esa ubicacin. Por ejemplo, es posible revisar el Registro de actividades del cliente para ver si los clientes no tienen el software de cliente instalado. Puede entonces asegurarse de que el software de cliente est instalado en esos clientes antes de deshabilitar esta opcin.
Ver "Acerca de la configuracin de la autenticacin en un dispositivo Gateway" en la pgina 846. Para permitir todos los clientes con el registro continuo de clientes no autenticados
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione y expanda el grupo de Enforcers. El grupo de Enforcer debe incluir el dispositivo Gateway Enforcer para el cual desee permitir todos los clientes mientras contina el registro de clientes no autenticados.
4 5
En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin, en la ficha Autenticacin, seleccione Permitir todos los clientes, pero seguir registrando aquellos que no estn autenticados. En la configuracin predeterminada, no se habilita.
En el cuadro de dilogo Configuracin, en la ficha Autenticacin, haga clic en Aceptar.
857
Permitir que los clientes que no utilizan Windows se conecten a una red sin autenticacin
El dispositivo Gateway Enforcer no puede autenticar un cliente que ejecute un sistema operativo que no sea Windows. Por lo tanto, los clientes que no utilizan Windows no pueden conectarse a la red, a menos que se permita especficamente que se conecten a la red sin autenticacin. En la configuracin predeterminada, no se habilita. Es posible utilizar uno de los siguientes mtodos para habilitar los clientes que admiten una plataforma que no es de Windows se conecten a la red:

Especifique cada cliente que no utiliza Windows como host de confianza. Permita todos los clientes con sistemas operativos que no sean Windows.
El dispositivo Gateway Enforcer detecta el sistema operativo del cliente y autentica los clientes de Windows. Sin embargo, no permite que los clientes que no utilizan Windows se conecten al dispositivo Gateway Enforcer sin autenticacin. Si es necesario tener clientes que no sean de Windows conectados a la red, deber establecer la configuracin adicional en la consola de Symantec Endpoint Protection Manager. Ver "Requisitos para permitir a los clientes que no utilizan Windows sin autenticacin" en la pgina 828. Ver "Acerca de la configuracin de la autenticacin en un dispositivo Gateway" en la pgina 846. Permitir que los clientes que no utilizan Windows se conecten a una red sin autenticacin
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, haga clic en Servidores. En Servidores, seleccione y expanda el grupo de Enforcers. El grupo de Enforcer debe incluir el dispositivo Gateway Enforcer para el cual desee permitir que todos los clientes que no son de Windows se conecten a una red.
4 5
En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin, en la ficha Autenticacin, seleccione Permitir todos los clientes con sistemas operativos que no sean Windows. En la configuracin predeterminada, no se habilita.
858
Cmo comprobar el nmero de serie de la poltica en un cliente

Symantec Endpoint Protection Manager actualiza el nmero de serie de las polticas del cliente cada vez que se cambia la poltica de seguridad del cliente. Cuando un cliente se conecta a Symantec Endpoint Protection Manager, recibe las polticas de seguridad ms actuales y el nmero de serie de las polticas ms actual. Cuando un cliente intenta conectarse a la red por medio del dispositivo Gateway Enforcer:
Recupera el nmero de serie de las polticas de Symantec Endpoint Protection Manager. Compara el nmero de serie de la poltica con el que recibe del cliente. Si los nmeros de serie de las polticas coinciden, el dispositivo Gateway Enforcer ha validado que el cliente est ejecutando una poltica de seguridad actualizada.
El valor predeterminado para esta configuracin es sin habilitar. Las instrucciones siguientes se aplican:
Si la opcin Comprobar el nmero de serie de la poltica en el cliente antes de permitir que acceda a la red se selecciona, un cliente debe tener la ltima poltica de seguridad antes de poder conectarse a la red por medio del dispositivo Gateway Enforcer. Si el cliente no tiene la ltima poltica de seguridad, se notifica al cliente que descargue la ltima poltica. El dispositivo Gateway Enforcer entonces transmite su solicitud de Gateway para recibir una configuracin de red de cuarentena. Si la opcin Comprobar el nmero de serie de la poltica en el cliente antes de permitir que acceda a la red no se habilita y la comprobacin de integridad del host es correcta, un cliente puede conectarse a la red. El cliente puede conectarse a travs del dispositivo Gateway Enforcer, incluso si su poltica de seguridad no est actualizada.
Ver "Acerca de la configuracin de la autenticacin en un dispositivo Gateway" en la pgina 846. Para hacer que el dispositivo Gateway Enforcer compruebe el nmero de serie de polticas en un cliente
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, haga clic en Servidores. Seleccione y expanda el grupo de dispositivos Gateway Enforcer. El grupo de Enforcer debe incluir el dispositivo Gateway Enforcer que comprueba el nmero de serie de las polticas en un cliente.
859
En el cuadro de dilogo Configuracin, en la ficha Autenticacin, seleccione Comprobar el nmero de serie de la poltica en el cliente antes de permitir que acceda a la red. Haga clic en Aceptar.
Enviar un mensaje del dispositivo Gateway Enforcer a un cliente sobre incumplimiento

Es posible enviar un mensaje emergente de Windows para informar a un usuario que no puede conectarse a la red. El mensaje tpicamente le dice al usuario que un cliente no puede conectarse a la red porque no ejecuta el cliente de Symantec Network Access Control. La mayora de los administradores escriben una declaracin breve sobre la necesidad de ejecutar el cliente de Symantec Endpoint Protection o el cliente de Symantec Network Access Control. El mensaje puede incluir informacin sobre un sitio de descarga en donde los usuarios puedan descargar el software de cliente obligatorio. Es posible tambin proporcionar un nmero de telfono de contacto y otra informacin relevante. Esta opcin est habilitada de forma predeterminada. Se aplica solamente a los clientes que no ejecutan el cliente de Symantec Endpoint Protection o el cliente de Symantec Network Access Control. Tan pronto como se completa esta tarea, el mensaje emergente aparece en el cliente si el servicio de mensajera de Windows se est ejecutando en el cliente. Nota: Los mensajes emergentes no aparecen en clientes Mac. Ver "Acerca de la configuracin de la autenticacin en un dispositivo Gateway" en la pgina 846. Para enviar un mensaje del dispositivo Gateway Enforcer a un cliente sobre incumplimiento
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione y expanda el grupo de Enforcers. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin, en la ficha Autenticacin, seleccione Habilitar mensaje emergente en el cliente Windows si el cliente no se est ejecutando.
860
6 7
Haga clic en Mensaje. En el cuadro de dilogo Configuracin del mensaje emergente, seleccione cuntas veces es necesario que el mensaje aparezca en un cliente desde la lista Aparecer el siguiente mensaje. Es posible seleccionar cualquiera de los siguientes perodos:
Una vez El valor predeterminado es Una vez. Cada 30 segundos Cada minuto Cada 2 minutos Cada 5 minutos Cada 10 minutos
Escriba el mensaje que desee mostrar en el cuadro de texto. El nmero mximo de caracteres es 125. Este nmero incluye espacios y signos de puntuacin. El mensaje predeterminado es:
You are blocked from accessing the network because you do not have the Symantec Client running. You will need to install it.
Haga clic en Aceptar. en Aceptar.
10 En el cuadro de dilogo Configuracin, en la ficha Autenticacin, haga clic
Redireccin de solicitudes HTTP a una pgina web

El dispositivo Gateway Enforcer tiene una opcin para redirigir las solicitudes HTTP a un servidor web interno si el cliente intenta acceder a un sitio web interno a travs de un navegador y no se est ejecutando un cliente en el cliente. Si no especifica una URL, el mensaje emergente del dispositivo Gateway Enforcer aparece como el cuerpo HTML para la primera pgina HTML. Puede conectar usuarios a una pgina web que configure. Los clientes pueden descargar software de reparacin de este sitio web. El dispositivo Gateway Enforcer puede redirigir la solicitud HTTP GET a una URL que se especifique. Esta opcin est habilitada de forma predeterminada.
Configuracin del dispositivo Symantec Gateway Enforcer de Symantec Endpoint Protection Manager Configuracin del intervalo de autenticacin
861
Por ejemplo, es posible redirigir una solicitud a un servidor web desde el cual el cliente pueda descargar el software de cliente, los parches o las versiones actualizadas de las aplicaciones. Ver "Acerca de la configuracin de la autenticacin en un dispositivo Gateway" en la pgina 846. Para redireccionar solicitudes HTTP a una pgina web
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione y expanda el grupo de dispositivos Gateway Enforcer. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de Gateway, en la ficha Autenticacin, seleccione Habilitar la redireccin HTTP en el cliente si este no se est ejecutando. Escriba la URL en el campo URL de redireccin HTTP. El host de la URL de redireccin debe ser Symantec Endpoint Protection o una direccin IP que se enumera como parte del intervalo de IP de confianza interno. La URL puede tener hasta 255 caracteres. Si desea especificar un nombre de un servidor web, se debe adems habilitar Permitir todos los paquetes de solicitudes DNS en la ficha Opciones avanzadas. Si deja el campo URL vaco y despus hace clic en Aceptar, aparece el siguiente mensaje:
The HTTP redirect URL must be a valid URL.
Adems, utiliza el mensaje emergente de Gateway Enforcer como cuerpo HTML para la primera pgina HTML devuelta al cliente.
En el cuadro de dilogo Configuracin de Gateway, en la ficha Autenticacin, haga clic en Aceptar.
Configuracin del intervalo de autenticacin

Es posible configurar las siguientes opciones:
Direcciones IP de clientes que el dispositivo Gateway Enforcer autentica
862
Ver "Agregar intervalos de direcciones IP de clientes a la lista de direcciones que necesitan autenticacin" en la pgina 866.
Direcciones IP externas que el dispositivo Gateway Enforcer no autentica Ver "Especificar direcciones IP externas de confianza" en la pgina 870. Direcciones IP internas a las cuales Gateway Enforcer permite el acceso Ver "Agregar una direccin IP interna de confianza para los clientes en un servidor de administracin" en la pgina 869.
Una vez que aplique la configuracin, los cambios se envan al dispositivo Gateway Enforcer seleccionado durante el latido siguiente. Tenga presente la siguiente informacin:
La opcin Solo autenticar clientes con estas direcciones IP no est seleccionada de forma predeterminada. Si deja esta opcin seleccionada y no especifica ninguna direccin IP para autenticar, el dispositivo Gateway Enforcer acta como puente de red y permite el acceso de todos los clientes. Para Direcciones del intervalo de direcciones IP externas de confianza, es necesario agregar la direccin IP del servidor VPN corporativo, adems de cualquier otra direccin IP a la que se permita tener acceso a la red corporativa sin ejecutar un cliente. Es posible tambin incluir los dispositivos que normalmente tienen acceso a la red y ejecutan un sistema operativo que no sea Windows. Para Direcciones del intervalo de direcciones IP internas de confianza, es posible que sea necesario especificar direcciones, como un servidor de actualizaciones, un servidor de archivos que contenga los archivos de firmas antivirus, un servidor utilizado para la reparacin o un servidor DNS o WINS necesario para resolver el dominio o los nombres de hosts. Si especifica que el dispositivo Gateway Enforcer compruebe que el perfil del cliente est actualizado, los clientes pueden necesitar conectarse a Symantec Endpoint Protection Manager para descargar las ltimas polticas de seguridad. Si utiliza esta opcin al hacer referencia a Symantec Endpoint Protection Manager por su nombre de DNS o nombre de host, debe agregar la direccin IP del servidor DNS o WINS a la lista de direcciones IP internas de confianza.
Intervalos de direcciones IP de clientes comparados con las direcciones IP externas de confianza

El intervalo de direcciones IP de clientes es similar a lo que se denomina lista negra. Es posible especificar las direcciones IP de los clientes que indican al dispositivo Gateway Enforcer que solamente debe comprobar direcciones IP especficas para saber si estn ejecutando el cliente y si cumplen las polticas de
863
seguridad obligatorias. Si un cliente no est en la lista de IP de clientes, funciona como si se le hubiera asignado una direccin IP de confianza. En contraste con el intervalo de direcciones IP de clientes, las direcciones IP externas de confianza son similares a lo que se denomina lista blanca. Si activa la asignacin de direcciones IP externas de confianza, el dispositivo Gateway Enforcer valida el cliente que intenta conectarse desde el lado externo, excepto los clientes con direcciones IP externas de confianza. Este proceso es lo contrario de lo que ocurre con el intervalo de direcciones IP de clientes, que indica al dispositivo Gateway Enforcer que valide solamente los clientes en el intervalo de direcciones IP de cliente. Ver "Agregar intervalos de direcciones IP de clientes a la lista de direcciones que necesitan autenticacin" en la pgina 866.
Cundo utilizar intervalos de direcciones IP de clientes

El intervalo de direcciones IP de clientes permite que los administradores especifiquen un intervalo de direcciones IP que representan los equipos que el dispositivo Gateway Enforcer debe autenticar. Los equipos con direcciones fuera del intervalo de direcciones IP de clientes tienen permitido pasar por medio del dispositivo Gateway Enforcer sin requerimientos de software de cliente u otra autenticacin. Los motivos para usar los intervalos de direcciones IP de clientes incluyen lo siguiente:

Permitir el acceso de red a los sitios Web externos Autenticar un subconjunto de clientes
Ver "Agregar intervalos de direcciones IP de clientes a la lista de direcciones que necesitan autenticacin" en la pgina 866.
Permitir el acceso de red a los sitios Web externos

Un motivo para usar los intervalos de direcciones IP de clientes es permitir el acceso de red a los sitios web externos dentro de su red interna. Si una organizacin tiene equipos en la red corporativa que salen a travs del dispositivo Gateway Enforcer para acceder a sitios web en Internet, tal como Symantec o Yahoo, los clientes internos pueden enviar solicitudes a Internet. Sin embargo, el dispositivo Gateway Enforcer intenta autenticar los sitios web que intentan responder a la solicitud del cliente. Por lo tanto, los clientes internos que se conectan a Internet por medio del dispositivo Gateway Enforcer no pueden acceder a Internet a menos que se configure el intervalo de direcciones IP de clientes.
864
El intervalo de direcciones IP de clientes puede incluir todas las direcciones IP que un servidor VPN asignara a cualquier cliente. Por ejemplo, un cliente interno puede acceder a Internet si se configura el intervalo de direcciones IP de clientes. Cuando un usuario interno contacta un sitio web, el sitio puede responder al cliente porque su direccin IP est fuera del intervalo de direcciones IP del cliente. Por lo tanto, el usuario interno no necesita ser autenticado. Ver "Agregar intervalos de direcciones IP de clientes a la lista de direcciones que necesitan autenticacin" en la pgina 866.
Autenticacin de un subconjunto de clientes

Puede ser conveniente utilizar direcciones IP de clientes para que el dispositivo Gateway Enforcer autentique un subconjunto limitado de clientes en su compaa. Es posible hacer que el dispositivo Gateway Enforcer solamente compruebe los clientes que se conectan a travs de una subred, si ya se han instalado los clientes en todos los equipos. Se permite que otros clientes que acceden a la red corporativa en esa ubicacin pasen sin autenticacin. A medida que el cliente se instala en otros clientes, es posible agregar sus direcciones al intervalo de direcciones IP de clientes o utilizar una estrategia de autenticacin diferente. Ver "Agregar intervalos de direcciones IP de clientes a la lista de direcciones que necesitan autenticacin" en la pgina 866.
Acerca de las direcciones IP de confianza

Se utilizan los siguientes tipos de direcciones IP de confianza en Gateway Enforcer:
Direcciones IP externas de confianza Una direccin IP externa de confianza es la direccin IP de un equipo externo al que se permite acceder a la red corporativa sin ejecutar el cliente. Ver "Especificar direcciones IP externas de confianza" en la pgina 870. Direcciones IP internas de confianza Una direccin IP interna de confianza es la direccin IP de un equipo dentro de la red corporativa al que cualquier cliente puede acceder desde el exterior. Ver "Agregar una direccin IP interna de confianza para los clientes en un servidor de administracin" en la pgina 869.
Es posible agregar direcciones IP de confianza de ambos tipos en la consola de Symantec Endpoint Protection Manager. El trfico a la consola est siempre permitido desde el dispositivo Gateway Enforcer.
865
Direcciones IP externas de confianza

Uno de los deberes principales del dispositivo Gateway Enforcer es comprobar que todos los equipos que intentan acceder a la red estn ejecutando el cliente. Algunos equipos pueden no ejecutar el sistema operativo Windows o pueden no ejecutar el cliente. Por ejemplo, los servidores VPN e inalmbricos tpicamente no ejecutan el cliente. Adems, una configuracin de red puede incluir dispositivos que acceden normalmente a la red y ejecutan un sistema operativo que no es Windows. Si estos equipos necesitan omitir la comprobacin del dispositivo Gateway Enforcer, debe asegurarse de que el dispositivo Gateway Enforcer sepa sobre ellos. Es posible lograr este objetivo creando un intervalo de direcciones IP externas de confianza. Adems, se debe asignar una direccin IP de ese intervalo de direcciones IP a un cliente. Ver "Especificar direcciones IP externas de confianza" en la pgina 870.
Direcciones IP internas de confianza

Una direccin IP interna de confianza representa la direccin IP de un equipo dentro de la red corporativa al que los clientes externos pueden acceder desde el exterior. Es posible convertir ciertas direcciones IP internas en direcciones IP internas de confianza. Cuando se especifican direcciones IP internas de confianza, los clientes pueden llegar a esa direccin IP desde fuera de la red corporativa de acuerdo con las siguientes situaciones:

El software de cliente ha sido instalado en el equipo cliente El cliente cumple con una poltica de seguridad
Las direcciones IP internas de confianza son las direcciones IP internas a las que los usuarios fuera de la compaa pueden acceder. Algunos ejemplos de direcciones internas que es posible especificar como direcciones IP de confianza son los siguientes:

Un servidor de actualizaciones Un servidor de archivos que contiene archivos de firmas de antivirus Un servidor que se utiliza para correcciones Un servidor DNS o un servidor WINS que es necesario para resolver el dominio o los nombres de host
Cuando un cliente intenta acceder a la red interna y no es autenticado por el dispositivo Gateway Enforcer, el cliente puede ser colocado en cuarentena cuando:
866
El cliente no est ejecutando el software de cliente en el equipo cliente. La comprobacin de integridad del host fall. El cliente no tiene una poltica actualizada.
An se permite al cliente acceder a ciertas direcciones IP; stas son las direcciones IP internas de confianza. Por ejemplo, el concepto de direcciones IP internas de confianza puede incluir un cliente externo que necesita acceder a la red corporativa para obtener software cliente u otro software que necesite. El dispositivo Gateway Enforcer permite que el cliente externo se comunique con un equipo que est en la lista de direcciones IP internas de confianza. Ver "Agregar una direccin IP interna de confianza para los clientes en un servidor de administracin" en la pgina 869.
Agregar intervalos de direcciones IP de clientes a la lista de direcciones que necesitan autenticacin

Es posible especificar esos clientes con las direcciones IP a las que el dispositivo Gateway Enforcer autenticar. Debe ser consciente de los siguientes problemas:
Es necesario seleccionar la opcin Habilitar que se encuentra al lado de la direccin IP o el intervalo de direcciones IP si desea autenticar esa direccin. Si desea deshabilitar temporalmente la autenticacin de una direccin o de un intervalo, anule la seleccin de Habilitar. Si escribe una direccin IP no vlida, recibir un mensaje de error cuando intente agregarla a la lista de IP de clientes.
Ver "Cundo utilizar intervalos de direcciones IP de clientes" en la pgina 863. Para restringir el acceso de red de un cliente a pesar de la autenticacin
1 2 3 4
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione y expanda los grupos del dispositivo Gateway Enforcer. En Tareas, haga clic en Editar propiedades de grupo.
867
En el cuadro de dilogo Configuracin de Gateway, en la ficha Intervalo de aut., en el rea de Autenticar intervalo de direcciones IP de clientes, seleccione Solo autenticar clientes con estas direcciones IP. Si no selecciona esta opcin, se omite cualquier direccin IP enumerada. Por lo tanto, se autentican todos los clientes que intentan conectarse a la red. Si selecciona esta opcin, el dispositivo Gateway Enforcer autentica solamente los clientes con las direcciones IP que se agregaron a la lista.
6 7
Haga clic en Agregar. En el cuadro de dilogo Agregar direccin IP nica, seleccione de direccin IP nica a intervalo de direccin IP o subred. Los campos se modifican para permitirle escribir la informacin apropiada.
Seleccione si desea agregar:

Una sola direccin IP Un intervalo de direcciones IP Una direccin IP ms una mscara de subred
Escriba una direccin IP, la direccin inicial y final de un intervalo o una direccin IP ms una mscara de subred.

La informacin de direccin que escribi se agrega a la tabla de intervalo de direcciones IP de clientes, con la opcin Habilitar seleccionada.
11 A continuacin, haga clic en Agregar y especifique cualquier otra direccin

IP o intervalos de direcciones que sea necesario que Gateway Enforcer autentique.
Editar intervalos de direcciones IP de clientes en la lista de direcciones que necesitan autenticacin

Es posible que sea necesario editar los intervalos de direcciones IP de clientes que desee autenticar. Ver "Cundo utilizar intervalos de direcciones IP de clientes" en la pgina 863. Editar intervalos de direcciones IP de clientes en la lista de direcciones que necesitan autenticacin
1 2
En Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores.
868
3 4
Seleccione y expanda el grupo de Enforcers. Seleccione el grupo de mdulos de aplicacin Enforcer para el cual desee editar los intervalos de direcciones IP de clientes en la lista de direcciones que necesitan autenticacin. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de Gateway, en la ficha Intervalo de aut., en el rea Intervalo de direcciones IP de clientes, haga clic en cualquier lugar de la columna de direcciones IP y haga clic en Editar todo. Haga clic en Aceptar. En el cuadro de dilogo Configuracin de Gateway, haga clic en Aceptar.
5 6
7 8
Eliminar intervalos de direcciones IP de clientes de la lista de direcciones que necesitan autenticacin

Es posible que sea necesario eliminar intervalos de direcciones IP de clientes. Ver "Cundo utilizar intervalos de direcciones IP de clientes" en la pgina 863. Eliminar intervalos de direcciones IP de clientes de la lista de direcciones que necesitan autenticacin
1 2 3 4
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione y expanda el grupo de Enforcers. Seleccione el grupo de dispositivos Gateway Enforcer para el cual desee editar los intervalos de direcciones IP de clientes en la lista de direcciones que necesitan autenticacin. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de Gateway, en la ficha Intervalo de aut., en el rea Intervalo de direcciones IP de clientes, haga clic en la fila que contenga la direccin IP que desea eliminar. Haga clic en Eliminar. Haga clic en Aceptar.
5 6
7 8
869
Agregar una direccin IP interna de confianza para los clientes en un servidor de administracin
La tabla de direcciones IP internas de confianza tiene una lista de direcciones IP internas con las que los clientes externos tienen permitido comunicarse, sin importar si un cliente ejecuta o aprueba la comprobacin de integridad del host. Si ejecuta dos dispositivos Gateway Enforcer en una serie de modo que un cliente se conecte por medio de ms de un dispositivo Gateway Enforcer, el dispositivo Gateway Enforcer ms cercano a Symantec Endpoint Protection Manager necesita ser especificado como direccin IP interna de confianza de los otros dispositivos Gateway Enforcer. Si un cliente falla una comprobacin de integridad del host y despus la aprueba, es posible que haya un retraso de hasta 5 minutos antes de que el cliente pueda conectarse a la red. Ver "Acerca de las direcciones IP de confianza" en la pgina 864. Para agregar una direccin IP interna de confianza para los clientes en un servidor de administracin
1 2 3 4
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, haga clic en Servidores. Seleccione y expanda el grupo de Enforcers. Seleccione el grupo del dispositivo Gateway Enforcer para el cual desee editar los intervalos de direcciones IP de clientes en la lista de direcciones que necesitan autenticacin. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de Gateway, en la ficha Intervalo de aut., en el rea Intervalo de direcciones IP de confianza, seleccione Intervalo de direcciones IP internas de confianza de la lista desplegable. Haga clic en Agregar. En el cuadro de dilogo Configuracin de direccin IP, escriba una direccin IP o un intervalo de direcciones. Haga clic en Aceptar. Se agrega la direccin IP a la lista y una marca de verificacin aparece en la columna Habilitar.
5 6
7 8 9
10 En el cuadro de dilogo Configuracin, haga clic en Aceptar.
870
Especificar direcciones IP externas de confianza

Si agrega direcciones IP externas de confianza, el dispositivo Gateway Enforcer permite que los clientes en estas direcciones IP se conecten a la red incluso si no ejecutan un software cliente. Como no hay un cliente instalado en los servidores VPN, es necesario agregar la IP del servidor a la lista de IP de confianza si tiene un servidor VPN que requiere acceso de red a travs de Gateway Enforcer. Si escribe una direccin IP no vlida, recibir un mensaje de error. Nota: Es necesario agregar primero la direccin IP interna del servidor VPN corporativo en el campo Direcciones IP externas de confianza. Ver "Acerca de las direcciones IP de confianza" en la pgina 864. Para especificar direcciones IP externas de confianza
1 2 3 4 5 6
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione y expanda el grupo de Enforcers. Seleccione el grupo de mdulos de aplicacin Enforcer para el cual desee especificar direcciones IP externas de confianza. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de Gateway, en la ficha Intervalo de aut., en el rea Intervalo de direcciones IP de confianza, seleccione Intervalo de direcciones IP externas de confianza de la lista desplegable. Haga clic en Agregar. En el cuadro de dilogo Configuracin de direccin IP, escriba una direccin IP o un intervalo de direcciones. Haga clic en Aceptar. Se agrega la direccin IP a la lista y una marca de verificacin aparece en la columna Habilitar.
7 8 9
Editar una direccin IP de confianza interna o externa

Es posible que sea necesario editar las direcciones IP de confianza tanto internas como externas.
871
Ver "Acerca de las direcciones IP de confianza" en la pgina 864. Editar una direccin IP de confianza interna o externa
1 2 3 4 5 6
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione y expanda el grupo de Enforcers. Seleccione el grupo de mdulos de aplicacin Enforcer para los cuales desee editar una direccin IP de confianza interna o externa. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de Gateway, en la ficha Intervalo de aut., en el rea Intervalo de direcciones IP de confianza, seleccione Intervalo de direcciones IP internas de confianza o Intervalo de direcciones IP externas de confianza de la lista desplegable. Las direcciones para el tipo seleccionado aparecen en la tabla.
7 8 9
En la tabla Intervalo de direcciones IP de confianza, haga clic en cualquier lugar de la columna de direcciones IP y haga clic en Editar todo. En el cuadro de dilogo Editor de direcciones IP, localice cualquier direccin que desee modificar y edtela. Haga clic en Aceptar.
Eliminacin de una direccin IP interna de confianza o una direccin IP externa de confianza

Si ya no desea permitir que los usuarios externos que no se autentican completamente tengan acceso a una ubicacin interna determinada, quite la direccin IP de la tabla de direcciones IP internas de confianza. Ver "Acerca de las direcciones IP de confianza" en la pgina 864. Para eliminar una direccin IP interna de confianza o una direccin IP externa de confianza
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione y expanda el grupo del dispositivo Gateway Enforcer.
872
4 5 6
Seleccione el grupo de dispositivos Gateway Enforcer para los cuales desee eliminar una direccin IP de confianza interna o externa. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de Gateway, en la ficha Intervalo de aut., en el rea Intervalo de direcciones IP de confianza, seleccione Intervalo de direcciones IP internas de confianza o Intervalo de direcciones IP externas de confianza de la lista desplegable. Las direcciones para el tipo seleccionado aparecen en la tabla.
7 8 9
En la tabla, haga clic en la fila que contiene la direccin IP que desee eliminar. Haga clic en Eliminar. En el cuadro de dilogo Configuracin, haga clic en Aceptar.
Orden de comprobacin del intervalo de direcciones IP

Si tanto el intervalo de direcciones IP de clientes como las direcciones IP internas de confianza estn en uso, el dispositivo Gateway Enforcer comprueba las direcciones de los clientes en el orden siguiente cuando un paquete se recibe de un cliente:
Si se habilita el intervalo de direcciones IP de clientes, el dispositivo Gateway Enforcer busca en la tabla de intervalo de direcciones IP de clientes una direccin que coincida con la IP de origen del cliente. Si el intervalo de direcciones IP de clientes no incluye una direccin IP para ese cliente, el dispositivo Gateway Enforcer permite el cliente sin autenticacin. Si el intervalo de direcciones IP de clientes incluye una direccin IP para ese cliente, el dispositivo Gateway Enforcer luego comprueba el intervalo de direcciones IP externas de confianza en busca de una direccin que coincida. Si encuentra una direccin que coincida con el cliente en el intervalo de direcciones IP externas de confianza, el dispositivo Gateway Enforcer permite el cliente. Si no encuentra ninguna direccin que coincida en el intervalo de direcciones IP externas de confianza, el dispositivo Gateway Enforcer compara la direccin de destino con la lista de intervalo de direcciones IP internas de confianza y la lista de sesiones de Symantec Endpoint Protection Manager. Si an no se encuentra una direccin que coincida, el dispositivo Gateway Enforcer comienza la sesin de autenticacin y enva el paquete de desafo.
Ver "Especificar direcciones IP externas de confianza" en la pgina 870. Ver "Agregar intervalos de direcciones IP de clientes a la lista de direcciones que necesitan autenticacin" en la pgina 866.
Configuracin del dispositivo Symantec Gateway Enforcer de Symantec Endpoint Protection Manager Acerca de la configuracin avanzada del dispositivo Gateway Enforcer
873
Acerca de la configuracin avanzada del dispositivo Gateway Enforcer

Es posible configurar las siguientes opciones de configuracin avanzadas del dispositivo Gateway Enforcer:

Permitir todos los paquetes de solicitudes DHCP Permitir todos los paquetes de solicitudes DNS Permitir todos los paquetes de solicitudes ARP Permitir otros protocolos adems de IP y ARP Es posible especificar los tipos de protocolos que se quieren permitir en el campo Filtrar. Ver "Especificar tipos de paquetes y protocolos" en la pgina 873. Permitir clientes heredados Ver "Permitir que un cliente de una versin anterior se conecte a la red con un dispositivo Gateway Enforcer" en la pgina 875. Habilitar la autenticacin local Ver "Habilitar la autenticacin local en un dispositivo Gateway Enforcer" en la pgina 875. Habilitar las actualizaciones de hora del sistema para los clientes del dispositivo Gateway Enforcer Ver "Habilitar las actualizaciones de hora del sistema para el dispositivo Gateway Enforcer usando el protocolo de tiempo de redes" en la pgina 876. Usar Gateway Enforcer como servidor web Ver "Cmo usar el dispositivo Gateway Enforcer como servidor web" en la pgina 877. Usar Gateway Enforcer como servidor de falsificacin de DNS Ver "Uso de Gateway Enforcer como servidor de falsificacin de DNS " en la pgina 877.
Cuando se aplica la configuracin, los cambios que se han hecho se envan al dispositivo Gateway Enforcer seleccionado durante el latido siguiente.
Especificar tipos de paquetes y protocolos

Es posible especificar que el dispositivo Gateway Enforcer permita que ciertos tipos de paquete pasen sin necesidad de que se ejecute un cliente o requerir autenticacin.
874
Ver "Acerca de la configuracin avanzada del dispositivo Gateway Enforcer" en la pgina 873. Para especificar tipos de paquetes y protocolos
1 2 3 4 5 6
En Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, haga clic en Servidores. Seleccione y expanda el grupo del dispositivo Gateway Enforcer. Seleccione el grupo de dispositivos Gateway Enforcer para los cuales desee especificar tipos de paquetes y protocolos. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de Gateway, en la ficha Opciones avanzadas, seleccione o anule la seleccin de los siguientes tipos de paquetes o protocolos:
Permitir todos los paquetes de solicitudes DHCP Cuando esta opcin est habilitada, el dispositivo Gateway Enforcer remite todas las solicitudes DHCP de la red externa a la red interna. Dado que deshabilitar esta opcin impide que el cliente obtenga una direccin IP y, puesto que el cliente necesita una direccin IP para comunicarse con el dispositivo Gateway Enforcer, se recomienda que esta opcin permanezca habilitada. La configuracin predeterminada est habilitada. Permitir todos los paquetes de solicitudes DNS Cuando esta opcin est habilitada, Enforcer remite todas las solicitudes DNS de la red externa a la red interna. Esta opcin se debe activar si el cliente est configurado para comunicarse con Symantec Endpoint Protection Manager por nombre en lugar de comunicarse por direccin IP. Esta opcin tambin debe habilitarse para utilizar la opcin de redireccin de solicitudes HTTP en la ficha Autenticacin. La configuracin predeterminada est habilitada. Permitir todos los paquetes de solicitudes ARP Cuando esta opcin est habilitada, el dispositivo Gateway Enforcer permite todos los paquetes ARP de la red interna. De lo contrario, el dispositivo Gateway Enforcer trata el paquete como un paquete IP normal y utiliza la IP del remitente como IP de origen y la IP de destino como IP de llegada, y realiza el proceso de autenticacin. La configuracin predeterminada est habilitada. Permitir otros protocolos adems de IP y ARP Cuando esta opcin est habilitada, el dispositivo Gateway Enforcer reenva todos los paquetes con otros protocolos. Si no, los corta.
875
De forma predeterminada, est opcin est deshabilitada. Si seleccion Permitir otros protocolos adems de IP y ARP, se recomienda completar el campo Filtrar. Es posible pasar el puntero del mouse sobre el campo para ver ejemplos, algunos de los cuales se detallan a continuacin. Ejemplos: allow 800, 224.12.21,900-90d, 224.21.20-224-12.21.100;
block 810,224.12.21.200
Permitir que un cliente de una versin anterior se conecte a la red con un dispositivo Gateway Enforcer
Es posible permitir que un dispositivo Gateway Enforcer se conecte a clientes anteriores de la versin 5.1.x. Si su red admite Symantec Endpoint Protection Manager 11.0.2, un dispositivo Symantec Gateway Enforcer, y necesita admitir clientes anteriores de la versin 5.1.x, es posible habilitar la compatibilidad con los clientes de 5.1.x en la consola del servidor de administracin de modo que el dispositivo Symantec Gateway Enforcer no los bloquee. Ver "Acerca de la configuracin avanzada del dispositivo Gateway Enforcer" en la pgina 873. Para permitir que un cliente de una versin anterior se conecte a la red con un dispositivo Gateway Enforcer
1 2 3 4 5 6
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione y expanda el grupo de dispositivos Gateway Enforcer. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin, en la ficha Opciones avanzadas, seleccione Permitir cliente heredado. Haga clic en Aceptar.
Habilitar la autenticacin local en un dispositivo Gateway Enforcer

Con la autenticacin local habilitada, el dispositivo Gateway Enforcer pierde su conexin con el servidor en el cual Symantec Endpoint Protection Manager est instalado. Por lo tanto, el dispositivo Gateway Enforcer autentica un cliente localmente.
876
Ver "Acerca de la configuracin avanzada del dispositivo Gateway Enforcer" en la pgina 873. Para habilitar la autenticacin local en un dispositivo Gateway Enforcer
1 2 3 4 5 6
En Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione y expanda el grupo de dispositivos Gateway Enforcer. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin, en la ficha Opciones avanzadas, seleccione Habilitar la autenticacin local. Haga clic en Aceptar.
Habilitar las actualizaciones de hora del sistema para el dispositivo Gateway Enforcer usando el protocolo de tiempo de redes
Con el protocolo de tiempo de redes (NTP) habilitado, los relojes del dispositivo Gateway Enforcer pueden actualizarse a la hora correcta. Esta configuracin est deshabilitada de forma predeterminada, pero se puede anular si se especifica en una poltica de grupo. Ver "Acerca de la configuracin avanzada del dispositivo Gateway Enforcer" en la pgina 873. Para habilitar las actualizaciones de hora para el dispositivo Gateway Enforcer desde Symantec Endpoint Protection Manager
1 2 3 4 5 6 7
En Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, haga clic en Servidores. En Servidores, seleccione y expanda el grupo de dispositivos Gateway Enforcer. En Tareas, haga clic en Editar propiedades de grupo. En la ficha Opciones avanzadas, seleccione Habilitar protocolo de tiempo de redes. Escriba la direccin IP o el nombre de dominio completo del servidor NTP. Haga clic en Aceptar.
Desde la consola de Enforcer, se puede cambiar temporalmente esta configuracin para ayudar a solucionar problemas de la sincronizacin de hora. Desde la lnea de comandos de la consola de Enforcer, escriba Enforcer (configure)# ntp.
877
Cmo usar el dispositivo Gateway Enforcer como servidor web

Es posible usar el dispositivo Gateway Enforcer como servidor web que se comunica con Symantec Endpoint Protection Manager y administra los agentes On-Demand. Como servidor web, el dispositivo Enforcer deja de enviar trfico local que no pertenece a Enforcer desde la red interna y externa, pero contina comunicndose con Symantec Endpoint Protection Manager. La capacidad de actuar como servidor web es especialmente til en los entornos 802.1x cuando se desea implementar el Enforcer en una VLAN y administrar clientes bajo demanda para los usuarios invitados. Para usar el dispositivo Gateway Enforcer como servidor web, se deshabilita la aplicacin invitada. Es posible habilitar la aplicacin invitada cuando se desea volver a usar el dispositivo Gateway Enforcer para aplicar el acceso invitado. Ver "Acerca de la configuracin avanzada del dispositivo Gateway Enforcer" en la pgina 873. Para usar el dispositivo Gateway Enforcer como servidor web
1 2
Inicie sesin en el dispositivo Gateway Enforcer como superusuario. Escriba el comando siguiente: Enforcer#configure advanced
Escriba el comando siguiente: Enforcer (advanced)#guest-enf disable
Para habilitar la aplicacin invitada, escriba el comando siguiente: Enforcer(advanced)# guest_enf enable Para comprobar el estado de la aplicacin invitada, escriba el comando siguiente: Enforcer(advanced)# show status El estado puede ser SIN CONEXIN o EN LNEA con un estado ACTIVO, EN ESPERA o APLICACIN INVITADA.
Uso de Gateway Enforcer como servidor de falsificacin de DNS

Cuando se habilita la aplicacin invitada, Gateway Enforcer proporciona la funcionalidad de falsificacin de DNS. No es posible usar esta funcin a menos que se habilite la aplicacin invitada. El modo habilitado dirige solicitudes de URL a Gateway Enforcer en vez de a un sitio web de reparacin. Para activar esta funcionalidad, es necesario proporcionar a una direccin IP como la respuesta en un paquete de respuesta DNS.
878
Ver "Establecer la comunicacin entre un dispositivo Gateway Enforcer y Symantec Endpoint Protection Manager a travs de una lista de servidores de administracin y el archivo conf.properties" en la pgina 844. Para usar Gateway Enforcer como servidor de falsificacin de DNS
1 2
Inicie sesin en el dispositivo Gateway Enforcer como superusuario. Escriba el comando siguiente: Enforcer#configure advanced
Escriba el comando siguiente: Enforcer (advanced)# dns-spoofing enable 1usar_ip_local ip_de_falsificacin_de_dns
Es posible usar la direccin IP de Gateway Enforcer o configurar una direccin IP personalizada.

Para usar la direccin IP de Gateway Enforcer Para configurar una direccin IP personalizada Enforcer (advanced)# dns-spoofing use-local-ip enable Enforcer (advanced)# dns-spoofing-ip DIRECCIN_IP Donde: DIRECCIN_IP es su direccin IP seleccionada
Para deshabilitar la falsificacin de DNS, escriba el comando siguiente: Enforcer (advanced)# dns-spoofing disable Para comprobar el estado de falsificacin de DNS, escriba el comando siguiente: Enforcer (advanced)# show El estado muestra la funcin de falsificacin de DNS como HABILITADA o DESHABILITADA.
Captulo
42
Planificacin de la instalacin de un dispositivo LAN Enforcer


Planificacin para la instalacin de un dispositivo LAN Enforcer Planificar la conmutacin por error para dispositivos LAN Enforcer
Planificacin para la instalacin de un dispositivo LAN Enforcer

El dispositivo LAN Enforcer puede realizar la autenticacin de hosts y actuar como falso servidor RADIUS (incluso sin un servidor RADIUS). El cliente de Enforcer acta como suplicante de 802.1x. Responde a la solicitud de Protocolo de autenticacin extensible (EAP) del conmutador con el estado de integridad del host y la informacin del nmero de poltica. La direccin IP del servidor RADIUS se configura en 0 en este caso, y ninguna autenticacin de usuario EAP tradicional ocurre. El dispositivo LAN Enforcer comprueba la integridad del host. Puede permitir, bloquear o asignar dinmicamente una VLAN basado en los resultados de la comprobacin de integridad del host. Otra configuracin tambin est disponible. Es posible utilizar un dispositivo LAN Enforcer con un servidor RADIUS para imponer la autenticacin EAP 802.1x internamente en una red corporativa. Si se usa un dispositivo LAN Enforcer en esta configuracin, debe colocarse de modo que pueda comunicarse con el servidor RADIUS.
880
Planificacin de la instalacin de un dispositivo LAN Enforcer Planificacin para la instalacin de un dispositivo LAN Enforcer
Si su conmutador admite conmutacin dinmica de VLAN, se pueden configurar VLAN adicionales en el conmutador y acceder a ellas mediante el dispositivo LAN Enforcer. El conmutador puede poner dinmicamente el cliente en una VLAN que se basa en la contestacin del dispositivo LAN Enforcer. Es posible que desee agregar VLAN para cuarentena y correcciones. Hay varios tipos de informacin sobre planificaciones que pueden ayudarle a implementar los dispositivos LAN Enforcer en una red. Nota: Note: Si actualiza clientes de Symantec Sygate Endpoint Protection 5.1, es necesario actualizar Symantec Endpoint Protection Manager primero, y luego sus Enforcers y sus clientes a la versin 11.x primero. Una vez que tenga Symantec Endpoint Protection Manager y sus Enforcers en la versin 11.x, es necesario seleccionar Permitir clientes de una versin anterior en el men Enforcer antes de realizar el paso final. A continuacin finalice la actualizacin a la versin actual. Ver "Dnde colocar dispositivos LAN Enforcer" en la pgina 880.
Dnde colocar dispositivos LAN Enforcer

Un dispositivo LAN Enforcer acta como proxy de RADIUS. Los administradores tpicamente utilizan un dispositivo LAN Enforcer con un servidor RADIUS para aplicar la autenticacin del Protocolo de autenticacin extensible (EAP) 802.1x en una red corporativa. Si utiliza un dispositivo LAN Enforcer en esta configuracin, el dispositivo LAN Enforcer debe poder comunicarse con el servidor RADIUS. Por ejemplo, es posible conectar el dispositivo LAN Enforcer a un conmutador LAN compatible con 802.1x en una VLAN interna con un Symantec Endpoint Protection Manager, un servidor RADIUS y clientes. Un equipo que no tenga el software de cliente no puede conectarse a la red. Sin embargo, se dirige al cliente a un servidor de reparacin desde el cual pueda obtener el software que necesita para el cumplimiento. Ver "Cmo configurar un dispositivo Enforcer" en la pgina 804. La Figura 42-1 muestra un ejemplo de dnde es posible colocar un dispositivo LAN Enforcer en la configuracin de red interna general.
881
Figura 42-1
Disposicin de dispositivos LAN Enforcer
Clientes
VLAN de reparacin
Conmutador LAN compatible con 802.1 con puertos habilitados para dot1x para clientes internos Clientes
Servidor de reparacin Dispositivo LAN Enforcer (proxy RADIUS) Red troncal corporativa
Servidor RADIUS
Servidores protegidos
Si un conmutador admite conmutacin dinmica de VLAN, se pueden configurar VLAN adicionales en el conmutador compatible con 802.1x y acceder a ellas mediante el dispositivo LAN Enforcer. El conmutador compatible con 802.1x puede poner dinmicamente el cliente en una VLAN despus de recibir una respuesta del servidor RADIUS. Algunos conmutadores compatibles con 802.1x adems incluyen una funcin de VLAN predeterminada o VLAN de invitado. Si un cliente
882
no tiene ningn suplicante de 802.1x, el conmutador compatible con 802.1x puede poner al cliente en una VLAN predeterminada. Es posible instalar el dispositivo LAN Enforcer de modo que se pueda habilitar la autenticacin EAP en la red con el equipamiento ya implementado. Los dispositivos LAN Enforcer pueden funcionar con los servidores RADIUS, los suplicantes de 802.1x y los conmutadores compatibles con 802.1x existentes. Realizan la autenticacin en el nivel del equipo. Se cerciora de que el cliente cumpla con las polticas de seguridad. Por ejemplo, comprueba que el software antivirus se haya actualizado con las ltimas actualizaciones del archivo de firmas y los parches de software necesarios. El suplicante de 802.1x y el servidor RADIUS realizan la autenticacin en el nivel de usuario. Autentica que los clientes que intentan conectarse a la red sean los que dicen ser. Alternativamente, un dispositivo LAN Enforcer puede adems funcionar en modo transparente, lo que elimina la necesidad de un servidor RADIUS. En modo transparente, el cliente pasa la informacin de Integridad del host al conmutador compatible con 802.1x en respuesta al desafo EAP. El conmutador entonces transmite esa informacin a LAN Enforcer. Un dispositivo LAN Enforcer enva los resultados de la autenticacin de nuevo al conmutador compatible con 802.1x. La informacin que el dispositivo LAN Enforcer enva se basa en los resultados de la validacin de Integridad del host. Por lo tanto, el dispositivo LAN Enforcer no necesita ninguna comunicacin con un servidor RADIUS. Las configuraciones siguientes estn disponibles para el dispositivo LAN Enforcer:
Modo 802.1x completo Esta configuracin necesita un servidor RADIUS y suplicantes de 802.1x de otro fabricante. Se realiza la autenticacin de usuario EAP tradicional y la validacin de integridad del host de Symantec. Modo transparente Esta configuracin no necesita un servidor RADIUS ni el uso de suplicantes de 802.1x de otro fabricante. Solamente se realiza la validacin de Integridad del host.
Debe considerar los siguientes problemas:
Tiene clientes tales como impresoras y telfonos IP que no tienen suplicantes 802.1x en ejecucin? Considere usar la autenticacin MAB. Tiene clientes tales como impresoras y telfonos IP que tienen suplicantes 802.1x personalizados en ejecucin? Considere configurar la funcin Omitir comprobacin de cliente NAC de Symantec.
Planificacin de la instalacin de un dispositivo LAN Enforcer Planificar la conmutacin por error para dispositivos LAN Enforcer
883
Planea tener un suplicante de 802.1x instalado en cada equipo? Si planea instalar un suplicante 802.1x en cada equipo, se puede usar el modo 802.1x completo. Desea realizar una autenticacin en el nivel de usuario adems de la comprobacin de integridad del host? Si desea realizar una autenticacin en el nivel del usuario, adems de la comprobacin de integridad del host, es necesario utilizar el modo 802.1x completo. Planea utilizar un servidor RADIUS en una configuracin de red? Si planea utilizar un servidor RADIUS en una configuracin de red, es posible utilizar el modo 802.1x completo o el modo transparente. Si no planea utilizar un servidor RADIUS en una configuracin de red, es necesario utilizar el modo transparente.
Planificar la conmutacin por error para dispositivos LAN Enforcer

Si ha instalado dos dispositivos LAN Enforcer en una red, la conmutacin por error se realiza a travs del conmutador compatible con 802.1x. Un conmutador compatible con 802.1x puede admitir varios dispositivos LAN Enforcer. Es posible sincronizar fcilmente la configuracin de dispositivos LAN Enforcer en Symantec Endpoint Protection Manager con el uso de la configuracin de la sincronizacin. Si desea sincronizar la configuracin de un dispositivo LAN Enforcer con otro dispositivo LAN Enforcer, especifique el mismo nombre de grupo de Enforcer en la consola de Enforcer. Si utiliza un servidor RADIUS en su red, obtenga conmutacin por error del servidor RADIUS configurando el dispositivo LAN Enforcer para conectarse a varios servidores RADIUS. Si todos los servidores RADIUS que se configuran para ese dispositivo LAN Enforcer se deshabilitan, el conmutador supone que el dispositivo LAN Enforcer est deshabilitado. Por lo tanto, el conmutador compatible con 802.1x se conecta a un dispositivo LAN Enforcer diferente que proporciona soporte adicional de conmutacin por error. Ver "Cmo configurar un dispositivo Enforcer" en la pgina 806.
Dnde colocar dispositivos LAN Enforcer para la conmutacin por error en una red
La Figura 42-2 describe cmo proporcionar la conmutacin por error para los dispositivos LAN Enforcer.
884
Ver "Planificar la conmutacin por error para dispositivos LAN Enforcer" en la pgina 883.
885
Figura 42-2
Disposicin de dos dispositivos LAN Enforcer
Clientes
VLAN de reparacin Servidor de reparacin
Conmutador LAN compatible con 802.1 con puertos habilitados para dot1x para clientes internos Servidor RADIUS de repuesto
Servidor RADIUS Dispositivo LAN Enforcer (proxy RADIUS)
886
Captulo
43
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager

Acerca de configurar Symantec LAN Enforcer en la consola de Symantec Endpoint Protection Manager Acerca de configurar servidores RADIUS en un dispositivo LAN Enforcer Acerca de configurar los puntos de acceso inalmbricos de 802.1x en un dispositivo LAN Enforcer Cambio de configuracin de LAN Enforcer en Symantec Endpoint Protection Manager Cmo usar la Configuracin general Usar la configuracin del grupo de servidores RADIUS Usar las opciones del conmutador Usar la configuracin avanzada del dispositivo LAN Enforcer Configuracin de direcciones MAC y la omisin de la autenticacin de MAC (MAB) en LAN Enforcer Usar la autenticacin 802.1x
888
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Acerca de configurar Symantec LAN Enforcer en la consola de Symantec Endpoint Protection Manager
Acerca de configurar Symantec LAN Enforcer en la consola de Symantec Endpoint Protection Manager
Es posible agregar o editar la configuracin para LAN Enforcer en la consola de Symantec Endpoint Protection Manager. Symantec Endpoint Protection Manager adems se conoce como el servidor de administracin. Antes de que pueda proceder, es necesario completar las siguientes tareas:
Instale el software para Symantec Endpoint Protection Manager en un equipo. Ver "Cmo instalar el servidor de administracin y la consola" en la pgina 99. El equipo en el cual el software de Symantec Endpoint Protection Manager est instalado adems se conoce como el servidor de administracin. Conecte el dispositivo Symantec LAN Enforcer a la red. Ver "Cmo configurar un dispositivo Enforcer" en la pgina 804. Configure el dispositivo Symantec LAN Enforcer en la consola local de LAN Enforcer durante la instalacin. Ver "Cambio de configuracin de LAN Enforcer en Symantec Endpoint Protection Manager" en la pgina 891.
Una vez que finalice estas tareas, es posible especificar todas las opciones de configuracin adicionales para el dispositivo LAN Enforcer en un servidor de administracin.
Acerca de configurar servidores RADIUS en un dispositivo LAN Enforcer

Es posible modificar la configuracin de LAN Enforcer en la consola de Symantec Endpoint Protection. Enforcer debe instalarse y conectarse a Symantec Endpoint Protection Manager antes de poder configurarse para aplicar las polticas de integridad del host en el cliente. Es posible configurar las siguientes opciones para LAN Enforcer:
Defina la lista de servidores de administracin, el puerto de escucha y la descripcin de grupo de Enforcer. Configure el grupo de servidores Radius. Configure el nombre del host o la direccin IP, el puerto de autenticacin, el tiempo de espera, el secreto compartido y el nmero de retransmisiones. Si configura varios servidores en el grupo y uno deja de funcionar, LAN Enforcer se conecta al servidor siguiente en la lista. Configure un conmutador o un grupo de conmutadores.
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Acerca de configurar los puntos de acceso inalmbricos de 802.1x en un dispositivo LAN Enforcer
889
Opciones para habilitar el registro y especificar parmetros del archivo de registro. Habilite y deshabilite los clientes de una versin anterior y la autenticacin local. Configure LAN Enforcer como cliente NTP.
Si una configuracin hace referencia a un conmutador compatible con 802.1x, las mismas instrucciones se aplican a la configuracin de los puntos de acceso inalmbricos. Ver "Acerca de configurar los puntos de acceso inalmbricos de 802.1x en un dispositivo LAN Enforcer" en la pgina 889.
Acerca de configurar los puntos de acceso inalmbricos de 802.1x en un dispositivo LAN Enforcer
El dispositivo LAN Enforcer admite un nmero de protocolos inalmbricos, que incluyen WEP 56, WEP 128 y WPA/WPA2 con 802.1x. Es posible configurar un LAN Enforcer para proteger el punto de acceso inalmbrico (AP) tanto como protege un conmutador si:

La red incluye un dispositivo LAN Enforcer inalmbrico con 802.1x. Los clientes inalmbricos ejecutan un suplicante que admite uno de estos protocolos. El AP inalmbrico admite uno de estos protocolos.
Para las conexiones inalmbricas, el autenticador es el puerto LAN lgico en el AP inalmbrico. Se configura un AP inalmbrico para 802.1x y para los conmutadores de la misma manera. Se incluyen los AP inalmbricos en la configuracin de LAN Enforcer como parte de un perfil del conmutador. Dondequiera que una instruccin o una parte de la interfaz de usuario haga referencia a un conmutador, utilice la terminologa del AP inalmbrico comparable. Por ejemplo, si le dan instrucciones para seleccionar un modelo de conmutador, seleccione el modelo de AP inalmbrico. Si se enumera el distribuidor del AP inalmbrico, seleccinelo para el modelo. Si el distribuidor no est enumerado, elija Otros. La configuracin para el AP inalmbrico para 802.1x y para los conmutadores incluye las diferencias siguientes:
Solamente se admite la configuracin bsica.
890
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Acerca de configurar los puntos de acceso inalmbricos de 802.1x en un dispositivo LAN Enforcer
No se admite el modo transparente.
Puede adems haber diferencias en la compatibilidad para VLAN, dependiendo del AP inalmbrico. Algunos conmutadores dinmicos de VLAN pueden necesitar que configure el AP con varios identificadores de grupo de servicios (SSID). Cada SSID se asocia a una VLAN. Consulte la documentacin que viene con el conmutador dinmico de VLAN.
De acuerdo con el modelo de AP inalmbrico que se utiliza, es conveniente utilizar una de las siguientes opciones de control de acceso en vez de una VLAN:
Listas de control de acceso (ACL) Algunos AP inalmbricos admiten ACL que permiten al administrador de redes definir las polticas para la administracin de trfico de red. Es posible utilizar la opcin genrica en LAN Enforcer seleccionando el nombre del distribuidor del AP inalmbrico. Como alternativa, es posible seleccionar Otros para el modelo del conmutador compatible con 802.1x (si no est enumerado). La opcin genrica enva una etiqueta genrica de atributo con el ID o el nombre de VLAN en ella al punto de acceso. Es posible entonces personalizar el punto de acceso. Ahora el punto de acceso puede leer la etiqueta genrica de atributo para conocer el ID de la VLAN y hacer que coincida con el ID de ACL del WAP. Es posible utilizar la tabla de Accin del conmutador como tabla de accin de la ACL. Puede necesitarse configuracin adicional en el AP inalmbrico o en el controlador del AP. Por ejemplo, es posible que sea necesario asignar la etiqueta de RADIUS que se enva al AP inalmbrico en el controlador del AP. Consulte la documentacin del AP inalmbrico para obtener informacin. 802.1x de nivel de MAC Es posible conectar el AP inalmbrico a un conmutador que admita 802.1x de nivel de MAC. Para esta implementacin, es necesario deshabilitar 802.1x en el AP inalmbrico. Es posible utilizarlo solamente en el conmutador. El conmutador entonces autentica los clientes inalmbricos reconociendo las nuevas direcciones MAC. Despus de que autentica la direccin MAC, pone esa direccin MAC en la VLAN especificada, en vez del puerto entero. Cada nueva direccin MAC tiene que ser autenticada. Esta opcin no es tan segura. Sin embargo, esta opcin le permite utilizar la funcionalidad de conmutacin de VLAN.
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Cambio de configuracin de LAN Enforcer en Symantec Endpoint Protection Manager
891
Ver "Cambio de configuracin de LAN Enforcer en Symantec Endpoint Protection Manager" en la pgina 891.
Cambio de configuracin de LAN Enforcer en Symantec Endpoint Protection Manager

Es posible modificar las opciones de configuracin de LAN Enforcer en un servidor de administracin. Las opciones de configuracin se descargan automticamente del servidor de administracin al dispositivo LAN Enforcer durante el latido siguiente. Para cambiar la configuracin de LAN Enforcer en Symantec Endpoint Protection Manager
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione el grupo de Enforcers del cual el dispositivo LAN Enforcer es un miembro. El grupo de Enforcer debe incluir el dispositivo LAN Enforcer cuyas opciones de configuracin necesitan ser modificadas.
4 5 6
Seleccione el dispositivo LAN Enforcer cuya configuracin necesita ser cambiada. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin, modifique cualquiera de las opciones de configuracin. El cuadro de dilogo Configuracin de LAN Enforcer proporciona las categoras siguientes de opciones de configuracin:
General Esta ficha proporciona las opciones siguientes para LAN Enforcer:

Nombre del grupo de dispositivos LAN Enforcer Puerto de escucha Descripcin para el grupo de dispositivos LAN Enforcer Seleccin de la lista de servidores de administracin que LAN Enforcer utiliza
Ver "Cmo usar la Configuracin general" en la pgina 893.
892
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Cambio de configuracin de LAN Enforcer en Symantec Endpoint Protection Manager
Grupo de servidores RADIUS
Esta ficha proporciona las opciones siguientes para LAN Enforcer:

Nombre para el grupo de servidores RADIUS Nombre o direccin IP del host para el servidor RADIUS Nmero de puerto para el servidor RADIUS Nombre descriptivo para el servidor RADIUS
Ver "Usar la configuracin del grupo de servidores RADIUS" en la pgina 897. Conmutador Esta ficha proporciona las opciones siguientes para LAN Enforcer:

Habilitar la poltica de conmutador El nombre de la poltica de conmutador
El modelo de conmutador, seleccionado de una lista de conmutadores admitidos El secreto compartido

El grupo del servidores RADIUS El perodo de tiempo de espera de la reautenticacin Si el conmutador remite otros protocolos adems de EAP Direccin del conmutador La VLAN del conmutador Accin
Ver "Usar las opciones del conmutador" en la pgina 905. Avanzado Esta ficha proporciona las opciones siguientes para LAN Enforcer:

Configure la omisin de la autenticacin Mac (MAB) Especifique las direcciones MAC y las VLAN Permitir cliente heredado Habilitar la autenticacin local Configurar el protocolo de tiempo de redes
Ver "Usar la configuracin avanzada del dispositivo LAN Enforcer" en la pgina 933. Configuracin del Configuracin para habilitar el registro de los registros de registro servidor y los registros de actividades del cliente, y para especificar parmetros del archivo de registro. Ver "Acerca de los informes y registros de Enforcer" en la pgina 953. Ver "Configurar opciones de registro de Enforcer" en la pgina 954.
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Cmo usar la Configuracin general
893
Cmo usar la Configuracin general

Es posible agregar o editar la descripcin de un dispositivo LAN Enforcer o de un grupo de dispositivos LAN Enforcer en la consola de Symantec Endpoint Protection Manager. Ver "Agregar o editar la descripcin de un grupo de Enforcer con LAN Enforcer" en la pgina 895. Ver "Agregar o editar la descripcin de LAN Enforcer" en la pgina 895. Es necesario establecer un puerto de escucha que se utilice para la comunicacin entre el conmutador VLAN y el dispositivo LAN Enforcer. Ver "Cmo especificar un puerto de escucha para la comunicacin entre un conmutador VLAN y un LAN Enforcer" en la pgina 894. Sin embargo, no se puede agregar ni editar el nombre de un grupo de dispositivos LAN Enforcer en la consola de Symantec Endpoint Protection Manager. No es posible agregar ni editar la direccin IP o el nombre del host de un dispositivo LAN Enforcer en la consola de Symantec Endpoint Protection Manager. En cambio, es necesario realizar estas tareas en la consola de Enforcer. Ver "Agregar o editar el nombre de un grupo de dispositivos LAN Enforcer con LAN Enforcer" en la pgina 893. Sin embargo, solamente es posible modificar la direccin IP o el nombre de host de LAN Enforcer en la consola de Enforcer durante la instalacin. Ms adelante, si desea modificar la direccin IP o el nombre de host de LAN Enforcer, es posible hacerlo en la consola de LAN Enforcer. Ver "Agregar o editar la direccin IP o el nombre de host de LAN Enforcer" en la pgina 895. Sin embargo, se puede agregar o editar la direccin IP o el nombre de host de Symantec Endpoint Protection Manager en una lista de servidores de administracin. Ver "Cmo conectar LAN Enforcer a Symantec Endpoint Protection Manager" en la pgina 896.
Agregar o editar el nombre de un grupo de dispositivos LAN Enforcer con LAN Enforcer
No es posible agregar o editar el nombre de un grupo de dispositivos LAN Enforcer al que pertenezca un dispositivo LAN Enforcer. Se realizan estas tareas en la consola de Enforcer durante la instalacin. Ms adelante, si desea modificar el nombre de un grupo de dispositivos LAN Enforcer, es posible hacerlo en la consola de Enforcer.
894
Todos los mdulos de aplicacin Enforcer de un grupo comparten las mismas opciones de configuracin. Ver "Cmo usar la Configuracin general" en la pgina 893.
Cmo especificar un puerto de escucha para la comunicacin entre un conmutador VLAN y un LAN Enforcer
Cuando se configuran las opciones para LAN Enforcer, se especifican los siguientes puertos de escucha:
El puerto de escucha que se utiliza para la comunicacin entre el conmutador VLAN y LAN Enforcer. El conmutador VLAN enva el paquete de RADIUS al puerto UDP. El puerto de escucha que se utiliza para la comunicacin entre LAN Enforcer y un servidor RADIUS. Se especifica este puerto cuando se especifica un servidor RADIUS.
Si el servidor RADIUS est instalado en el servidor de administracin, no debe configurarse para utilizar el puerto 1812. Los servidores RADIUS se configuran para utilizar el puerto 1812 como opcin predeterminada. Como el servidor de administracin adems utiliza el puerto 1812 para comunicarse con LAN Enforcer, hay un conflicto. Ver "Cmo usar la Configuracin general" en la pgina 893. Especificar un puerto de escucha que se utiliza para la comunicacin entre un conmutador VLAN y LAN Enforcer
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. En Servidores, seleccione el grupo de Enforcer. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha General, escriba el nmero de puerto UDP que desea asignar en el campo Puerto de escucha. La configuracin predeterminada para el puerto es 1812. El intervalo se extiende a partir de 1 hasta 65535.
895
Agregar o editar la descripcin de un grupo de Enforcer con LAN Enforcer

Es posible agregar o editar la descripcin de un grupo de Enforcer al cual pertenece un dispositivo Symantec LAN Enforcer. Es posible realizar esta tarea en la consola de Symantec Endpoint Protection Manager en vez de realizarla en la consola de LAN Enforcer. Ver "Cmo usar la Configuracin general" en la pgina 893. Agregar o editar la descripcin de un grupo de Enforcer con LAN Enforcer
1 2 3 4 5 6
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione y expanda el grupo de Enforcer cuya descripcin se desea agregar o editar. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin, en la ficha General, agregue o edite una descripcin para el grupo de Enforcer en el campo Descripcin. Haga clic en Aceptar.
Agregar o editar la direccin IP o el nombre de host de LAN Enforcer

Solamente es posible modificar la direccin IP o el nombre de host de LAN Enforcer en la consola de Enforcer durante la instalacin. Ms adelante, si desea modificar la direccin IP o el nombre de host de LAN Enforcer, es posible hacerlo en la consola de LAN Enforcer. Ver "Cmo usar la Configuracin general" en la pgina 893.
Agregar o editar la descripcin de LAN Enforcer

Es posible agregar o editar la descripcin de LAN Enforcer. Es posible realizar esta tarea en la consola de Symantec Endpoint Protection Manager en vez de realizarla en la consola de LAN Enforcer. Una vez que complete esta tarea, la descripcin aparecer en el campo Descripcin del panel Servidor de administracin. Ver "Cmo usar la Configuracin general" en la pgina 893. Agregar o editar la descripcin de LAN Enforcer
1 2
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores.
896
3 4 5 6 7
Seleccione y expanda el grupo de Enforcer que incluye el LAN Enforcer cuya descripcin se desea agregar o editar. Seleccione el LAN Enforcer cuya descripcin desee agregar o editar. En Tareas, haga clic en Editar propiedades de Enforcer. En el cuadro de dilogo Propiedades de Enforcer, agregue o edite una descripcin para LAN Enforcer en el campo Descripcin. Haga clic en Aceptar.
Cmo conectar LAN Enforcer a Symantec Endpoint Protection Manager

Los dispositivos Enforcer deben poder conectarse a los servidores en los cuales Symantec Endpoint Protection Manager est instalado. Symantec Endpoint Protection Manager usa una lista de servidores de administracin para ayudar a administrar el trfico entre los clientes, servidores de administracin y los Enforcers opcionales, tales como LAN Enforcer. La lista de servidores de administracin especifica a qu Symantec Endpoint Protection Manager se conecta LAN Enforcer. Adems, especifica a qu Symantec Endpoint Protection Manager se conecta LAN Enforcer en caso de error de un servidor de administracin. Si un administrador ha creado varias listas de servidores de administracin, es posible seleccionar la lista especfica de servidores de administracin que incluye las direcciones IP o los nombres de host de los servidores de administracin a los que es necesario que LAN Enforcer se conecte. Si hay solamente un servidor de administracin en un sitio, es posible seleccionar la lista predeterminada de servidores de administracin. Ver "Cmo usar la Configuracin general" en la pgina 893. Ver "Configuracin de una lista de servidores de administracin" en la pgina 722. Para conectar LAN Enforcer a Symantec Endpoint Protection Manager
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione y expanda el grupo de Enforcers. El grupo Enforcer debe incluir LAN Enforcer para los cuales desee modificar la lista de servidores de administracin.
4 5
En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin, en la ficha General, en Comunicacin, seleccione la lista de servidores de administracin que desee que LAN Enforcer use.
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Usar la configuracin del grupo de servidores RADIUS
897
En la ficha General, en Comunicacin, haga clic en Seleccionar. Es posible ver las direcciones IP y los nombres de host de todos los servidores de administracin disponibles, adems de las prioridades que se les han asignado.
7 8
En el cuadro de dilogo Lista de servidores de administracin, haga clic en Cerrar. Haga clic en Aceptar.
Usar la configuracin del grupo de servidores RADIUS

Es posible configurar LAN Enforcer para que se conecte a uno o varios servidores RADIUS. Es necesario especificar los servidores RADIUS como parte de un grupo de servidores RADIUS. Cada grupo puede contener uno o ms servidores RADIUS. El propsito de un grupo de servidores RADIUS es que los servidores RADIUS proporcionen conmutacin por error. Si un servidor RADIUS en el grupo de servidores RADIUS deja de estar disponible, LAN Enforcer intenta conectarse con otro servidor RADIUS que sea parte del grupo de servidores RADIUS. Es posible agregar, editar y eliminar el nombre del grupo de servidores RADIUS en la consola de Symantec Endpoint Protection Manager. Ver "Agregar un nombre de grupo de servidores RADIUS y un servidor RADIUS" en la pgina 898. Ver "Editar el nombre de un grupo de servidores RADIUS" en la pgina 900. Ver "Eliminar el nombre de un grupo de servidores RADIUS" en la pgina 904. Es posible agregar, editar y eliminar el nombre, el nombre de host, la direccin IP, el nmero de puerto de autenticacin y el secreto compartido de un servidor RADIUS en la consola de Symantec Endpoint Protection Manager. Ver "Agregar un nombre de grupo de servidores RADIUS y un servidor RADIUS" en la pgina 898. Ver "Editar el nombre descriptivo de un servidor RADIUS" en la pgina 900. Ver "Editar el nombre de host o la direccin IP de un servidor RADIUS" en la pgina 901. Ver "Editar el nmero de puerto de autenticacin de un servidor RADIUS" en la pgina 901. Ver "Editar el secreto compartido de un servidor RADIUS" en la pgina 902. Ver "Eliminar un servidor RADIUS" en la pgina 904.
898
Agregar un nombre de grupo de servidores RADIUS y un servidor RADIUS

Es posible agregar un nombre de grupo de servidores RADIUS y un servidor RADIUS al mismo tiempo. Ver "Usar la configuracin del grupo de servidores RADIUS" en la pgina 897. Para agregar un nombre de grupo de servidores RADIUS y un servidor RADIUS
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione el grupo de Enforcer. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Grupo de servidores RADIUS, haga clic en Agregar. El nombre del grupo de servidores RADIUS y la direccin IP de un servidor RADIUS existente aparecen en la tabla.
En el cuadro de dilogo Agregar Grupo de servidores RADIUS, escriba el nombre del grupo de servidores RADIUS en el cuadro de texto Grupo. El nombre del grupo de servidores RADIUS, el nombre de host o la direccin IP de un servidor RADIUS existente y el nmero de puerto del servidor RADIUS aparecen en la tabla.
Haga clic en Agregar.
899
En el cuadro de dilogo Agregar servidor RADIUS, escriba lo siguiente:

En el campo: Nombre descriptivo del servidor RADIUS Escriba un nombre que identifique fcilmente el nombre del servidor RADIUS cuando aparezca en la lista de servidores para ese grupo.
En el campo: Nombre de host o direccin Escriba el nombre de host o la direccin IP IP del servidor RADIUS. En el campo: Puerto de autenticacin Escriba el puerto de red del servidor RADIUS al que LAN Enforcer enva el paquete de autenticacin del cliente. La configuracin predeterminada es 1812. En el campo: Tiempo de espera del conmutador (en segundos) Escriba el valor del tiempo de espera del conmutador. La configuracin predeterminada es de 3 segundos. Escriba el valor de retransmisiones del conmutador. La opcin predeterminada es una. Escriba el secreto compartido que se usa para la comunicacin cifrada entre el servidor RADIUS y el dispositivo LAN Enforcer. El secreto compartido entre un servidor RADIUS y LAN Enforcer puede ser diferente del secreto compartido entre un conmutador compatible con 802.1x y LAN Enforcer. El secreto compartido distingue entre maysculas y minsculas. Escriba el secreto compartido de nuevo.
En el campo: Retransmisiones del conmutador
En el campo: Secreto compartido
En el campo: Confirmar secreto compartido
Haga clic en Aceptar. El nombre, el nombre del host o la direccin IP y el puerto para el servidor RADIUS que usted agreg ahora aparecen en la lista Grupo de servidores RADIUS en el cuadro de dilogo Agregar Grupo de servidores RADIUS.
10 En el cuadro de dilogo Agregar Grupo de servidores RADIUS, haga clic en

Aceptar.
11 En el cuadro de dilogo Configuracin de LAN Enforcer, haga clic en Aceptar.
900
Editar el nombre de un grupo de servidores RADIUS

Es posible modificar el nombre del grupo de servidores RADIUS en cualquier momento si las circunstancias se modifican. Ver "Usar la configuracin del grupo de servidores RADIUS" en la pgina 897. Para editar el nombre de un grupo de servidores RADIUS
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione el grupo de Enforcer del cual LAN Enforcer es un miembro. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Grupo de servidores RADIUS, haga clic en el grupo de servidores RADIUS cuyo nombre desea cambiar. Haga clic en Editar. En el cuadro de dilogo Agregar servidor RADIUS, edite el nombre del grupo de servidores RADIUS en el campo Nombre de grupo. Haga clic en Aceptar. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Grupo de servidores RADIUS, haga clic en Aceptar.
6 7 8 9
Editar el nombre descriptivo de un servidor RADIUS

Es posible modificar el nombre descriptivo del servidor RADIUS en cualquier momento si las circunstancias se modifican. Ver "Usar la configuracin del grupo de servidores RADIUS" en la pgina 897. Editar el nombre descriptivo de un servidor RADIUS
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione el grupo de Enforcer del cual LAN Enforcer es un miembro. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Grupo de servidores RADIUS, haga clic en el grupo de servidores RADIUS que incluye el servidor RADIUS cuyo nombre descriptivo se desea modificar.
901
6 7 8 9
Haga clic en Editar. En el cuadro de dilogo Agregar servidor RADIUS, edite el nombre descriptivo del servidor RADIUS en el campo Nombre descriptivo del servidor RADIUS. Haga clic en Aceptar. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Grupo de servidores RADIUS, haga clic en Aceptar.
Editar el nombre de host o la direccin IP de un servidor RADIUS

Es posible modificar el nombre de host o la direccin IP del servidor RADIUS en cualquier momento si las circunstancias se modifican. Ver "Usar la configuracin del grupo de servidores RADIUS" en la pgina 897. Editar el nombre de host o la direccin IP de un servidor RADIUS
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione el grupo de Enforcer del cual LAN Enforcer es un miembro. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Grupo de servidores RADIUS, haga clic en el grupo de servidores RADIUS que incluye el servidor RADIUS cuyo nombre de host o direccin IP se desea modificar. Haga clic en Editar. En el cuadro de dilogo Agregar servidor RADIUS, edite el nombre de host o la direccin IP del servidor RADIUS en el campo Nombre de host o direccin IP. Haga clic en Aceptar. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Grupo de servidores RADIUS, haga clic en Aceptar.
6 7
8 9
Editar el nmero de puerto de autenticacin de un servidor RADIUS

Es posible modificar el nmero de puerto de autenticacin del servidor RADIUS en cualquier momento si las circunstancias se modifican. Ver "Usar la configuracin del grupo de servidores RADIUS" en la pgina 897.
902
Editar el nmero de puerto de autenticacin de un servidor RADIUS
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione el grupo de Enforcer del cual LAN Enforcer es un miembro. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Grupo de servidores RADIUS, haga clic en el grupo de servidores RADIUS que incluye el servidor RADIUS cuyo nmero de puerto de autenticacin se desea modificar. Haga clic en Editar. En el cuadro de dilogo Agregar servidor RADIUS, edite el nmero de puerto de autenticacin del servidor RADIUS en el campo Puerto de autenticacin. Haga clic en Aceptar. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Grupo de servidores RADIUS, haga clic en Aceptar.
6 7 8 9
Editar el secreto compartido de un servidor RADIUS

Es posible modificar el secreto compartido del servidor RADIUS en cualquier momento si las circunstancias se modifican. Ver "Usar la configuracin del grupo de servidores RADIUS" en la pgina 897. Editar el secreto compartido de un servidor RADIUS
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione el grupo de Enforcer del cual LAN Enforcer es un miembro. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Grupo de servidores RADIUS, haga clic en el grupo de servidores RADIUS que incluye el servidor RADIUS cuyo secreto compartido se desea modificar. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Grupo de servidores RADIUS, haga clic en Editar.
903
En el cuadro de dilogo Agregar servidor RADIUS, edite el secreto compartido del servidor RADIUS en el campo Secreto compartido. El secreto compartido se usa para la comunicacin cifrada entre el servidor RADIUS y el dispositivo LAN Enforcer. El secreto compartido entre un servidor RADIUS y LAN Enforcer puede ser diferente del secreto compartido entre un conmutador compatible con 802.1x y LAN Enforcer. El secreto compartido distingue entre maysculas y minsculas.
8 9
Edite el secreto compartido del servidor RADIUS en el campo Confirmar secreto compartido. Haga clic en Aceptar. de servidores RADIUS, haga clic en Aceptar.
10 En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Grupo
Habilitacin de la compatibilidad con el servidor de polticas de red de Windows (NPS) en LAN Enforcer
Cuando usa un servidor de Microsoft Windows como servidor Radius, anteriormente se usaba el servidor de autenticacin de Internet (IAS). En Windows Server 2008, IAS se han reemplazado por el servidor de polticas de red (NPS). Si est utilizando Server 2008, debe especificar que est utilizando NPS. Nota: La habilitacin de la compatibilidad con Windows NPS necesita que los clientes y LAN Enforcers ejecuten Symantec Endpoint Protection 11.0 RU6 MP2 o una versin posterior (incluida 12.1). Si habilita esta opcin en LAN Enforcers con clientes de una versin anteriores, no se admite la funcionalidad de Symantec Network Access Control. Para habilitar la compatibilidad con el servidor de polticas de red de Windows
1 2 3 4
En la pantalla Servidores, seleccione LAN Enforcer. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de LAN Enforcer, haga clic en la ficha Grupo de servidores RADIUS. En la parte inferior de la pantalla, haga clic en Habilita la compatibilidad con el servidor de polticas de redes (NPS) de Windows. Ver una nota de advertencia similar a la nota anterior. Est seguro de que los clientes y LAN Enforcers estn ejecutando la versin 11.0 RU6 MP2 o posterior.
Haga clic en Aceptar para guardar la configuracin.
904
Eliminar el nombre de un grupo de servidores RADIUS

Es posible eliminar el nombre del grupo de servidores RADIUS en cualquier momento si las circunstancias se modifican. Ver "Usar la configuracin del grupo de servidores RADIUS" en la pgina 897. Eliminar el nombre de un grupo de servidores RADIUS
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione el grupo de Enforcer del cual LAN Enforcer es un miembro. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Grupo de servidores RADIUS, haga clic en el grupo de servidores RADIUS cuyo nombre desea eliminar. Haga clic en Eliminar. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Grupo de servidores RADIUS, haga clic en Aceptar.
6 7
Eliminar un servidor RADIUS

Es posible eliminar un servidor RADIUS en cualquier momento si las circunstancias se modifican. Ver "Usar la configuracin del grupo de servidores RADIUS" en la pgina 897. Eliminar un servidor RADIUS
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. En Servidores, seleccione el grupo de Enforcer del que LAN Enforcer es un miembro. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Grupo de servidores RADIUS, haga clic en el grupo de servidores RADIUS al cual pertenece el servidor RADIUS que desea eliminar. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Grupo de servidores RADIUS, haga clic en Editar.
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Usar las opciones del conmutador
905
7 8 9
En el cuadro de dilogo Agregar servidor RADIUS, haga clic en el servidor RADIUS que desee eliminar. Haga clic en Eliminar. Haga clic en Aceptar. de servidores RADIUS, haga clic en Aceptar.
10 En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Grupo
Usar las opciones del conmutador

Se configura una poltica de conmutador cuando se especifica la configuracin de LAN Enforcer para los conmutadores. Una poltica de conmutador es una coleccin de opciones que se aplican a un grupo de conmutadores del mismo fabricante o modelo. La nica informacin que es necesario escribir por separado para los conmutadores individuales es la direccin IP del conmutador. Ver "Agregar una poltica de conmutador 802.1x para un dispositivo LAN Enforcer con un asistente" en la pgina 909. Ver "Editar la informacin bsica sobre la poltica de conmutador y el conmutador compatible con 802.1x" en la pgina 918.
Configuracin de conmutador
Es necesario especificar la informacin bsica siguiente antes de que los dispositivos LAN Enforcer, servidores de administracin, clientes y conmutadores compatibles con 802.1x funcionen juntos:

Un nombre de su eleccin para la poltica de conmutador El fabricante y el modelo del conmutador Se selecciona el modelo del conmutador de una lista de conmutadores admitidos. La contrasea cifrada o el secreto compartido El grupo de servidores RADIUS que se utiliza El perodo de tiempo de espera de reautenticacin para el conmutador compatible con 802.1x La configuracin predeterminada es 30 segundos. Si el conmutador remite otros protocolos adems de EAP La configuracin predeterminada es remitir otros protocolos.
Ver "Agregar una poltica de conmutador 802.1x para un dispositivo LAN Enforcer con un asistente" en la pgina 909.
906
Ver "Editar la informacin bsica sobre la poltica de conmutador y el conmutador compatible con 802.1x" en la pgina 918. Es necesario especificar la siguiente informacin para el conjunto de conmutadores compatibles con 802.1x a los que la poltica de conmutador se aplica:

Un nombre descriptivo para el conmutador de su eleccin Direccin IP, intervalo de direcciones IP o subred
Ver "Agregar una poltica de conmutador 802.1x para un dispositivo LAN Enforcer con un asistente" en la pgina 909. Ver "Editar informacin sobre el conmutador compatible con 802.1x" en la pgina 924. Es necesario especificar la siguiente informacin de VLAN:

ID de VLAN Nombre de VLAN Opcionalmente, es posible especificar los atributos personalizados de RADIUS en formato hexadecimal.
Ver "Agregar una poltica de conmutador 802.1x para un dispositivo LAN Enforcer con un asistente" en la pgina 909. Ver "Editar informacin de VLAN para la poltica de conmutador" en la pgina 926. Si un conmutador compatible con 802.1x admite la conmutacin VLAN dinmica, es posible especificar que el cliente debe conectarse a una VLAN especfica. Es necesario especificar las medidas que el conmutador compatible con 802.1x necesita tomar cuando se cumplen ciertos criterios:
Resultado de la autenticacin del host: Aprobado, No aprobado, No disponible u Omitir resultado Resultado de la autenticacin del usuario: Aprobado, No aprobado, No disponible u Omitir resultado Resultado de la comprobacin de polticas: Aprobado, No aprobado, No disponible u Omitir resultado
Ver "Agregar una poltica de conmutador 802.1x para un dispositivo LAN Enforcer con un asistente" en la pgina 909.
Acerca de la compatibilidad con los atributos de los modelos de conmutador

Cuando se configura el dispositivo LAN Enforcer, se especifica el modelo del conmutador compatible con 802.1x. Los diferentes conmutadores compatibles
907
con 802.1x buscan diferentes atributos para determinar qu cliente puede acceder a la VLAN. Algunos conmutadores identifican las VLAN por ID de VLAN y otros, por nombre de VLAN. Algunos dispositivos tienen compatibilidad limitada o ninguna compatibilidad con VLAN. El dispositivo LAN Enforcer remite atributos del servidor RADIUS al conmutador. Si es necesario, sin embargo, modifica o aade el atributo VLAN al final de acuerdo con el tipo de conmutador usando valores admitidos. Si existe un conflicto entre la informacin de atributos especficos del distribuidor que el servidor RADIUS enva y la informacin de atributos de VLAN especficos del distribuidor que el dispositivo LAN Enforcer utiliza, LAN Enforcer quita la informacin especfica del distribuidor que el servidor RADIUS enva. Entonces, LAN Enforcer reemplaza esa informacin con la informacin que aparece en Tabla 43-1. Si desea guardar los atributos del servidor RADIUS, es posible seleccionar una accin llamada Abrir el puerto. Con esta accin, LAN Enforcer remite todos los atributos del servidor RADIUS al conmutador compatible con 802.1x sin ninguna modificacin. El modelo del conmutador compatible con 802.1x puede utilizar el ID o el nombre de la VLAN para realizar asignaciones dinmicas de VLAN. Es necesario especificar el ID de VLAN y el nombre de VLAN cuando se proporciona la informacin de VLAN para LAN Enforcer, a excepcin del conmutador Aruba. Ver "Cambio de configuracin de LAN Enforcer en Symantec Endpoint Protection Manager" en la pgina 891. La Tabla 43-1 describe los modelos y los atributos de conmutadores compatibles con 802.1x. Tabla 43-1 Modelo de conmutador
Controlador inalmbrico Airespace
Compatibilidad con los atributos de los modelos de conmutador Comentarios
Atributos agregados por LAN Enforcer

El cdigo del distribuidor es 14179.
Se utiliza el nombre de VLAN. El nombre distingue entre maysculas y El nmero del atributo asignado por el distribuidor es minsculas. 5. El formato del atributo es "cadena".
Alcatel
Vendor Specific (#26) El ID del distribuidor de Alcatel es 800. Todos los atributos "Vendor Specific" de RADIUS con un ID de 800 se quitan en caso de conflicto.
Se utiliza el ID de VLAN.
908
Modelo de conmutador
Aruba

Vendor Specific (#14823) El Vendor ID es 14823 para Aruba. El atributo Aruba-User-Role le permite configurar ID o nombres de VLAN.
Comentarios
Puede usarse tanto el nombre de VLAN como el ID de VLAN. Alternativamente, es posible utilizar solamente un nombre de VLAN o solamente un ID de VLAN Un ID de VLAN vlido se extiende de 1 a 4094. Un nombre de VLAN no puede superar los 64 bytes.
Cisco Aironet Series
Depende de si se utiliza el control de acceso SSID. Atributos del usuario de RADIUS utilizados para la asignacin de ID de VLAN: IETF 64 (Tunnel Type): Configure este atributo en "VLAN" IETF 65 (Tunnel Medium Type): Configure este atributo en "802" IETF 81 (Tunnel Private Group ID): Configure este atributo en VLAN-ID Atributo de usuario de RADIUS utilizado para el control de acceso SSID: Cisco IOS/PIX RADIUS Attribute, 009\001 cisco-av-pair
Cisco Catalyst Series
Tunnel Type (#64) Tunnel Medium Type (#65) Tunnel Private Group ID (#81) El Tunnel Type se configura en 13 (VLAN) El Tunnel Medium Type se configura en 6 (802) El Tunnel Private Group ID se configura en el nombre de VLAN. Todos los atributos con estos 3 tipos del servidor RADIUS se quitan en caso de conflicto. Adems, cualquier atributo "Vendor Specific" y el ID de distribuidor 9 (Cisco) tambin se quita.
Se utiliza el nombre de VLAN. El nombre distingue entre maysculas y minsculas.
909
Modelo de conmutador
Foundry, HP, Nortel, 3com, Huawei

Tunnel Type (#64) Tunnel Medium Type (#65) Tunnel Private Group ID (#81) El Tunnel Type se configura en 13 (VLAN) El Tunnel Medium Type se configura en 6 (802) El Tunnel Private Group ID se configura en el ID de VLAN. Todos los atributos con estos 3 tipos del servidor RADIUS se quitan en caso de conflicto.
Comentarios
Enterasys
Filter ID (#11) Filter ID se configura en Enterasys : version=1: mgmt=su: policy=NAME Todos los atributos de "Filter ID" del servidor RADIUS se quitan en caso de conflicto.
El nombre de VLAN se utiliza y representa el "Nombre de funcin" en el conmutador Enterasys. El nombre distingue entre maysculas y minsculas.
Extreme
Vendor Specific (#26) El ID del distribuidor es 1916 para Extreme. El VLAN Name se agrega despus del ID del distribuidor. Todos los atributos especficos del distribuidor del servidor RADIUS con un ID de 1916 se quitan en caso de conflicto.
Se utiliza el nombre de VLAN. El nombre distingue entre maysculas y minsculas.
Agregar una poltica de conmutador 802.1x para un dispositivo LAN Enforcer con un asistente
Es posible agregar varios conmutadores compatibles con 802.1x para utilizar con un dispositivo LAN Enforcer como parte de una poltica de conmutador. Es necesario escribir la informacin necesaria para configurar la interaccin del dispositivo LAN Enforcer con el conmutador. Ver "Usar las opciones del conmutador" en la pgina 905.
910
Para agregar una poltica de conmutador 802.1x para un dispositivo LAN Enforcer con un asistente
1 2 3 4 5 6
En Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione el grupo de Enforcer. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Conmutador, haga clic en Agregar. En el panel Bienvenido al Asistente para la configuracin de polticas de conmutador del Asistente para la configuracin de polticas de conmutador, haga clic en Siguiente. En el panel Informacin bsica del Asistente para la configuracin de polticas de conmutador, complete las siguientes tareas:
Nombre de poltica de conmutador Escriba un nombre de su eleccin que identifique la poltica de conmutador. Por ejemplo, es posible utilizar el nombre y el modelo del fabricante como el nombre de la poltica de conmutador.
911
Modelo de conmutador LAN Enforcer utiliza el modelo de conmutador para determinar el atributo de servidor RADIUS especfico del fabricante. Seleccione uno de los siguientes modelos compatibles con 802.1x de la lista de conmutadores compatibles: Otros Si su modelo no se menciona, seleccione Otros para utilizar un atributo de servidor RADIUS genrico. 3Com

Conmutador Alcatel Cisco Catalyst Series Enterasys Matix Series Extreme Summit Series Foundry Networks HP Procurve Series Nortel BayStack Series Cisco Aironet Series Conmutadores Aruba Controlador inalmbrico Airespace Nortel Wireless Controlador inalmbrico Enterasys Conmutadores Allied Telesis Conmutadores Huawei posteriores a enero de 2009
Nota: En los conmutadores Huawei, si el administrador

elige el modo transparente en el conmutador, el administrador debe configurar la poltica para usar el modo transparente en el cliente, en lugar de permitir que lo seleccione el usuario. Secreto compartido El secreto compartido que se utiliza para la comunicacin entre el conmutador compatible con 802.1x y el dispositivo LAN Enforcer. El secreto compartido distingue entre maysculas y minsculas. Es necesario volver a escribir el secreto compartido.
Confirmar secreto compartido Grupo de servidores RADIUS
Si utiliza el dispositivo LAN Enforcer con un servidor RADIUS, es necesario seleccionar el grupo de servidores RADIUS de la lista de grupos de servidores RADIUS disponibles.
912
Perodo de reautenticacin (segundos)
Escriba la cantidad de tiempo, en segundos, durante el cual el cliente debe reautenticarse. De lo contrario, se quita el cliente de la lista de clientes conectados en LAN Enforcer. Es necesario configurar el perodo de reautenticacin en, al menos, el doble del intervalo de reautenticacin del conmutador. Por ejemplo, si el intervalo de reautenticacin en el conmutador es de 30 segundos, el perodo de reautenticacin del dispositivo LAN Enforcer debe ser de, por lo menos, 60 segundos. Si no, el dispositivo LAN Enforcer asume que el cliente excedi el tiempo de espera. Por lo tanto, el cliente no informa ni renueva su direccin IP. La configuracin predeterminada es 30 segundos.
Enviar protocolos adems de EAP
Es posible seleccionar esta opcin para permitir que el dispositivo LAN Enforcer remita los paquetes de RADIUS que contienen otros protocolos de autenticacin adems de EAP. Otros protocolos incluyen Challenge Handshake Authentication Protocol (CHAP) y PAP. La configuracin predeterminada est habilitada.
8 9
En el panel Informacin bsica del Asistente para la configuracin de polticas de conmutador, haga clic en Siguiente. En el panel Lista de conmutadores del Asistente para la configuracin de polticas de conmutador, haga clic en Agregar.
913
10 Complete las siguientes tareas:

Nombre En el cuadro de dilogo Agregar una nica direccin IP interna, escriba un nombre descriptivo para la poltica de conmutador a fin de identificar el conmutador compatible con 802.1x en el campo Nombre. En el cuadro de dilogo Agregar una nica direccin IP interna, haga clic en Direccin IP nica. A continuacin, escriba la direccin IP del conmutador compatible con 802.1x en el campo Direccin IP.
Direccin IP nica
Intervalo de direcciones En el cuadro de dilogo Agregar intervalo de direcciones IP IP internas, haga clic en Intervalo de direcciones IP. Escriba la direccin IP inicial para el conmutador compatible con 802.1x en el campo Direccin IP inicial. Escriba la direccin IP final del intervalo de direcciones IP para el conmutador compatible con 802.1x en el campo IP final. Subred En el cuadro de dilogo Agregar subred de direcciones IP internas, haga clic en Subred. Escriba la direccin IP para la subred en el campo Direccin IP y la subred en el campo Mscara de subred.
Cuando se especifica una poltica de conmutador para un dispositivo LAN Enforcer, es posible asociar la poltica de conmutador a uno o ms conmutadores compatibles con 802.1x.
11 En el cuadro de dilogo Agregar direccin IP interna, haga clic en Aceptar.. 12 En el panel Lista de conmutadores del Asistente para la configuracin de
polticas de conmutador, haga clic en Siguiente.
13 En el panel Configuracin de VLAN del conmutador del Asistente para la

configuracin de polticas de conmutador, haga clic en Agregar.
914
14 En el cuadro de dilogo Agregar VLAN, complete las siguientes tareas:

ID de VLAN Escriba un nmero entero de 1 a 4094 en el campo ID de VLAN. El ID de VLAN debe ser igual que el que se configura en el conmutador compatible con 802.1x, a excepcin del conmutador Aruba. Si planea agregar informacin de VLAN sobre un conmutador Aruba, es posible configurar la informacin de VLAN y del rol de manera diferente de la de otros conmutadores de 802.1x. Ver "Configurar informacin de VLAN y del rol en el conmutador compatible con 802.1x Aruba" en la pgina 928. Nombre de VLAN Escriba un nombre de VLAN. El nombre para la VLAN puede tener hasta 64 caracteres. Distingue entre maysculas y minsculas. El nombre de VLAN debe ser igual que el que se configura en el conmutador compatible con 802.1x, a excepcin del conmutador Aruba. Si planea agregar informacin de VLAN sobre un conmutador Aruba, es posible configurar la informacin de VLAN y del rol de manera diferente de la de otros conmutadores de 802.1x. Ver "Configurar informacin de VLAN y del rol en el conmutador compatible con 802.1x Aruba" en la pgina 928. Enviar atributos Seleccione Enviar atributos RADIUS personalizados al RADIUS personalizados conmutador si desea que LAN Enforcer enve un atributo al conmutador RADIUS personalizado al conmutador compatible con 802.1x. Un atributo puede ser una lista de control de acceso (ACL). Ver "Acerca de la compatibilidad con los atributos de los modelos de conmutador" en la pgina 906. Atributos personalizados en formato hexadecimal Escriba el atributo RADIUS en formato hexadecimal. La longitud debe ser par.
Cuando se especifica una poltica de conmutador para LAN Enforcer, se utiliza la ficha VLAN para agregar la informacin de VLAN para cada VLAN configurada en el conmutador. La poltica de conmutador debe estar disponible
915
para su uso en LAN Enforcer como accin. Las prcticas recomendadas son especificar por lo menos una VLAN de reparacin.
15 Haga clic en Aceptar. 16 En el panel Configuracin de VLAN del conmutador del Asistente para la
configuracin de polticas de conmutador, haga clic en Siguiente.
17 En el panel Configuracin de la accin de conmutador del Asistente para la

configuracin de polticas de conmutador, haga clic en Agregar.
18 En el cuadro de dilogo Agregar accin del conmutador, complete las

siguientes tareas:
Autenticacin del host Haga clic en una de las siguientes condiciones:

Aprobado Error No disponible Omitir resultado
Una situacin tpica en la cual una comprobacin de integridad del host deja de estar disponible sera el resultado de un cliente que no se ejecuta. Si se establece Autenticacin del host en No disponible, se debe adems configurar Comprobacin de polticas en Unavailable No disponible.
916
Autenticacin del usuario
Haga clic en una de las siguientes condiciones: Aprobado El cliente ha aprobado la autenticacin del usuario. Error
El cliente no ha aprobado la autenticacin del usuario. No disponible El resultado de la autenticacin del usuario siempre es no disponible si la autenticacin de usuario no se realiza en modo transparente. Si utiliza LAN Enforcer en modo transparente, es necesario crear una accin para la condicin No disponible. Si utiliza la configuracin bsica, es posible tambin configurar una accin para la autenticacin de usuario como condicin de error. Por ejemplo, si un suplicante de 802.1x utiliza un mtodo incorrecto de autenticacin de usuario o si el servidor RADIUS falla en el medio de la transaccin de autenticacin. La condicin No disponible para la autenticacin de usuario puede tambin ocurrir en algunos servidores RADIUS si el nombre de usuario no existe en la base de datos de RADIUS. Por ejemplo, este problema puede ocurrir con Microsoft IAS. Por lo tanto, es posible probar la condicin de un nombre de usuario inexistente con su servidor RADIUS. Es conveniente ver si coincide con las condiciones de autenticacin de usuario Error o No disponible. Omitir resultado
Una situacin tpica en la cual una comprobacin de integridad del host deja de estar disponible sera el resultado de un cliente que no se ejecuta. Si se establece Comprobacin de polticas en No disponible, se debe adems configurar Autenticacin del host en No disponible.
917
Comprobacin de polticas
Haga clic en una de las siguientes condiciones: Aprobado El cliente ha aprobado la Comprobacin de polticas. Error
El cliente no ha aprobado la Comprobacin de polticas. No disponible El resultado No disponible para la poltica puede ocurrir en las condiciones siguientes: Si el cliente tiene un identificador no vlido, el dispositivo LAN Enforcer no puede obtener ninguna informacin de polticas del servidor de administracin. Este problema puede ocurrir si el servidor de administracin que implement la poltica del cliente ya no est disponible. Si se exporta y se instala el cliente antes, se conecta al servidor de administracin y recibe su poltica. Omitir resultado
Accin
Es posible seleccionar las acciones siguientes que el conmutador compatible con 802.1x realiza cuando se cumplen estas condiciones: Abrir el puerto El conmutador compatible con 802.1x permite el acceso de red en la VLAN predeterminada a la cual se asigna el puerto normalmente. Adems permite el acceso de red en la VLAN que se especifica en un atributo que se enva del servidor RADIUS. Por lo tanto, la compatibilidad de los usuarios que tienen acceso a la VLAN se basa en el ID de usuario y el rol de usuario. La accin predeterminada es Abrir el puerto. Pasar a VLAN prueba Permite el acceso a la VLAN especificada. Las VLAN que estn disponibles para seleccionar son las que se configuraron previamente. Cerrar el puerto Niega el acceso de red en la VLAN predeterminada o la VLAN especificada por RADIUS. En algunos modelos de conmutador, segn la configuracin del conmutador, el puerto se asigna a una VLAN invitada.
Para el conmutador Aruba, es posible restringir el acceso a un rol especificado, as como a una VLAN especificada. Las restricciones dependen de cmo se configur la informacin de VLAN para la poltica de conmutador.
918
19 En el cuadro de dilogo Agregar accin del conmutador, haga clic en Aceptar. 20 En el panel Configuracin de la accin de conmutador del Asistente para la
configuracin de polticas de conmutador, en la tabla Accin del conmutador, haga clic en la poltica de accin del conmutador cuya prioridad desea modificar. LAN Enforcer compara los resultados de la autenticacin con las entradas en la tabla de acciones del conmutador en el orden descendente. Despus de que encuentra un conjunto de condiciones que coincide, da instrucciones al conmutador compatible con 802.1x para que aplique esa accin. Es posible modificar la secuencia en la cual las acciones son aplicadas modificando el orden en el cual se enumeran en la tabla.
21 Haga clic en Subir o Bajar. 22 Haga clic en Siguiente. 23 En el panel Se complet Asistente para la configuracin de polticas de
conmutador del Asistente para la configuracin de polticas de conmutador, haga clic en Finalizar.
Editar la informacin bsica sobre la poltica de conmutador y el conmutador compatible con 802.1x
Es posible modificar los parmetros siguientes sobre la poltica de conmutador y el conmutador compatible con 802.1x:
Nombre de poltica de conmutador Ver "Editar el nombre de una poltica de conmutador" en la pgina 919. Modelo de conmutador Ver "Seleccionar un modelo de conmutador diferente para la poltica de conmutador" en la pgina 919. Secreto compartido Ver "Edicin de una contrasea cifrada o un secreto compartido" en la pgina 920. Grupo de servidores RADIUS Ver "Seleccionar un grupo de servidores RADIUS diferente" en la pgina 921. Perodo de reautenticacin Ver "Editar el perodo de reautenticacin" en la pgina 922. Envo de protocolos adems de EAP Ver "Habilitar protocolos diferentes de EAP" en la pgina 923.
919
Editar el nombre de una poltica de conmutador

Es posible editar el nombre de la poltica de conmutador en cualquier momento si las circunstancias se modifican. Ver "Configuracin de conmutador" en la pgina 905. Editar el nombre de una poltica de conmutador
1 2 3 4 5
En Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione el grupo de Enforcer. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Conmutador de la tabla Poltica de conmutador, haga clic en la poltica de conmutador que desee modificar. Haga clic en Editar. En el cuadro de dilogo Editar la poltica de conmutador para nombre de la poltica de conmutador, en la ficha Informacin bsica, edite el nombre de la poltica de conmutador en el campo Nombre de la poltica de conmutador. Haga clic en Aceptar. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Conmutador, haga clic en Aceptar.
6 7
8 9
Seleccionar un modelo de conmutador diferente para la poltica de conmutador

Es posible seleccionar un modelo de conmutador diferente para la poltica de conmutador en cualquier momento si las circunstancias se modifican. Ver "Configuracin de conmutador" en la pgina 905. Para seleccionar un modelo de conmutador diferente para la poltica de conmutador
1 2 3 4 5
En Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione el grupo de Enforcer. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Conmutador de la tabla Poltica de conmutador, haga clic en la poltica de conmutador cuyo modo de conmutacin desee modificar. Haga clic en Editar.
920
En el cuadro de dilogo Editar la poltica de conmutador para nombre de la poltica de conmutador, en la ficha Informacin bsica, seleccione un modelo de conmutador diferente de la siguiente lista Modelo de conmutador:
Otros Si su modelo no se menciona, seleccione Otros para utilizar un atributo de servidor RADIUS genrico. 3Com Conmutador Alcatel Cisco Catalyst Series Enterasys Matix Series Extreme Summit Series Foundry Networks HP Procurve Series Nortel BayStack Series Cisco Aironet Series Conmutadores Aruba Controlador inalmbrico Airespace Nortel Wireless Controlador inalmbrico Enterasys Conmutador HuaWei Si el administrador elige el modo transparente en el conmutador HuaWei, debe configurar la poltica para usar el modo transparente en el cliente, en lugar de permitir que lo seleccione el usuario.
8 9
Haga clic en Aceptar. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Conmutador, haga clic en Aceptar.
Edicin de una contrasea cifrada o un secreto compartido

Es posible editar el secreto compartido en cualquier momento si las circunstancias se modifican. Ver "Configuracin de conmutador" en la pgina 905.
921
Para editar una contrasea cifrada o un secreto compartido
1 2 3 4 5
En Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione el grupo de Enforcer. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Conmutador de la tabla Poltica de conmutador, haga clic en la poltica de conmutador cuyo secreto compartido desee modificar. Haga clic en Editar. En el cuadro de dilogo Editar la poltica de conmutador para nombre de la poltica de conmutador, en la ficha Informacin bsica, edite el nombre del secreto compartido en el campo Secreto compartido. Edite el nombre del secreto compartido en el campo Confirmar secreto compartido. Haga clic en Aceptar. Conmutador, haga clic en Aceptar.
6 7
8 9
10 En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha
Seleccionar un grupo de servidores RADIUS diferente

Es posible seleccionar un grupo de servidores RADIUS diferente en cualquier momento si las circunstancias se modifican. Ver "Configuracin de conmutador" en la pgina 905. Seleccionar un grupo de servidores RADIUS diferente
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione el grupo de Enforcer. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Conmutador de la tabla Poltica de conmutador, haga clic en la poltica de conmutador cuyo secreto compartido desee modificar. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Conmutador, en la tabla Poltica de configuracin, haga clic en Editar.
922
En el cuadro de dilogo Editar la poltica de conmutador para nombre de la poltica de conmutador, en la ficha Informacin bsica, seleccione un grupo de servidores RADIUS diferente de la lista de grupos de servidores RADIUS. Es necesario haber agregado ms de un grupo de servidores RADIUS antes de que pueda seleccionar un grupo de servidores RADIUS diferente.
8 9
Editar el perodo de reautenticacin

Es posible editar el perodo de reautenticacin en cualquier momento si las circunstancias se modifican. Es necesario especificar la cantidad de tiempo en segundos durante la cual el cliente debe ser reautenticado. Si no lo hace, el cliente se quita de la lista de clientes conectados y se desconecta de la red. Es necesario configurar el perodo de reautenticacin en, al menos, el doble del intervalo de reautenticacin del conmutador. Por ejemplo, si el intervalo de reautenticacin en el conmutador es de 30 segundos, el perodo de reautenticacin de LAN Enforcer debe ser de, por lo menos, 60 segundos. Si no, LAN Enforcer asume que el cliente excedi el tiempo de espera. Por lo tanto, el cliente no informa ni renueva su direccin IP. La configuracin predeterminada es 30 segundos. Ver "Configuracin de conmutador" en la pgina 905. Editar el perodo de reautenticacin
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione el grupo de Enforcer. Haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Conmutador de la tabla Poltica de conmutador, haga clic en la poltica de conmutador que desee modificar. Haga clic en Editar. En el cuadro de dilogo Editar la poltica de conmutador para nombre de la poltica de conmutador, en la ficha Informacin bsica, edite el perodo de reautenticacin en el campo Perodo de reautenticacin en segundos.
6 7
923
8 9
Habilitar protocolos diferentes de EAP

Es posible seleccionar las opciones que permiten que LAN Enforcer remita los paquetes de RADIUS que contienen otros protocolos de la autenticacin adems de EAP. Otros protocolos incluyen:

Challenge Handshake Authentication Protocol (CHAP) PAP
La configuracin predeterminada est habilitada. Ver "Configuracin de conmutador" en la pgina 905. Para habilitar protocolos diferentes de EAP
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione el grupo de Enforcer. Haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Conmutador de la tabla Poltica de conmutador, haga clic en la poltica de conmutador que desee modificar. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Conmutador, en la tabla Poltica de configuracin, haga clic en Editar. En el cuadro de dilogo Editar la poltica de conmutador para nombre de la poltica de conmutador ), en la ficha Informacin bsica ), seleccione Habilitar protocolos adems de EAP. Es posible remitir los protocolos siguientes:

6 7
Challenge Handshake Authentication Protocol (CHAP) PAP
8 9
924
Editar informacin sobre el conmutador compatible con 802.1x

Es posible modificar los parmetros siguientes sobre el conmutador compatible con 802.1x:
Cambiar la direccin IP, el nombre de host o la subred para un conmutador compatible con 802.1x Ver "Editar la direccin IP, el nombre de host o la subred de un conmutador compatible con 802.1x" en la pgina 924. Eliminar un conmutador compatible con 802.1x de la lista de conmutadores Ver "Eliminar un conmutador compatible con 802.1x de la lista de conmutadores" en la pgina 925.
Editar la direccin IP, el nombre de host o la subred de un conmutador compatible con 802.1x
Es posible modificar la direccin IP, el nombre de host o la subred de un conmutador compatible con 802.1x en cualquier momento si las circunstancias lo requieren. Ver "Acerca de la compatibilidad con los atributos de los modelos de conmutador" en la pgina 906. Editar la direccin IP, el nombre de host y la subred de un conmutador compatible con 802.1x
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione el grupo de Enforcer. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Conmutador de la tabla Poltica de conmutador, haga clic en la poltica de conmutador que desee modificar. Haga clic en Editar. En el cuadro de dilogo Editar la poltica de conmutador para nombre de la poltica de conmutador, en la ficha Direccin del conmutador, seleccione Editar todo.
6 7
925
En el cuadro de dilogo Editar direcciones IP, agregue o edite las direcciones IP, el host, los nombres o las subredes para el conmutador compatible con 802.1x. El formato del texto es el siguiente:
Direccin IP nica Intervalo de direcciones IP Subred nombre: direccin nombre: direccin inicial-direccin final nombre: direccin inicial/mscara de subred
Haga clic en Aceptar. Conmutador, haga clic en Aceptar.
Eliminar un conmutador compatible con 802.1x de la lista de conmutadores

Es posible eliminar un conmutador compatible con 802.1x de la lista de conmutadores en cualquier momento si las circunstancias lo requieren. Ver "Acerca de la compatibilidad con los atributos de los modelos de conmutador" en la pgina 906. Eliminar un conmutador compatible con 802.1x
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione el grupo de Enforcer. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Conmutador de la tabla Poltica de conmutador, haga clic en el conmutador compatible con 802.1x que desee eliminar de la lista de conmutadores. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Conmutador, haga clic en Eliminar. Haga clic en Aceptar.
6 7
926
Editar informacin de VLAN para la poltica de conmutador

Es posible modificar los parmetros siguientes sobre las VLAN en el conmutador compatible con 802.1x:
Modificar el ID de VLAN y el nombre de VLAN de un conmutador compatible con 802.1x Ver "Editar el ID de VLAN y el nombre de VLAN de un conmutador compatible con 802.1x" en la pgina 926. Configurar informacin de VLAN y del rol en el conmutador compatible con 802.1x Aruba Ver "Configurar informacin de VLAN y del rol en el conmutador compatible con 802.1x Aruba" en la pgina 928. Eliminar VLAN en un conmutador compatible con 802.1x Ver "Eliminar VLAN en un conmutador compatible con 802.1x" en la pgina 927.
Editar el ID de VLAN y el nombre de VLAN de un conmutador compatible con 802.1x

Es posible modificar el ID de VLAN y el nombre de VLAN de un conmutador compatible con 802.1x en cualquier momento si las circunstancias lo requieren. Algunos conmutadores, tales como el conmutador Cisco, tienen una funcin de VLAN de invitado. La VLAN de invitado se utiliza normalmente si la autenticacin de usuario EAP falla. Si la autenticacin EAP falla, el conmutador conecta el cliente a la VLAN de invitado automticamente. Si utiliza LAN Enforcer para la conmutacin de VLAN, se recomienda no utilizar la VLAN de invitado reservada cuando se configuran VLAN y acciones en LAN Enforcer. Si no, el suplicante de 802.1x puede responder como si la autenticacin EAP hubiera fallado. Al configurar VLAN, asegrese de que todas pueden comunicarse con el servidor de administracin. Ver "Configuracin de conmutador" en la pgina 905. Editar el ID de VLAN y el nombre de VLAN de un conmutador compatible con 802.1x
1 2 3 4
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione el grupo de Enforcer. En Tareas, haga clic en Editar propiedades de grupo.
927
En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Conmutador de la tabla Poltica de conmutador, haga clic en la poltica de conmutador cuya informacin de VLAN desee modificar. Haga clic en Editar. En el cuadro de dilogo Editar la poltica de conmutador para nombre de la poltica de conmutador ), en la ficha Direccin del conmutador, seleccione la VLAN que desee editar. En la ficha VLAN, seleccione Editar. En el cuadro de dilogo Editar VLAN, edite el ID de VLAN en el campo ID de VLAN.
6 7
8 9
10 Edite el nombre de la VLAN en el campo Nombre de VLAN.

Si planea editar informacin de VLAN sobre un conmutador Aruba, es posible configurar la informacin de VLAN y del rol de manera diferente de la de otros conmutadores de 802.1x. Ver "Configurar informacin de VLAN y del rol en el conmutador compatible con 802.1x Aruba" en la pgina 928.
11 En el cuadro de dilogo Editar la poltica de conmutador para nombre de la

poltica de conmutador, en la ficha VLAN, haga clic en Aceptar.

Conmutador, haga clic en Aceptar.
Eliminar VLAN en un conmutador compatible con 802.1x

Es posible eliminar VLAN en un conmutador compatible con 802.1x en cualquier momento si las circunstancias lo requieren. Ver "Configuracin de conmutador" en la pgina 905. Eliminar VLAN en un conmutador compatible con 802.1x
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione el grupo de Enforcer. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Conmutador de la tabla Poltica de conmutador, haga clic en la poltica de conmutador cuya informacin de VLAN desee eliminar. Haga clic en Editar.
928
En el cuadro de dilogo Editar la poltica de conmutador para nombre de la poltica de conmutador ), en la ficha Direccin del conmutador, seleccione la VLAN que desee eliminar. En la ficha VLAN, seleccione Eliminar. Haga clic en Aceptar. Conmutador, haga clic en Aceptar.
8 9
Configurar informacin de VLAN y del rol en el conmutador compatible con 802.1x Aruba
Si utiliza un conmutador Aruba, es posible dejar el campo ID de VLAN o Nombre de VLAN en blanco. Sin embargo, para otros conmutadores, es necesario escribir la informacin en ambos campos. Para el conmutador Aruba, es posible utilizar estos campos para especificar una VLAN o un rol, o ambos, de la siguiente manera:

Para especificar una VLAN, escriba el ID de VLAN en el campo ID de VLAN. Para especificar un rol, escriba el nombre del rol en el campo Nombre de VLAN.
Para el conmutador Aruba es posible tambin utilizar este cuadro de dilogo para configurar acciones de conmutador separadas para varios roles en una VLAN o varias VLAN para un rol. Ver "Configuracin de conmutador" en la pgina 905. Configurar informacin de VLAN y del rol en el conmutador compatible con 802.1x Aruba
1 2
Si tena un ID de VLAN 1 con el rol A y el rol B, complete el ID de VLAN como 1 y el nombre de VLAN como A. haga clic en Aceptar. Haga clic en Agregar nuevamente. En el cuadro de dilogo Agregar VLAN, complete el ID de VLAN como 1 y el nombre de VLAN como B, y haga clic en Aceptar. Dos opciones separadas estn disponibles para la configuracin en la tabla de acciones de conmutador.
Editar informacin de accin para la poltica de conmutador

Es posible modificar los parmetros siguientes sobre las VLAN en el conmutador compatible con 802.1x:
Configurar el orden de comprobacin de condiciones Ver "Configurar el orden de comprobacin de las condiciones" en la pgina 930.
929
Seleccionar una condicin diferente de Autenticacin del host, Autenticacin del usuario o Comprobacin de polticas Ver "Seleccionar una condicin diferente de Autenticacin del host, Autenticacin del usuario o Comprobacin de polticas" en la pgina 931. Seleccionar diferentes acciones Ver "Seleccionar diferentes acciones" en la pgina 932.
Acerca de los problemas con la poltica de conmutador, las condiciones asociadas y las acciones
Cuando configura las polticas de conmutador, tenga en cuenta lo siguiente:

La tabla Accin de conmutador debe contener por lo menos una entrada. Si no selecciona una accin para una combinacin determinada de resultados, se realiza la accin predeterminada, Abrir el puerto. Para especificar una accin predeterminada para cualquier combinacin posible de resultados, seleccione Omitir resultados para los tres resultados. Cuando se agregan acciones a la tabla, es posible editar cualquier celda haciendo clic en la esquina derecha de una columna y de una fila para visualizar una lista desplegable. Algunos conmutadores, tales como el conmutador Cisco, tienen una funcin de VLAN de invitado. La VLAN de invitado se utiliza normalmente si la autenticacin de usuario falla. Es decir, si la autenticacin de usuario falla, el conmutador conecta el cliente a la VLAN de invitado automticamente. Si utiliza LAN Enforcer para la conmutacin de VLAN, se recomienda no utilizar la VLAN de invitado reservada cuando se configuran VLAN y acciones en LAN Enforcer. Si no, el suplicante de 802.1x puede responder como si la autenticacin de usuario hubiera fallado. Si implementa clientes y no est listo para implementar las funcionalidades completas de LAN Enforcer, es posible especificar una accin para permitir el acceso a la red interna segn la condicin Omitir resultado para la comprobacin de integridad del host y la comprobacin de polticas. Si desea ignorar los resultados de la autenticacin de usuario y permitir el acceso de red sin importar los resultados, es posible hacerlo con la condicin Omitir resultado para los resultados de la autenticacin de usuario.
Ver "Configurar el orden de comprobacin de las condiciones" en la pgina 930. Ver "Seleccionar una condicin diferente de Autenticacin del host, Autenticacin del usuario o Comprobacin de polticas" en la pgina 931. Ver "Seleccionar diferentes acciones" en la pgina 932.
930
Configurar el orden de comprobacin de las condiciones

Es posible cambiar una condicin diferente de Autenticacin del host, Autenticacin del usuario o Comprobacin de polticas para una poltica de conmutador en cualquier momento si las circunstancias lo requieren. Es posible agregar una entrada a la tabla Accin de conmutador para cada una de las combinaciones posibles de resultados de autenticacin. Cuando configure las condiciones que se comprobarn, recuerde que la nica circunstancia en la cual los tres resultados pueden ser Aprobado o No aprobado es en la configuracin bsica. En la configuracin bsica, el cliente ejecuta un suplicante de 802.1x que proporciona informacin sobre la autenticacin de usuario y un cliente que proporciona informacin sobre Integridad del host y Nmero de serie de polticas. Si ejecuta solamente un suplicante de 802.1x sin un cliente, los resultados para la comprobacin de integridad del host y el anlisis de polticas figuran siempre como no disponibles. Si se ejecuta en modo transparente sin comprobacin de autenticacin del usuario, el resultado de la autenticacin de usuario siempre es No disponible. LAN Enforcer compara los resultados de la autenticacin con las entradas en la tabla en orden descendente. Despus de que LAN Enforcer encuentra un conjunto de condiciones que coincide, da instrucciones al conmutador compatible con 802.1x para que aplique esa accin. Es posible modificar la secuencia en la cual las acciones son aplicadas modificando el orden en el cual se enumeran en la tabla. Si LAN Enforcer no puede localizar ninguna entrada que coincida con la condicin actual, se toma la accin CERRAR EL PUERTO. Ver "Acerca de los problemas con la poltica de conmutador, las condiciones asociadas y las acciones" en la pgina 929. Configurar el orden de comprobacin de condiciones
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, haga clic en Servidores. Seleccione el grupo de Enforcer. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Conmutador de la tabla Poltica de conmutador, haga clic en la poltica de conmutador cuyo orden de comprobacin de condiciones desee modificar. Haga clic en Editar.
931
En el cuadro de dilogo Editar la poltica de conmutador para nombre de la poltica de conmutador, en la ficha Accin, seleccione la poltica de conmutador cuyo orden de comprobacin de condiciones desee modificar. Haga clic en Subir o Bajar. Haga clic en Aceptar. Conmutador, haga clic en Aceptar.
8 9
Seleccionar una condicin diferente de Autenticacin del host, Autenticacin del usuario o Comprobacin de polticas
Es posible seleccionar una condicin diferente de Autenticacin del host, Autenticacin del usuario o Comprobacin de polticas para una poltica de conmutador en cualquier momento si las circunstancias lo requieren. Ver "Acerca de los problemas con la poltica de conmutador, las condiciones asociadas y las acciones" en la pgina 929. Seleccionar una condicin diferente de Autenticacin del host, Autenticacin del usuario o Comprobacin de polticas
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione el grupo de Enforcer. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Conmutador de la tabla Poltica de conmutador, haga clic en la poltica de conmutador cuyas condiciones de autenticacin desee modificar. Haga clic en Editar. En el cuadro de dilogo Editar la poltica de conmutador para nombre de la poltica de conmutador, en la ficha Accin, haga clic en las condiciones de autenticacin que desee modificar en una de las siguientes columnas:

6 7
Autenticacin del host Autenticacin del usuario Comprobacin de polticas
Seleccione cualquiera de las siguientes acciones que el conmutador compatible con 802.1x debe realizar cuando se cumplen ciertos criterios:
932
Resultado de la autenticacin del host: Aprobado, No aprobado, No disponible u Omitir resultado Resultado de la autenticacin del usuario: Aprobado, No aprobado, No disponible u Omitir resultado Resultado de la comprobacin de polticas: Aprobado, No aprobado, No disponible u Omitir resultado
Seleccionar diferentes acciones

Es posible seleccionar diferentes medidas que el conmutador compatible con 802.1x puede tomar cuando se cumplen ciertos criterios: Ver "Acerca de los problemas con la poltica de conmutador, las condiciones asociadas y las acciones" en la pgina 929. Seleccionar una condicin diferente de Autenticacin del host, Autenticacin del usuario o Comprobacin de polticas
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione el grupo de Enforcer. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de LAN Enforcer, en la ficha Conmutador de la tabla Poltica de conmutador, haga clic en la poltica de conmutador cuyas acciones desee modificar. Haga clic en Editar. En la ficha Accin, haga clic en cualquiera de las acciones que desee modificar en la columna Accin. Seleccione cualquiera de las siguientes acciones que el conmutador compatible con 802.1x debe realizar cuando se cumplen ciertos criterios:
6 7 8
Abrir el puerto El conmutador compatible con 802.1x permite el acceso de red en la VLAN predeterminada a la cual se asigna el puerto normalmente. Adems permite el acceso de red en la VLAN que se especifica en un atributo que se enva del servidor RADIUS. Por lo tanto, la compatibilidad de los usuarios que tienen acceso a la VLAN se basa en el ID de usuario y el rol de usuario.
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Usar la configuracin avanzada del dispositivo LAN Enforcer
933
La accin predeterminada es Abrir el puerto.
Pasar a VLAN prueba Permite el acceso a la VLAN especificada. Las VLAN que estn disponibles para seleccionar son las que se configuraron previamente. Cerrar el puerto Niega el acceso de red en la VLAN predeterminada o la VLAN especificada por RADIUS. En algunos modelos de conmutador, segn la configuracin del conmutador, el puerto se asigna a una VLAN invitada.
Usar la configuracin avanzada del dispositivo LAN Enforcer

Es posible configurar las siguientes opciones de configuracin avanzadas del dispositivo LAN Enforcer:
Permitir un cliente heredado. Ver "Permitir que un cliente de una versin anterior se conecte a la red con un dispositivo LAN Enforcer" en la pgina 934. Habilitar la autenticacin local. Ver "Habilitar la autenticacin local en el dispositivo LAN Enforcer" en la pgina 934. Agregue, edite, elimine, importe o exporte la direccin MAC y la VLAN asociada para MAC Authentication Bypass. Ver "Configuracin de direcciones MAC y la omisin de la autenticacin de MAC (MAB) en LAN Enforcer" en la pgina 935. Habilitar el protocolo de tiempo de redes y el servidor que proporciona el servicio. Habilitar la comprobacin de estado del servidor de administracin y el perodo del intervalo.
Los detalles sobre la implementacin de cada una de estas opciones de configuracin aparecen en la pgina de la ayuda contextual para la configuracin avanzada del dispositivo LAM Enforcer.
934
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Usar la configuracin avanzada del dispositivo LAN Enforcer
Permitir que un cliente de una versin anterior se conecte a la red con un dispositivo LAN Enforcer
Es posible permitir que un dispositivo LAN Enforcer se conecte a clientes anteriores de la versin 5.1.x. Si su red admite Symantec Endpoint Protection Manager 11.0.2, un dispositivo Symantec LAN Enforcer, y necesita admitir clientes anteriores de la versin 5.1.x, es posible habilitar la compatibilidad con los clientes anteriores de 5.1.x en la consola del servidor de administracin de modo que el dispositivo Symantec LAN Enforcer no los bloquee. Ver "Usar la configuracin avanzada del dispositivo LAN Enforcer" en la pgina 933. Para permitir que un cliente de una versin anterior se conecte a la red con un dispositivo LAN Enforcer
1 2 3 4 5 6
En Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione y expanda el grupo de dispositivos LAN Enforcer. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin, en la ficha Opciones avanzadas, seleccione Permitir clientes heredados. Haga clic en Aceptar.
Habilitar la autenticacin local en el dispositivo LAN Enforcer

Si un dispositivo LAN Enforcer pierde su conexin con el equipo en el cual Symantec Endpoint Protection Manager est instalado, el dispositivo LAN Enforcer puede autenticar un cliente localmente. Ver "Usar la configuracin avanzada del dispositivo LAN Enforcer" en la pgina 933. Para habilitar la autenticacin local en el dispositivo LAN Enforcer
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione y expanda el grupo de dispositivos LAN Enforcer. Seleccione el grupo de dispositivos LAN Enforcer para el cual desea habilitar la autenticacin local. En Tareas, haga clic en Editar propiedades de grupo.
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Configuracin de direcciones MAC y la omisin de la autenticacin de MAC (MAB) en LAN Enforcer
935
6 7
En el cuadro de dilogo Configuracin de LAN, en la ficha Opciones avanzadas, seleccione Habilitar la autenticacin local. Haga clic en Aceptar.
Habilitar las actualizaciones de hora del sistema para el dispositivo Enforcer usando el protocolo de tiempo de redes
Con el protocolo de tiempo de redes (NTP) habilitado, los relojes del dispositivo Enforcer pueden actualizarse a la hora correcta. Esta configuracin est deshabilitada de forma predeterminada, pero se puede anular si se especifica en una poltica de grupo. Ver "Usar la configuracin avanzada del dispositivo LAN Enforcer" en la pgina 933. Para habilitar las actualizaciones de hora para el dispositivo LAN Enforcer desde Symantec Endpoint Protection Manager
1 2 3 4 5 6 7
En Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. En Servidores, seleccione y expanda el grupo de dispositivos LAN Enforcer. En Tareas, haga clic en Editar propiedades de grupo. En la ficha Opciones avanzadas, seleccione Habilitar protocolo de tiempo de redes. Escriba la direccin IP o el nombre de dominio completo del servidor NTP. Haga clic en Aceptar.
Desde la consola de Enforcer, se puede cambiar temporalmente esta configuracin para ayudar a solucionar problemas de la sincronizacin de hora. Desde la lnea de comandos de la consola de Enforcer, escriba
Enforcer (configure)# ntp.
Nota: Si haba habilitado NTP en una versin anterior de Symantec Endpoint Protection, se pierde esa configuracin cuando se actualiza. Es necesario rehabilitar NTP.
Configuracin de direcciones MAC y la omisin de la autenticacin de MAC (MAB) en LAN Enforcer

Es posible cambiar la configuracin de autenticacin de MAC en un servidor de administracin. Las opciones de configuracin se descargan automticamente
936
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Configuracin de direcciones MAC y la omisin de la autenticacin de MAC (MAB) en LAN Enforcer
del servidor de administracin al dispositivo LAN Enforcer durante el latido siguiente. Para configurar direcciones MAC y la omisin de la autenticacin de MAC en LAN Enforcer
1 2 3 4 5 6 7 8 9
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. En Servidores, seleccione y expanda el grupo de Enforcers. Seleccione LAN Enforcer. En Tareas, haga clic en Editar propiedades de grupo. Abra la ficha Avanzadas. En la lista desplegable ubicada a la izquierda, seleccione Omisin de la autenticacin MAC y haga clic en Habilitar. En el cuadro de dilogo Configuracin, en la ficha Avanzada, junto a Direccin MAC, haga clic en Agregar. En el cuadro de dilogo Agregar host de confianza, escriba la direccin MAC para el cliente o el host de confianza en el campo Direccin MAC del host. Cuando se especifica una direccin MAC, es posible utilizar un carcter comodn si usted lo escribe para los tres campos de la derecha. Por ejemplo, 11-22-23-*-*-* representa el uso correcto del carcter comodn. Sin embargo, 11-22-33-44-*-66 no representa el uso correcto del carcter comodn. Es posible tambin copiar un conjunto de direcciones MAC de un archivo de texto. Nota: Symantec admite el formato siguiente para las importaciones: nica direccin MAC y direccin MAC con mscara. Para importar direcciones MAC, haga clic en Importar. Especifique el archivo en el cuadro de dilogo Importar direccin MAC desde archivo. Para exportar direcciones MAC, resalte varias direcciones MAC y despus haga clic en Exportar. Especifique el archivo en el cuadro de dilogo Exportar direccin MAC a archivo.
Configuracin del dispositivo LAN Enforcer en Symantec Endpoint Protection Manager Usar la autenticacin 802.1x
937
Usar la autenticacin 802.1x

Si su red corporativa utiliza LAN Enforcer para la autenticacin, debe configurar el equipo cliente para realizar la autenticacin IEEE 802.1x. El proceso de autenticacin 802.1x incluye los pasos siguientes:
Un cliente no autenticado o un suplicante de otro fabricante enva la informacin del usuario y del cumplimiento a un conmutador de red 802.11 administrado. El conmutador de red retransmite la informacin al dispositivo LAN Enforcer. El dispositivo LAN Enforcer enva la informacin del usuario al servidor de autenticacin para su autenticacin. El servidor RADIUS es el servidor de autenticacin. Si el cliente no aprueba la autenticacin de nivel de usuario o no cumple con la poltica de integridad del host, Enforcer puede bloquearle el acceso a la red. El dispositivo LAN Enforcer coloca el equipo cliente que no cumple en una red segn la tabla de accin del conmutador donde el equipo puede ser reparado. Una vez que el cliente repara el equipo y alcanza el cumplimiento, el protocolo 802.1x vuelve a autenticar el equipo y le concede acceso a la red.
Para funcionar con el dispositivo LAN Enforcer, el cliente puede utilizar un suplicante de otro fabricante o un suplicante integrado. La Tabla 43-2 describe los tipos de opciones que se pueden configurar para la autenticacin 802.1x.
938
Tabla 43-2 Opcin
Opciones de la autenticacin 802.1x Descripcin
Suplicante de otro Utiliza un suplicante de 802.1x de otro fabricante. fabricante El dispositivo LAN Enforcer funciona con un servidor RADIUS y suplicantes de 802.1x de otro fabricante para realizar la autenticacin de usuarios. El suplicante de 802.1x solicita informacin del usuario, que LAN Enforcer transmite al servidor RADIUS para la autenticacin de nivel de usuario. El cliente enva el perfil del cliente y el estado de integridad del host al dispositivo LAN Enforcer para que autentique el equipo.
Nota: Si desea utilizar el cliente de Symantec Network Access Control

con un suplicante de otro fabricante, debe instalar el mdulo de Proteccin contra amenazas de red del cliente de Symantec Network Access Control. Para utilizar un suplicante de otro fabricante de 802.1x, debe: Configurar el conmutador 802.1x para utilizar el dispositivo LAN Enforcer como servidor RADIUS, de modo que el conmutador remita los paquetes de autenticacin al dispositivo LAN Enforcer. Agregar el dispositivo LAN Enforcer como cliente del servidor RADIUS, de modo que acepte solicitudes del dispositivo LAN Enforcer. En la consola, debe especificar la informacin del servidor RADIUS y habilitar la autenticacin de 802.1x para los clientes.
939
Opcin
Descripcin
Modo transparente Utiliza el cliente para ejecutarse como suplicante de 802.1x. Se utiliza este mtodo si no desea utilizar un servidor RADIUS para realizar la autenticacin de usuario. El dispositivo LAN Enforcer se ejecuta en modo transparente y acta como servidor RADIUS falso. El modo transparente implica que el suplicante no solicita informacin del usuario. En el modo transparente, el cliente acta como suplicante de 802.1x. El cliente responde a la solicitud de EAP del conmutador con el perfil del cliente y el estado de integridad del host. El conmutador, en su momento, transmite la informacin al dispositivo LAN Enforcer, que acta como servidor RADIUS falso. El dispositivo LAN Enforcer valida la informacin de integridad del host y del perfil del cliente provista por el conmutador y puede permitir, bloquear o asignar dinmicamente una VLAN, segn sea necesario.
Nota: Para utilizar un cliente como suplicante de 802.1x, debe

desinstalar o inhabilitar los suplicantes de 802.1x de otros fabricantes en el equipo cliente. En modo transparente, es posible dejar la informacin del servidor RADIUS vaca en el cuadro de dilogo Configuracin de LAN Enforcer. La direccin IP del servidor RADIUS se establece en 0 y no se lleva a cabo ninguna autenticacin de usuario tradicional del EAP. Suplicante integrado Utiliza el suplicante de 802.1x integrado del equipo cliente. Los protocolos de autenticacin integrados incluyen Smart Card, PEAP o TLS. Despus de habilitar la autenticacin 802.1x, es necesario especificar qu protocolo de autenticacin se utilizar.
Advertencia: Es necesario saber si su red corporativa utiliza el servidor RADIUS como servidor de autenticacin. Si configura la autenticacin de 802.1x incorrectamente, la conexin a la red puede romperse.
Nota: Para permitir al usuario configurar la autenticacin de 802.1x en el cliente, es necesario configurar el cliente a control de cliente. Ver "Cmo funciona el dispositivo LAN Enforcer" en la pgina 745.
940
Para configurar el cliente para utilizar el modo transparente o un suplicante integrado
1 2 3 4 5 6
En la consola, haga clic en Clientes. En Ver clientes, seleccione el grupo de clientes que desea que realicen la autenticacin 802.1x. En la ficha Polticas, en Configuracin, haga clic en Configuracin general. En la ficha Configuracin de seguridad, marque Habilitar autenticacin 802.1x. Marque Usar el cliente como suplicante de 802.1x. Realice una de las acciones siguientes:
Para seleccionar el modo transparente, seleccione Usarmodotransparente de Symantec. Para permitir que el usuario configure un suplicante integrado, seleccione Permitir al usuario seleccionar el protocolo de autenticacin. Los usuarios pueden elegir el protocolo de autenticacin para su conexin de red.
Para configurar el cliente para utilizar un suplicante de otro fabricante
1 2 3 4 5
En la consola, haga clic en Clientes. En Ver clientes, seleccione el grupo de clientes que desea que realicen la autenticacin 802.1x. En la ficha Polticas, en Configuracin, haga clic en Configuracin general. En la ficha Configuracin de seguridad, marque Habilitar autenticacin 802.1x. Haga clic en Aceptar. Es posible configurar el cliente para que utilice el suplicante integrado. Se habilita el cliente para la autenticacin 802.1x y como suplicante de 802.1x.
Acerca de la reautenticacin en el equipo cliente

Si el equipo cliente aprob la comprobacin de integridad del host, pero Enforcer bloquea el equipo, los usuarios pueden necesitar reautenticar sus equipos. Bajo circunstancias normales, los usuarios nunca deberan reautenticar el equipo. Enforcer puede bloquear el equipo cuando ocurre uno de los siguientes eventos:
941
Se produjo un error durante la autenticacin del usuario en el equipo cliente porque los usuarios escribieron el nombre de usuario o la contrasea incorrectamente. El equipo cliente est en la VLAN incorrecta. El equipo cliente no obtiene una conexin de red. Los problemas de conexin de red suceden generalmente porque el conmutador entre el equipo cliente y LAN Enforcer no autentic el nombre de usuario y la contrasea. Los usuarios deben iniciar sesin en un equipo cliente que haya autenticado un usuario anterior. El equipo cliente no aprob la comprobacin de cumplimiento.
Los usuarios pueden reautenticar el equipo slo si se configur el equipo con un suplicante integrado. El men contextual del rea del icono de notificacin del equipo cliente muestra un comando de reautenticacin. Ver "Usar la autenticacin 802.1x" en la pgina 937.
942
Captulo
44
Administracin de mdulos de aplicacin Enforcer en Symantec Endpoint Protection Manager

Acerca de administrar mdulos de aplicacin Enforcer en la consola del servidor de administracin Acerca de la administracin de mdulos de Enforcer desde la pgina Servidores Acerca de los grupos de Enforcer Acerca de la informacin de Enforcer que aparece en la consola de Enforcer Visualizar informacin acerca de Enforcer en la consola de administracin Modificar el nombre y la descripcin de un dispositivo Enforcer Eliminar un mdulo de Enforcer o un grupo de Enforcer Exportar e importar opciones de grupo de Enforcer Mensajes emergentes para los clientes bloqueados Acerca de la configuracin de clientes y Enforcer Configurar clientes para utilizar una contrasea para detener el servicio del cliente Acerca de los informes y registros de Enforcer
944
Administracin de mdulos de aplicacin Enforcer en Symantec Endpoint Protection Manager Acerca de administrar mdulos de aplicacin Enforcer en la consola del servidor de administracin
Configurar opciones de registro de Enforcer
Acerca de administrar mdulos de aplicacin Enforcer en la consola del servidor de administracin

Las opciones de configuracin de Symantec Enforcer de la consola del servidor de administracin ayudan a configurar el mdulo de Enforcer, sus interacciones de autenticacin y las interacciones de aplicacin de reglas con los clientes. Antes de configurar las opciones de Enforcer en la consola, termine la instalacin y la configuracin de Enforcer en el dispositivo o equipo de Enforcer. La configuracin de Enforcer en la consola de Symantec Endpoint Protection Manager depende de qu tipo de dispositivo Enforcer configura: Gateway o LAN. Por lo tanto, las opciones para cada uno se cubren por separado. La mayor parte de la configuracin y la administracin de Enforcer se realiza desde la consola. La mayora de las opciones de configuracin de Enforcer se pueden modificar solamente en la consola. Sin embargo, algunas opciones de Enforcer requieren que se edite un archivo de Enforcer en el equipo de Enforcer, en lugar de en la consola. Casi todas las opciones para los mdulos de Enforcer se configuran desde la pgina Servidores en la consola. LAN Enforcer tiene algunas opciones obligatorias adicionales en la pgina Polticas. Ver "Cmo configurar un dispositivo Enforcer" en la pgina 806. Si administra varios mdulos de Enforcer y es responsable de otras tareas, generalmente es ms conveniente administrarlas todas a partir de una ubicacin centralizada. La consola proporciona esta funcionalidad. Es posible iniciar sesin en una consola para visualizar informacin sobre todas las instancias de Enforcer. Es necesario realizar algunas tareas en el equipo en el cual se instala Enforcer. Las tareas incluyen el uso de la consola local de Enforcer en lugar de la consola de administracin, y tareas de mantenimiento de hardware. Por ejemplo, los problemas de Enforcer y de conexin de la consola se solucionan en el mdulo de Enforcer mismo. Para definir el problema, puede ser necesario comprobar fsicamente el estado del hardware de Enforcer o modificar su conexin de red. Este captulo no incluye informacin sobre cmo configurar el cliente de aplicacin de Symantec, que es un componente separado de Enforcer.
Administracin de mdulos de aplicacin Enforcer en Symantec Endpoint Protection Manager Acerca de la administracin de mdulos de Enforcer desde la pgina Servidores
945
Acerca de la administracin de mdulos de Enforcer desde la pgina Servidores

La pgina Servidores de la consola de administracin enumera los dispositivos Enforcer instalados, junto con los servidores y las consolas conectados, en el panel Ver servidores. Cada mdulo de Enforcer se menciona bajo un nombre de grupo. Las propiedades de Enforcer se editan en el nivel de grupo. Ver "Modificar el nombre y la descripcin de un dispositivo Enforcer" en la pgina 948. Se necesitan privilegios completos de administrador del sistema para ver la pgina Servidores.
Acerca de los grupos de Enforcer

La configuracin de Enforcer en la consola se hace en el nivel de grupo de Enforcer, en lugar de en el nivel del mdulo de Enforcer individual. Los mdulos de Enforcer se mencionan bajo un nombre de grupo en la pgina Servidores de la consola. Los grupos de Enforcer son una forma de sincronizar la configuracin de Enforcer. Todos los mdulos de Enforcer de un grupo comparten las mismas opciones (propiedades). Para actualizar las propiedades de Enforcer, es necesario seleccionar el nombre del grupo en el panel Servidores y editar las propiedades del grupo. Ver "Cmo configurar un nombre de grupo de Enforcer en la consola de Symantec Integrated Enforcer for Microsoft Network Access Protection" en la pgina 1020.
Cmo la consola determina el nombre de grupo de Enforcer

Cuando se configura la conexin de la consola en la consola local de Enforcer, es posible especificar un nombre de grupo. El mdulo de Enforcer se registra en la consola despus de establecer la conexin. La consola asigna automticamente el dispositivo Enforcer al grupo especificado y enumera Enforcers en el nombre de grupo en el panel Servidores de la consola. Si no se especifica un nombre durante la instalacin, la consola asigna el mdulo de Enforcer a un grupo predeterminado. La consola utiliza el nombre del equipo de Enforcer como nombre de grupo. Ver "Cmo configurar un nombre de grupo de Enforcer en la consola de Symantec Integrated Enforcer for Microsoft Network Access Protection" en la pgina 1020.
Acerca de los grupos de Enforcer de conmutacin por error

Un nuevo mdulo de Enforcer se identifica en la consola como mdulo de conmutacin por error en espera. Esta identificacin se ejecuta si agrega un
946
Administracin de mdulos de aplicacin Enforcer en Symantec Endpoint Protection Manager Acerca de los grupos de Enforcer
Gateway Enforcer de conmutacin por error que se conecta por medio de un hub o un conmutador a la misma subred. La consola entonces asigna el nuevo mdulo de Enforcer de conmutacin por error en espera al mismo grupo que el mdulo de Enforcer activo. La asignacin ocurre independientemente de si se especific un nombre de grupo durante la instalacin en la consola local. Esta accin garantiza que el mdulo de Gateway Enforcer de conmutacin por error tenga exactamente la misma configuracin que el mdulo de Enforcer primario. Ver "Planificacin conmutacin por error de dispositivos Gateway Enforcer" en la pgina 830. Para los mdulos de LAN Enforcer, la conmutacin por error se administra a travs del conmutador en lugar de con Enforcer, as que no se realiza la asignacin automtica al mismo grupo. Es posible asegurarse de que los distintos mdulos de LAN Enforcer compartan opciones. Especifique el mismo nombre de grupo en la consola local de Enforcer, en el cuadro de dilogo Configuracin. Ver "Planificacin para la instalacin de un dispositivo LAN Enforcer" en la pgina 879.
Acerca de la modificacin de un nombre de grupo

No es posible modificar un nombre de grupo de Enforcer desde la consola. Sin embargo, es posible especificar un nuevo nombre de grupo desde la consola local de Enforcer. El mdulo de Enforcer entonces se traslada al nuevo grupo. Puede ser necesario actualizar la pantalla de la consola para ver el cambio. Ver "Cmo la consola determina el nombre de grupo de Enforcer" en la pgina 945.
Acerca de la creacin de un nuevo grupo de Enforcer

En general, solamente se necesita crear un nuevo grupo de Enforcer si se agrega un mdulo de Enforcer que requiere opciones diferentes de los mdulos existentes. Es posible crear un nuevo grupo de Enforcer en la consola local de Enforcer especificando el nuevo nombre en el cuadro de dilogo Configuracin de la consola. El nuevo grupo adopta las opciones predeterminadas de Enforcer. Es posible dejar en blanco el nombre del grupo cuando conecta el nuevo mdulo de Enforcer desde la consola local. En ese caso, la consola asigna el Enforcer a un nuevo grupo. Este grupo toma el nombre del equipo de Enforcer y sus opciones predeterminadas. Es posible utilizar el mismo mtodo para mover un mdulo de Enforcer a otro grupo. Especifique el nombre de grupo deseado desde la consola local de Enforcer. Enforcer adquiere la configuracin del grupo en el que se lo coloca.
Administracin de mdulos de aplicacin Enforcer en Symantec Endpoint Protection Manager Acerca de la informacin de Enforcer que aparece en la consola de Enforcer
947
Ver "Agregar o editar el nombre de un grupo de dispositivos LAN Enforcer con LAN Enforcer" en la pgina 893. Ver "Cmo agregar o editar el nombre de un grupo de Enforcer para Symantec Network Access Control Integrated Enforcer" en la pgina 991.
Acerca de la informacin de Enforcer que aparece en la consola de Enforcer

Es posible visualizar informacin acerca de Enforcer en la consola de Enforcer. Es posible modificar solamente las opciones para las tarjetas de interfaz de red en el dispositivo Enforcer, pero no en la consola de administracin. Si modifica la configuracin de la NIC en el dispositivo Enforcer, las nuevas opciones se cargan en la consola de administracin durante el siguiente latido. Ver "Visualizar informacin acerca de Enforcer en la consola de administracin" en la pgina 948. La Tabla 44-1 describe el tipo de informacin que es posible ver. Tabla 44-1 Informacin sobre el dispositivo Enforcer en la consola de administracin Descripcin
Igual al campo Nombre de host. Descripcin abreviada de Enforcer. La descripcin es la nica informacin que es posible editar en la consola de administracin. Versin del software de Enforcer que se ejecuta en el equipo de Enforcer seleccionado. Nombre del equipo en el cual se instal Enforcer.
Campo
Nombre Descripcin
Versin
Nombre de host
Sistema operativo Sistema operativo que se ejecuta en el equipo en el cual se instal el mdulo de Enforcer seleccionado. Estado de conexin En lnea: el servicio est ejecutndose y es el mdulo de Enforcer activo primario. Desconectado: el servicio est detenido. Estado de conmutacin por error IP interna (Gateway Enforcer solamente) Si Enforcer est activo o en espera.
Direccin IP de la tarjeta de interfaz de red interna.
948
Administracin de mdulos de aplicacin Enforcer en Symantec Endpoint Protection Manager Visualizar informacin acerca de Enforcer en la consola de administracin
Campo
IP externa
Descripcin
(Gateway Enforcer solamente) Direccin IP de la tarjeta de interfaz de red externa. Direccin MAC de la tarjeta de interfaz de red interna. (Gateway Enforcer solamente) Direccin MAC de la tarjeta de interfaz de red externa. Fabricante y modelo de la tarjeta de interfaz de red interna. (Gateway Enforcer solamente) Fabricante y modelo de la tarjeta de interfaz de red externa.
MAC interna MAC externa
NIC interna NIC externa
Visualizar informacin acerca de Enforcer en la consola de administracin

Es posible visualizar informacin acerca de Enforcer desde una consola de administracin. Ver "Acerca de la informacin de Enforcer que aparece en la consola de Enforcer" en la pgina 947. Para visualizar informacin acerca de Enforcer en la consola de administracin
1 2
En la consola de Symantec Endpoint Protection Manager, en la pgina Administrador, haga clic en Servidores. En Servidores, haga clic en los nombres de Enforcer de los que desea consultar informacin. La informacin sobre el dispositivo LAN Enforcer no aparece en los campos que se refieren a la NIC externa porque el dispositivo LAN Enforcer necesita solamente una NIC interna. No se muestra el estado de conmutacin por error porque un conmutador administra la conmutacin por error de LAN Enforcer.
Modificar el nombre y la descripcin de un dispositivo Enforcer

El nombre de Enforcer es siempre el nombre de host del dispositivo o el equipo en el cual est instalado. Es posible modificar solamente el nombre de Enforcer modificando el nombre de host del equipo. Es posible modificar la descripcin de Enforcer desde la consola. Por ejemplo, es posible escribir una descripcin para identificar la ubicacin de Enforcer.
Administracin de mdulos de aplicacin Enforcer en Symantec Endpoint Protection Manager Eliminar un mdulo de Enforcer o un grupo de Enforcer
949
Para modificar una descripcin de Enforcer
1 2
En la consola de Symantec Endpoint Protection Manager, en la pgina Administrador, haga clic en Servidores. En Servidores, haga clic en el nombre de Enforcer y en Tareas, haga clic en Editar propiedades de Enforcer. Aparece el cuadro de dilogo Propiedades. El campo de nombre no es editable. Escriba el texto deseado en el cuadro de texto Descripcin. Haga clic en Aceptar. Es posible adems editar la descripcin de Enforcer haciendo clic con el botn secundario en el nombre del mdulo de Enforcer y seleccionando Propiedades.
3 4
Eliminar un mdulo de Enforcer o un grupo de Enforcer

Es posible eliminar un mdulo de Enforcer en la consola de administracin. Cuando se elimina un mdulo de Enforcer, se libera una licencia porque el equipo utilizado ya no ejecuta el mdulo. No es posible eliminar un mdulo de Enforcer desde la consola mientras el mdulo est en lnea. Es posible desactivar el mdulo de Enforcer y despus eliminarlo. Cuando se reinicia el equipo de Enforcer, el mdulo vuelve a conectarse a la consola. Enforcer se registra de nuevo y reaparece en la pgina Servidores. Para eliminar un mdulo de Enforcer permanentemente desde la consola, primero desinstale el mdulo desde el equipo de Enforcer. Para eliminar un grupo de Enforcer despus de desinstalar Enforcer desde el equipo de Enforcer
1 2 3
Desactive o desinstale el mdulo de Enforcer en el equipo de Enforcer. En la consola de Symantec Endpoint Protection Manager, en la pgina Administrador, haga clic en Servidores. En Servidores, haga clic en el nombre de Enforcer y, a continuacin, en Tareas, haga clic en Eliminar Enforcer. Un cuadro de mensaje le solicitar que confirme la eliminacin. Para confirmar la eliminacin, haga clic en S. Si no hay mdulos de Enforcer enumerados en un grupo de Enforcer y usted desea no utilizar ms ese grupo, es posible eliminar el grupo. El grupo no debe incluir ningn nombre de Enforcer para que pueda eliminarlo. Cuando se elimina un grupo de Enforcer, se elimina cualquier configuracin personalizada para el grupo.
950
Administracin de mdulos de aplicacin Enforcer en Symantec Endpoint Protection Manager Exportar e importar opciones de grupo de Enforcer
Para eliminar un grupo de Enforcer
En la consola de Symantec Endpoint Protection, haga clic en Administrador. En la pgina Administrador, haga clic en Servidores.
2 3
En Servidores, haga clic en el nombre del grupo de Enforcer. Haga clic en Eliminar grupo. Un cuadro de mensaje le solicitar que confirme la eliminacin.
Para confirmar la eliminacin, haga clic en S.
Exportar e importar opciones de grupo de Enforcer

Quizs desee exportar o importar opciones de configuracin para un grupo de Enforcer. Las opciones se exportan a un archivo en formato .xml. Cuando importa opciones, usted debe importarlas en un grupo de Enforcer existente, que sobrescribe las opciones del grupo seleccionado. Para exportar opciones del grupo de Enforcer
1 2 3 4
En la consola de Symantec Endpoint Protection Manager, en la pgina Administrador, haga clic en Servidores. En Servidores, haga clic en el nombre de grupo de Enforcer y en Exportar propiedades del grupo. Seleccione una ubicacin en la cual guardar el archivo y especifique un nombre de archivo. Haga clic en Guardar.
Para importar opciones de grupo de Enforcer
1 2 3
En la consola de Symantec Endpoint Protection Manager, en la pgina Administrador, haga clic en Servidores. En Servidores, haga clic en el nombre de grupo de Enforcer cuya configuracin desee sobrescribir y en Importar propiedades del grupo. Seleccione el archivo que desea importar y despus haga clic en Abrir. Se le pedir que confirme si desea sobrescribir las propiedades actuales del grupo de Enforcer.
Haga clic en S.
Administracin de mdulos de aplicacin Enforcer en Symantec Endpoint Protection Manager Mensajes emergentes para los clientes bloqueados
951
Mensajes emergentes para los clientes bloqueados

Cuando Enforcer bloquea un cliente que intenta conectarse a la red, pueden configurarse los dos siguientes tipos de mensajes emergentes:

Mensaje para los equipos que ejecutan un cliente. Mensajes para equipos con Windows que no estn ejecutando un cliente (Gateway Enforcer solamente)
Mensajes para los equipos que ejecutan el cliente

Si Enforcer bloquea los equipos aunque estn ejecutando un cliente, puede ser por varias causas. Una obstruccin puede ocurrir porque una comprobacin de integridad del host fall o porque la poltica del cliente no est actualizada. Cuando ocurren estos eventos, es posible indicar que se muestre un mensaje emergente en el cliente. Ese mensaje notifica al usuario que Enforcer ha bloqueado todo el trfico proveniente del cliente y por qu fue bloqueado. Por ejemplo, el siguiente mensaje aparece si el cliente no supera la comprobacin de integridad del host:
Symantec Enforcer ha bloqueado todo el trfico del cliente porque el cliente no super la comprobacin de integridad del host.
Es posible agregar texto al mensaje predeterminado. Por ejemplo, es posible decirle al usuario del equipo qu hacer para corregir la situacin. Se configura este mensaje como parte de la configuracin de polticas del grupo de clientes en lugar de la configuracin de Enforcer.
Mensajes para los equipos de Windows que no estn ejecutando un cliente (Gateway Enforcer solamente)
En algunos casos, los clientes intentan conectarse a la red de la empresa sin ejecutar el cliente. Gateway Enforcer muestra un mensaje emergente para informar a los usuarios de los equipos con Windows la necesidad de instalar el software de cliente. El mensaje avisa a los clientes que estn bloqueados para acceder a la red porque el cliente de Symantec no est ejecutndose. Es posible configurar el contenido del mensaje en la ficha Autenticacin del cuadro de dilogo Configuracin de Enforcer. Utilice la opcin Habilitar el mensaje emergente en el cliente si el cliente no se est ejecutando. Nota: Una alternativa al mensaje emergente es la opcin Redireccin HTTP. La opcin de redireccin HTTP conecta al cliente a un sitio web con funcionalidades o instrucciones de reparacin.
952
Administracin de mdulos de aplicacin Enforcer en Symantec Endpoint Protection Manager Acerca de la configuracin de clientes y Enforcer
Para que Enforcer haga que el cliente muestre un mensaje, los puertos UDP 137 y 138 deben estar abiertos para transmitir el mensaje. La mensajera de Windows, tambin llamada Messenger, debe ejecutarse en sistemas basados en Windows NT (Windows NT 4.0, 2000, XP y Windows Server 2003) para que el equipo muestre mensajes emergentes. Si el cliente se est ejecutando, no se requiere Mensajera de Windows para mostrar un mensaje emergente desde el cliente.
Configurar los mensajes de Enforcer

Puede configurar los mensajes de Enforcer que aparecen en los clientes cuando un Enforcer bloquea clientes. Nota: Puede modificar la configuracin solamente para los grupos que no heredan la configuracin de un grupo principal. Para configurar los mensajes de Enforcer
1 2 3
En la consola de Symantec Endpoint Protection Manager, en la pgina Clientes, seleccione la ficha Polticas. En Ver polticas, seleccione el grupo para el que desea especificar un mensaje emergente. En Configuracin, seleccione Configuracin general. El cuadro de dilogo Configuracin de grupo aparece con la ficha Configuracin general seleccionada. En la ficha Configuracin de seguridad, seleccione Mostrar un mensaje cuando Symantec Enforcer bloquea un cliente. Si desea agregar texto al mensaje predeterminado, haga clic en Establecer texto adicional, luego escriba el texto y haga clic en Aceptar. Haga clic en Aceptar.
4 5 6
Acerca de la configuracin de clientes y Enforcer

Los clientes de Symantec funcionan con Enforcer sin ninguna configuracin especial. La excepcin es una opcin de configuracin de la autenticacin 802.1x necesaria para LAN Enforcer.
Administracin de mdulos de aplicacin Enforcer en Symantec Endpoint Protection Manager Configurar clientes para utilizar una contrasea para detener el servicio del cliente
953
Configurar clientes para utilizar una contrasea para detener el servicio del cliente
El cliente puede pasar la autenticacin de Enforcer inicialmente, mientras se ejecuta, y recibir una configuracin de red y una direccin IP normales. Si ms tarde se produce un error en la autenticacin, Enforcer enva un mensaje al cliente. Este error hace que el cliente libere y renueve la direccin IP. Sin embargo, si el usuario final detiene al cliente en el equipo cliente, Enforcer no puede imponer la versin y llevar a cabo la renovacin. Para asegurarse de que Enforcer pueda continuar poniendo en cuarentena o bloqueando clientes, es posible que desee restringir qu usuarios pueden detener un cliente. Puede restringir usuarios al solicitar una contrasea para que el usuario final detenga al cliente. Para configurar clientes para utilizar una contrasea para detener el servicio del cliente
1 2 3
En la consola de Symantec Endpoint Protection Manager, en la pgina Clientes, seleccione el grupo de clientes. En la ficha Polticas, en Configuracin, haga clic en Configuracin general. En la ficha Configuracin de seguridad, en Proteccin de contrasea del cliente, seleccione Solicitar una contrasea para detener el servicio de cliente y especifique la contrasea. Haga clic en Aceptar.
Acerca de los informes y registros de Enforcer

Los informes y registros de Enforcer permiten ver las actividades del cliente Enforcer y cmo los mdulos de aplicacin Enforcer atraviesan su sistema. Para obtener informacin detallada sobre los tipos de informes y registros, y cmo verlos, consulte la ayuda de Symantec Endpoint Protection Manager. La pgina Informes en la consola de Symantec Endpoint Protection Manager proporciona informes predefinidos e informes personalizados. Es posible ver los informes rpidos predefinidos que contienen informacin sobre los dispositivos de Enforcer en la pgina Informes. Los siguientes informes de Enforcer estn disponibles:
El informe del sistema llamado Principales instancias de Enforcer que generan errores contiene informacin sobre los mdulos de Enforcer que generaron errores y advertencias. El informe del sistema llamado Estado del sitio contiene informacin sobre la velocidad del sistema, el trfico y el registro de paquetes de Enforcer.
954
Administracin de mdulos de aplicacin Enforcer en Symantec Endpoint Protection Manager Configurar opciones de registro de Enforcer
Los informes de cumplimiento contienen informacin sobre el estado de cumplimiento de los clientes.
Los registros de Enforcer incluyen los datos que se pueden usar para supervisar y solucionar problemas en actividad de sistema: Los siguientes tipos de registros de Enforcer estn disponibles:
Registro del servidor de Enforcer. Este registro contiene la informacin relacionada con el funcionamiento de Enforcer. Registro de clientes de Enforcer. Este registro contiene la informacin sobre las interacciones entre Enforcer y los clientes que intentan conectarse a la red. Registro de trfico de Enforcer (Gateway Enforcer solamente). Este registro registra todo el trfico que entra a travs del adaptador externo de un dispositivo Gateway Enforcer y sale a travs del adaptador interno. Registro de actividades de Enforcer. Este registro contiene informacin sobre eventos, por ejemplo, cuando los dispositivos Enforcer se inician y cuando se conectan a Symantec Endpoint Protection Manager.
De forma predeterminada, los registros de Enforcer se almacenan en el mismo equipo en el que est instalado el software de Enforcer o en el dispositivo Enforcer mismo. Es posible enviar los registros automticamente desde el dispositivo Enforcer o el equipo en el cual usted instal Integrated Enforcer hasta la consola de Symantec Endpoint Protection Manager. Sin embargo, es necesario habilitar el envo de registros en la consola de Symantec Endpoint Protection Manager. Los datos de registros se envan de Enforcer a Symantec Endpoint Protection Manager y se almacenan en la base de datos. Es posible modificar la configuracin del registro de Enforcer, consultar los registros de Enforcer y generar informes sobre los mdulos de Enforcer en la consola de Symantec Endpoint Protection Manager. Las actividades se registran en el mismo registro del servidor de Enforcer para todos los mdulos de Enforcer en un sitio. Para obtener informacin detallada sobre los tipos de informes y registros, y cmo verlos, consulte la ayuda de Symantec Endpoint Protection Manager. Ver "Configurar opciones de registro de Enforcer" en la pgina 954.
Configurar opciones de registro de Enforcer

Es posible configurar las opciones de registro de Enforcer en el cuadro de dilogo Configuracin de nombre de Enforcer en la ficha Registro. Los cambios se envan al mdulo de Enforcer seleccionado durante el latido siguiente.
955
Para configurar los registros de Enforcer
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. En Servidores, seleccione el grupo de Enforcer para el que desee cambiar la configuracin del registro. En Tareas, haga clic en Editar propiedades de grupo. En Configuracin de nombre de Enforcer, en la ficha Registro, cambie cualquiera de las siguientes opciones:
Deshabilitar el registro de Enforcer en Anule la seleccin de Habilitar registro para la consola de Symantec Endpoint cada registro que se desee deshabilitar. Protection Manager Habilitar el envo de registros de Enforcer a Symantec Endpoint Protection Manager Configurar el tamao y la antigedad de los registros Seleccione Enviar registro al servidor de administracin.
En cada uno de los campos Tamao mximo del archivo de registro, especifique el nmero de kilobytes de datos para mantener en cada registro. En el campo La entrada del registro caducar despus de, especifique el nmero de das que la entrada permanecer en la base de datos antes de que se quite. El intervalo es 1 a 365 das.
Filtrar el registro de trfico de Enforcer Seleccione una de las siguientes opciones de filtro: Todo el trfico para registrar todo el trfico, incluido el que est permitido y el que se ha descartado. Solo el trfico bloqueado para registrar solamente los clientes que Enforcer bloquea. Solo el trfico permitido para registrar solamente el trfico que Enforcer permite.
Ver "Acerca de los informes y registros de Enforcer" en la pgina 953.
956
Cmo deshabilitar el registro de Enforcer en la consola de Symantec Endpoint Protection Manager

De forma predeterminada, el registro de Enforcer est habilitado. Es posible deshabilitarlo en la consola de Symantec Endpoint Protection Manager. Si deshabilita el registro, es posible habilitarlo desde esta misma ubicacin. Para deshabilitar el registro de Enforcer en la consola de Symantec Endpoint Protection Manager
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. En Servidores, seleccione el grupo de Enforcer para el que desea deshabilitar el registro de Enforcer. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de nombre de Enforcer, en la ficha Registro, anule la seleccin de la casilla de verificacin Habilitar registro para cada registro que desee deshabilitar. Haga clic en Aceptar.
Habilitar el envo de registros de Enforcer a Symantec Endpoint Protection Manager

De forma predeterminada, los registros se envan automticamente del dispositivo Enforcer o el equipo en el cual se instal cualquiera de los mdulos Integrated Enforcer basados en software a Symantec Endpoint Protection Manager. Tan pronto como se habilita el envo de registros, se pueden ver todos los registros de Symantec en una ubicacin central en la consola de Symantec Endpoint Protection Manager. Para habilitar el envo de registros de Enforcer de un dispositivo Enforcer a Symantec Endpoint Protection Manager
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. En Servidores, seleccione el grupo de Enforcer para el que desea habilitar el envo de registros de Enforcer desde un Enforcer a Symantec Endpoint Protection Manager.
957
4 5
En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de nombre de Enforcer, en la ficha Registro, seleccione Enviar registro al servidor de administracin. Es posible habilitar el envo de cada tipo de registro desde un dispositivo Enforcer o un equipo en el cual se instal cualquiera de los mdulos Integrated Enforcer basados en software a Symantec Endpoint Protection Manager.
Configurar el tamao y la antigedad de los registros de Enforcer

Es posible especificar el tamao mximo de los archivos de registro de Enforcer y por cuntos das se almacenan las entradas de registro. Para configurar el tamao y la antigedad de los registros de Enforcer
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. En Servidores, seleccione el grupo de Enforcer para el que desea configurar el tamao y la antigedad de los registros de Enforcer. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de nombre de Enforcer, en la ficha Registro, en cada uno de los campos Tamao mximo del archivo de registro, especifique el nmero de KB de datos para mantener en cada registro. Es posible escribir un tamao entre 64 KB y 2 GB. La configuracin predeterminada es 512 KB.
En el campo La entrada del registro caducar despus de, especifique el nmero de das que la entrada permanecer en la base de datos antes de que se quite. El intervalo es de 1 da a 365 das, con una configuracin predeterminada de 30 das.
Filtrar los registros de trfico para Enforcer

Si tiene muchos clientes que se conectan mediante Enforcer, puede generarse un registro de trfico grande. Es posible filtrar el tipo de datos que Enforcer incluye
958
en el registro de trfico y, de esta forma, reducir el tamao medio del registro. La lista de filtros le permite filtrar el trfico que Enforcer registra antes de que se conserven los datos. Para filtrar los registros del trfico para Enforcer
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. En Servidores, seleccione el grupo de Enforcer para el que desee filtrar los registros de trfico. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin de nombre de Enforcer, en la ficha Registro, en la lista Filtro de registros de trfico, seleccione una de las siguientes opciones de filtro:
Todo el trfico Registra todo el trfico, incluido el que est permitido y quitado Registra solamente los clientes que Enforcer bloquea
Solamente el trfico bloqueado Solamente el trfico permitido
Registra solamente el trfico que Enforcer permite
Captulo
45
Presentacin de los dispositivos Symantec Integrated Enforcer

Acerca de Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft Acerca de Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection
Acerca de Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft
Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft funciona con el servidor del Protocolo de configuracin dinmica del host (DHCP) de Microsoft. Garantiza que los clientes que intentan conectarse a la red cumplan con las polticas de seguridad configuradas. Integrated Enforcer para servidores DHCP de Microsoft ofrece seguridad interceptando y comprobando los mensajes DHCP de cada cliente que reciba una direccin IP dinmica a travs del servidor DHCP. Despus agrupa los equipos no seguros en una clase de cuarentena y proporciona a los equipos no seguros recursos limitados disponibles para cada configuracin de polticas establecida.
960
Presentacin de los dispositivos Symantec Integrated Enforcer Acerca de Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection
Acerca de Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection
Integrated Enforcer for Microsoft Network Access Protection (NAP) funciona conjuntamente con el servidor de polticas de red de Microsoft Windows (NPS) en Microsoft Windows Server 2008 y Windows Server 2008 R2. Symantec Integrated NAP Enforcer asegura que los clientes que intentan conectarse a la red cumplen con las polticas de seguridad configuradas. NAP restringe el acceso a las redes creando un entorno controlado. Comprueba la postura de seguridad de un cliente antes de que el cliente se conecte a la red de la empresa. Si un cliente no cumple las polticas, NAP corrige la postura de seguridad o limita el acceso a los endpoints que no cumplen la poltica de seguridad de una compaa. Network Access Protection es una tecnologa de creacin de "polticas de salud de seguridad" de clientes, cumplimiento y reparacin que se incluye en el sistema operativo Windows Server 2008. Los administradores del sistema pueden crear e imponer automticamente las polticas de seguridad. Estas polticas de seguridad pueden incluir requisitos de software, requisitos de actualizacin de seguridad, configuraciones de equipo obligatorias y otras opciones. Los equipos cliente que no cumplen una poltica de salud de seguridad pueden recibir acceso restringido a la red. Cuando su configuracin se actualiza para cumplir una poltica, los clientes tienen acceso completo a la red. Segn cmo implemente NAP, los clientes que no cumplan las polticas pueden ser actualizados automticamente de modo que los usuarios puedan recuperar rpidamente el acceso completo a la red sin actualizar o volver a configurar manualmente sus equipos. Nota: Microsoft usa la "poltica de salud de seguridad" en su documentacin para Network Access Protection. Symantec usa la "poltica de seguridad" y la "poltica de integridad del host" para referirse a la misma cosa. Ver "Cmo funciona Integrated Enforcer para la Proteccin de acceso a redes de Microsoft con un servidor de polticas de red de Microsoft (NPS)" en la pgina 749.
Captulo
46
Instalacin de Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft
Proceso para instalar Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft Requisitos del sistema para Integrated Enforcer para servidores DHCP de Microsoft Componentes para Integrated Enforcer para servidores DHCP de Microsoft Requisitos de disposicin para Integrated Enforcer para servidores DHCP de Microsoft Cmo comenzar con la instalacin de Integrated Enforcer para servidores DHCP de Microsoft Instalar Integrated Enforcer para servidores DHCP de Microsoft
962
Instalacin de Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft Proceso para instalar Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft
Proceso para instalar Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft
La Tabla 46-1 enumera los pasos para instalar Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft. Tabla 46-1 Resumen de instalacin para Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft Descripcin
Identifica el hardware, el software y los componentes de Symantec Network Access Control que son necesarios para ejecutar el Enforcer y ayuda a planear su disposicin en su red. Ver "Requisitos del sistema para Integrated Enforcer para servidores DHCP de Microsoft" en la pgina 962. Ver "Componentes para Integrated Enforcer para servidores DHCP de Microsoft" en la pgina 963. Paso 2 Instale Symantec Endpoint Protection Instala la aplicacin que se usa para Manager. admitir Enforcer en su red. Instale Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft. Instala los componentes de Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft. Ver "Instalar Integrated Enforcer para servidores DHCP de Microsoft" en la pgina 967.
Paso
Paso 1
Accin
Lea los requisitos del sistema y los requisitos de instalacin.
Paso 3
Requisitos del sistema para Integrated Enforcer para servidores DHCP de Microsoft
La Tabla 46-2 resume los requisitos mnimos para los equipos en los cuales se instala Integrated Enforcer para servidores DHCP de Microsoft.
Instalacin de Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft Componentes para Integrated Enforcer para servidores DHCP de Microsoft
963
Tabla 46-2
Requisitos del sistema de Integrated Enforcer para los servidores DHCP de Microsoft Requisito
Para las instalaciones de hasta 10 000 usuarios, utilice los requisitos recomendados siguientes:

Componente
Hardware
Pentium III de 750 MHz 256 MB de memoria 120 MB de espacio libre en disco Adaptadores de red Fast Ethernet Una tarjeta de interfaz de red (NIC) con TCP/IP instalada
Para las instalaciones de 10 000 usuarios o ms, utilice los requisitos recomendados siguientes:

Pentium 4 de 2,4 GHz 512 MB de memoria 512 MB de espacio libre en disco Adaptadores de red de 1 GB
Monitor con resolucin de 800 x 600 con 256 colores (mnimo) Una tarjeta de interfaz de red (NIC) con TCP/IP instalada Sistema operativo Integrated Enforcer necesita que el servidor DHCP de Microsoft y los sistemas operativos de 32 bits siguientes estn instalados:

Windows Server 2000 Service Pack 4 Windows Server 2003 Service Pack Windows Server 2003 Service Pack 1 Windows Server 2003 x64 Windows Server 2008 Windows Server 2008 x64 Windows Server 2008 R2
Componentes para Integrated Enforcer para servidores DHCP de Microsoft

Integrated Enforcer para servidores DHCP de Microsoft funciona con el servidor DHCP de Microsoft, Symantec Endpoint Protection Manager y el cliente de Symantec Network Access Control. Verifica que los clientes que intentan conectarse a la red cumplan con las polticas de seguridad configuradas.
964
Instalacin de Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft Requisitos de disposicin para Integrated Enforcer para servidores DHCP de Microsoft
Tabla 46-3 muestra los componentes que son necesarios para usar Integrated Enforcer para servidores DHCP de Microsoft: Tabla 46-3 Componentes para Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft Descripcin
Componente
Symantec Endpoint Protection Manager Crea las polticas de seguridad en una ubicacin centralizada y las asigna a los clientes. Cliente de Symantec Network Access Control Protege a usuarios finales mediante la aplicacin de polticas de seguridad que proporciona Integrated Enforcer para servidores DHCP de Microsoft. Proporciona direcciones DHCP a los clientes. Autentica los clientes y aplica las polticas de seguridad.
Servidor DHCP de Microsoft Integrated Enforcer para servidores DHCP de Microsoft (instalado en el mismo equipo que el servicio DHCP)
Requisitos de disposicin para Integrated Enforcer para servidores DHCP de Microsoft

La Figura 46-1 ilustra cmo colocar Integrated Enforcer para servidores DHCP de Microsoft, el servidor DHCP de Microsoft y Symantec Endpoint Protection Manager, adems de los clientes internos o remotos, en una red.
Instalacin de Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft Requisitos de disposicin para Integrated Enforcer para servidores DHCP de Microsoft
965
Figura 46-1
Disposicin de Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft
Clientes
Agente de retransmisin
Hub o conmutador
Servidor DHCP con Integrated Enforcer
966
Instalacin de Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft Cmo comenzar con la instalacin de Integrated Enforcer para servidores DHCP de Microsoft
Cmo comenzar con la instalacin de Integrated Enforcer para servidores DHCP de Microsoft
La documentacin describe cmo instalar, configurar y usar Integrated Enforcer para servidores DHCP de Microsoft. Realice las siguientes tareas para comenzar: Tabla 46-4 Proceso para instalar Integrated Enforcer para servidores DHCP de Microsoft Descripcin
Paso
Paso 1
Accin
Ubique los componentes de instalacin Describe los componentes necesarios de Symantec Network Access Control. para la instalacin de Integrated Enforcer para servidores DHCP de Microsoft. Ver "Componentes para Integrated Enforcer para servidores DHCP de Microsoft" en la pgina 963.
Paso 2
Obtenga el hardware necesario.
Enumera los requisitos de hardware para Integrated Enforcer para servidores DHCP de Microsoft. Ver "Requisitos del sistema para Integrated Enforcer para servidores DHCP de Microsoft" en la pgina 962.
Paso 3
Obtenga el sistema operativo necesario. Enumera los requisitos del sistema operativo para Integrated Enforcer para servidores DHCP de Microsoft. Coloque Integrated Enforcer para servidores DHCP de Microsoft en su red. Explica dnde colocar Integrated Enforcer para servidores DHCP de Microsoft en una red. Ver "Requisitos de disposicin para Integrated Enforcer para servidores DHCP de Microsoft" en la pgina 964.
Paso 4
Paso 5
Instale Integrated Enforcer para servidores DHCP de Microsoft.
Explica cmo instalar Integrated Enforcer para servidores DHCP de Microsoft. Ver "Instalar Integrated Enforcer para servidores DHCP de Microsoft" en la pgina 967.
Instalacin de Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft Instalar Integrated Enforcer para servidores DHCP de Microsoft
967
Paso
Paso 6
Accin
Configure Integrated Enforcer para servidores DHCP de Microsoft.
Descripcin
Explica cmo configurar las conexiones y la configuracin de Integrated Enforcer para servidores DHCP de Microsoft en una consola de Enforcer. Ver "Acerca de la configuracin de Integrated Enforcers en una consola de Enforcer" en la pgina 974.
Instalar Integrated Enforcer para servidores DHCP de Microsoft

Es necesario instalar Integrated Enforcer para servidores DHCP de Microsoft en el mismo equipo en el cual se ha instalado el sistema operativo de servidor Microsoft Windows junto con el servicio DHCP. Es necesario iniciar sesin como administrador o usuario del grupo de administradores. Nota: Despus de instalar el servidor DHCP de Microsoft, es necesario configurar Integrated Enforcer para servidores DHCP de Microsoft. Integrated Enforcer para servidores DHCP de Microsoft puede conectarse a Symantec Endpoint Protection Manager. Para instalar Integrated Enforcer para servidores DHCP de Microsoft con un Asistente
Inserte el disco del producto. Si la instalacin no se inicia de forma automtica, haga doble clic en uno de de los siguientes archivos:

IntegratedEnforcerInstaller86.exe(para sistemas operativos x86). IntegratedEnforcerInstaller64.exe(para sistemas operativos x64).
Es necesario salir de la instalacin e instalar el servidor DHCP si se ve el siguiente mensaje:

You must have the DHCP server on this machine to install this product. To install the DHCP server, in the Control Panel, use the Add/Remove Windows Components Wizard.
968
Si el servidor DHCP ya est instalado, aparece el panel Bienvenido al Asistente para la instalacin de Symantec Integrated Enforcer.
2 3 4 5
En el panel Bienvenido, haga clic en Siguiente. En el panel Contrato de licencia, haga clic en Acepto el contrato de licencia. Haga clic en Siguiente. En el panel Carpeta de destino, realice una de las tareas siguientes:
Si desea aceptar la carpeta de destino predeterminada, haga clic en Siguiente. Haga clic en Examinar, localice una carpeta de destino y seleccinela, haga clic en Aceptar y, a continuacin, en Siguiente.
Si aparece el panel Seleccin de roles, seleccione Aplicacin de DHCP para servidor DHCP de Microsoft y haga clic en Siguiente. El panel Seleccin de roles aparece solamente si es posible instalar ms de un tipo de Symantec Network Access Control Integrated Enforcer de acuerdo con los servicios que se ejecutan en el servidor.
7 8
En el panel Listo para instalar la aplicacin, haga clic en Siguiente. Cuando se le pregunte si desea reiniciar el servidor DHCP, realice una de las siguientes tareas:

Para reiniciar el servidor DHCP de forma inmediata, haga clic en S. Para reiniciar el servidor DHCP manualmente ms tarde, haga clic en No(No). Si reinicia el servidor DHCP ms tarde, es necesario detenerlo y, a continuacin, iniciarlo.
Es necesario reiniciar el servidor DHCP, de lo contrario Symantec Integrated Enforcer no funciona. Ver "Detener e iniciar el servidor DHCP de Microsoft manualmente" en la pgina 970.
Haga clic en Finalizar. Si es necesario reinstalar Integrated Enforcer, debe primero desinstalarlo. Ver "Desinstalar Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft" en la pgina 969.
969
Para instalar Integrated Enforcer para servidores DHCP de Microsoft desde la lnea de comandos
Para comenzar la instalacin desde la lnea de comandos, abra una lnea de comandos DOS. El proceso de instalacin desde la lnea de comandos utiliza solamente las configuraciones predeterminadas.
En la lnea de comandos, especifique el directorio en el cual el instalador de Integrated Enforcer se encuentra. Los valores predeterminados de la ubicacin de instalacin es uno de los siguientes:
C:\Program Files\Symantec\Symantec Endpoint Protection\Integrated Enforcer para sistemas operativos x86.
C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\Integrated Enforcer para sistemas operativos x64.
Escriba IntegratedEnforcerInstaller86.exe /qr (para sistemas operativos x86) o IntegratedEnforcerInstaller64.exe /qr (para sistemas operativos x64) en la lnea de comandos y escriba: Enter.
Desinstalar Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft
Es posible desinstalar Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft desde la barra de tareas de Windows o desde la lnea de comandos. Para desinstalar Integrated Enforcer para servidores DHCP de Microsoft
1 2 3 4
En la barra de tareas de Windows, haga clic en Inicio > Panel de control > Agregar o quitar programas. Haga clic en Symantec NAC Integrated Enforcer y despus haga clic en Eliminar. Cuando se le pregunte si desea quitar el software, haga clic en Yes(S). Cuando se le pregunte si desea reiniciar el servidor DHCP, realice una de las siguientes tareas:

Para reiniciar el servidor DHCP de forma inmediata, haga clic en Yes(S). Para reiniciar el servidor DHCP manualmente ms tarde (opcin predeterminada), haga clic en No(No). Si reinicia el servidor DHCP
970
ms tarde, es necesario detenerlo y, a continuacin, iniciarlo. Es necesario reiniciar el servidor DHCP para desinstalar totalmente Symantec Integrated Enforcer. Para desinstalar Integrated Enforcer para servidores DHCP de Microsoft desde la lnea de comandos
1 2
Abra una lnea de comandos DOS. En la lnea de comandos, escriba: El nombre de archivo misexec.exe /qn /X <nombre de archivo> debe estar en Program Files\Common Files\Wise Installation Wizard.
Actualizacin de Integrated Enforcer para servidores DHCP de Microsoft

Los pasos siguientes detallan cmo actualizar a Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft: Tabla 46-5 Pasos de la actualizacin de Integrated Enforcer para servidores DHCP de Microsoft Descripcin
Desinstale la versin existente de Integrated Enforcer. Ver "Desinstalar Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft" en la pgina 969. Paso 2 Instale la versin ms reciente. Instale la nueva versin de Integrated Enforcer. Ver "Instalar Integrated Enforcer para servidores DHCP de Microsoft" en la pgina 967.
Paso
Paso 1
Accin
Desinstale la versin anterior.
Nota: La migracin no se admite. Es necesario desinstalar la versin anterior e instalar la nueva.
Detener e iniciar el servidor DHCP de Microsoft manualmente

Detenga el servidor DHCP de Microsoft manualmente antes de actualizar a una versin ms reciente de Integrated Enforcer para servidores DHCP de Microsoft. A continuacin, reincielo una vez que se completa la actualizacin.
971
Para detener e iniciar el servidor DHCP de Microsoft manualmente
1 2 3
En la barra de tareas de Windows, haga clic en Inicio > Panel de control> Herramientas administrativas > Servicios. Haga clic con el botn secundario en DHCP Server (Servidor DHCP) y haga clic en Stop (Detener). Haga clic en Start (Iniciar).
972
Captulo
47
Configuracin de dispositivos Symantec Integrated Enforcer en la consola de Enforcer


Acerca de la configuracin de Integrated Enforcers en una consola de Enforcer Cmo establecer o cambiar la comunicacin entre Integrated Enforcer para servidores DHCP de Microsoft y Symantec Endpoint Protection Manager Configurar la cuarentena automtica Cmo editar una conexin de Symantec Endpoint Protection Manager Establecer la configuracin de comunicacin de Integrated Enforcer en Symantec Endpoint Protection Manager Configurar una lista de distribuidores de confianza Visualizar registros de Enforcer en una consola de Enforcer Detener e iniciar servicios de comunicacin entre Integrated Enforcer y un servidor de administracin Configurar una mscara de subred segura Creacin de excepciones en el mbito DHCP
974
Configuracin de dispositivos Symantec Integrated Enforcer en la consola de Enforcer Acerca de la configuracin de Integrated Enforcers en una consola de Enforcer
Acerca de la configuracin de Integrated Enforcers en una consola de Enforcer

Una vez que termina la instalacin de Symantec Network Access Control Integrated Enforcer, hay dos fases de configuracin. Primero, defina la configuracin de la consola Integrated Enforcer. Luego, pase a Symantec Endpoint Protection Manager para realizar cualquier cambio deseado a la configuracin del grupo del que Integrated Enforcer forma parte. Tabla 47-1 resume estas tareas. Tabla 47-1 Paso
Paso 1
Resumen de la configuracin de la consola Enforcer Descripcin

Use la consola Integrated Enforcer para configurar la conexin entre Integrated Enforcer para servidores DHCP de Microsoft y Symantec Endpoint Protection Manager Ver "Cmo establecer o cambiar la comunicacin entre Integrated Enforcer para servidores DHCP de Microsoft y Symantec Endpoint Protection Manager" en la pgina 977.
Accin
Establezca una conexin entre Integrated Enforcer para servidores DHCP de Microsoft y un servidor de administracin.
Paso 2
Configure el servidor DHCP con una configuracin de cuarentena.
Use uno de dos mtodos para configurar una clase de usuarios de cuarentena para la reparacin. Ver "Configurar la cuarentena automtica" en la pgina 979.
Paso 3
Reinicie el servicio DHCP.
Detenga e inicie manualmente el servicio DHCP en el servidor DHCP. Ver "Detener e iniciar el servidor DHCP de Microsoft manualmente" en la pgina 970.
975
Paso
Paso 4
Accin
Opcionalmente, cambie la configuracin bsica de Integrated Enforcer.
Descripcin
Agregue o edite las descripciones para Integrated Enforcer o el grupo de mdulos de aplicacin Integrated Enforcer, o para la direccin IP o los nombres de host de Integrated Enforcer. Ver "Configuracin bsica de Symantec Network Access Control Integrated Enforcer" en la pgina 990.
Paso 5
Conecte Integrated Enforcer a Symantec Endpoint Protection Manager.
Conecte Integrated Enforcer a un servidor en el que Symantec Endpoint Protection Manager est instalado. Ver "Cmo conectar Symantec Network Access Control Integrated Enforcer a Symantec Endpoint Protection Manager" en la pgina 992.
Paso 6
Segn las necesidades, actualice la conexin a Symantec Endpoint Protection Manager.
Actualice la conexin a la direccin del servidor de Symantec Endpoint Protection y a la informacin de puerto en caso de ser necesario. Ver "Cmo editar una conexin de Symantec Endpoint Protection Manager" en la pgina 981.
Paso 7
Segn las necesidades, configure una lista de distribuidores de confianza.
Configure una lista de distribuidores de confianza para los dispositivos en su red, como impresoras o telfonos IP. Estos son los dispositivos que Integrated Enforcer no necesita autenticar. Ver "Configurar una lista de distribuidores de confianza" en la pgina 983.
976
Paso
Paso 8
Accin
Descripcin
Opcionalmente, configure dnde desee Configure registros para ver en la ver los registros. consola de Enforcer o en Symantec Endpoint Protection Manager. Ver "Visualizar registros de Enforcer en una consola de Enforcer" en la pgina 984. Ver "Configurar registros para Symantec Network Access Control Integrated Enforcer" en la pgina 1004.
Paso 9
Opcionalmente, establezca la Configure cmo desea autenticar los configuracin de autenticacin para su clientes, los servidores y los red. dispositivos. Ver "Especificar el nmero mximo de paquetes de desafo durante una sesin de autenticacin" en la pgina 999. Ver "Especificar la frecuencia de los paquetes de desafo que se enviarn a los clientes" en la pgina 1000. Ver "Permitir todos los clientes con el registro continuo de clientes no autenticados" en la pgina 1001. Ver "Permitir que los clientes que no utilizan Windows se conecten a una red sin autenticacin" en la pgina 1002. Ver "Habilitar servidores, clientes y dispositivos para que se conecten a la red como hosts de confianza sin autenticacin" en la pgina 994.
Paso 10
Opcionalmente, valide que los clientes Valide que los clientes tengan las estn ejecutando las polticas polticas ms recientes comparando el actualizadas. nmero de serie de las polticas recibido del cliente con el nmero de serie de las polticas en Symantec Endpoint Protection Manager.
Configuracin de dispositivos Symantec Integrated Enforcer en la consola de Enforcer Cmo establecer o cambiar la comunicacin entre Integrated Enforcer para servidores DHCP de Microsoft y Symantec Endpoint Protection Manager
977
Cmo establecer o cambiar la comunicacin entre Integrated Enforcer para servidores DHCP de Microsoft y Symantec Endpoint Protection Manager
Es necesario especificar Symantec Endpoint Protection Manager al que puede conectarse Integrated Enforcer. Una vez que configure la lista de servidores de administracin, es necesario configurar la conexin con la contrasea cifrada, el nombre de grupo y el protocolo de comunicacin. La contrasea cifrada antes se conoca como clave previamente compartida. Despus de que Integrated Enforcer se conecta a un servidor de administracin, se registra automticamente. Ver "Configuracin de una lista de servidores de administracin" en la pgina 722. Para establecer la comunicacin entre la consola de Integrated Enforcer y Symantec Endpoint Protection Manager
En la barra de tareas de Windows del equipo de Integrated Enforcer, haga clic en Inicio > Programas > Symantec Endpoint Protection > Symantec NAC Integrated Enforcer. Aparece la consola de configuracin de Symantec Network Access Control Integrated Enforcer. Esta pgina principal muestra el estado de conexin entre Integrated Enforcer y Symantec Endpoint Protection Manager. Una luz verde indica que Integrated Enforcer est conectado activamente al servidor de administracin. Una luz roja indica que la conexin est desactivada.
2 3
En el panel izquierdo, haga clic en Symantec Integrated Enforcer > Configurar > Servidor de administracin. En el cuadro de dilogo Servidor de administracin, escriba la direccin IP o el nombre de Symantec Endpoint Protection Manager en el campo de texto Direccin del servidor. Es posible escribir una direccin IP, un nombre de host o un nombre de dominio. Si desea usar un nombre de host o un nombre de dominio, asegrese de que el nombre se resuelva correctamente con el Servidor de nombres de dominio (servidor DNS).
En el cuadro de dilogo Servidor de administracin, edite el nmero de puerto que Integrated Enforcer utiliza para comunicarse con Symantec Endpoint Protection Manager. El nmero de puerto predeterminado es 8014 para el protocolo HTTP y 443 para el protocolo HTTPS. El protocolo HTTPS debe configurarse idnticamente en Symantec Endpoint Protection Manager e Integrated Enforcer.
978
Configuracin de dispositivos Symantec Integrated Enforcer en la consola de Enforcer Cmo establecer o cambiar la comunicacin entre Integrated Enforcer para servidores DHCP de Microsoft y Symantec Endpoint Protection Manager
En el cuadro de texto Contrasea de cifrado, escriba la contrasea de Symantec Endpoint Protection Manager para su conexin. Symantec Endpoint Protection Manager e Integrated Enforcer deben usar la misma contrasea cifrada para la comunicacin. Para visualizar las letras y los nmeros de la clave previamente compartida en vez de asteriscos, seleccione Usar valor hash. Si se activa la funcin Usar valor hash, la contrasea de cifrado debe tener 32 caracteres y debe usar nmeros hexadecimales solamente.
En el cuadro de texto Grupo preferido, escriba un nombre para el grupo de Integrated Enforcer. Si no especifica un nombre de grupo, Symantec Endpoint Protection Manager asigna Symantec Network Access Control Integrated Enforcer a un grupo de Enforcer predeterminado con la configuracin predeterminada. El nombre de grupo predeterminado es I-DHCP. Sin embargo, Symantec Network Access Control Integrated Enforcer para servidores NAP de Microsoft y los mdulos de aplicacin Enforcer basados en dispositivos deben estar en grupos separados. Es posible ver la configuracin del grupo de la consola de Symantec Endpoint Protection Manager en la pgina Servidores.
Para especificar el protocolo que Symantec Network Access Control Integrated Enforcer usa para comunicarse con Symantec Endpoint Protection Manager, seleccione HTTP o HTTPS. Es posible usar solamente el protocolo HTTPS si Symantec Endpoint Protection Manager est ejecutando Secure Sockets Layer (SSL). Si selecciona HTTPS y necesita la verificacin del certificado de servidor de administracin con una autoridad de certificacin de otro fabricante de confianza, seleccione Verificar certificado al utilizar protocolo HTTPS.
Haga clic en Guardar. Una vez que Integrated Enforcer se conecta a Symantec Endpoint Protection Manager, puede cambiar la mayora de los valores de configuracin en la consola de Symantec Endpoint Protection Manager. Sin embargo, el secreto compartido previamente o la contrasea cifrada deben ser iguales en Integrated Enforcer y Symantec Endpoint Protection Manager para poder comunicarse.
Configuracin de dispositivos Symantec Integrated Enforcer en la consola de Enforcer Configurar la cuarentena automtica
979
Configurar la cuarentena automtica

Los clientes que intentan conectarse a la red envan una solicitud DHCP al servidor DHCP. Symantec Network Access Control Integrated Enforcer puede realizar la configuracin de cuarentena basada en direcciones IP permitidas, o es posible configurar una clase de usuario de cuarentena y agregar recursos a ella para cada subred desde dentro del servidor DHCP. Integrated Enforcer aade la clase de usuario de cuarentena a todos los mensajes DHCP que vengan de clientes que no cumplan o desconocidos. Adems renueva las solicitudes desde el cliente al servidor DHCP. Los clientes de confianza reciben de forma inmediata una direccin IP normal y no son puestos en cuarentena. Los clientes desconocidos o que no son de confianza son puestos en cuarentena, autenticados, renovados si la autenticacin tiene xito y, despus, reciben una direccin IP normal. El acceso se basa en la configuracin de la poltica de integridad del host y del grupo que se define en Symantec Endpoint Protection Manager. Escriba una lista de direcciones IP a las que desee permitir que los equipos en cuarentena accedan, incluso si la autenticacin falla. Para configurar la cuarentena automtica para Symantec Network Access Control Integrated Enforcer
En la barra de tareas de Windows del equipo de Integrated Enforcer, haga clic en Inicio > Programas > Symantec Endpoint Protection > Symantec NAC Integrated Enforcer. En el panel izquierdo, haga clic en Symantec Integrated Enforcer > Configurar > Configuracin de cuarentena automtica. En la pgina Configuracin de cuarentena automtica de Integrated Enforcer, haga clic en Agregar para comenzar a crear una lista de direcciones IP. Escriba una direccin IP permitida y haga clic en Aceptar para agregar la direccin IP a la lista. Haga clic en Agregar de nuevo para continuar agregando direcciones IP a la lista. Modifique la lista Direccin IP haciendo clic en Editar, Eliminar, Eliminar todo, Subir o Bajar. Cuando todas las direcciones IP estn enumeradas o modificadas, haga clic en Aceptar en la parte inferior de la pgina para guardar sus configuraciones.
2 3 4 5 6 7
980
Configuracin de dispositivos Symantec Integrated Enforcer en la consola de Enforcer Configurar la cuarentena automtica
Para establecer una configuracin de cuarentena en un servidor DHCP (tarea opcional avanzada)
En el servidor DHCP, haga clic en Inicio > Herramientas administrativas > DCHP. Para renovar la solicitud con una configuracin de cuarentena, Integrated Enforcer aade dinmicamente una clase de usuario DHCP de cuarentena a los mensajes DHCP que vienen de los clientes que no cumplen. Se define la clase de usuario de cuarentena agregando un ID llamado: SYGATE_ENF. A continuacin, se asigna a la clase de usuario varios recursos, que incluyen una direccin IP de gateway, tiempo de concesin, un servidor DNS y suficientes rutas estticas para la correccin.
2 3 4
En el rbol del cuadro de dilogo DHCP, haga clic con el botn secundario en el servidor DHCP y haga clic en Definir clases de usuario. En el cuadro de dilogo Clases de usuario DHCP, haga clic en Agregar. En el cuadro de dilogo Nueva clase, escriba un nombre para mostrar que identifique esta clase de usuario de cuarentena como la configuracin de cuarentena y una descripcin opcional. Por ejemplo, es posible identificar una clase de usuario de cuarentena, como CUARENTENA.
5 6 7
Para definir una nueva clase de usuario, haga clic en la columna ASCII y escriba SYGATE_ENF en letras maysculas. Haga clic en Aceptar. Haga clic en Cerrar.
Para configurar opciones de alcance en un servidor DHCP (tarea opcional avanzada)
1 2 3 4 5 6 7
En el rbol, haga clic con el botn secundario en Opciones del servidor. Haga clic en Configurar opciones. En la ficha General, active 003 Router y configure la direccin IP del router que se asocia al cliente de retransmisin de DHCP. En la ficha Avanzadas, en la lista desplegable Clase de proveedor, haga clic en Opciones estndar de DHCP. En la ficha Avanzadas, en la lista desplegable de Clase de usuario, haga clic en Cuarentena. Seleccione 003 Router. En el campo Direccin IP, escriba 127.0.0.1 (recomendado). Sin embargo, incumbe al administrador decidir a qu router IP asignar a los clientes en cuarentena.
Configuracin de dispositivos Symantec Integrated Enforcer en la consola de Enforcer Cmo editar una conexin de Symantec Endpoint Protection Manager
981
8 9
Seleccione 051 Concesin. Escriba el valor hexadecimal del tiempo de concesin en segundos. Por ejemplo, para 2 minutos, escriba 0x78.
10 Haga clic en Aceptar. 11 Haga clic en Archivo > Salir.
Cmo editar una conexin de Symantec Endpoint Protection Manager

Es posible actualizar la direccin IP de Symantec Endpoint Protection Manager y la informacin de puerto en caso de necesidad. Para editar una conexin de Symantec Endpoint Protection Manager
En la barra de tareas de Windows del equipo de Enforcer, haga clic en Inicio > Programas > Symantec Endpoint Protection > Symantec Integrated Enforcer. En el panel izquierdo, ample Symantec Integrated Enforcer. Ample Configurar. Haga clic en Servidores de administracin. En el panel Servidores de administracin, haga clic en Editar desde la columna del icono que se encuentra a la derecha de la lista de servidores de administracin. En el cuadro de dilogo Agregar/Editar servidor de administracin, escriba la direccin IP o el nombre de Symantec Endpoint Protection Manager en el campo de texto Direccin del servidor. Es posible escribir una direccin IP, un nombre de host o un nombre de dominio. Si desea utilizar un nombre de host o un nombre de dominio, Symantec Network Access Control Integrated Enforcer debe conectarse a un servidor de nombres de dominio (DNS).
2 3 4 5
982
Configuracin de dispositivos Symantec Integrated Enforcer en la consola de Enforcer Establecer la configuracin de comunicacin de Integrated Enforcer en Symantec Endpoint Protection Manager
Establecer la configuracin de comunicacin de Integrated Enforcer en Symantec Endpoint Protection Manager

Configurar Symantec Network Access Control Integrated Enforcer es un proceso de dos etapas. Primero, se configura Integrated Enforcer desde la consola de Integrated Enforcer. En segundo lugar, se completan tareas de configuracin de Symantec Endpoint Protection Manager para configurar completamente las comunicaciones entre el enforcer y el servidor de administracin. Las opciones de configuracin se descargan automticamente del servidor de administracin a Integrated Enforcer durante el latido siguiente. Ver "Acerca de la configuracin de Integrated Enforcers en una consola de Enforcer" en la pgina 974. Para establecer la configuracin de comunicacin de Integrated Enforcer en Symantec Endpoint Protection Manager
1 2 3 4
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. En Servidores, seleccione al grupo de Enforcers del cual Integrated Enforcer es un miembro. Seleccione Integrated Enforcer cuyos valores de configuracin necesitan ser cambiados.
Configuracin de dispositivos Symantec Integrated Enforcer en la consola de Enforcer Configurar una lista de distribuidores de confianza
983
5 6
En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin, modifique cualquiera de las opciones de configuracin. El cuadro de dilogo Configuracin proporciona las categoras tabuladas siguientes de valores de configuracin:
General Configuracin para el nombre de grupo de Enforcer, la descripcin del grupo de Enforcer y la lista de servidores de administracin. Ver "Configuracin bsica de Symantec Network Access Control Integrated Enforcer" en la pgina 990. Autenticacin Configuracin para una variedad de parmetros que afectan el proceso de autenticacin del cliente. Ver "Configuracin de autenticacin de Symantec Network Access Control Integrated Enforcer" en la pgina 996. Avanzado Configuracin para los parmetros de tiempos de espera de la autenticacin y tiempos de espera de mensaje de DHCP: se muestran estas opciones pero actualmente no estn disponibles para la configuracin de Symantec Network Access Control Integrated Enforcer. Configuracin para las direcciones MAC para los hosts de confianza que Integrated Enforcer permite que se conecten sin autenticacin (opcional). Configuracin para la autenticacin local. Ver "Configuracin avanzada de Symantec Network Access Control Integrated Enforcer" en la pgina 994. Configuracin del registro Configuracin para los Registros del servidor, los registros de Actividad del cliente y especificacin de parmetros de archivo de registro. Ver "Configurar registros para Symantec Network Access Control Integrated Enforcer" en la pgina 1004.
Configurar una lista de distribuidores de confianza

Los agentes no se pueden instalar en algunos dispositivos de red, como impresoras o telfonos IP. Para tener en cuenta esos casos, es posible configurar una lista de distribuidores de confianza. Si el nombre del distribuidor se considera de confianza,
984
Configuracin de dispositivos Symantec Integrated Enforcer en la consola de Enforcer Visualizar registros de Enforcer en una consola de Enforcer
Symantec Network Access Control Integrated Enforcer no autenticar el dispositivo. Los dispositivos obtendrn direcciones IP normales del servidor DHCP. Para configurar una lista de distribuidores de confianza
En la barra de tareas de Windows del equipo de Integrated Enforcer, haga clic en Inicio > Programas > Symantec Endpoint Protection > Symantec NAC Integrated Enforcer. En el panel izquierdo, haga clic en Symantec Integrated Enforcer > Configure (Configurar) > DHCP Trusted Vendors Configuration (Configuracin de distribuidores de confianza DHCP). Para habilitar la lista de distribuidores de confianza, seleccione Turn on Trusted Vendors (Activar distribuidores de confianza). Cuando se selecciona la casilla Turn on Trusted Vendors (Activar distribuidores de confianza), no se implementar la integridad del host para el trfico DHCP de los distribuidores de confianza seleccionados.
4 5
Seleccione los distribuidores que desee establecer como distribuidores de confianza. Haga clic en Save (Guardar).
Visualizar registros de Enforcer en una consola de Enforcer

Symantec Network Access Control Integrated Enforcer registra automticamente los mensajes en el registro del cliente de Enforcer y en el registro del sistema de Enforcer. Estos registros de Enforcer se cargan en Symantec Endpoint Protection Manager. El registro del cliente proporciona informacin sobre las conexiones de los clientes y la comunicacin con Integrated Enforcer. El registro del sistema almacena informacin que se relaciona con Integrated Enforcer mismo, como casos de inicio y detencin del servicio de Enforcer. En Symantec Endpoint Protection Manager, se pueden habilitar y deshabilitar el registro y los parmetros del archivo de registro para Integrated Enforcer. Todos los registros se habilitan y se envan a Symantec Endpoint Protection Manager de forma predeterminada. Para visualizar registros de Enforcer en una consola de Enforcer
1 2
En el panel izquierdo, expanda Symantec NAC Integrated Enforcer. Expanda Ver registros y haga clic en Registro del sistema o haga clic en Registro de clientes.
Configuracin de dispositivos Symantec Integrated Enforcer en la consola de Enforcer Detener e iniciar servicios de comunicacin entre Integrated Enforcer y un servidor de administracin
985
3 4
Para ver cualquier cambio del registro desde que usted lo abri por ltima vez, haga clic en Actualizar. Haga clic en Aceptar.
Detener e iniciar servicios de comunicacin entre Integrated Enforcer y un servidor de administracin

Para solucionar problemas, puede detener e iniciar el servicio de Enforcer o el servicio (SNACLink.exe) que se comunica con Symantec Endpoint Protection Manager. Si detiene el servicio de Enforcer, Integrated Enforcer quita la informacin del cumplimiento para los clientes existentes. Adems, se detiene la recopilacin de informacin para los nuevos clientes. Sin embargo, contina comunicndose con Symantec Endpoint Protection Manager. Si Symantec Endpoint Protection Manager no est disponible, Integrated Enforcer an impone la versin de la poltica y el GUID para todos los clientes autenticados. Se sigue el mismo proceso si se detiene la conexin a Symantec Endpoint Protection Manager. Esta informacin se almacena en la memoria cach local (pero solamente si se habilita la memoria cach). Autentica automticamente los nuevos clientes (segn su estado de integridad del host), pero omite la verificacin de GUID y de polticas. Tan pronto como la comunicacin a Symantec Endpoint Protection Manager se restablece, Integrated Enforcer actualiza la versin de la poltica. Adems, autentica los clientes que se han agregado desde que se perdi la conexin. Nota: Es posible configurar Symantec Network Access Control Integrated Enforcer para poner en cuarentena los nuevos clientes en vez de autenticarlos mientras la conexin de Symantec Endpoint Protection Manager no est disponible. Se logra este objetivo modificando el valor predeterminado de la clave DetectEnableUidCache en el registro de Windows. Detener Integrated Enforcer no detiene el servidor DHCP. Si se detiene Integrated Enforcer, el servidor DHCP funciona como si nunca se hubiera instalado Enforcer. Si el servidor DHCP deja de estar disponible, Integrated Enforcer deja de recopilar el estado de cumplimiento sobre nuevos clientes. Sin embargo, contina comunicndose con los clientes existentes y contina registrando cambios de estado. El servidor DHCP puede dejar de estar disponible debido a problemas de mantenimiento y otros problemas.
986
Configuracin de dispositivos Symantec Integrated Enforcer en la consola de Enforcer Configurar una mscara de subred segura
Para detener e iniciar los servicios de comunicacin entre Integrated Enforcer y un servidor de administracin
1 2 3
Inicie Symantec Network Access Control Integrated Enforcer. Haga clic en Symantec NAC Integrated Enforcer. Es posible detener o iniciar el servicio de Enforcer (IntegratedEnf.exe) o el servicio (SNACLink.exe) que se comunica con Symantec Endpoint Protection Manager. Realice una de las siguientes tareas o ambas:
En el cuadro de grupo del servicio de Enforcer, haga clic en Detener. Esta opcin detiene el servicio de Enforcer. En el cuadro de grupo de servicio de comunicacin del servidor de administracin, haga clic en Detener. Esta opcin detiene el servicio de Enforcer que se conecta a Symantec Endpoint Protection Manager.
Si se configura el estado en Stopped, el servicio no se est ejecutando.
Para reiniciar cualquier servicio, haga clic en Iniciar. Si desactiva o reinicia el equipo al cual se conecta Symantec Network Access Control Integrated Enforcer, el servicio de Enforcer se reinicia automticamente cuando el equipo se reinicia. Si se detiene y se reinicia posteriormente el servicio de comunicacin del servidor, Symantec Network Access Control Integrated Enforcer intenta conectarse al mdulo Symantec Endpoint Protection Manager al cual se conect por ltima vez. Si ese mdulo Symantec Endpoint Protection Manager no est disponible, Integrated Enforcer se conecta al primer servidor de administracin enumerado en la lista de servidores de administracin.
Configurar una mscara de subred segura

La pgina Configuracin avanzada de Integrated Enforcer permite que los usuarios configuren una mscara de subred segura para los clientes en cuarentena. Para configurar una mscara de subred segura
En la pgina Configuracin avanzada, seleccione la opcin para Usar la mscara de subred segura (255.255.255.255) para clientes en cuarentena o haga clic para borrar la configuracin. Si borra la configuracin, usted usar la mscara de subred normal DHCP. Haga clic en Aceptar para guardar la configuracin.
Configuracin de dispositivos Symantec Integrated Enforcer en la consola de Enforcer Creacin de excepciones en el mbito DHCP
987
Nota: La mscara de subred segura (255.255.255.255) est solamente disponible con Symantec Network Access Control Integrated Enforcer para servidores DHCP de Microsoft. Si se activa, 255.255.255.255 se usa para los clientes en cuarentena. Si se desactiva, se usar la mscara de subred predeterminada para el mbito actual.
Creacin de excepciones en el mbito DHCP

La pgina de configuracin de Integrated Enforcer permite a los usuarios manipular la mscara de subred para omitir la cuarentena. La configuracin predeterminada en la instalacin es que a todos los mbitos DHCP se les impondr la cuarentena. Para seleccionar subredes para la exencin de cuarentena
En la pgina de configuracin Configuracin avanzada, seleccione la opcin Usar mscara de subred segura [255.255.255.255] para una direccin IP de cuarentena En Seleccionar mbitos que se impondrn, haga clic para borrar los intervalos de direcciones IP que desea eximir. Se impondrn las direcciones IP que pertenecen a los mbitos DHCP que estn seleccionados. Cuando un mbito DHCP se cambia para eximir un mbito (haciendo clic para borrar el intervalo de direcciones IP), las direcciones IP que ya se han asignado a los clientes an sern impuestas. Para borrar la imposicin, la versin y la renovacin de las direcciones IP. Nota: Si se crea un nuevo mbito o se agrega una vez que Enforcer est instalado, el nuevo mbito no se impondr hasta que se seleccione en la interfaz de usuario en la pgina de configuracin Configuracin avanzada.
Cuando est satisfecho con la configuracin, haga clic en Aceptar para guardar la configuracin.
988
Configuracin de dispositivos Symantec Integrated Enforcer en la consola de Enforcer Creacin de excepciones en el mbito DHCP
Captulo
48
Configuracin de Symantec Network Access Control Integrated Enforcer para el servidor DHCP de Microsoft en Symantec Endpoint Protection Manager
Acerca de la configuracin de Symantec Network Access Control Integrated Enforcer para el servidor DHCP de Microsoft en Symantec Endpoint Protection Manager Configuracin bsica de Symantec Network Access Control Integrated Enforcer Configuracin avanzada de Symantec Network Access Control Integrated Enforcer Configuracin de autenticacin de Symantec Network Access Control Integrated Enforcer Configurar registros para Symantec Network Access Control Integrated Enforcer
990
Configuracin de Symantec Network Access Control Integrated Enforcer para el servidor DHCP de Microsoft en Symantec Endpoint Protection Manager Acerca de la configuracin de Symantec Network Access Control Integrated Enforcer para el servidor DHCP de Microsoft en Symantec Endpoint Protection Manager
Acerca de la configuracin de Symantec Network Access Control Integrated Enforcer para el servidor DHCP de Microsoft en Symantec Endpoint Protection Manager
Si desea admitir Symantec Integrated Enforcer para el servidor DHCP de Microsoft en un entorno de red, debe configurar y ejecutar un servidor DHCP. La mayor parte de la configuracin ocurre en la consola Enforcer. Una vez instalado, puede configurar las reas siguientes de Symantec Endpoint Protection Manager
Configuracin bsica y avanzada Ver "Configuracin bsica de Symantec Network Access Control Integrated Enforcer" en la pgina 990. Ver "Configuracin avanzada de Symantec Network Access Control Integrated Enforcer" en la pgina 994. Autenticacin Ver "Configuracin de autenticacin de Symantec Network Access Control Integrated Enforcer" en la pgina 996. Registros Ver "Configurar registros para Symantec Network Access Control Integrated Enforcer" en la pgina 1004.
Configuracin bsica de Symantec Network Access Control Integrated Enforcer

Es posible agregar o editar la descripcin de Symantec Network Access Control Integrated Enforcer o de un grupo de Integrated Enforcer en Symantec Endpoint Protection Manager. Es posible tambin agregarlos o editarlos en la consola de Integrated Enforcer. Ver "Cmo agregar o editar la descripcin de un grupo de Enforcer con Symantec Network Access Control Integrated Enforcer" en la pgina 991. Ver "Cmo agregar o editar la descripcin de Symantec Network Access Control Integrated Enforcer" en la pgina 992. Sin embargo, no se puede agregar ni editar el nombre de un grupo de Integrated Enforcer en la consola de Symantec Endpoint Protection Manager. No es posible agregar ni editar la direccin IP o el nombre del host de un Integrated Enforcer en la consola de Symantec Endpoint Protection Manager. En cambio, es necesario realizar estas tareas en la consola de Enforcer.
Configuracin de Symantec Network Access Control Integrated Enforcer para el servidor DHCP de Microsoft en Symantec Endpoint Protection Manager Configuracin bsica de Symantec Network Access Control Integrated Enforcer
991
Ver "Cmo agregar o editar el nombre de un grupo de Enforcer para Symantec Network Access Control Integrated Enforcer" en la pgina 991. Es necesario conectar Integrated Enforcer a Symantec Endpoint Protection Manager. Ver "Cmo conectar Symantec Network Access Control Integrated Enforcer a Symantec Endpoint Protection Manager" en la pgina 992.
Cmo agregar o editar el nombre de un grupo de Enforcer para Symantec Network Access Control Integrated Enforcer
Es posible agregar o editar el nombre de un grupo de Enforcer al cual pertenece un mdulo Integrated Enforcer. Se realizan estas tareas en la consola de Enforcer durante la instalacin. Ms adelante, si desea modificar el nombre de un grupo de Enforcer, es posible hacerlo en la consola de Enforcer. Ver "Cmo establecer o cambiar la comunicacin entre Integrated Enforcer para servidores DHCP de Microsoft y Symantec Endpoint Protection Manager" en la pgina 977. Todos los mdulos de aplicacin Enforcer de un grupo comparten las mismas opciones de configuracin.
Cmo agregar o editar la descripcin de un grupo de Enforcer con Symantec Network Access Control Integrated Enforcer
Es posible agregar o editar la descripcin de un grupo de Enforcer al cual pertenece un mdulo Symantec Network Access Control Integrated Enforcer. Es posible realizar esta tarea en la consola de Symantec Endpoint Protection Manager en vez de realizarla en la consola de Integrated Enforcer. Para agregar o editar la descripcin de un grupo de Enforcer con Symantec Network Access Control Integrated Enforcer
1 2 3 4 5 6
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. En Servidores, seleccione y expanda el grupo de Enforcer cuyo nombre desea agregar o editar. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin, en la ficha General, agregue o edite una descripcin para el grupo de Enforcer en el campo Descripcin. Haga clic en Aceptar.
992
Cmo agregar o editar la descripcin de Symantec Network Access Control Integrated Enforcer
Es posible agregar o editar la descripcin de Symantec Network Access Control Integrated Enforcer. Es posible realizar esta tarea en la consola de Symantec Endpoint Protection Manager en vez de realizarla en la consola de Integrated Enforcer. Una vez que complete esta tarea, la descripcin aparecer en el campo Descripcin del panel Servidor de administracin. Para agregar o editar la descripcin de Symantec Network Access Control Integrated Enforcer
1 2 3 4 5 6 7
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione y expanda el grupo de Enforcer que incluye el Integrated Enforcer cuya descripcin se desea agregar o editar. Seleccione el Integrated Enforcer cuya descripcin desee agregar o editar. En Tareas, haga clic en Editar propiedades de Enforcer. En el cuadro de dilogo Propiedades de Enforcer, agregue o edite una descripcin para Integrated Enforcer en el campo Descripcin. Haga clic en Aceptar.
Cmo conectar Symantec Network Access Control Integrated Enforcer a Symantec Endpoint Protection Manager
Los dispositivos Enforcer deben poder conectarse a los servidores en los cuales Symantec Endpoint Protection Manager est instalado. El servidor de administracin incluye un archivo que ayuda a administrar el trfico entre los clientes, los servidores de administracin y los mdulos de aplicacin Enforcer opcionales, como Integrated Enforcer. Este archivo se denomina lista de servidores de administracin. La lista de servidores de administracin especifica a qu Symantec Endpoint Protection Manager se conecta Enforcer. Adems, especifica a qu Symantec Endpoint Protection se conecta Integrated Enforcer en caso de error de un servidor de administracin. Una lista predeterminada de servidores de administracin se crea automticamente para cada sitio durante la instalacin inicial. Todos los servidores de administracin disponibles en ese sitio se agregan automticamente a la lista de servidores de administracin predeterminada.
993
Una lista predeterminada de servidores de administracin incluye las direcciones IP o los nombres de host del servidor de administracin al cual los mdulos de aplicacin Integrated Enforcer pueden conectarse despus de la instalacin inicial. Es conveniente crear una lista personalizada de servidores de administracin antes de implementar cualquier mdulo de aplicacin Enforcer. Si crea una lista personalizada de servidores de administracin, es posible especificar la prioridad con la cual Integrated Enforcer puede conectarse a los servidores de administracin. Es posible seleccionar la lista especfica de servidores de administracin que incluye las direcciones IP o los nombres de host de los servidores de administracin a los cuales es necesario que Integrated Enforcer se conecte. Si hay solamente un servidor de administracin en un sitio, es posible seleccionar la lista predeterminada de servidores de administracin. Ver "Configuracin de una lista de servidores de administracin" en la pgina 722. Para seleccionar la lista de servidores de administracin para Symantec Network Access Control Integrated Enforcer
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione y expanda el grupo de Enforcers. El grupo de Enforcer debe incluir el mdulo de aplicacin Integrated Enforcer para el cual desee modificar la direccin IP o el nombre de host en una lista de servidores de administracin.
4 5
En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin, en la ficha General, en Comunicacin, seleccione la lista de servidores de administracin que desee que Integrated Enforcer use. En la ficha General, en Comunicacin, haga clic en Seleccionar. Es posible ver las direcciones IP y los nombres de host de todos los servidores de administracin disponibles, adems de las prioridades que se les han asignado.
7 8
En el cuadro de dilogo Lista de servidores de administracin, haga clic en Cerrar. En el cuadro de dilogo General, haga clic en Aceptar.
994
Configuracin de Symantec Network Access Control Integrated Enforcer para el servidor DHCP de Microsoft en Symantec Endpoint Protection Manager Configuracin avanzada de Symantec Network Access Control Integrated Enforcer
Configuracin avanzada de Symantec Network Access Control Integrated Enforcer

Es posible configurar las siguientes opciones de configuracin avanzadas de Integrated Enforcer:
Parmetros de tiempo de espera, Tiempo de espera de la autenticacin y Tiempo de espera del mensaje DHCP Aunque se visualicen estas opciones, actualmente no estn disponibles para la configuracin de Symantec Network Access Control Integrated Enforcer. Direcciones MAC para los hosts de confianza a los que Integrated Enforcer permite conectarse al servidor DHCP normal sin autenticacin Habilitar la autenticacin local Comprobacin de estado de Symantec Endpoint Protection Manager
Cuando se aplica cualquiera de estas opciones de configuracin, los cambios se envan al mdulo Symantec Network Access Control Integrated Enforcer seleccionado durante el latido siguiente. Ver "Habilitar servidores, clientes y dispositivos para que se conecten a la red como hosts de confianza sin autenticacin" en la pgina 994. Ver "Habilitar la autenticacin local en Integrated Enforcer" en la pgina 995.
Habilitar servidores, clientes y dispositivos para que se conecten a la red como hosts de confianza sin autenticacin
Un host de confianza es tpicamente un servidor que no puede instalar software de cliente, como un servidor que no es Windows, o un dispositivo como una impresora. Es posible tambin identificar los clientes que no usan Windows como hosts de confianza porque Integrated Enforcer no puede autenticar clientes que no ejecuten el cliente de Symantec Endpoint Protection o el cliente de Symantec Network Access Control. Es posible utilizar direcciones MAC para sealar ciertos servidores, clientes y dispositivos como hosts de confianza. Cuando se designan los servidores, los clientes y los dispositivos como hosts de confianza, Integrated Enforcer pasa todos los mensajes de DHCP del host de confianza sin autenticar el host de confianza.
Configuracin de Symantec Network Access Control Integrated Enforcer para el servidor DHCP de Microsoft en Symantec Endpoint Protection Manager Configuracin avanzada de Symantec Network Access Control Integrated Enforcer
995
Habilitar servidores, clientes y dispositivos para que se conecten a la red como hosts de confianza sin autenticacin
1 2 3 4
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. En Servidores, seleccione y expanda el grupo de Enforcers. Seleccione un Integrated Enforcer que permita servidores, clientes y los dispositivos que se han sealado como hosts de confianza para conectarse a la red sin autenticacin. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin, en la ficha Avanzada, junto a Direccin MAC, haga clic en Agregar. En el cuadro de dilogo Agregar host de confianza, escriba la direccin MAC para el cliente o el host de confianza en el campo Direccin MAC del host. Cuando se especifica una direccin MAC, es posible utilizar un carcter comodn si usted lo escribe para los tres campos de la derecha. Por ejemplo, 11-22-23-*-*-* representa el uso correcto del carcter comodn. Sin embargo, 11-22-33-44-*-66 no representa el uso correcto del carcter comodn. Es posible tambin copiar un conjunto de direcciones MAC de un archivo de texto. Nota: Symantec admite el formato siguiente para las importaciones: nica direccin MAC y direccin MAC con mscara. Para importar direcciones MAC, haga clic en Importar. Especifique el archivo en el cuadro de dilogo Importar direccin MAC desde archivo. Para exportar direcciones MAC, resalte varias direcciones MAC y despus haga clic en Exportar. Especifique el archivo en el cuadro de dilogo Exportar direccin MAC a archivo.
5 6 7
Habilitar la autenticacin local en Integrated Enforcer

Con la autenticacin local habilitada, si Integrated Enforcer pierde su conexin con el cliente en el cual Symantec Endpoint Protection Manager est instalado, Integrated Enforcer autentica los clientes localmente. En este caso, Integrated
996
Configuracin de Symantec Network Access Control Integrated Enforcer para el servidor DHCP de Microsoft en Symantec Endpoint Protection Manager Configuracin de autenticacin de Symantec Network Access Control Integrated Enforcer
Enforcer considera que el cliente es un usuario vlido y comprueba solamente el estado de integridad del host del cliente. Nota: Si Integrated Enforcer no pierde su conexin con Symantec Endpoint Protection Manager, solicita siempre al servidor de administracin que verifique el GUID del cliente sin importar si la autenticacin local est habilitada o deshabilitada. Para habilitar la autenticacin local en Integrated Enforcer
1 2 3 4 5 6
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. En Servidores, seleccione y expanda el grupo de Integrated Enforcer. En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin, en la ficha Opciones avanzadas, seleccione Habilitar la autenticacin local. Haga clic en Aceptar.
Configuracin de autenticacin de Symantec Network Access Control Integrated Enforcer

Es posible especificar un nmero de opciones de autenticacin para una sesin de autenticacin de Integrated Enforcer. Cuando se aplican los cambios, estos se envan automticamente al mdulo de aplicacin Integrated Enforcer seleccionado durante el latido siguiente.
Acerca de usar las opciones de autenticacin

Es conveniente implementar varias opciones de autenticacin para proteger ms la red. La Tabla 48-1 proporciona ms informacin sobre las opciones en la ficha Autenticacin.
997
Tabla 48-1
Configuracin de autenticacin para Symantec Network Access Control Integrated Enforcer Descripcin
El nmero mximo de paquetes que Integrated Enforcer enva en cada sesin de autenticacin. El nmero predeterminado es 15. Ver "Especificar el nmero mximo de paquetes de desafo durante una sesin de autenticacin" en la pgina 999.
Opcin
Cantidad mxima de paquetes por sesin de autenticacin
Tiempo entre los paquetes en El tiempo (en segundos) entre cada paquete que Enforcer la sesin de autenticacin enva. El valor predeterminado es 4 segundos. Ver "Especificar la frecuencia de los paquetes de desafo que se enviarn a los clientes" en la pgina 1000. Permitir todos los clientes, pero seguir registrando aquellos que no estn autenticados Si se habilita esta opcin, Enforcer autentica todos los usuarios comprobando que estn ejecutando un cliente. A continuacin, transmite la solicitud para recibir una configuracin de red normal, en lugar de una configuracin de red de cuarentena, sin importar si aprueba o falla la comprobacin. En la configuracin predeterminada, no se habilita. Ver "Permitir todos los clientes con el registro continuo de clientes no autenticados" en la pgina 1001. Permitir todos los clientes Si se habilita esta opcin, Integrated Enforcer comprueba con sistemas operativos que el sistema operativo del cliente. Integrated Enforcer no sean Windows entonces permite que todos los clientes que no ejecuten sistemas operativos de Windows reciban una configuracin de red normal sin ser autenticados. Si esta opcin no se habilita, los clientes reciben una configuracin de red de cuarentena. En la configuracin predeterminada, no se habilita. Ver "Permitir que los clientes que no utilizan Windows se conecten a una red sin autenticacin" en la pgina 1002.
998
Opcin
Comprobar el nmero de serie de la poltica en el cliente antes de permitir que acceda a la red
Descripcin
Si se habilita esta opcin, Integrated Enforcer verifica que el cliente haya recibido las ltimas polticas de seguridad del servidor de administracin. Si el nmero de serie de la poltica no es el ms reciente, Integrated Enforcer notifica al cliente para que actualice su poltica de seguridad. El cliente entonces transmite la solicitud para recibir una configuracin de red de cuarentena. Si esta opcin no se habilita y si la comprobacin de integridad del host es correcta, Integrated Enforcer transmite la solicitud de Integrated para recibir una configuracin de red normal. Integrated Enforcer remite la solicitud, incluso si el cliente no tiene la ltima poltica de seguridad. En la configuracin predeterminada, no se habilita. Ver "Cmo hacer que Symantec Network Access Control Integrated Enforcer compruebe el nmero de serie de las polticas en un cliente" en la pgina 1003.
Acerca de las sesiones de autenticacin

Cuando un cliente intenta acceder a la red interna, Symantec Network Access Control Integrated Enforcer primero detecta si el cliente est ejecutando un cliente de Symantec Endpoint Protection. Si est hacindolo, Enforcer transmite el mensaje DHCP del cliente al servidor DHCP para obtener una direccin IP de cuarentena con un perodo de concesin corto. Este proceso es utilizado internamente por Integrated Enforcer para su proceso de autenticacin. Integrated Enforcer entonces comienza su sesin de autenticacin con el cliente. Una sesin de autenticacin es un conjunto de paquetes de desafo que Integrated Enforcer enva a un cliente. Durante la sesin de autenticacin, Enforcer enva un paquete de desafo al cliente en una frecuencia especificada. La configuracin predeterminada es cada 3 segundos. Integrated Enforcer contina enviando los paquetes hasta que una de las siguientes condiciones se cumpla:

Integrated Enforcer recibe una respuesta del cliente. Integrated Enforcer ha enviado el nmero mximo especificado de paquetes. La configuracin predeterminada es 15.
999
La frecuencia (4 segundos) indica el tiempo en que se enva el nmero de paquetes, y (15) es el valor que se utiliza para el latido de Enforcer. El latido es el intervalo que Integrated Enforcer permite que el cliente permanezca conectado antes de que inicie una nueva sesin de autenticacin. La configuracin predeterminada es 4 segundos. El cliente enva informacin a Integrated Enforcer que contiene los puntos siguientes:

Identificador nico global (GUID) Su nmero de serie de perfil actual Los resultados de la comprobacin de integridad del host
Integrated Enforcer verifica el GUID del cliente y el nmero de serie de la poltica con Symantec Endpoint Protection Manager. Si el cliente fue actualizado con las ltimas polticas de seguridad, su nmero de serie de las polticas coincide con el que Integrated Enforcer recibe del servidor de administracin. Los resultados de la comprobacin de integridad del host se muestran independientemente de si el cliente cumple con las polticas de seguridad actuales. Despus del intervalo de latidos o siempre que el cliente intente renovar su direccin IP, Integrated Enforcer inicia una nueva sesin de autenticacin. El cliente debe responder para conservar la conexin a la red interna. Integrated Enforcer desconecta los clientes que no responden. Para los clientes que fueron autenticados previamente pero ahora desaprueban la autenticacin, Integrated Enforcer actualiza su estado interno para el cliente. A continuacin enva un paquete de desafo al cliente para solicitarle que renueve su direccin IP. Cuando el cliente enva la solicitud de renovacin de DHCP, Integrated Enforcer asigna una direccin IP de cuarentena al cliente.
Especificar el nmero mximo de paquetes de desafo durante una sesin de autenticacin

Durante la sesin de autenticacin, Integrated Enforcer enva un paquete de desafo al cliente en una frecuencia especificada. Integrated Enforcer contina enviando paquetes hasta que se cumplan las condiciones siguientes:

Integrated Enforcer recibe una respuesta del cliente. Integrated Enforcer ha enviado el nmero mximo especificado de paquetes.
La configuracin predeterminada para el nmero mximo de paquetes de desafo para una sesin de autenticacin es de 15 paquetes.
1000
Para especificar el nmero mximo de paquetes de desafo durante una sesin de autenticacin
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione y expanda el grupo de Enforcers. El grupo de Enforcer debe incluir el dispositivo Integrated Enforcer para el cual desee especificar el nmero mximo de paquetes de desafo durante una sesin de autenticacin.
4 5
En Tareas, haga clic en Editar propiedades de grupo. En la ficha Autenticacin, escriba el nmero mximo de paquetes de desafo que desee permitir durante una sesin de autenticacin en el campo Cantidad mxima de paquetes por sesin de autenticacin. En el cuadro de dilogo Configuracin, en la ficha Autenticacin, haga clic en Aceptar.
Especificar la frecuencia de los paquetes de desafo que se enviarn a los clientes

Durante la sesin de autenticacin, Integrated Enforcer enva un paquete de desafo al cliente en una frecuencia especificada. Integrated Enforcer contina enviando paquetes hasta que se cumplan las condiciones siguientes:

Integrated Enforcer recibe una respuesta del cliente. Integrated Enforcer ha enviado el nmero mximo especificado de paquetes.
La configuracin predeterminada es cada 4 segundos. Para especificar la frecuencia de los paquetes de desafo que se enviarn a los clientes
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione y expanda el grupo de Enforcers. El grupo de Enforcer debe incluir el mdulo de aplicacin Integrated Enforcer para el cual desee especificar la frecuencia de los paquetes de desafo que se enviarn a los clientes.
1001
En la ficha Autenticacin, en Parmetros de autenticacin, escriba el nmero mximo de paquetes de desafo que desea que Integrated Enforcer siga enviando a un cliente durante una sesin de autenticacin en el campo Tiempo entre los paquetes en la sesin de autenticacin. En el cuadro de dilogo Configuracin, en la ficha Autenticacin, haga clic en Aceptar.
Permitir todos los clientes con el registro continuo de clientes no autenticados

Puede tardar bastante tiempo implementar todo el software de cliente. Es posible configurar Integrated Enforcer para permitir que todos los clientes se conecten a la red hasta que se haya finalizado de distribuir el paquete cliente a todos los usuarios. Todos estos usuarios se conectan a un servidor DHCP en la ubicacin de este Integrated Enforcer. Integrated Enforcer an autentica todos los usuarios comprobando que estn ejecutando un cliente, comprobando la integridad del host y registrando los resultados. Este proceso ocurre sin importar si las comprobaciones de integridad del host se aprueban o fallan. En la configuracin predeterminada, no se habilita. Utilice las instrucciones siguientes cuando se aplican las opciones de configuracin:
Esta configuracin debe ser una medida temporal porque hace que la red sea menos segura. Mientras esta configuracin est en efecto, es posible revisar los registros de Enforcer. Es posible saber qu tipos de clientes intentan conectarse a la red en esa ubicacin. Por ejemplo, es posible revisar el registro de actividades del cliente para ver si los clientes no tienen el software de cliente instalado. Puede entonces asegurarse de que el software de cliente est instalado en esos clientes antes de deshabilitar esta opcin.
Para permitir todos los clientes con el registro continuo de clientes no autenticados
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. En Servidores, seleccione y expanda el grupo de Enforcers. El grupo de Enforcer debe incluir el mdulo de aplicacin Integrated Enforcer para el cual desee permitir todos los clientes mientras contina el registro de los clientes no autenticados.
1002
4 5
En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin, en la ficha Autenticacin, seleccione Permitir todos los clientes, pero seguir registrando aquellos que no estn autenticados. En el cuadro de dilogo Configuracin, en la ficha Autenticacin, haga clic en Aceptar.
Integrated Enforcer no puede autenticar un cliente que admita un sistema operativo que no sea Windows. Por lo tanto, los clientes que no utilizan Windows no pueden conectarse a la red, a menos que se permita especficamente que se conecten a la red sin autenticacin. En la configuracin predeterminada, no se habilita. Es posible utilizar uno de los siguientes mtodos para habilitar los clientes que admiten una plataforma que no es de Windows se conecten a la red:

Especifique cada cliente que no utiliza Windows como host de confianza. Permita todos los clientes con sistemas operativos que no sean Windows.
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. Seleccione y expanda el grupo de Enforcers. El grupo de Enforcer debe incluir el mdulo de aplicacin Integrated Enforcer para el cual desee permitir que todos los clientes que no son de Windows se conecten a una red.
4 5 6
En Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Configuracin, en la ficha Autenticacin, seleccione Permitir todos los clientes con sistemas operativos que no sean Windows. Haga clic en Aceptar.
1003
Cmo hacer que Symantec Network Access Control Integrated Enforcer compruebe el nmero de serie de las polticas en un cliente
Symantec Endpoint Protection Manager actualiza el nmero de serie de las polticas del cliente cada vez que se cambia la poltica de seguridad del cliente. Cuando un cliente se conecta a Symantec Endpoint Protection Manager, recibe las polticas de seguridad ms actuales y el nmero de serie de las polticas ms actual. Cuando un cliente intenta conectarse a la red mediante Integrated Enforcer, Integrated Enforcer recupera el nmero de serie de las polticas de Symantec Endpoint Protection Manager. Integrated Enforcer entonces compara el nmero de serie de las polticas con el que recibe del cliente. Si los nmeros de serie de las polticas coinciden, Integrated Enforcer ha validado que el cliente est ejecutando una poltica de seguridad actualizada. El valor predeterminado para esta configuracin es sin habilitar. Las instrucciones siguientes se aplican:
Si la opcin Comprobar el nmero de serie de la poltica en el cliente antes de permitir que acceda a la red se selecciona, un cliente debe tener la ltima poltica de seguridad antes de poder conectarse a la red a travs del servidor DHCP normal. Si el cliente no tiene la ltima poltica de seguridad, se notifica al cliente que descargue la ltima poltica. Integrated Enforcer entonces transmite su solicitud DHCP para recibir una configuracin de red de cuarentena. Si la opcin Comprobar el nmero de serie de la poltica en el cliente antes de permitir que acceda a la red no se habilita y la comprobacin de integridad del host es correcta, un cliente puede conectarse a la red. El cliente puede conectarse a travs del servidor DHCP normal, incluso si su poltica de seguridad no est actualizada.
Hacer que Symantec Network Access Control Integrated Enforcer compruebe el nmero de serie de las polticas en un cliente
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, haga clic en Servidores. Seleccione y expanda el grupo de Enforcers. El grupo de Enforcer debe incluir el mdulo de aplicacin Integrated Enforcer que comprueba el nmero de serie de las polticas en un cliente.
1004
Configuracin de Symantec Network Access Control Integrated Enforcer para el servidor DHCP de Microsoft en Symantec Endpoint Protection Manager Configurar registros para Symantec Network Access Control Integrated Enforcer
En el cuadro de dilogo Configuracin, en la ficha Autenticacin, seleccione Comprobar el nmero de serie de la poltica en el cliente antes de permitir que acceda a la red. Haga clic en Aceptar.
Configurar registros para Symantec Network Access Control Integrated Enforcer

Los registros de Symantec Network Access Control Integrated Enforcer se almacenan en el mismo equipo en el cual se instal Symantec Network Access Control Integrated Enforcer. Los registros de Enforcer se generan de forma predeterminada. Si desea ver registros de Enforcer en la consola de Symantec Endpoint Protection Manager, es necesario habilitar el envo de registros en la consola de Symantec Endpoint Protection Manager. Si se habilita esta opcin, los datos de registro se envan de Integrated Enforcer a Symantec Endpoint Protection Manager y se almacenan en una base de datos. Es posible modificar la configuracin del registro de Integrated Enforcer en la consola de Symantec Endpoint Protection Manager. Las actividades se registran en el mismo registro del servidor de Enforcer para todos los mdulos de Enforcer en un sitio. Es posible configurar los registros siguientes que genera Integrated Enforcer:
Registro del servidor de Enforcer El registro del servidor de Enforcer proporciona informacin que se relaciona con el funcionamiento de Enforcer. Registro de clientes de Enforcer El registro de clientes proporciona informacin sobre las interacciones entre Integrated Enforcer y los clientes que han intentado conectarse a la red. Muestra la informacin sobre autenticacin, errores de autenticacin y desconexin.
Captulo
49
Instalacin de Symantec Integrated Enforcer para Microsoft Network Access Protection

Antes de instalar Symantec Integrated Enforcer para Microsoft Network Access Protection Proceso para instalar Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection Requisitos del sistema para un dispositivo Integrated Enforcer para Microsoft Network Access Protection Componentes de Symantec Integrated Enforcer for Microsoft Network Access Protection Cmo instalar Integrated Enforcer para Microsoft Network Access Protection
Antes de instalar Symantec Integrated Enforcer para Microsoft Network Access Protection
Antes de instalar Symantec Integrated Enforcer para Microsoft Network Access Protection, es necesario haber terminado las siguientes tareas de instalacin y de configuracin:
Instalacin de Symantec Endpoint Protection Manager
1006
Instalacin de Symantec Integrated Enforcer para Microsoft Network Access Protection Proceso para instalar Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection
Nota: Se recomienda instalar Symantec Endpoint Protection Manager antes de instalar Symantec Integrated Enforcer for Network Access Protection. Symantec Endpoint Protection Manager se debe instalar para que Symantec Integrated Enforcer for Microsoft Network Access Protection pueda funcionar correctamente. Ver "Cmo instalar el servidor de administracin y la consola" en la pgina 99.
Verificacin de los requisitos de hardware y software para el equipo en el cual se planea instalar los componentes siguientes:

Servicio del servidor DHCP Servicio del servidor de proteccin de acceso a redes Controlador de dominio Symantec Integrated Enforcer for Microsoft Network Access Protection
Ver "Componentes de Symantec Integrated Enforcer for Microsoft Network Access Protection" en la pgina 1009.
Proceso para instalar Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection
La Tabla 49-1 enumera los pasos para instalar Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection.
Instalacin de Symantec Integrated Enforcer para Microsoft Network Access Protection Requisitos del sistema para un dispositivo Integrated Enforcer para Microsoft Network Access Protection
1007
Tabla 49-1
Resumen de instalacin para Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection Descripcin
Identifica el hardware, el software y los componentes de Symantec Network Access Control que son necesarios para ejecutar el Enforcer y planear su disposicin en su red. Ver "Requisitos del sistema para un dispositivo Integrated Enforcer para Microsoft Network Access Protection" en la pgina 1007. Ver "Componentes de Symantec Integrated Enforcer for Microsoft Network Access Protection" en la pgina 1009.
Paso
Paso 1
Accin
Lea los requisitos del sistema y los requisitos de instalacin.
Paso 2
Instale Symantec Endpoint Protection Instala la aplicacin que se usa para Manager. admitir Enforcer en su red. Ver "Cmo instalar el servidor de administracin y la consola" en la pgina 99.
Paso 3
Instale Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection.
Instale los componentes de Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection. Ver "Cmo instalar Integrated Enforcer para Microsoft Network Access Protection" en la pgina 1010.
Requisitos del sistema para un dispositivo Integrated Enforcer para Microsoft Network Access Protection
La Tabla 49-2 resume los requisitos mnimos para los equipos en los cuales se instala Integrated Enforcer para Microsoft Network Access Protection.
1008
Instalacin de Symantec Integrated Enforcer para Microsoft Network Access Protection Requisitos del sistema para un dispositivo Integrated Enforcer para Microsoft Network Access Protection
Tabla 49-2
Requisitos del sistema de Integrated Enforcer for Microsoft Network Access Protection Requisito Nota: Sus opciones de hardware son afectadas por el tipo de
aplicacin NAP que se planea para nosotros. Los siguientes son instrucciones. Para las instalaciones de hasta 10 000 usuarios, utilice los requisitos recomendados siguientes:

Componente
Hardware
Pentium III de 750 MHz 256 MB de memoria 120 MB de espacio libre en disco Adaptadores de red Fast Ethernet Una tarjeta de interfaz de red (NIC) con TCP/IP instalada
Para las instalaciones de 10 000 usuarios o ms, utilice los requisitos recomendados siguientes:

Pentium 4 de 2,4 GHz 512 MB de memoria 512 MB de espacio libre en disco Adaptadores de red de 1 GB
Monitor con resolucin de 800 x 600 con 256 colores (mnimo) Una tarjeta de interfaz de red (NIC) con TCP/IP instalada
Instalacin de Symantec Integrated Enforcer para Microsoft Network Access Protection Componentes de Symantec Integrated Enforcer for Microsoft Network Access Protection
1009
Componente
Sistema operativo
Requisito
Asegrese de que el sistema operativo y los servicios siguientes estn instalados:

Windows Server 2008 Standard Edition
Versiones x86 y x64 de Windows Server 2008 Enterprise Edition Windows 2008 R2 Es posible seleccionar una de las siguientes opciones: Servicio DHCP de Windows Server 2008, si se planea usar la aplicacin de DHCP. El servicio DHCP de Windows Server 2008 debe encontrarse en el mismo equipo que el servidor de polticas de red Windows Server 2008. Servicio DHCP de Windows, si se planea usar la aplicacin de 802.1x. El servicio DHCP de Windows puede encontrarse en el mismo equipo que el servidor de polticas de red de Windows Server 2008. Es posible tambin configurar el servicio DHCP en un equipo separado que se haya configurado como servidor DHCP de Windows 2008 o servidor DHCP de Windows 2003. Servicio Windows Server 2008 Network Policy Server (NPS)
Componentes de Symantec Integrated Enforcer for Microsoft Network Access Protection

Symantec Integrated Enforcer for Microsoft Network Access Protection funciona con el servidor DHCP de Microsoft, Symantec Endpoint Protection Manager y el cliente de Symantec Network Access Control con Network Access Protection habilitada. Symantec Integrated Enforcer for Microsoft Network Access Protection verifica que los clientes cumplan con las polticas de seguridad configuradas antes de que los clientes puedan conectarse a una red. Los siguientes componentes necesarios deben estar instalados antes de que pueda usarse Symantec Integrated Enforcer para Network Access Protection:
Symantec Endpoint Protection Manager Necesario para crear polticas de seguridad en versin 12.1 una ubicacin centralizada y para asignarlas a los clientes.
1010
Instalacin de Symantec Integrated Enforcer para Microsoft Network Access Protection Cmo instalar Integrated Enforcer para Microsoft Network Access Protection
Servidor de Windows 2008
Instalacin obligatoria de Microsoft Windows Server con el servicio del servidor DHCP y el El servicio de servidor DHCP y el servicio de servidor de polticas de red. Estos dos servicio de servidor de polticas de red servicios deben ser instalados y configurados (NPS) tambin deben estar instalados antes de que pueda instalar Symantec Network en el mismo equipo Access Protection Integrated Enforcer. Controlador de dominio Instalacin necesaria del controlador de dominio en el mismo equipo que Symantec Endpoint Protection Manager o en otro equipo que admita Microsoft Windows Server 2003. Necesario para autenticar clientes y para imponer las polticas de seguridad. Instalacin necesaria del cliente de Symantec Network Access Control.
Symantec Integrated Enforcer for Microsoft Network Access Protection Cliente de Symantec Network Access Control
Cmo instalar Integrated Enforcer para Microsoft Network Access Protection

Es necesario instalar Integrated Enforcer para Microsoft Network Access Protection en el mismo equipo en el cual ya se ha instalado el servidor de polticas de red de Microsoft. Es necesario iniciar sesin como administrador o usuario del grupo de administradores. Nota: Una vez que se completa la instalacin de Symantec Integrated NAP Enforcer, es necesario conectarse a Symantec Endpoint Protection Manager. Para instalar Integrated Enforcer para Microsoft Network Access Protection con el Asistente para la instalacin
Inserte el disco del producto para Symantec Network Access Control en la unidad de DVD para iniciar la instalacin automticamente. Si la instalacin no se inicia de forma automtica, haga doble clic en uno de de los siguientes archivos:

IntegratedEnforcerInstaller86.exe(para sistemas operativos x86). IntegratedEnforcerInstaller64.exe(para sistemas operativos x64).
Salga de la instalacin e instale el servidor NPS si el servidor NPS no est instalado.
1011
Si el servidor NAP ya est instalado, aparece el panel Bienvenido al Asistente para la instalacin de Symantec Integrated NAP Enforcer.
2 3 4 5
En el panel Bienvenido, haga clic en Siguiente. En el panel Contrato de licencia, haga clic en Acepto el contrato de licencia. Haga clic en Siguiente. En el panel Carpeta de destino, realice una de las tareas siguientes:
Si desea aceptar la carpeta de destino predeterminada, haga clic en Siguiente. Los valores predeterminados de la ubicacin de instalacin es uno de los siguientes:
C:\Program Files\Symantec\Symantec Endpoint Protection\Integrated Enforcer para sistemas operativos x86.
C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\Integrated Enforcer para sistemas operativos x64.
Haga clic en Examinar, localice una carpeta de destino y seleccinela, haga clic en Aceptar y, a continuacin, en Siguiente.
Si aparece el panel Seleccin de roles, seleccione Aplicacin de NAP y haga clic en Siguiente. El panel Seleccin de roles aparece solamente si es posible instalar ms de un tipo de Symantec NAC Integrated Enforcer de acuerdo con los servicios que se ejecutan en el servidor.
En el panel Listo para instalar la aplicacin, haga clic en Siguiente. Si es necesario modificar la configuracin anterior, haga clic en Atrs.
Haga clic en Finalizar. Si es necesario reinstalar Symantec Integrated NAP Enforcer, debe primero desinstalarlo.
Haga clic en Inicio > Programas > Symantec Endpoint Protection Manager > Symantec NAC Integrated Enforcer.
Desinstalar Integrated Enforcer para Microsoft Network Access Protection

Es posible desinstalar Integrated Enforcer para Microsoft Network Access Protection desde la barra de tareas de Windows o desde la lnea de comandos.
1012
Para desinstalar Integrated Enforcer para la Proteccin de acceso a redes de Microsoft
1 2 3 4
En la barra de tareas de Windows, haga clic en Inicio > Panel de control > Agregar o quitar programas. Haga clic en Symantec NAC Integrated Enforcer y despus haga clic en Eliminar. Para responder al mensaje sobre si desea quitar el software, haga clic en Yes(S). Para responder al mensaje sobre si desea reiniciar el servidor NPS, realice una de las siguientes acciones:

Para reiniciar el servidor NPS de forma inmediata, haga clic en S. Para reiniciar el servidor NPS manualmente ms tarde (opcin predeterminada), haga clic en No. Si reinicia el servidor NPS ms tarde, es necesario detenerlo y, a continuacin, iniciarlo. Es necesario reiniciar el servidor NPS para desinstalar totalmente Symantec Integrated Enforcer.
Para desinstalar Integrated Enforcer para Microsoft Network Access Protection desde la lnea de comandos
1 2
Abra una ventana de comandos DOS. En la lnea de comandos, escriba uno de los siguientes comandos:
MsiExec.exe /qn/X{A145EB45-0852-4E18-A9DC-9983A6AF2329} para
x86
MsiExec.exe /qn/X{977BF644-A8FF-484f-8AF7-C1AF40F38DEA} para
x64
Reinicie el servidor NPS.
Cmo detener e iniciar el servidor de Network Access Protection manualmente

Detenga el servidor de Network Access Protection (NAP) manualmente antes de actualizar a una versin ms reciente de Integrated Enforcer para Microsoft Network Access Control. A continuacin, reincielo una vez que se completa la actualizacin.
1013
Para detener e iniciar el servidor NAP manualmente
1 2 3 4
En la barra de tareas de Windows, haga clic en Inicio > Panel de control > Herramientas administrativas > Servicios. Haga clic en NAP Server (Servidor NAP). Haga clic con el botn secundario y, despus, haga clic en Stop (Detener). Haga clic en Start (Iniciar).
1014
Captulo
50
Configuracin de Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection en una consola Enforcer
Acerca de la configuracin de Symantec Integrated Enforcer for Microsoft Network Access Protection en una consola Enforcer Conexin de Symantec Integrated Enforcer for Microsoft Network Access Protection a un servidor de administracin en una consola Enforcer Cifrado de la comunicacin entre Symantec Integrated Enforcer for Microsoft Network Access Protection y un servidor de administracin Cmo configurar un nombre de grupo de Enforcer en la consola de Symantec Integrated Enforcer for Microsoft Network Access Protection Cmo configurar un protocolo de comunicacin HTTP en la consola de Symantec Integrated Enforcer for Microsoft Network Access Protection
1016
Configuracin de Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection en una consola Enforcer Acerca de la configuracin de Symantec Integrated Enforcer for Microsoft Network Access Protection en una consola Enforcer
Acerca de la configuracin de Symantec Integrated Enforcer for Microsoft Network Access Protection en una consola Enforcer
Una vez que se completa la instalacin de Symantec Integrated NAP Enforcer, es necesario realizar las siguientes tareas antes de que Symantec Integrated Enforcer for Microsoft Network Access Protection pueda funcionar. Tabla 50-1 Paso
Paso 1
Resumen de la configuracin de la consola Enforcer Descripcin
Accin
Conectar Integrated Enforcer a Symantec Endpoint Especifique a qu Symantec Endpoint Protection Protection Manager. Manager puede conectarse Symantec Integrated Enforcer for Microsoft Network Access Protection. Se incluye el nombre de host o la direccin IP de Symantec Endpoint Protection Manager en un archivo denominado lista de servidores de administracin. Symantec NAC Integrated Enforcer debe conectarse a una direccin IP o a un nombre del host de Symantec Endpoint Protection Manager. De lo contrario, la configuracin falla. Ver "Conexin de Symantec Integrated Enforcer for Microsoft Network Access Protection a un servidor de administracin en una consola Enforcer" en la pgina 1017.
Paso 2
Cifrar la comunicacin entre Integrated Enforcer y Agregue una contrasea cifrada o un secreto el servidor de administracin. compartido previamente que usted configur durante la instalacin de Symantec Endpoint Protection Manager. La contrasea cifrada antes se conoca como clave previamente compartida. Ver "Cifrado de la comunicacin entre Symantec Integrated Enforcer for Microsoft Network Access Protection y un servidor de administracin" en la pgina 1019.
Paso 3
Dar un nombre al grupo de Enforcer.
Configure un nombre de grupo de Enforcer Ver "Cmo configurar un nombre de grupo de Enforcer en la consola de Symantec Integrated Enforcer for Microsoft Network Access Protection" en la pgina 1020.
Configuracin de Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection en una consola Enforcer Conexin de Symantec Integrated Enforcer for Microsoft Network Access Protection a un servidor de administracin en una consola Enforcer
1017
Paso
Paso 4
Accin
Configurar un protocolo de comunicacin HTTP o HTTPS.
Descripcin
Establezca la comunicacin HTTP o HTTPS entre Symantec Integrated Enforcer for Microsoft Network Access Protection y Symantec Endpoint Protection Manager. Ver "Cmo configurar un protocolo de comunicacin HTTP en la consola de Symantec Integrated Enforcer for Microsoft Network Access Protection" en la pgina 1021.
Conexin de Symantec Integrated Enforcer for Microsoft Network Access Protection a un servidor de administracin en una consola Enforcer
Es necesario conectar Symantec Integrated Enforcer for Microsoft Network Access Protection (NAP Enforcer) a un servidor de administracin en una consola de Network Access Protection Enforcer. Para establecer la comunicacin entre la consola de Integrated Enforcer y Symantec Endpoint Protection Manager
En la barra de tareas de Windows del equipo de Integrated Enforcer, haga clic en Inicio > Programas > Symantec Endpoint Protection > Symantec NAC Integrated Enforcer. Aparece la consola de configuracin de Symantec Network Access Control Integrated Enforcer. Esta pgina principal muestra el estado de conexin entre Integrated Enforcer y Symantec Endpoint Protection Manager. Una luz verde indica que Integrated Enforcer est conectado activamente al servidor de administracin. Una luz roja indica que la conexin est desactivada.
2 3
En el panel izquierdo, haga clic en Symantec Integrated Enforcer > Configurar > Servidor de administracin. En el cuadro de dilogo Servidor de administracin, escriba la direccin IP o el nombre de Symantec Endpoint Protection Manager en el campo de texto Direccin del servidor. Es posible escribir una direccin IP, un nombre de host o un nombre de dominio. Si desea usar un nombre de host o un nombre de dominio, asegrese de que el nombre se resuelva correctamente con el Servidor de nombres de dominio (servidor DNS).
1018
Configuracin de Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection en una consola Enforcer Conexin de Symantec Integrated Enforcer for Microsoft Network Access Protection a un servidor de administracin en una consola Enforcer
En el cuadro de dilogo Servidor de administracin, edite el nmero de puerto que Integrated Enforcer utiliza para comunicarse con Symantec Endpoint Protection Manager. El nmero de puerto predeterminado es 8014 para el protocolo HTTP y 443 para el protocolo HTTPS. Es posible usar solamente el protocolo HTTPS si se configura de la misma manera en Symantec Endpoint Protection Manager.
En el cuadro de texto Contrasea de cifrado, escriba la contrasea de Symantec Endpoint Protection Manager para su conexin. Symantec Endpoint Protection Manager e Integrated Enforcer deben usar la misma contrasea cifrada para la comunicacin. Para visualizar las letras y los nmeros de la clave previamente compartida en vez de asteriscos, seleccione Usar valor hash. Si se activa la funcin Usar valor hash, la contrasea de cifrado debe tener 32 caracteres y debe usar nmeros hexadecimales solamente.
En el cuadro de texto Grupo preferido, escriba un nombre para el grupo de Integrated Enforcer. Si no especifica un nombre de grupo, Symantec Endpoint Protection Manager asigna Symantec Network Access Control Integrated Enforcer a un grupo de Enforcer predeterminado con la configuracin predeterminada. El nombre de grupo predeterminado es I-DHCP. Sin embargo, Symantec Network Access Control Integrated Enforcer para servidores NAP de Microsoft y los mdulos de aplicacin Enforcer basados en dispositivos deben estar en grupos separados. Es posible ver la configuracin del grupo de la consola de Symantec Endpoint Protection Manager en la pgina Servidores.
Configuracin de Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection en una consola Enforcer Cifrado de la comunicacin entre Symantec Integrated Enforcer for Microsoft Network Access Protection y un servidor de administracin
1019
Para especificar el protocolo que Symantec Network Access Control Integrated Enforcer usa para comunicarse con Symantec Endpoint Protection Manager, seleccione HTTP o HTTPS. Es posible usar solamente el protocolo HTTPS si Symantec Endpoint Protection Manager est ejecutando Secure Sockets Layer (SSL). Si selecciona HTTPS y necesita la verificacin del certificado de servidor de administracin con una autoridad de certificacin de otro fabricante de confianza, seleccione Verificar certificado al utilizar protocolo HTTPS.
Haga clic en Guardar. Una vez que Integrated Enforcer se conecta a Symantec Endpoint Protection Manager, puede cambiar la mayora de los valores de configuracin en la consola de Symantec Endpoint Protection Manager. Sin embargo, el secreto compartido previamente o la contrasea cifrada deben ser iguales en Integrated Enforcer y Symantec Endpoint Protection Manager para poder comunicarse.
Para quitar Symantec Endpoint Protection Manager de una lista de servidores de administracin en una consola de Symantec Integrated NAP Enforcer
En la barra de tareas de Windows del equipo de Enforcer, haga clic en Inicio > Programas > Symantec Endpoint Protection > Symantec Integrated NAP Enforcer. En el panel izquierdo, ample Symantec NAP Enforcer. Ample Configurar. Haga clic en Servidores de administracin. Para quitar Symantec Endpoint Protection Manager, haga clic en Eliminar o Eliminar todo de la columna del icono.
2 3 4 5
Cifrado de la comunicacin entre Symantec Integrated Enforcer for Microsoft Network Access Protection y un servidor de administracin
Si desea agregar otra capa de seguridad, se puede proteger la comunicacin entre Symantec NAC Integrated Enforcer y Symantec Endpoint Protection Manager mediante el cifrado. La comunicacin cifrada necesita usar el protocolo HTTPS en vez del protocolo HTTP. Adems, necesita comprar un certificado de otro fabricante de un distribuidor. Se configura tpicamente una contrasea cifrada durante la instalacin de Symantec Endpoint Protection Manager por primera vez. La misma contrasea
1020
Configuracin de Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection en una consola Enforcer Cmo configurar un nombre de grupo de Enforcer en la consola de Symantec Integrated Enforcer for Microsoft Network Access Protection
se debe configurar en Symantec Integrated NAP Enforcer. Si las contraseas cifradas no coinciden, la comunicacin entre Symantec Integrated NAP Enforcer y Symantec Endpoint Protection Manager falla. Para cifrar la comunicacin entre Symantec NAC Integrated Enforcer y un servidor de administracin
En la barra de tareas de Windows del equipo de Enforcer, haga clic en Inicio > Programas > Symantec Endpoint Protection > Symantec Integrated NAP Enforcer. En el panel izquierdo, ample Symantec NAP Enforcer. Ample Configurar. Haga clic en Servidores de administracin. Escriba la contrasea cifrada en el cuadro de texto de la contrasea cifrada en la consola de Symantec Integrated NAP Enforcer. Symantec Integrated NAP Enforcer debe usar la misma contrasea cifrada para la comunicacin con Symantec Endpoint Protection Manager. La contrasea cifrada se configura siempre durante la instalacin de Symantec Endpoint Protection Manager.
2 3 4 5
Seleccione Usar valor hash. Si se selecciona Usar valor hash, la contrasea de cifrado debe tener 32 caracteres y debe usar nmeros hexadecimales solamente. Ahora aparecen las letras y los nmeros de la contrasea cifrada en vez de asteriscos.
Cmo configurar un nombre de grupo de Enforcer en la consola de Symantec Integrated Enforcer for Microsoft Network Access Protection
Es necesario agregar un nombre para el grupo de Enforcer. Una vez que Symantec NAC Integrated Enforcer se conecta a Symantec Endpoint Protection Manager, registra el nombre del grupo de Enforcer automticamente en el servidor de administracin.
Configuracin de Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection en una consola Enforcer Cmo configurar un protocolo de comunicacin HTTP en la consola de Symantec Integrated Enforcer for Microsoft Network Access Protection
1021
Para configurar un nombre de grupo de Enforcer en la consola de Symantec NAC Integrated Enforcer
En la barra de tareas de Windows del equipo de Enforcer, haga clic en Inicio > Programas > Symantec Endpoint Protection > Symantec Integrated NAP Enforcer. En el panel izquierdo, ample Symantec NAP Enforcer. Ample Configurar. Haga clic en Servidores de administracin. En el panel derecho, escriba el nombre del grupo de Enforcer en el cuadro de texto de grupos preferidos en la consola de Symantec Integrated NAP Enforcer. Si no se agrega un nombre para el grupo de Integrated Enforcer en la consola de Enforcer, todos los mdulos de Integrated Enforcer pasan automticamente a formar parte del grupo temporal en el servidor de administracin. Si se agrega el nombre del grupo de Integrated Enforcer en la consola de Enforcer, el nombre del grupo de Enforcer se registra automticamente en el servidor de administracin.
2 3 4 5
Cmo configurar un protocolo de comunicacin HTTP en la consola de Symantec Integrated Enforcer for Microsoft Network Access Protection
Es necesario establecer un protocolo de comunicacin entre Symantec Integrated Enforcer for Microsoft Network Access Protection y Symantec Endpoint Protection Manager. Si no, la comunicacin entre Symantec Integrated Enforcer for Microsoft Network Access Protection y Symantec Endpoint Protection Manager falla. Es posible configurar un protocolo HTTP o HTTPS. Si selecciona el protocolo HTTPS, es necesario comprar un certificado de otro fabricante. Para configurar un protocolo de comunicacin HTTP en Symantec Integrated Enforcer for Microsoft Network Access Protection
En la barra de tareas de Windows del equipo de Enforcer, haga clic en Inicio > Programas > Symantec Endpoint Protection > Symantec NAC Integrated Enforcer. En el panel izquierdo, ample Symantec NAP Enforcer. Ample Configurar. Haga clic en Servidores de administracin.
2 3 4
1022
Configuracin de Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection en una consola Enforcer Cmo configurar un protocolo de comunicacin HTTP en la consola de Symantec Integrated Enforcer for Microsoft Network Access Protection
En el panel derecho de la consola de Symantec Integrated NAP Enforcer, haga clic en HTTP. Si desea configurar la comunicacin cifrada entre Symantec Integrated NAP Enforcer y Symantec Endpoint Protection Manager, es necesario usar el protocolo HTTPS.
6 7
Si es necesario verificar el certificado porque se utiliza el protocolo HTTPS, seleccione Verificar certificado al utilizar protocolo HTTPS. Haga clic en Aceptar.
Captulo
51
Configuracin de Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection en Symantec Endpoint Protection Manager
Acerca de configurar Symantec Integrated Enforcer for Microsoft Network Access Protection en Symantec Endpoint Protection Manager Habilitar la aplicacin de NAP para clientes Verificar que el servidor de administracin administre el cliente Verificar las polticas de validador de mantenimiento de seguridad Cmo verificar que los clientes pasen la comprobacin de integridad del host Cmo configurar los registros para Symantec Integrated Enforcer para Network Access Protection
1024
Configuracin de Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection en Symantec Endpoint Protection Manager Acerca de configurar Symantec Integrated Enforcer for Microsoft Network Access Protection en Symantec Endpoint Protection Manager
Acerca de configurar Symantec Integrated Enforcer for Microsoft Network Access Protection en Symantec Endpoint Protection Manager
Si desea admitir Symantec Integrated Enforcer for Microsoft Network Access Protection en un entorno de red, es necesario habilitar la aplicacin de NAP en Symantec Endpoint Protection Manager. Si no, Enforcer funciona incorrectamente. Adems, necesita definir uno o ms criterios para los requisitos de polticas del validador de seguridad general. Por ejemplo, es posible verificar si la poltica del validador de mantenimiento de seguridad del cliente es la ltima que se instal en el cliente. Si no es la ltima poltica del validador de seguridad general, el cliente se bloquea y no puede, por lo tanto, conectarse a la red. Tabla 51-1 Resumen de la configuracin de Symantec Endpoint Protection Manager Descripcin
Habilite la aplicacin de Network Access Protection para los clientes de modo que Integrated Enforcer pueda ejecutar las polticas del validador de seguridad general. Ver "Habilitar la aplicacin de NAP para clientes" en la pgina 1025. Paso 2 Opcionalmente, verifique que Symantec Endpoint Protection Manager est administrando el cliente de Symantec Network Access Control o el cliente de Symantec Endpoint Protection. Configure una comprobacin de la verificacin para asegurarse de que el servidor de administracin administra el cliente de Symantec Network Access Control o el cliente de Symantec Endpoint Protection. Ver "Verificar que el servidor de administracin administre el cliente" en la pgina 1026.
Paso
Paso 1
Accin
Habilite la aplicacin de Network Access Protection para los clientes.
Configuracin de Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection en Symantec Endpoint Protection Manager Habilitar la aplicacin de NAP para clientes
1025
Paso
Paso 3
Accin
Descripcin
Opcionalmente, verifique que las Verifique que el cliente de Symantec polticas ms recientes del validador de Network Access Control y el cliente de seguridad general estn instaladas. Symantec Endpoint Protection tengan las polticas ms actuales del validador de seguridad general instaladas. Ver "Verificar las polticas de validador de mantenimiento de seguridad" en la pgina 1026.
Paso 4
Opcionalmente, verifique que los clientes aprueben la comprobacin de integridad del host.
Verifique que los clientes cumplan con la poltica de integridad del host. Ver "Cmo verificar que los clientes pasen la comprobacin de integridad del host" en la pgina 1027.
Paso 5
Opcionalmente, configure los registros Habilite el envo de datos de registro a para verlos en Symantec Endpoint Symantec Endpoint Protection Protection Manager. Manager. Ver "Cmo configurar los registros para Symantec Integrated Enforcer para Network Access Protection" en la pgina 1028.
Habilitar la aplicacin de NAP para clientes

Es necesario habilitar la aplicacin de NAP (proteccin de acceso a la red) para clientes de Symantec Endpoint Protection y Symantec Network Access Control. Si no habilita la aplicacin de NAP para clientes, Symantec Integrated Enforcer for Microsoft Network Access Protection no puede aplicar ninguna poltica del Validador de mantenimiento de seguridad. Para habilitar la aplicacin de NAP para clientes
1 2 3 4
En la consola de Symantec Endpoint Protection Manager, haga clic en Clientes. En la pgina Clientes, en Ver grupos, seleccione el grupo para el que desea habilitar la aplicacin de NAP. En la ficha Polticas, haga clic en Configuracin general. En el cuadro de dilogo Configuracin, haga clic en Configuracin de seguridad.
1026
Configuracin de Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection en Symantec Endpoint Protection Manager Verificar que el servidor de administracin administre el cliente
En la ficha Configuracin de seguridad, en el rea Cliente de Enforcer, seleccione Habilitar aplicacin de NAP. La opcin Habilitar aplicacin de NAP est deshabilitada de forma predeterminada.
Verificar que el servidor de administracin administre el cliente

Es posible configurar un anlisis de verificacin para asegurarse de que Symantec Endpoint Protection Manager administre el cliente de Symantec Endpoint Protection o el cliente Symantec Network Access Control. Para verificar que el servidor de administracin administre el cliente
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. En Ver, seleccione el grupo de Enforcer en el que desee verificar que el servidor de administracin administre el cliente. Haga clic con el botn secundario en el grupo de Enforcer y seleccione Editar propiedades. En el rea Informacin del cliente, en la ficha Configuracin de NAP, en el cuadro de dilogo Configuracin de I-DHCP, seleccione Verificar que el servidor de administracin administre el cliente. La opcin Verificar que el servidor de administracin administre el cliente est deshabilitada de forma predeterminada.
Verificar las polticas de validador de mantenimiento de seguridad

Puede asegurarse de que los clientes de Symantec Endpoint Protection y de Symantec Network Access Control tengan las ltimas polticas de seguridad del validador de seguridad general instaladas.
Configuracin de Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection en Symantec Endpoint Protection Manager Cmo verificar que los clientes pasen la comprobacin de integridad del host
1027
Para verificar las polticas de validador de mantenimiento de seguridad
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. En Ver , seleccione el grupo para el que desea configurar las polticas del validador de seguridad general. Haga clic con el botn secundario en el grupo de Enforcer y seleccione Editar propiedades. En el rea Informacin del cliente, en la ficha de la configuracin de NAP en el cuadro de dilogo Configuracin de I-DHCP, seleccione Verificar que la poltica del validador de seguridad general est actualizada. La opcin Verificar que la poltica del validador de seguridad general sea actual est, de forma predeterminada, deshabilitada.
Cmo verificar que los clientes pasen la comprobacin de integridad del host
Es posible configurar una comprobacin de compatibilidad para los clientes en Symantec Endpoint Protection Manager. Para verificar que los clientes pasen la comprobacin de integridad del host
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Haga clic en Servidores. En Ver, seleccione el grupo Enforcer para el que desea verificar que el cliente haya aprobado la comprobacin de integridad del host. Haga clic con el botn secundario en el grupo de Enforcer y seleccione Editar propiedades. En el rea Estado de integridad del host, en la ficha Configuracin de NAP, en el cuadro de dilogo Configuracin de I-DHCP, seleccione Verificar que el equipo cliente pase la comprobacin de integridad del host. La opcin Verificar que el equipo cliente pase la comprobacin de integridad del host est, de forma predeterminada, deshabilitada.
1028
Configuracin de Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection en Symantec Endpoint Protection Manager Cmo configurar los registros para Symantec Integrated Enforcer para Network Access Protection
Cmo configurar los registros para Symantec Integrated Enforcer para Network Access Protection
Los registros de Symantec Integrated Network Access Protection (NAP) Enforcer se almacenan en el mismo equipo en el cual se instal Symantec Integrated NAP Enforcer. Los registros de Enforcer se generan de forma predeterminada. Si desea ver registros de Enforcer en la consola de Symantec Endpoint Protection Manager, es necesario habilitar el envo de registros en la consola de Symantec Endpoint Protection Manager. Si se habilita esta opcin, los datos de registro se envan de Symantec Integrated NAP Enforcer a Symantec Endpoint Protection Manager y se almacenan en una base de datos. Es posible modificar la configuracin del registro de Symantec Integrated NAP Enforcer en la consola de Symantec Endpoint Protection Manager. Las actividades se registran en el mismo registro del servidor de Enforcer para todos los mdulos de Enforcer en un sitio. Es posible configurar los registros siguientes que genera Symantec Integrated NAP Enforcer:
Registro del servidor de Enforcer El registro del servidor de Enforcer proporciona informacin que se relaciona con el funcionamiento de Enforcer. Registro de clientes de Enforcer El registro de clientes proporciona informacin sobre las interacciones entre Integrated Enforcer y los clientes que han intentado conectarse a la red. Muestra la informacin sobre autenticacin, errores de autenticacin y desconexin.
Captulo
52
Configuracin de conexiones temporales para los clientes disponibles bajo demanda de Symantec Network Access Control

Acerca de los clientes de Symantec Network Access Control On-Demand Antes de configurar clientes bajo demanda de Symantec Network Access Control en una consola de Gateway Enforcer Configuracin del desafo de acceso de invitados con Symantec Network Access Control DHCP Integrated Enforcer Habilitar clientes bajo demanda de Symantec Network Access Control para conectarse temporalmente a una red Cmo deshabilitar los clientes de Symantec Network Access Control On-Demand Configurar la autenticacin en la consola de Gateway Enforcer para los clientes disponibles bajo demanda de Symantec Network Access Control Editar el titular de la pgina Welcome (Bienvenido)
1030
Configuracin de conexiones temporales para los clientes disponibles bajo demanda de Symantec Network Access Control Acerca de los clientes de Symantec Network Access Control On-Demand
Acerca de los clientes de Symantec Network Access Control On-Demand

Los usuarios finales necesitan a menudo conectarse temporalmente a una red empresarial aunque sus equipos no tengan el software aprobado. Si una red de empresa incluye un dispositivo Gateway Enforcer, Enforcer puede instalar clientes On-Demand en los equipos de modo que sean compatibles. Una vez que Enforcer ha instalado un cliente On-Demand, se conecta temporalmente a una red de empresa como invitado. El administrador puede configurar un dispositivo Gateway Enforcer para descargar automticamente clientes de Symantec Network Access Control On-Demand en plataformas Windows y Mac. Apenas el cliente de Symantec Network Access Control On-Demand se descarga en un equipo cliente, el cliente puede intentar conectarse a la red de la compaa. Ver "Acciones que pueden llevarse a cabo con clientes On-Demand" en la pgina 754. Ver "Cmo funciona On-Demand Client" en la pgina 749.
Antes de configurar clientes bajo demanda de Symantec Network Access Control en una consola de Gateway Enforcer
Antes de que pueda configurar la descarga automtica de clientes bajo demanda de Symantec Network Access Control para Windows y Macintosh, es necesario haber realizado las siguientes tareas:
Instalar el software de Symantec Network Access Control que se encuentra en el disco del producto. Este software incluye el software de Symantec Endpoint Protection Manager que es necesario instalar. Anotar el nombre de la contrasea cifrada que usted implement durante la instalacin del software de Network Access Control. Instalar y configurar el dispositivo Gateway Enforcer. Cuando se instala y configura un dispositivo Enforcer por primera vez, se asigna un nombre al grupo de Enforcer durante el proceso de instalacin. Es necesario planear la asignacin de direcciones IP y nombres de host, adems de la configuracin de las tarjetas de interfaz de red (NIC). Si las NIC se configuran incorrectamente, la instalacin falla o se comporta de manera inesperada.
Configuracin de conexiones temporales para los clientes disponibles bajo demanda de Symantec Network Access Control Antes de configurar clientes bajo demanda de Symantec Network Access Control en una consola de Gateway Enforcer
1031
El nombre del grupo de Enforcer aparece automticamente en la consola de Symantec Endpoint Protection Manager en el panel Servidor que se asocia a cada dispositivo Enforcer. Es posible adems configurar el acceso de invitado con DHCP Integrated Enforcer. Ver "Configuracin del desafo de acceso de invitados con Symantec Network Access Control DHCP Integrated Enforcer" en la pgina 1033.
Comprobar el estado de conexin entre el dispositivo Enforcer y el servidor de administracin en la consola del dispositivo Enforcer. Ver "Comprobar el estado de comunicacin de un dispositivo Enforcer en la consola de Enforcer" en la pgina 819. Ver "Show" en la pgina 1143. Habilitar la redireccin HTTP o la falsificacin de DNS en la consola de Symantec Endpoint Protection Manager. La redireccin HTTP o falsificacin de DNS es la direccin IP de la NIC interna (eth0) que se encuentra en el dispositivo Gateway Enforcer. Ver "Redireccin de solicitudes HTTP a una pgina web" en la pgina 860. Para la redireccin HTTP, usted agrega la URL en la pgina Administrador en Symantec Endpoint Protection Manager. Una vez que se muestra la pgina Administrador, es necesario visualizar el panel Servidores y seleccionar el grupo de Enforcer en Ver servidores. Si selecciona el grupo de Enforcer del que el dispositivo Gateway Enforcer es miembro, haga clic en Editar propiedades de grupo en Tareas. En el cuadro de dilogo Configuracin de Enforcer, seleccione la ficha Autenticacin y escriba la URL en el campo URL de redireccin de HTTP. Es necesario crear el grupo de clientes como subgrupo del grupo Mi empresa con derechos de acceso completo. Se agrega el grupo de clientes en la pgina Clientes como subgrupo del grupo Mi empresa en Symantec Endpoint Protection Manager. Asegrese de escribir el nombre del grupo de clientes Enforcer que administra clientes bajo demanda de Symantec Network Access Control. Si no crea un grupo separado, el grupo predeterminado de Symantec Endpoint Protection Manager asume el control de la administracin de los clientes bajo demanda de Symantec Network Access Control. Crear una ubicacin aparte opcional para un grupo de clientes Enforcer en la consola de Symantec Endpoint Protection Manager. Si no crea una ubicacin separada para el grupo que administra los clientes On-Demand o invitados de Symantec Network Access Control, la ubicacin predeterminada se asigna automticamente a los clientes invitados. Las prcticas recomendadas son crear una ubicacin aparte para el grupo de clientes Enforcer en Symantec Endpoint Protection Manager. Otras prcticas
1032
Configuracin de conexiones temporales para los clientes disponibles bajo demanda de Symantec Network Access Control Antes de configurar clientes bajo demanda de Symantec Network Access Control en una consola de Gateway Enforcer
recomendadas son usar diversos grupos para clientes Windows y Mac. Sus funcionalidades se diferencian. Por ejemplo, los clientes On-Demand de Windows pueden ser configurados para tener mensajes emergentes. Los clientes Mac no pueden. Los criterios de ubicacin le ayudan a definir los criterios que pueden identificar clientes On-Demand o invitados de Symantec Network Access Control por su direccin IP, direccin MAC, nombre de host u otros criterios. Las prcticas recomendadas son crear una ubicacin separada a la cual se asignen automticamente los clientes invitados o clientes de Symantec Network Access Control On-Demand si desean conectarse a una red de forma temporal sin las credenciales correctas. Es posible agregar y asignar una ubicacin al grupo de clientes Enforcer en la pgina Clientes, en Tareas, en Symantec Endpoint Protection Manager.
Agregar y asignar una poltica de integridad del host opcional al grupo de clientes Enforcer y una ubicacin en la consola de Symantec Endpoint Protection Manager. Es opcional agregar y asignar una poltica de integridad del host al grupo de clientes Enforcer y una ubicacin en la consola de Symantec Endpoint Protection Manager, pero es la prctica recomendada para especificar los criterios siguientes:

Con qu frecuencia se ejecuta una comprobacin de integridad del host Tipo de poltica de integridad del host que se desea implementar
Puede agregar y asignar una poltica de integridad del host opcional a un grupo de clientes y a una ubicacin de Enforcer en la pgina Polticas, en Tareas, en Symantec Endpoint Protection Manager.
Se habilit un mensaje emergente opcional para los clientes Windows. Se configura esto en la consola de Symantec Endpoint Protection Manager. Obtenga el nmero de Id. del dominio que se encuentra en la consola de Symantec Endpoint Protection Manager. Debe tener el ID de dominio a mano porque es posible que an deba configurar el ID de dominio en Gateway o DCHP Enforcer con el comando on-demand spm-domain. Ver "Habilitar clientes bajo demanda de Symantec Network Access Control para conectarse temporalmente a una red" en la pgina 1037.
Configuracin de conexiones temporales para los clientes disponibles bajo demanda de Symantec Network Access Control Configuracin del desafo de acceso de invitados con Symantec Network Access Control DHCP Integrated Enforcer
1033
Configuracin del desafo de acceso de invitados con Symantec Network Access Control DHCP Integrated Enforcer
El acceso de invitados y DHCP Integrated Enforcer necesitan un Gateway Enforcer y un servidor DNS, dado que DHCP Integrated Enforcer no admite la falsificacin de DNS. El primer paso para habilitar esta solucin es configurar un servidor DNS independiente y Gateway Enforcer en la red de cuarentena. El endpoint invitado recibe una direccin IP restringida y en cuarentena con este servidor DNS. Este servidor DNS de cuarentena resuelve todas las solicitudes de DNS en Gateway Enforcer. El endpoint invitado que recibe la resolucin de DNS enva todas las solicitudes de HTTP a Gateway Enforcer. Gateway Enforcer redirecciona la solicitud al servidor web cuando lo necesite para descargar el cliente On-Demand. Una vez que se completa la descarga al endpoint, se ejecuta la comprobacin de la integridad del host y el resultado (de la poltica configurable) determina el acceso del endpoint. Si se aprueba la comprobacin de integridad del host, al endpoint se le concede una direccin IP normal con el servidor DNS normal. Si integridad del host falla, el endpoint conserva una direccin IP en cuarentena con el servidor DNS en cuarentena.
1034
Figura 52-1
Diagrama de red de DHCP Integrated Enforcer configurado para evitar la falsificacin de DNS
Direccin IP de red normal 19216810022 Mscara de subred 2552552550 DNS/WINS 1921681001
Invitado
Direccin IP de red de cuarentena 19216810022 Mscara de subred 255255255255 DNS/WINS 1921681003
DHCP/DNS/WINS normal Win2k3 SEPM Win2k3 DHCP Integrated Enforcer instalado 1921681002 1921681001
DNSWINS Win2k3 en cuarentena 1021681003
Gateway Enforcer Eth0 1921681004
Para configurar DHCP Integrated Enforcer
1 2
Configure DHCP Integrated Enforcer para conectarse a Symantec Endpoint Protection Manager. Configure DHCP Integrated Enforcer para usar una mscara de subred para las direcciones IP en cuarentena. Ver "Configurar una mscara de subred segura" en la pgina 986.
Configure DHCP Integrated Enforcer para agregar las rutas estticas a las direcciones IP de cuarentena en el servidor DHCP. Las rutas estticas incluyen el servidor DHCP (192.168.100.1), el servidor DNS (192.168.100.3), el servidor SEPM (192.168.100.2) y la direccin IP interna de Gateway Enforcer (192.168.100.4) Verifique que las rutas estticas se hayan agregado al servidor DHCP. Esto se configura en la consola de Enforcer: haga clic en Opciones de mbito y asegrese de que Opcin de ruta esttica 033 " se haya seleccionado en cada ruta. Agregue un servidor DNS. Haga clic con el botn derecho en Opciones de mbito y, a continuacin, haga clic en Configurar opciones.
1035
6 7 8 9
En la ficha Avanzadas, seleccione Opciones estndar de DHCP como Clase de distribuidor y Clase de usuarios predeterminada como Clase de usuarios. En el cuadro de desplazamiento Opciones disponibles, haga clic para seleccionar Servidores DNS 006. En el cuadro para completar Direccin IP, agregue la direccin IP del servidor DNS normal (192.168.100.1). Haga clic en Aplicar.
10 Agregue un servidor WINS mediante los procedimientos usuales. 11 Configure los valores de mbito de direccin IP de cuarentena. 12 Haga clic con el botn derecho en Opciones de mbito y, a continuacin, haga
clic en Configurar opciones.
13 En la ficha Avanzadas, seleccione Opciones estndar de DHCP como Clase

de distribuidor y SNAC_QUARANTINE como Clase de usuarios.
14 En el cuadro de desplazamiento Opciones disponibles, haga clic para

seleccionar Servidores DNS 006.
15 En el cuadro para completar Direccin IP, agregue la direccin IP del servidor

DNS de cuarentena (192.168.100.3).
16 Haga clic en Aplicar. 17 Agregar una cuarentena servidor WINS, con la direccin de cuarentena de
192.168.100.3.
18 Haga clic en Aplicar.

A continuacin, configure Gateway Enforcer. Para configurar Gateway Enforcer como dispositivo invitado
1 2 3
Conecte eth0 a la red y configure la direccin IP en 192.168.100.4. Desconecte eth1. Configure los parmetros de configuracin de Symantec Endpoint Protection Manager con la interfaz de lnea de comandos en Gateway Enforcer:
configure spm ip 192.168.100.2 key sygate group Gateway
1036
4 5
Asegrese de que Enforcer est conectado a Symantec Endpoint Protection Manager emitiendo el comando show status. Habilite la opcin manual con la interfaz de lnea de comandos:
On-demand Spm-domain name <domain name> Client-group <client group full path> Enable Show
A continuacin, defina una configuracin de DNS de Windows de cuarentena para la redireccin HTTP. Para configurar una redireccin HTTP de DNS de Windows de cuarentena
1 2 3 4 5 6 7 8
Abra la consola de administracin de DNS en el servidor DNS de cuarentena (192.168.100.3). Haga clic con el botn derecho en Zonas de bsqueda progresiva y seleccione Nueva zona. Aparece el Asistente de nueva zona. En el Asistente de nueva zona, haga clic en Siguiente. Seleccione Zona principal y haga clic en Siguiente. Escriba un perodo (.) como Nombre de la zona y haga clic en Siguiente. Seleccione Crear un nuevo archivo con este nombre del archivo, escriba root.dns y haga clic en Siguiente. Seleccione No permitir las actualizaciones dinmicas y haga clic en Siguiente. Haga clic en Finalizar.
Cree un nuevo host en la zona .(raz) que acaba de crear. Para crear un nuevo host en la zona .(raz)
1 2 3
Haga clic con el botn derecho en la zona .(raz) y seleccione Nuevo host. Escriba un asterisco (*) como Nombre y la direccin IP de Gateway Enforcer (192.168.100.4) como la direccin IP para el nuevo host. Haga clic en Agregar host.
Cambie la direccin IP de bsqueda del servidor DNS mismo.
Configuracin de conexiones temporales para los clientes disponibles bajo demanda de Symantec Network Access Control Habilitar clientes bajo demanda de Symantec Network Access Control para conectarse temporalmente a una red
1037
Para cambiar la direccin IP del servidor DNS
1 2
El doble haga clic en el nombre del servidor DNS en el panel derecho. Cambie la direccin IP a la direccin IP de Enforcer (192.168.100.4) y haga clic en Aceptar.
Opcional: Es posible que desee configurar el servidor WINS para resolverlo de la misma manera que el servidor DNS. Los nombres del equipo se resuelven por medio del servidor WINS. Si el endpoint no se registra en un dominio, resuelve el nombre del equipo por medio de un servidor WINS. Es posible elegir configurar un servidor WINS independiente en cuarentena para resolver todos los nombres de equipos en la red interna en Gateway Enforcer eth0(192.168.100.4). Debe probar la configuracin. Para probar la configuracin
En la lnea de comandos en el equipo cliente, escriba

ipconfig /release ipconfig /renew
El cliente debe obtener una direccin IP de cuarentena con 255.255.255.255 como mscara de subred y 192.168.100.3 como servidor DNS
2 3
Borre memoria cach de DNS. Escriba ipconfig /flushdns Abra un navegador web y escriba www.yahoo.com. Debe reorientarse al sitio web disponible bajo demanda de Gateway Enforcer.
4 5
Descargue el cliente On-demand y compruebe las comprobaciones de integridad del host. Al cliente se le emite una direccin IP normal y el comando 192.168.100.1 como servidor DNS.
Habilitar clientes bajo demanda de Symantec Network Access Control para conectarse temporalmente a una red
Si desea habilitar la descarga automtica de un cliente bajo demanda de Symantec Network Access Control en un equipo cliente en plataformas Windows y Macintosh, es necesario haber completado un nmero de tareas de configuracin. Ver "Antes de configurar clientes bajo demanda de Symantec Network Access Control en una consola de Gateway Enforcer" en la pgina 1030.
1038
Es necesario configurar los comandos siguientes antes de que pueda permitir a los clientes bajo demanda de Symantec Network Access Control conectarse a una red:

Ejecute el comando spm-domain. Ejecute el comando client-roup. Ejecute el comando enable. Ejecute el comando authentication enable. Este comando es opcional.
Para permitir a clientes de Symantec Network Access Control On-Demand conectarse temporalmente a una red
Inicie sesin en la consola del dispositivo Gateway Enforcer como superusuario. Ver "Iniciar sesin en un dispositivo Enforcer" en la pgina 806.
En la consola de un dispositivo Gateway Enforcer, escriba el comando siguiente: Enforcer #on-demand
Escriba el comando siguiente: Enforcer (on-demand)# spm-domain donde: spm-domain representa una cadena que se visualiza en Enforcer automticamente. Ver "Antes de configurar clientes bajo demanda de Symantec Network Access Control en una consola de Gateway Enforcer" en la pgina 1030.
1039
Escriba el comando siguiente: Enforcer (on-demand)# client-group "Mi empresa/nombre del grupo de
clientes de Enforcer
donde: nombre del grupo de clientes de Enforcer representa el nombre del grupo de clientes de Enforcer que se configur en la pgina Clientes, en Ver clientes, en la consola de Symantec Endpoint Protection Manager. Es necesario ya haber configurado este grupo de clientes de Enforcer como subgrupo para el grupo Mi empresa con derechos de acceso completo. Si no ha configurado el grupo de clientes de Enforcer en la consola de Symantec Endpoint Protection Manager, Enforcer se registra en el grupo predeterminado. La informacin sobre el grupo de clientes de Enforcer se enva automticamente durante el latido siguiente. Ahora debe configurar la autenticacin para los clientes bajo demanda de Symantec Network Access Control. Ver "Configurar la autenticacin en la consola de Gateway Enforcer para los clientes disponibles bajo demanda de Symantec Network Access Control" en la pgina 1040.
Escriba el comando siguiente: Enforcer (on-demand)#enable
Es posible tambin configurar durante cunto tiempo el cliente On-Demand estar en vivo, usando el comando persistence. Para convertir a los clientes de Symantec Network Access Control On-Demand en persistentes
En la consola de un dispositivo Gateway Enforcer, escriba el comando siguiente: Enforcer #on-demand
Escriba el comando siguiente Enforcer (on-demand)# persistence duration days 10 donde:

duration days 10 indica que es necesario que el cliente persista durante 10
das.
1040
Configuracin de conexiones temporales para los clientes disponibles bajo demanda de Symantec Network Access Control Cmo deshabilitar los clientes de Symantec Network Access Control On-Demand
Cmo deshabilitar los clientes de Symantec Network Access Control On-Demand

Si desea dejar de permitir el acceso invitado, puede deshabilitarlo. Para deshabilitar clientes On-Demand de Symantec Network Access Control para equipos cliente
2 3 4 5
En la consola de un dispositivo Gateway Enforcer, escriba on-demand. Escriba disable. Escriba exit. Escriba exit para cerrar sesin.
Configurar la autenticacin en la consola de Gateway Enforcer para los clientes disponibles bajo demanda de Symantec Network Access Control
Es posible autenticar usuarios finales con los clientes bajo demanda mediante uno de los siguientes mtodos de autenticacin.
La base de datos local del dispositivo Gateway Enforcer. Ver "Cmo configurar la autenticacin de usuario con una base de datos local" en la pgina 1041. Un Microsoft Windows Server 2003 Active Directory configurado para administrar la autenticacin de los usuarios finales con el dispositivo Gateway Enforcer. Ver "Cmo configurar la autenticacin de usuario con un Microsoft Windows 2003 Server Active Directory" en la pgina 1041. Un servidor Radius configurado para administrar la autenticacin de los usuarios finales con el dispositivo Gateway Enforcer. Ver "Cmo configurar la autenticacin de usuario con un servidor RADIUS" en la pgina 1042.
Una vez que se habilita la autenticacin, agregue nombres de usuario y una contrasea para cada usuario final autenticado.
Configuracin de conexiones temporales para los clientes disponibles bajo demanda de Symantec Network Access Control Configurar la autenticacin en la consola de Gateway Enforcer para los clientes disponibles bajo demanda de Symantec Network Access Control
1041
Cmo configurar la autenticacin de usuario con una base de datos local

Es posible configurar hasta 1000 usuarios en la base de datos integrada local del dispositivo Gateway Enforcer. Ver "Comandos On-Demand authentication local-db" en la pgina 1050. Para configurar la autenticacin con una base de datos local
En la consola del dispositivo Gateway Enforcer, escriba el comando siguiente:

Enforcer# on-demand
En la consola del dispositivo Gateway Enforcer, escriba el comando siguiente:

Enforcer (on-demand)#authentication

Enforcer (authentication)# local-db add user name nombre de usuario password contrasea

Enforcer (authentication)# local-db enable

Enforcer (authentication)# enable
Cmo configurar la autenticacin de usuario con un Microsoft Windows 2003 Server Active Directory
El dispositivo Gateway Enforcer establece una conexin con el servidor de Microsoft Windows 2003 con el nombre de dominio en vez de la direccin IP. Por lo tanto, es necesario haber configurado un servidor de nombres de dominio (DNS) en la red que pueda resolver el nombre de dominio. Ver "Comandos on-demand authentication ad" en la pgina 1047.
1042
Para configurar la autenticacin con un servidor de Active Directory
En la consola del dispositivo Gateway Enforcer, escriba el comando siguiente: Enforcer #on-demand
Escriba el comando siguiente: Enforcer (on-demand)# authentication
Escriba el comando siguiente: Enforcer (autenticacin) # ad domain domain name alias name
Escriba el comando siguiente: Enforcer (authentication)# ad enable
Escriba el comando siguiente: Enforcer (authentication)# enable
Cmo configurar la autenticacin de usuario con un servidor RADIUS

Es posible instalar y configurar uno o ms servidores RADIUS para la autenticacin. Por ejemplo, puede desear tener varios servidores RADIUS para el balanceo de carga. Ver "Comandos on-demand authentication del servidor RADIUS" en la pgina 1049. Nota: Tenga en cuenta que los certificados deben ser importados a Enforcer para los clientes PEAP y TLS. Para configurar el cliente On-Demand para la autenticacin con un servidor RADIUS

Enforcer# on-demand

Enforcer (on-demand)#authentication
1043
Enforcer (authentication)# radius add name alias name server RADIUS sever address secret shared secretauth_method auth method
Donde:
alias_name representa el nombre mostrado para el mtodo de autenticacin de RADIUS detallado en Auth Server(Servidor de autenticacin), en el cuadro de dilogo de inicio de sesin. RADIUS server address representa el servidor RADIUS y el puerto. El puerto es un nmero opcional entre 1 y 65535. Si no especifica un nmero de puerto, Enforcer usa una opcin predeterminada del puerto 1812. shared secret es el secreto compartido en el servidor RADIUS. auth method es PAP, CHAP, MS-CHAP-V1 o MS-CHAP-V2.

Enforcer (authentication)# radius enable
Enforcer (authentication#enable
Adems de los comandos RADIUS add name y enable RADIUS, se pueden ejecutar otros comandos de RADIUS para administrar el servidor RADIUS. Ver "Cmo configurar la autenticacin de usuario con un servidor RADIUS" en la pgina 1042.
Configuracin del cliente On-Demand en Windows para la autenticacin con el protocolo dot1x-tls
El dispositivo Gateway Enforcer puede conectarse a los puertos habilitados para dot1.x con el protocolo TLS. Para configurar el cliente On-Demand en Windows para la autenticacin con el protocolo dot1x-tls
1 2 3 4
En la consola de Enforcer, escriba: Enforcer#on-demand Escriba el comando siguiente: Enforcer(on-demand)# dot1x Escriba el comando siguiente: Enforcer(dot1x)# protocol tls Escriba el comando siguiente: Enforcer (tls)# show protocol El protocolo se debe configurar para TLS. Por ejemplo, Protocolo activo:
TLS
5 6
Escriba el comando siguiente: Enforcer (tls)# validate-svr enable Escriba el comando siguiente: Enforcer (cert-svr)# exit
1044
Escriba el comando siguiente: Enforcer (tls)# show tls Asegrese de que el certificado de servidor de TLS est habilitado. Por ejemplo:
TLS Validate Server Certificate: TLS Certificate Server: TLS Certificate Server: ENABLED ENABLED 127.0.0.1
Escriba el comando siguiente: Enforcer (dot1x)# certificate import

tftp 10.34.68.69 password symantec username janedoe user-cert qa.pfx root-cert qa.ce
Donde:
10.34.68.69 es el servidor TFTP desde donde el dispositivo Enforcer puede
importar el certificado por TFTP.

symantec es la contrasea del certificado de usuario janedoe es el nombre de usuario con el cual se inicia sesin en el cliente. qa.pfx es el nombre del certificado de usuario. qa.cer es el nombre del certificado raz
Configuracin del cliente On-Demand en Windows para la autenticacin con el protocolo dot1x-peap
El dispositivo Gateway Enforcer puede establecer una conexin con el protocolo PEAP. Para configurar el cliente On-Demand en Windows para autenticacin con el protocolo PEAP
1 2 3 4
En la consola de Enforcer, escriba: Enforcer#on-demand Escriba el comando siguiente: Enforcer(on-demand)# dot1x Escriba el comando siguiente: Enforcer(dot1x)# protocol peap Escriba el comando siguiente: Enforcer (peap)# show protocol Asegrese de que el certificado de servidor de PEAP est habilitado; por ejemplo:
PEAP PEAP PEAP PEAP Validate Server Certificate: Certificate Server: Certificate Server: Fast Reconnected: ENABLED DISABLED 127.0.0.1 DISABLED
1045
Si se requiere la validacin del servidor, escriba:

Enforcer (peap) cert-svr host snac
donde snac es el equipo servidor de CA para el nombre del certificado de PEAP. A continuacin, escriba:
Enforcer (peap) exit Enforcer (dot1x certificate import tftp 10.34.68.69 root-cert qa.cer
Si no se requiere la validacin del servidor, escriba:

Enforcer (peap) validate_svr disable
Comandos on-demand authentication

Configure la autenticacin de usuario para los clientes de Symantec Network Access Control On-Demand desde la consola del dispositivo Gateway Enforcer. Si desea autenticar clientes de Symantec Network Access Control On-Demand en plataformas Windows y Macintosh, puede utilizar una de las siguientes opciones:
La base de datos local que es residente en un dispositivo Gateway Enforcer. Es posible elegir usar la base de datos local incorporada para agregar nombres de usuario y contraseas para los usuarios individuales. Servidor de Active Directory configurado para funcionar con el dispositivo Gateway Enforcer. Es necesario poder conectarse a Microsoft Windows Server 2003 Active Directory configurado para funcionar con un dispositivo Gateway. Servidor RADIUS Es necesario poder conectarse a uno o ms servidores RADIUS.
La Tabla 52-1 proporciona informacin sobre el comando on-demand authentication. Tabla 52-1 Comando
ad
Argumentos de on-demand authentication Descripcin

Habilita la autenticacin mediante el uso de un servidor de Active Directory en vez de la base de datos local incorporada en el dispositivo Gateway Enforcer. Ver "Comandos on-demand authentication ad" en la pgina 1047.
1046
Comando
disable
Descripcin
Deshabilita la autenticacin de los clientes de Symantec Network Access Control On-Demand de los dispositivos Gateway Enforcer. Los usuarios finales pueden activar la descarga automtica de los clientes de Symantec Network Access Control On-Demand en un equipo cliente sin realizar la autenticacin. Ver "Comando on-demand authentication disable" en la pgina 1049.
default
Configura los mtodos de autenticacin (Active Directory, base de datos local incorporada o servidor RADIUS) que los usuarios invitados pueden seleccionar cuando inician sesin. Ver "Comando on-demand authentication default" en la pgina 1046.
enable
Habilita la autenticacin de los clientes de Symantec Network Access Control On-Demand de los dispositivos Gateway Enforcer. Una vez que est habilitado, un usuario final debe aprobar la autenticacin (entrada de nombre de usuario y contrasea correctos) antes de descargar clientes de Symantec Network Access Control On-Demand. Ver "Comando On-demand authentication enable" en la pgina 1048.
local-db
Habilita la autenticacin con el uso de la base de datos local incorporada en el dispositivo Gateway Enforcer. Ver "Comandos On-Demand authentication local-db" en la pgina 1050.
radius
Habilita la autenticacin por medio de un servidor RADIUS. Ver "Comandos on-demand authentication del servidor RADIUS" en la pgina 1049.
show
Enumera la informacin de estado sobre las diferentes opciones y argumentos del comando de autenticacin. Carga archivos relacionados con la autenticacin en un servidor.
upload
Comando on-demand authentication default

El comando on-demand authentication default proporciona a usuarios uno o ms mtodos de autenticacin para iniciar sesin como invitados. Configure Active Directory, la base de datos local o uno o ms mtodos del servidor RADIUS usando el comando on-demand default. Cuando se ha configurado ms de un mtodo, los usuarios seleccionan un mtodo de la lista desplegable Auth Server(Servidor de autenticacin) en la pantalla Welcome(Bienvenido) de la descarga del cliente On-Demand. El comando on-demand authentication default usa la sintaxis siguiente:
1047
on-demand authentication default ad | radius | local-db index
Donde: ad, radius y local-db representan el mtodo de autenticacin, e index representa el ndice del servidor RADIUS. El ejemplo siguiente describe cmo especificar los mtodos de Active Directory y del servidor RADIUS:
Enforcer# on-demand Enforcer (on-demand)# authentication Enforcer (authentication)# default ad | radius radiusAuthServerIndex
Comandos on-demand authentication ad

Si una red de empresa admite Microsoft Windows Server 2003 Active Directory, es posible autenticar usuarios con un servidor de Active Directory. Si no, deber configurar la base de datos incorporada o un servidor RADIUS para autenticar los usuarios.
Comando on-demand authentication ad disable

El comando on-demand authentication ad disable usa la sintaxis siguiente para deshabilitar la autenticacin de clientes con Microsoft Windows Server 2003 Active Directory: Se debe iniciar sesin en la consola de un dispositivo Gateway Enforcer como superusuario para poder ejecutar este comando. Ver "Iniciar sesin en un dispositivo Enforcer" en la pgina 806. El ejemplo siguiente describe cmo deshabilitar la autenticacin para el cliente On-Demand con Microsoft Windows Server 2003 Active Directory:
on-demand authentication ad disable
Comando on-demand authentication ad domain

El comando on-demand authentication ad domain usa la sintaxis siguiente para especificar el ID de dominio o la direccin del ID de dominio de Microsoft Windows Server 2003 Active Directory:
on-demand authentication ad domain Nombre del dominio de dominio de Active Directory | name nombre de alias
Donde:
1048
Nombre del dominio de dominio de Active Directory
Representa el nombre de dominio de Microsoft Windows Server 2003 Active Directory. Representa el nombre que se muestra para el mtodo de autenticacin de Active Directory detallado en AuthServer (Servidor de autenticacin) en el cuadro de dilogo Log on (Inicio de sesin).
nombre de alias
El ejemplo siguiente describe cmo especificar el ID de dominio de Microsoft Windows Server 2003 Active Directory:
Enforcer# on-demand Enforcer (on-demand)# authentication Enforcer (authentication)# ad domain symantec.com name symantec
Donde: symantec.com representa el nombre de alias mostrado para Auth Server (Servidor de autenticacin) en el cuadro de dilogo de inicio de sesin.
Comando on-demand authentication ad enable

El comando on-demand authentication ad enable utiliza la sintaxis siguiente para habilitar la autenticacin de usuarios finales con Microsoft Windows Server 2003 Active Directory:
on-demand authentication ad enable
El ejemplo siguiente describe cmo habilitar la autenticacin para el cliente On-Demand con Microsoft Windows Server 2003 Active Directory:
Enforcer# on-demand Enforcer (on-demand)# authentication Enforcer (authentication)# ad enable
Comando On-demand authentication enable

Es posible iniciar el proceso de autenticacin (auth-daemon) en la consola de un dispositivo Gateway para un cliente de Symantec Network Access Control On-Demand. El comando on-demand authentication enable usa la sintaxis siguiente:
on-demand authentication enable
1049
Se debe iniciar sesin en la consola del dispositivo Gateway Enforcer como superusuario para ejecutar este comando. Ver "Iniciar sesin en un dispositivo Enforcer" en la pgina 806. El ejemplo siguiente describe cmo habilitar la autenticacin para un cliente de Symantec Network Access Control On-Demand en la consola de un dispositivo Gateway Enforcer:
Enforcer# on-demand Enforcer (on-demand)# authentication enable
Comando on-demand authentication disable

Es posible detener el proceso de autenticacin (auth-daemon) en la consola de un dispositivo Gateway para un cliente de Symantec Network Access Control On-Demand. El comando on-demand authentication disable usa la sintaxis siguiente:
on-demand authentication disable
Se debe iniciar sesin en la consola del dispositivo Gateway Enforcer como superusuario para ejecutar este comando. Ver "Iniciar sesin en un dispositivo Enforcer" en la pgina 806. El ejemplo siguiente describe cmo deshabilitar la autenticacin para un cliente de Symantec Network Access Control On-Demand en la consola de un dispositivo Gateway Enforcer:
Enforcer# on-demand Enforcer (on-demand)# authentication disable
Comandos on-demand authentication del servidor RADIUS

Para autenticar usuarios invitados con los servidores RADIUS, es necesario agregar una configuracin del servidor RADIUS a un dispositivo Gateway Enforcer. Una vez que se agregan los servidores RADIUS, se pueden personalizar atributos del RADIUS o eliminarlos. Ver "Cmo configurar la autenticacin de usuario con un servidor RADIUS" en la pgina 1042. Se debe iniciar sesin en la consola de un dispositivo Gateway Enforcer como superusuario para poder ejecutar este comando. Ver "Iniciar sesin en un dispositivo Enforcer" en la pgina 806.
1050
Comando on-demand authentication radius server add

La sintaxis del comando on-demand radius authentication agrega una configuracin del servidor RADIUS a un dispositivo Gateway Enforcer. Este comando usa la sintaxis siguiente:
on-demand authentication radius add name alias_name server RADIUS server address secret shared secret auth method
Donde:
alias_name El nombre que se muestra para el mtodo de autenticacin del RADIUS detallado en Auth Server(Servidor de autenticacin), en el cuadro de dilogo de inicio de sesin. La direccin y el puerto del servidor RADIUS en el formato de IP: puerto o host: puerto. Es posible aceptar el puerto predeterminado de 1812 o especificar un nmero de puerto entre 1 y 65535. El nombre de alias del servidor RADIUS. shared secret auth_method El secreto compartido en el servidor RADIUS. Uno de los siguientes mtodos de autenticacin: PAP (protocolo de autenticacin de contrasea) CHAP (protocolo de autenticacin por desafo mutuo) MS-CHAP-1 (Microsoft CHAP, versin 1)

RADIUS server address
MS-CHAP-V2 (Microsoft CHAP, versin 2)
Los ejemplos siguientes describen cmo agregar un servidor RADIUS:

Enforcer# on-demand Enforcer (on-demand)# authentication Enforcer (authentication)# radius add name guests server IP:1812 shared secret8d#>9fq4bV)H7%a3-zE13sW CHAP
Comandos On-Demand authentication local-db

Su empresa puede elegir autenticar usuarios con la base de datos incorporada que se puede configurar en un dispositivo Gateway Enforcer.
1051
Comando On-Demand authentication local-db add

Si elige autenticar usuarios con la base de datos incorporada, deber agregar cuentas de usuario para cada cliente en un dispositivo Gateway Enforcer. Ver "Cmo configurar la autenticacin de usuario con una base de datos local" en la pgina 1041. Se debe iniciar sesin en la consola de un dispositivo Gateway Enforcer como superusuario para poder ejecutar este comando. Ver "Iniciar sesin en un dispositivo Enforcer" en la pgina 806. La autenticacin de la base de datos local cuando lo necesite agrega al uso de comandos la sintaxis siguiente para agregar una cuenta de usuario a la base de datos incorporada que se configura en un dispositivo Gateway Enforcer.
on-demand authentication local-db add user username
Donde: nombre_de_usuario representa una cuenta de usuario que se puede agregar a la base de datos incorporada. A continuacin, se describe cmo agregar local-db:
Enforcer# on-demand Enforcer (on-demand)# authentication Enforcer (authentication)# local-db add user jim
Comando On-Demand authentication local-db enable

La autenticacin de la base de datos local cuando lo necesite permite que el comando use la sintaxis siguiente para habilitar la base de datos incorporada que se puede configurar en un dispositivo Gateway Enforcer:
on-demand authentication local-db enable
El ejemplo siguiente describe cmo habilitar local-db:

Enforcer# on-demand Enforcer (on-demand)# authentication Enforcer (authentication)# local-db enable
Comando On-Demand authentication local-db disable

La autenticacin de la base de datos local cuando lo necesite no permite que el comando use la sintaxis siguiente para deshabilitar la base de datos incorporada que se configura en un dispositivo Gateway Enforcer:
on-demand authentication local-db disable
1052
El ejemplo siguiente describe cmo deshabilitar local-db:

Enforcer# on-demand Enforcer (on-demand)# authentication Enforcer (authentication)# local-db disable
Comandos On-Demand authentication local-db username

Los comandos on-demand local-db authentication username permiten agregar, eliminar y editar nombres de usuario:
local-db local-db local-db local-db add username string password string delete username string edit username string password string enable |disable | clear
Donde:
add clear delete disable edit enable Crea una nueva cuenta de usuario en la base de datos integrada Limpia todas las cuentas de usuario de la base de datos local Quita un usuario existente de la base de datos local Deshabilita la autenticacin de la base de datos local Modifica una cuenta de usuario existente Habilita la autenticacin de la base de datos local
El ejemplo siguiente describe cmo configurar la autenticacin de la base de datos local para un cliente de Symantec Network Access Control On-Demand en la consola de un dispositivo Gateway Enforcer:
Enforcer# on-demand Enforcer(on-demand)#authentication Enforcer(authentication)# local-db disable Local database authentication is disabled. Enforcer(authentication)# local-db enable Local database authentication is enabled. Enforcer(authentication)# local add username test password test Enforcer(authentication)# local-db delete username test Your action will delete the user account "test" permanently. Please confirm. [Y/N]y
Configuracin de conexiones temporales para los clientes disponibles bajo demanda de Symantec Network Access Control Editar el titular de la pgina Welcome (Bienvenido)
1053
Enforcer(authentication)# local-db edit username test password b Enforcer(authentication)# local-db clear Notice that your action will remove ALL user account permanently! Please confirm. [Y/N]y
Editar el titular de la pgina Welcome (Bienvenido)

Es posible editar el texto predeterminado del titular de la pgina Welcome(Bienvenido) del cliente de Symantec Network Access Control On-Demand. Para editar el titular de la pgina Welcome (Bienvenido)
Escriba el comando siguiente en la consola de un dispositivo Gateway Enforcer: Enforcer #on-demand

Enforcer(on-demand)# banner
Presione Enter (Intro).
En la ventana emergente, escriba el mensaje que es necesario que los usuarios vean en la pgina Welcome(Bienvenido) del cliente de Symantec Network Access Control On-Demand. Puede utilizar hasta 1024 caracteres.
1054
Configuracin de conexiones temporales para los clientes disponibles bajo demanda de Symantec Network Access Control Editar el titular de la pgina Welcome (Bienvenido)
Seccin
Solucin de problemas en Symantec Endpoint Protection y Symantec Network Access Control
Captulo 53. Ejecucin de recuperacin despus de un desastre Captulo 54. Resolucin de problemas de instalacin y de comunicacin Captulo 55. Solucin de problemas de elaboracin de informes Captulo 56. Solucin de problemas en el dispositivo Enforcer
1056
Captulo
53


Ejecucin de recuperacin despus de un desastre Cmo restaurar la base de datos Reinstalar o reconfigurar Symantec Endpoint Protection Manager

Tabla 53-1 detalla los pasos para recuperar el entorno Symantec Endpoint Protection en caso de que se produzcan errores en el hardware o daos en la base de datos. Nota: Este tema asume que se ha preparado para la recuperacin despus de un desastre y ha creado copias de seguridad y archivos de recuperacin. Tabla 53-1 Paso
Paso 1
Proceso para realizar la recuperacin despus de un desastre Accin

Reinstale Symantec Endpoint Protection Manager con un archivo de recuperacin despus de un desastre. La reinstalacin del servidor de administracin permite recuperar los archivos que se guardaron despus de la instalacin inicial. Ver "Reinstalar o reconfigurar Symantec Endpoint Protection Manager" en la pgina 1059.
1058
Ejecucin de recuperacin despus de un desastre Cmo restaurar la base de datos
Paso
Paso 2
Accin
Restaure la base de datos. Ver "Cmo restaurar la base de datos" en la pgina 1058.
Ver "Preparacin para la recuperacin despus de un desastre" en la pgina 727. Consulte el artculo de la base de conocimientos: Realizar una recuperacin despus de un desastre cuando el proceso de restauracin o copia de seguridad de la base de datos genera un error al usar el "Asistente de restauracin/copia de seguridad de base de datos" para una base de datos integrada.
Cmo restaurar la base de datos

Si la base de datos se daa o es necesario realizar la recuperacin despus de un desastre, se puede restaurar la base de datos. Para restaurar la base de datos, primero, es necesario hacer copia de seguridad de ella. Ver "Hacer copia de seguridad de la base de datos y los registros" en la pgina 729. Es necesario restaurar la base de datos usando la misma versin de Symantec Endpoint Protection Manager que se us para hacer copia de seguridad de la base de datos. Es posible restaurar la base de datos en el mismo equipo en el cual fue instalada originalmente o en otro equipo. La restauracin de la base de datos puede tardar varios minutos para completarse. Para restaurar la base de datos
Detenga el servicio del servidor de administracin. Ver "Cmo detener e iniciar el servicio del servidor de administracin" en la pgina 163.
En el men Inicio, haga clic en Todos los programas > Symantec Endpoint Protection Manager > Symantec Endpoint Protection Manager Tools > Database Back Up and Restore. En el cuadro de dilogo Database Back Up and Restore, haga clic en Restaurar. Haga clic en S para confirmar la restauracin de la base de datos.
3 4
Ejecucin de recuperacin despus de un desastre Reinstalar o reconfigurar Symantec Endpoint Protection Manager
1059
En el cuadro de dilogo Restaurar sitio, seleccione el archivo de la base de datos de copia de seguridad y despus haga clic en Aceptar. Localice la copia del archivo de la base de datos de copias de seguridad que usted hizo cuando hizo copia de seguridad de la base de datos. De forma predeterminada, el archivo de copia de seguridad de la base de datos se denomina fecha_marca de hora.zip.
6 7 8
Haga clic en Aceptar. Haga clic en Salir. Reinicie el servicio del servidor de administracin.
Reinstalar o reconfigurar Symantec Endpoint Protection Manager

Si es necesario reinstalar o reconfigurar el servidor de administracin, se puede importar toda la configuracin usando un archivo de recuperacin despus de un desastre. Es posible reinstalar el software en el mismo equipo, en el mismo directorio de instalacin. Puede tambin usar este procedimiento para instalar un sitio adicional para la replicacin. Symantec Endpoint Protection Manager crea un archivo de recuperacin durante la instalacin. El archivo de recuperacin est seleccionado de forma predeterminada durante el proceso de reinstalacin. Ver "Preparacin para la recuperacin despus de un desastre" en la pgina 727. Para reinstalar el servidor de administracin
1 2
Desinstale el servidor de administracin existente. Instale el servidor desde el disco del producto. Ver "Cmo instalar el servidor de administracin y la consola" en la pgina 99.
En el panel Bienvenido, asegrese de que la opcin Usar un archivo de recuperacin est seleccionada y despus haga clic en Siguiente. De forma predeterminada, el archivo de recuperacin se encuentra en:
Unidad:\Program Files\Symantec\Symantec Endpoint Protection Manager\Server Private Key Backup.
Siga las instrucciones en cada panel. La configuracin predeterminada funciona para la mayora de los casos. Si el servidor reinstalado se conecta a una base de datos existente, se cambia la configuracin de la base de datos a la de la base de datos existente.
1060
Ejecucin de recuperacin despus de un desastre Reinstalar o reconfigurar Symantec Endpoint Protection Manager
Es posible tambin restaurar la base de datos si es necesario. Sin embargo, si la base de datos de Symantec Endpoint Protection Manager est albergada en otro equipo o no se ve afectada de otra manera, no es necesario restaurar su base de datos. Ver "Cmo restaurar la base de datos" en la pgina 1058. Para reconfigurar el servidor de administracin
Para reconfigurar el servidor de administracin, haga clic en Inicio > Todos los programas > Symantec Endpoint Protection Manager > Herramientas deSymantecEndpointProtectionManager>Asistenteparalaconfiguracin del servidor de administracin. Para instalar un servidor de administracin para la replicacin, haga clic en Instalar un sitio adicional. Siga las instrucciones en cada panel.
2 3
Captulo
54
Resolucin de problemas de instalacin y de comunicacin

Descargar la herramienta de soporte de Symantec Endpoint Protection para solucionar problemas del equipo Identificacin del punto de falla de una instalacin Cmo solucionar problemas de comunicacin entre el servidor de administracin y el cliente Solucionar problemas de comunicacin entre el servidor de administracin y la consola o la base de datos
Descargar la herramienta de soporte de Symantec Endpoint Protection para solucionar problemas del equipo
Es posible descargar una utilidad para diagnosticar problemas comunes que se encuentran con la instalacin y el uso de Symantec Endpoint Protection Manager o el cliente de Symantec Endpoint Protection. Para descargar la herramienta de Symantec Endpoint Protection
Realice una de las siguientes tareas:
Consulte el artculo de la base de conocimientos, Herramienta de soporte de Symantec Endpoint Protection.
1062
Resolucin de problemas de instalacin y de comunicacin Identificacin del punto de falla de una instalacin
En la consola, haga clic en Ayuda > Descargar herramienta de soporte. En el cliente, haga clic en Ayuda y soporte > Descargar herramienta de soporte
Siga las instrucciones en pantalla.
Identificacin del punto de falla de una instalacin

Windows Installer y el Asistente de implementacin mediante transferencia crean archivos de registro que se pueden utilizar para verificar si una instalacin se realiz correctamente. En los archivos de registro se enumeran los componentes que se instalaron correctamente y se brindan detalles relacionados con el paquete de instalacin. Puede utilizar el archivo de registro como ayuda para identificar el componente o la accin que hace que falle una instalacin. Si no es posible determinar el motivo del error, es necesario conservar el archivo de registro. Proporcione el archivo al soporte tcnico de Symantec, si se le solicita. Nota: Cada vez que se ejecuta el paquete de instalacin, se sobrescribe el archivo de registro. Para identificar el punto de falla de una instalacin
1 2
En un programa de edicin de texto, abra el archivo de registro que gener la instalacin. Para encontrar errores, busque la entrada siguiente:
Value 3
Lo ms probable es que la accin que haya tenido lugar antes de la lnea que contenga esta entrada sea la que haya causado la falla. Las lneas que aparecen despus de esta entrada corresponden a los componentes cuya instalacin se ha revertido debido a que ha fallado el proceso.
Cmo solucionar problemas de comunicacin entre el servidor de administracin y el cliente

Si tiene problemas con la comunicacin entre el cliente y el servidor, primero asegrese de que no haya ningn problema de red. Se debe adems comprobar la conectividad de red antes de contactar con el soporte tcnico de Symantec. Es posible probar la comunicacin entre el cliente y el servidor de administracin de varias maneras.
Resolucin de problemas de instalacin y de comunicacin Cmo solucionar problemas de comunicacin entre el servidor de administracin y el cliente
1063
Tabla 54-1
Comprobar la conexin entre el cliente y el servidor de administracin Solucin

Es posible descargar y ver el archivo de la solucin de problemas en el cliente para verificar la configuracin de comunicacin. Ver "Cmo determinar si el cliente est conectado y protegido" en la pgina 1064. Ver "Visualizacin del estado de conexin del cliente en el cliente" en la pgina 1064. Ver "Investigacin de problemas de proteccin usando el archivo de la solucin de problemas en el cliente" en la pgina 1066.
Qu comprobar
Buscar el cliente para ver si se conecta al servidor de administracin
Probar la conectividad entre Es posible realizar varias tareas de comprobar la el cliente y el servidor de conectividad entre el cliente y el servidor de administracin. administracin Ver "Habilitacin y consulta del registro de acceso para comprobar si el cliente se conecta al servidor de administracin" en la pgina 1066. Establezca una comunicacin ping con el servidor de administracin desde el equipo cliente. Ver "Usar el comando ping para probar la conectividad con el servidor de administracin" en la pgina 1068. Utilice un navegador Web en el equipo cliente para conectarse al servidor de administracin. Ver "Usar un navegador para probar la conectividad al servidor de administracin en el equipo cliente" en la pgina 1068. Comprobar la existencia de cualquier problema de red Es necesario verificar que no haya problemas de red; para ello compruebe los puntos siguientes: Pruebe la conectividad entre el cliente y el servidor de administracin primero. Si el equipo cliente no puede establecer una comunicacin ping o telnet con el servidor de administracin, es necesario verificar el servicio DNS para el cliente. Compruebe la ruta de enrutamiento del cliente.
Compruebe que el servidor de administracin no tenga problemas de red. Compruebe que el firewall de Symantec Endpoint Protection (o cualquier firewall de otro fabricante) no cause ningn problema de red.
1064
Qu comprobar
Comprobar los registros de depuracin en el cliente
Solucin
Es posible utilizar el registro de depuracin en el cliente para determinar si el cliente tiene problemas de comunicacin. Ver "Comprobar los registros de depuracin en el equipo cliente" en la pgina 1069. Ver "Comprobar los registros de la bandeja de entrada en el servidor de administracin" en la pgina 1070.
Recuperar la comunicacin perdida con el cliente
Si los clientes han perdido la comunicacin con un servidor de administracin, se puede usar una herramienta para recuperar el archivo de comunicacin. Ver "Cmo recuperar la configuracin de comunicacin de los clientes usando la herramienta SylinkDrop" en la pgina 1070.
Si Symantec Endpoint Protection Manager muestra errores de registro o cdigos de error HTTP, consulte el artculo de la base de conocimientos siguiente: Symantec Endpoint Protection Manager resolucin de problemas de comunicacin.
Visualizacin del estado de conexin del cliente en el cliente

Es posible comprobar varios valores de datos de conexin importantes en el cliente. Las fechas, las horas, la direccin del servidor y los nmeros de puerto estn disponibles para solucionar problemas de conexin. Ver "Cmo solucionar problemas de comunicacin entre el servidor de administracin y el cliente" en la pgina 1062. Para comprobar valores de datos de estado de conexin en el cliente
1 2
En el cliente, en el panel de programa, haga clic en Ayuda > Solucin de problemas. En la columna izquierda, seleccione Estado de conexin. Consulte los valores de datos de estado de conexin.
Cmo determinar si el cliente est conectado y protegido

El cliente utiliza un icono de rea de notificacin para indicar si el cliente est conectado o sin conexin y si el equipo cliente est protegido adecuadamente. Es posible hacer clic con el botn derecho en este icono para visualizar comandos utilizados frecuentemente. El icono se encuentra en la esquina inferior derecha del escritorio del equipo cliente.
1065
Nota: En los clientes administrados, el icono del rea de notificacin no aparece si se configura para que no est disponible. Tabla 54-2 Icono Iconos de estado de clientes de Symantec Endpoint Protection Descripcin
El cliente se ejecuta sin problemas. Est desconectado o no administrado. Los clientes no administrados no estn conectados a un servidor de administracin. El icono es un escudo amarillo plano. El cliente se ejecuta sin problemas. Est conectado y se comunica con el servidor. Todos los componentes de la poltica de seguridad protegen el equipo. El icono es un escudo amarillo con un punto verde. El cliente tiene un problema menor. Por ejemplo, las definiciones de virus pueden estar desactualizadas. El icono es un escudo amarillo y un punto amarillo claro que contiene una marca de exclamacin negra. El cliente no se ejecuta, tiene un problema grave o tiene por lo menos una tecnologa de proteccin deshabilitada. Por ejemplo, la Proteccin contra amenazas de red puede estar deshabilitada. El icono es un escudo amarillo con un punto blanco delineado en rojo y una lnea roja a travs del punto.
La Tabla 54-3 muestra los iconos de estado de clientes de Symantec Network Access Control que aparecen en el rea de notificacin. Tabla 54-3 Icono Iconos de estado de clientes de Symantec Network Access Control Descripcin
El cliente se ejecuta sin problemas, aprob la comprobacin de integridad del host y actualiz la poltica de seguridad. Est desconectado o no administrado. Los clientes no administrados no estn conectados a un servidor de administracin. El icono es una llave dorada plana. El cliente se ejecuta sin problemas, aprob la comprobacin de integridad del host y actualiz la poltica de seguridad. Se comunica con el servidor. El icono es una llave dorada con un punto verde. El cliente no super la comprobacin de integridad del host o no actualiz la poltica de seguridad. El icono es una llave dorada con un punto rojo que contiene una "X" blanca
1066
Investigacin de problemas de proteccin usando el archivo de la solucin de problemas en el cliente

Para investigar problemas de clientes, se puede examinar el archivo Troubleshooting.txt. El archivo Troubleshooting.txt contiene informacin sobre polticas, definiciones de virus y otros datos del cliente. Ver "Cmo solucionar problemas de comunicacin entre el servidor de administracin y el cliente" en la pgina 1062. Para exportar el archivo de la solucin de problemas del cliente
1 2 3 4
En el equipo cliente, abra el cliente. En el cliente, haga clic en Ayuda y despus haga clic en Solucin de problemas. En el cliente, en Datos para la solucin de problemas, haga clic en Exportar. En el cuadro de dilogo Guardar como, acepte el nombre de archivo predeterminado o escriba un nuevo nombre de archivo y despus haga clic en Guardar. Es posible guardar el archivo en el escritorio o en una carpeta de su opcin.
Con un programa de edicin de texto, abra Troubleshooting.txt para examinar el contenido. Contctese con el soporte tcnico de Symantec para obtener ayuda. El soporte tcnico de Symantec puede solicitarle que enva por correo electrnico el archivo Troubleshooting.txt.
Habilitacin y consulta del registro de acceso para comprobar si el cliente se conecta al servidor de administracin
Es posible consultar el registro acceso al servidor de HTTP de Apache en el servidor de administracin para comprobar si el cliente se conecta al servidor de administracin. Si el cliente se conecta, es probable que el problema de conexin del cliente no sea un problema de red. Los problemas de red incluyen el acceso de bloqueo del firewall o redes que no se conectan entre s. Primero debe habilitar el registro de acceso del servidor de HTTP de Apache antes de consultar el registro. Nota: Deshabilite el registro una vez que lo consulta, ya que el registro usa espacio en el disco duro y recursos de CPU innecesarios.
1067
Ver "Cmo solucionar problemas de comunicacin entre el servidor de administracin y el cliente" en la pgina 1062. Para habilitar el registro de acceso del servidor de HTTP de Apache
En un editor de texto, abra el archivo drive:\Program

Files\Symantec\Symantec Endpoint Protection Manager\apache\conf\httpd.conf.
En el archivo httpd.conf, quite la marca de hash (#) de la cadena de texto siguiente y guarde el archivo:
#CustomLog "logs/access.log" combined
Detenga y reinicie el servicio de Symantec Endpoint Protection Manager y el servidor de HTTP de Apache: Ver "Cmo detener e iniciar el servicio del servidor de administracin" en la pgina 163. Ver "Detencin e inicio del Servidor Web Apache" en la pgina 1067.
Para consultar el registro de acceso del servidor de HTTP de Apache
1 2 3
En el servidor de administracin, abra drive:\Program Files\Symantec\Symantec Endpoint Protection Manager\apache\access.log Busque el nombre de host o la direccin IP de un equipo cliente, lo que indica que los clientes se conectan al servidor de HTTP de Apache. Deshabilite el registro del acceso del servidor de HTTP de Apache.
Detencin e inicio del Servidor Web Apache

Cuando instala Symantec Endpoint Protection Manager, se instala el Servidor Web Apache. El servidor Web Apache se ejecuta como un servicio automtico. Es posible que deba detener y reiniciar el servidor web para habilitar el registro de acceso al servidor de HTTP de Apache. Ver "Habilitacin y consulta del registro de acceso para comprobar si el cliente se conecta al servidor de administracin" en la pgina 1066. Para detener el Servidor Web Apache

net stop semwebsrv
Para iniciar el Servidor Web Apache

net start semwebsrv
1068
Usar el comando ping para probar la conectividad con el servidor de administracin

Es posible intentar establecer una comunicacin ping con el servidor de administracin desde el equipo cliente para probar la conectividad. Ver "Cmo solucionar problemas de comunicacin entre el servidor de administracin y el cliente" en la pgina 1062. Usar el comando ping para probar la conectividad con el servidor de administracin
1 2
En el cliente, abra una lnea de comandos. Escriba el comando ping. Por ejemplo: ping nombre donde nombre es el nombre del equipo del servidor de administracin. Es posible utilizar la direccin IP del servidor en lugar del nombre del equipo. En cualquier caso, el comando debe devolver la direccin IP correcta del servidor. Si el comando ping no devuelve la direccin correcta, verifique el servicio DNS para el cliente y compruebe su ruta de encaminamiento.
Usar un navegador para probar la conectividad al servidor de administracin en el equipo cliente

Es posible usar un navegador web en el equipo cliente para probar la conectividad entre el servidor de administracin y el cliente. Este mtodo ayuda a determinar si el cliente tiene un problema con la conexin o la red o un problema con el cliente. Es posible tambin comprobar la conexin entre el servidor de administracin en el equipo cliente usando los mtodos siguientes:
Compruebe si el icono de estado del cliente muestra un punto verde. Ver "Cmo determinar si el cliente est conectado y protegido" en la pgina 1064. Compruebe el estado de conexin en el cliente. Ver "Visualizacin del estado de conexin del cliente en el cliente" en la pgina 1064.
1069
Para usar un navegador para probar la conectividad al servidor de administracin en el equipo cliente
1 2
En el equipo cliente, abra un navegador web, como Internet Explorer. En la lnea de comandos navegador, escribe el comando siguiente: http://direccin del servidor de administracin:8014/secars/secars.dll?hello,secars donde la direccin del servidor de administracin es el nombre DNS, el nombre de NetBIOS o la direccin IP del servidor de administracin.
Cuando la pgina web aparece, busque uno de los siguientes resultados:
Si aparece la palabra Aceptar, el equipo cliente se conecta al servidor de administracin. Compruebe si hay un problema en el cliente. Si no aparece la palabra Aceptar, el equipo cliente no se conecta al servidor de administracin. Compruebe las conexiones de red del cliente y que los servicios de red estn en ejecucin en el equipo cliente. Verifique el servicio DNS para el cliente y compruebe su ruta de encaminamiento. Ver "Cmo solucionar problemas de comunicacin entre el servidor de administracin y el cliente" en la pgina 1062.
Comprobar los registros de depuracin en el equipo cliente

Es posible comprobar el registro de depuracin en el cliente. Si el cliente tiene problemas de comunicacin con el servidor de administracin, los mensajes de estado sobre el problema de conexin aparecen en el registro. Ver "Cmo solucionar problemas de comunicacin entre el servidor de administracin y el cliente" en la pgina 1062. Es posible comprobar el registro de depuracin mediante los mtodos siguientes:
En el cliente, en el men Ayuda y asistencia tcnica, en el cuadro de dilogo Solucin de problemas, puede hacer clic en Editar configuracin del registro de depuracin y escribir un nombre para el registro. Despus puede hacer clic en Ver registro. Es posible utilizar el registro de Windows para activar la depuracin en el cliente. Es posible encontrar la clave de registro de Windows en la ubicacin siguiente: HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\SMC\smc_debuglog_on
1070
Comprobar los registros de la bandeja de entrada en el servidor de administracin

Es posible utilizar una clave de registro de Windows para generar registros sobre la actividad en la bandeja de entrada del servidor de administracin. Cuando se modifica la clave de registro de Windows, el servidor de administracin genera los registros (ersecreg.log y exsecars.log). Es posible ver estos registros para solucionar problemas con la comunicacin entre el cliente y el servidor. Ver "Cmo solucionar problemas de comunicacin entre el servidor de administracin y el cliente" en la pgina 1062. Ver "Comprobar los registros de depuracin en el equipo cliente" en la pgina 1069. Para comprobar los registros de la bandeja de entrada en el servidor de administracin
En el servidor de administracin, en HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\SEPM, establezca el valor DebugLevel en 3. Tpicamente, la bandeja de entrada aparece en la ubicacin siguiente en el equipo del servidor de administracin:
\Program Files\Symantec\Symantec Endpoint Protection Manager\data\ inbox\log
Abra el registro con el Bloc de notas.
Cmo recuperar la configuracin de comunicacin de los clientes usando la herramienta SylinkDrop

El archivo Sylink.xml incluye la configuracin de comunicacin entre el cliente y un servidor de Symantec Endpoint Protection Manager. Si los clientes han perdido comunicacin con un servidor de administracin, es necesario reemplazar el archivo Sylink.xml anterior con un nuevo archivo. La herramienta SylinkDrop reemplaza automticamente el archivo Sylink.xml en el equipo cliente con un nuevo archivo Sylink.xml. Cuando se ejecuta la herramienta SylinkDrop, esta puede adems realizar las siguientes tareas:

Migrar o mover clientes a un nuevo dominio o servidor de administracin. Restaurar las rupturas de comunicacin al cliente que no pueden ser corregidas en el servidor de administracin.
1071
Mover un cliente de un servidor a otro servidor que no sea un partner de replicacin. Mover un cliente de un dominio a otro. Convertir un cliente no administrado en un cliente administrado. Convertir un cliente administrado en un cliente no administrado.
Es posible escribir un script con la herramienta para modificar la configuracin de comunicacin para una gran cantidad de clientes. Ver "Acerca de clientes administrados y clientes no administrados" en la pgina 144. Ver "Cmo solucionar problemas de comunicacin entre el servidor de administracin y el cliente" en la pgina 1062. Para recuperar la configuracin de comunicacin de los clientes usando la herramienta SylinkDrop
En la consola, exporte el archivo de comunicacin del grupo que se conecta al servidor de administracin al cual desea que el equipo cliente se conecte. Ver "Convertir un cliente no administrado en un cliente administrado" en la pgina 219.
2 3
Distribuya el archivo de comunicacin al equipo cliente. En el disco del producto, localice la carpeta \Tools\NoSupport\SylinkDrop y abra SylinkDrop.exe. Es posible ejecutar la herramienta remotamente o guardarla y despus ejecutarla en el equipo cliente. Si usa la herramienta en la lnea de comandos, lea el archivo SylinkDrop.txt para obtener una lista de los parmetros de comando de la herramienta.
4 5 6 7
En el cuadro de dilogo desplegable Sylink, haga clic en Examinar y localice el archivo .xml que se distribuy en el paso 2 al equipo cliente. Haga clic en Actualizar Sylink. Si ve un cuadro de dilogo de confirmacin, haga clic en Aceptar. En el cuadro de dilogo desplegable Sylink, haga clic en Salir.
1072
Resolucin de problemas de instalacin y de comunicacin Solucionar problemas de comunicacin entre el servidor de administracin y la consola o la base de datos
Solucionar problemas de comunicacin entre el servidor de administracin y la consola o la base de datos

Si tiene problemas de conexin con la consola o la base de datos, puede ver uno de los siguientes sntomas:

El servicio del servidor de administracin (semsrv) se detiene. El servicio del servidor de administracin no permanece en estado iniciado. Las pginas Pgina principal, Supervisin e Informes muestran un error de HTTP. Las pginas Pgina principal, Supervisin e Informes estn en blanco. Las pginas Pgina principal, Supervisin e Informes muestran una barra de progreso que carga continuamente, sin mostrar ningn contenido.
Todos estos problemas muestran el error Java -1 en el registro de eventos de Windows. Para encontrar la causa especfica del error Java -1, consulte el registro scm-server. El registro scm-server est situado tpicamente en la ubicacin siguiente: C:\Program Files\Symantec\Symantec Endpoint Protection Manager\tomcat\logs\scm-server-0.log Tabla 54-4 Qu comprobar Cmo comprobar la comunicacin con la consola o la base de datos Descripcin
Pruebe la conectividad entre Es posible verificar que el servidor de administracin y la la base de datos y el servidor base de datos se comuniquen correctamente. de administracin. Ver "Cmo verificar la conexin con la base de datos" en la pgina 1073. Compruebe que el tamao Es posible que sea necesario ajustar el tamao del montn del montn del servidor de que sea apropiado para el sistema operativo del servidor de administracin sea correcto. administracin. Si no se puede iniciar sesin en la consola remota del servidor de administracin o si se ve un mensaje de memoria insuficiente en el registro smc-server, es posible que sea necesario aumentar el tamao del montn. El tamao del montn predeterminado de Symantec Endpoint Protection Manager es 256 MB.
1073
Qu comprobar
Compruebe que el servidor de administracin no est ejecutando varias versiones de PHP.
Descripcin
Es posible comprobar si el servidor de administracin ejecuta varios paquetes de software que usan diversas versiones de PHP. PHP comprueba la existencia de un archivo de configuracin global (php.ini). Si hay varios archivos de configuracin, deber forzar cada producto a usar su propio intrprete. Cuando cada producto usa la versin correcta de PHP asociado a l, el servidor de administracin funciona correctamente. Es posible comprobar si el cliente y el servidor de administracin ejecutan los requisitos del sistema recomendados o los mnimos. Ver "Requisitos del sistema" en la pgina 84.
Compruebe los requisitos del sistema.
Cmo verificar la conexin con la base de datos

Es posible que el servidor de administracin y la base de datos no se comuniquen correctamente. Es necesario verificar que la base de datos se ejecute y despus probar la conexin entre el servidor y la base de datos. Si el servidor de administracin ejecuta la base de datos Sybase integrada, realice los pasos siguientes:
Verifique que el servicio de la base de datos integrada de Symantec se ejecute y que el proceso dbsrv9.exe escuche el puerto TCP 2638. Pruebe la conexin de ODBC.
Si el servidor de administracin ejecuta la base de datos SQL remota, realice las acciones siguientes:
Verifique que se haya especificado una instancia con nombre cuando instal y configur Symantec Endpoint Protection Manager. Verifique que SQL Server funcione y est configurado correctamente. Verifique que la conexin de red entre el servidor de administracin y la base de datos SQL sea correcta. Pruebe la conexin de ODBC.
Para verificar la comunicacin con la base de datos integrada
1 2
En el servidor de administracin, haga clic en Inicio > Panel de control > Herramientas administrativas. En el cuadro de dilogo Herramientas administrativas, haga doble clic en Orgenes de datos (ODBC).
1074
3 4 5 6 7 8
En el cuadro de dilogo Administrador de orgenes de datos ODBC, haga clic en DSN de sistema. En la ficha DSN de sistema, haga doble clic en SymantecEndpointSecurityDSN. En la ficha ODBC, verifique que la lista desplegable Nombre del origen de datos sea SymantecEndpointSecurityDSN y escriba una descripcin opcional. Haga clic en Inicio de sesin. En la ficha Inicio de sesin, en el cuadro de texto ID de usuario, escriba dba. En el cuadro de texto Contrasea, escriba la contrasea para la base de datos. Esta contrasea es la que usted introdujo para la base de datos cuando instal el servidor de administracin.
Haga clic en Base de datos. <\\nombre del servidor\nombre de instancia>. Si usa la versin en ingls de Symantec Endpoint Protection Manager, escriba la opcin predeterminada, sem5. Si no, deje el espacio en blanco del cuadro de texto Nombre del servidor.
10 En la ficha Base de datos, en el cuadro de texto Nombre del servidor, escriba
11 En la ficha ODBC, haga clic en Probar conexin y verifique que funcione. 12 Haga clic en Aceptar. 13 Haga clic en Aceptar.
Para verificar la comunicacin con la base de datos SQL
1 2 3 4 5 6 7
En el servidor de administracin, haga clic en Inicio > Panel de control > Herramientas administrativas. En el cuadro de dilogo Herramientas administrativas, haga doble clic en Orgenes de datos (ODBC). En el cuadro de dilogo Administrador de orgenes de datos ODBC, haga clic en DSN de sistema. En la ficha DSN de sistema, haga doble clic en SymantecEndpointSecurityDSN. En la lista desplegable Servidor, verifique que se seleccionen el servidor y la instancia correctos. Haga clic en Siguiente. En ID de inicio de sesin, escriba sa.
1075
En el cuadro de texto Contrasea, escriba la contrasea para la base de datos. Esta contrasea es la que usted introdujo para la base de datos cuando instal el servidor de administracin.
Haga clic en Siguiente y asegrese de que sem5 est seleccionado para la base de datos predeterminada.
10 Haga clic en Siguiente. 11 Haga clic en Finalizar. 12 Haga clic en Probar origen de datos y busque el resultado que indica:
PRUEBAS COMPLETADAS CORRECTAMENTE
1076
Captulo
55


Solucin de problemas de elaboracin de informes Ayuda contextual de solucin de problemas de la consola de elaboracin de informes Cmo cambiar a letras de la elaboracin de informes para mostrar idiomas asiticos Cmo cambiar los parmetros de tiempo de espera para revisar informes y registros Acceder a las pginas de elaboracin de informes cuando el uso de las direcciones de loopback estn deshabilitadas Acerca de recuperar un registro del sistema de cliente daado en equipos de 64 bits

Debe tener en cuenta la siguiente informacin cuando se utilizan informes:
Las marcas de fecha, incluyendo los horarios de anlisis de equipos cliente, de los informes y registros se dan en la hora local del usuario. La base de datos de informes contiene eventos especificados segn la hora del meridiano de Greenwich (GMT). Al crear un informe, estos valores de horario se convierten en la hora local del equipo en el que se ven los informes. Si los clientes administrados estn en una zona horaria diferente a la del servidor de administracin y se usa la opcin de filtro Definir fechas
1078
Solucin de problemas de elaboracin de informes Solucin de problemas de elaboracin de informes
especficas, se pueden ver resultados inesperados. La exactitud de los datos y la hora en el equipo cliente y en el servidor de administracin pueden verse afectados.
Si modifica la zona horaria en el servidor, cierre sesin en la consola y vuelva a iniciar sesin para ver los horarios exactos en registros e informes. En algunos casos, los datos del informe no tienen una correspondencia directa con lo que aparece en los productos de seguridad. Esta falta de correspondencia se produce porque el software de elaboracin de informes agrega eventos de seguridad. Si no utiliza el puerto predeterminado cuando se instalan las pginas de ayuda para informes, no es posible acceder a la ayuda contextual en pantalla. Para acceder a la ayuda contextual cuando se utiliza un puerto no predeterminado, es necesario agregar una variable al archivo Reporter.php. Ver "Ayuda contextual de solucin de problemas de la consola de elaboracin de informes" en la pgina 1080. Ver "Cmo iniciar sesin en los informes desde un navegador web independiente" en la pgina 606. Es posible utilizar SSL con las funciones de la elaboracin de informes para una mayor seguridad. El SSL proporciona confidencialidad, integridad para sus datos y autenticacin entre el cliente y el servidor. Consulte el artculo de la base de conocimientos: Configuracin de Secure Sockets Layer (SSL) para trabajar con las funciones de elaboracin de informes de Symantec Endpoint Protection en Windows Server 2003. La informacin sobre categoras de riesgos que se incluye en los informes se obtiene del sitio web de Symantec Security Response. Hasta que la consola de Symantec Endpoint Protection Manager pueda recuperar esta informacin, cualquier informe que se genere indica Desconocido en los campos de la categora de riesgo. Los informes que se generan brindan un cuadro exacto de los equipos en peligro de su red. Los informes se basan en los datos de registro, no en los datos de registro de Windows. Las pginas de informes y las pginas del registro siempre se muestran en el idioma con el que se instal el servidor de administracin. Para ver estas pginas cuando utiliza una consola o un navegador del equipo remoto, la fuente apropiada debe estar instalada en el equipo. Ver "Cmo cambiar a letras de la elaboracin de informes para mostrar idiomas asiticos" en la pgina 1080.
Solucin de problemas de elaboracin de informes Solucin de problemas de elaboracin de informes
1079
Si se producen errores de la base de datos durante la ejecucin de informes que incluyen una gran cantidad de datos, se recomienda cambiar los parmetros de tiempo de espera. Ver "Cmo cambiar los parmetros de tiempo de espera para revisar informes y registros" en la pgina 1081. Si se muestran errores CGI o de terminacin de procesos, puede ser necesario cambiar otros parmetros de tiempo de espera. Para obtener ms informacin, consulte el documento siguiente en el artculo de la base de conocimientos: El servidor de informes de SAV o la elaboracin de informes de SEPM no responde ni muestra un mensaje de error del tiempo de espera al consultar una gran cantidad de datos. Si ha deshabilitado el uso de direcciones de loopback en el equipo, las pginas de informes no se visualizan. Ver "Acceder a las pginas de elaboracin de informes cuando el uso de las direcciones de loopback estn deshabilitadas" en la pgina 1083. Si el registro de Sistema llega a daarse en un cliente de 64 bits, se puede ver un mensaje de error no especificado en los registros de Sistema en la consola de Symantec Endpoint Protection Manager. Ver "Acerca de recuperar un registro del sistema de cliente daado en equipos de 64 bits" en la pgina 1084.
Es importante tener en cuenta la siguiente informacin si algunos equipos de su red estn ejecutando versiones anteriores de Symantec AntiVirus:
Cuando se utilizan los filtros de informes y registros, los grupos de servidores se categorizan como dominios. Los grupos de clientes se categorizan como grupos, y los servidores principales se categorizan como servidores. Si se genera un informe que incluye equipos con versiones anteriores, el valor de los campos de direccin IP y MAC es Ninguno. Las funciones de elaboracin de informes utilizan una carpeta temporal: drive:\ Symantec\Symantec Endpoint Protection Manager\Inetpub\Reporting\Temp. Se recomienda programar sus propias tareas automatizadas de limpiar peridicamente esta carpeta temporal. Si lo hace as, asegrese de no eliminar el archivo LegacyOptions.inc, si existe. Si elimina este archivo, se pierden los datos entrantes de registros de versiones anteriores del cliente de Symantec AntiVirus.
1080
Solucin de problemas de elaboracin de informes Ayuda contextual de solucin de problemas de la consola de elaboracin de informes
Ayuda contextual de solucin de problemas de la consola de elaboracin de informes

Si no utiliza el puerto predeterminado cuando se instalan las pginas de ayuda para informes, no es posible acceder a la ayuda contextual en pantalla. Para acceder a la ayuda contextual cuando se utiliza un puerto no predeterminado, es necesario agregar una variable al archivo Reporter.php. Ver "Cmo iniciar sesin en los informes desde un navegador web independiente" en la pgina 606. Para modificar el puerto utilizado para acceder a la ayuda contextual para la elaboracin de informes
1 2 3
Cambie el directorio por unidad:\Program Files\Symantec\Symantec Endpoint Protection Manager\Inetpub\Reporting\Resources. Abra el archivo de configuracin Reporter.php con un editor. Agregue la lnea siguiente al archivo y sustituya el nmero de puerto por el nmero de puerto que usted utiliz cuando instal la ayuda de informes. $scm_http_port=nmero de puerto
Guarde y cierre el archivo.
Cmo cambiar a letras de la elaboracin de informes para mostrar idiomas asiticos

Los histogramas y los grficos de barras en 3D se crean en el servidor al mismo tiempo que las imgenes antes de que los grficos se enven al navegador. De forma predeterminada, el servidor que se utiliza para crear estos grficos busca la fuente MS Arial Unicode. MS Arial Unicode est disponible como parte de Microsoft Office y visualiza todos los idiomas compatibles correctamente. Si la fuente MS Arial Unicode no se encuentra, el servidor utiliza Lucida sans Unicode. Algunos informes en los servidores que se visualizan en un idioma asitico no muestran el texto del grfico correctamente, a menos que se instale MS Arial Unicode en el servidor. Este problema ocurre si su informe incluye un histograma o un grfico de barras en 3D. Si no tiene la fuente MS Arial Unicode instalada en el servidor, es posible configurar su servidor para resolver este problema. Es posible configurar Symantec Endpoint Protection para utilizar cualquier fuente compatible con Unicode que admita los idiomas en su entorno.
Solucin de problemas de elaboracin de informes Cmo cambiar los parmetros de tiempo de espera para revisar informes y registros
1081
Para modificar la fuente utilizada para visualizar informes
1 2 3
Cambie el directorio por unidad:\Program Files\Symantec\Symantec Endpoint Protection Manager\Inetpub\Reporting\Common. Abra el archivo de configuracin I18nCommon.bundle con un editor. Escriba el nombre del archivo de fuente que desee utilizar despus del signo de igualdad (=) que sigue la variable SPECIAL_FONT. Por ejemplo, si se quisiera utilizar Arial, se escribira lo siguiente: SPECIAL_FONT=arial.ttf
4 5
Guarde el archivo en formato UTF-8 y despus cierre el archivo. Asegrese de que el archivo de fuente que se escribe se encuentre en el directorio %WINDIR%\fonts.
Cmo cambiar los parmetros de tiempo de espera para revisar informes y registros
Si ocurren errores de la base de datos cuando se ven informes o registros que contienen muchos datos, es posible realizar los cambios siguientes:

Modificar el tiempo de espera de conexin de Microsoft SQL Server Modificar el tiempo de espera de comandos de Microsoft SQL Server
Los valores de informe predeterminados son los siguientes:

El tiempo de espera de conexin es 300 segundos (5 minutos) El tiempo de espera de comandos es 300 segundos (5 minutos)
Para cambiar los valores de tiempo de espera de Microsoft SQL Server en Reporter.php
Vaya a la carpeta siguiente en el servidor de Symantec Endpoint Protection Manager: unidad:\Program Files\Symantec\Symantec Endpoint Protection Manager\Inetpub\Reporting\Resources
2 3
Abra el archivo Reporter.php con un editor de texto sin formato, como el Bloc de notas. Encuentre la lnea $CommandTimeout y aumente el valor (en segundos). Si no existe la lnea, crela. Por ejemplo, para aumentar el perodo de tiempo de espera a 10 minutos, cambie la lnea al valor siguiente: $CommandTimeout = 600;
1082
Solucin de problemas de elaboracin de informes Cmo cambiar los parmetros de tiempo de espera para revisar informes y registros
Encuentre la lnea $ConnectionTimeout y aumente el valor (en segundos). Si no existe la lnea, crela. Por ejemplo, para aumentar el perodo de tiempo de espera a 10 minutos, cambie la lnea al valor siguiente: $ConnectionTimeout = 600;
Guarde el archivo Reporter.php y cirrelo.
Nota: Si especifica un valor igual a cero o deja los campos en blanco, usar la configuracin predeterminada. Si se muestran errores CGI o de terminacin de procesos, puede ser necesario cambiar los siguientes parmetros:

parmetro max_execution_time en el archivo Php.ini Los parmetros de tiempo de espera de Apache, FcgidIOTimeout, FcgidBusyTimeout y FcgidIdleTimeout, en el archivo httpd.conf
Para cambiar los valores de tiempo de espera en Php.ini
1 2 3 4 5 6
Vaya al directorio unidad:\Program Files\Symantec\Symantec Endpoint Protection Manager\Php. Haga clic con el botn derecho en el archivo Php.ini y en Propiedades. En la ficha General, anule la seleccin de Solo lectura. Haga clic en Aceptar. Abra el archivo Php.ini con un editor de texto sin formato, como el Bloc de notas. Localice la entrada max_execution_time y aumente el valor (en segundos). Por ejemplo, para aumentar el tiempo de espera a 10 minutos, cambie la lnea al valor siguiente: max_execution_time=600
7 8 9
Guarde el archivo Php.ini y cirrelo. Haga clic con el botn derecho en el archivo Php.ini y en Propiedades. En la ficha General, seleccione Solo lectura.
Solucin de problemas de elaboracin de informes Acceder a las pginas de elaboracin de informes cuando el uso de las direcciones de loopback estn deshabilitadas
1083
Para cambiar los valores de tiempo de espera en httpd.conf
1 2 3
Vaya al directorio unidad:\Program Files\Symantec\Symantec Endpoint Protection Manager\apache\conf. Abra el archivo httpd.conf con un editor de texto sin formato, como el Bloc de notas. Localice las lneas siguientes y aumente los valores (en segundos):

FcgidIOTimeout 1800 FcgidBusyTimeout 1800 FcgidIdleTimeout 1800
Guarde el archivo httpd.conf y cirrelo.
Acceder a las pginas de elaboracin de informes cuando el uso de las direcciones de loopback estn deshabilitadas
Si ha deshabilitado el uso de direcciones de loopback en el equipo, las pginas de informes no se visualizan. Si intenta iniciar sesin en la consola de Symantec Endpoint Protection Manager o acceder a las funciones de elaboracin de informes, se ve el mensaje de error siguiente: No es posible establecer una comunicacin con el componente de informes Las pginas Inicio, Supervisin e Informes estn en blanco; las pginas Polticas, Clientes y Administrador parecen normales y funcionan normalmente. Para que se muestren los componentes de Informes cuando estn desactivadas las direcciones de bucle invertido, es necesario asociar la palabra localhost (host local) con la direccin IP de su equipo. Es posible editar el archivo de host de Windows para asociar el host local con una direccin IP. Ver "Cmo iniciar sesin en los informes desde un navegador web independiente" en la pgina 606. Para asociar el host local con la direccin IP en los equipos con Windows
Cambie el directorio a la ubicacin de su archivo de host. De forma predeterminada, el archivo de host se encuentra en %SystemRoot%\ system32\drivers\etc.
Abra el archivo de host con un editor.
1084
Solucin de problemas de elaboracin de informes Acerca de recuperar un registro del sistema de cliente daado en equipos de 64 bits
Agregue la lnea siguiente al archivo de host: xxx.xxx.xxx.xxx localhost #funciones de informes para iniciar sesin donde se sustituye xxx.xxx.xxx.xxx por la direccin IP de su equipo. Es posible agregar cualquier comentario que desee despus del signo #. Por ejemplo, es posible escribir la siguiente lnea: 192.168.1.100 localhost # esta entrada es para mi equipo de consola
Guarde y cierre el archivo.
Acerca de recuperar un registro del sistema de cliente daado en equipos de 64 bits

Si el registro de Sistema llega a daarse en un cliente de 64 bits, se puede ver un mensaje de error no especificado en los registros de Sistema en la consola de Symantec Endpoint Protection Manager. Si se daa, no es posible ver los datos en el registro en el cliente y los datos no se cargan en la consola. Esta condicin puede afectar los datos en la consola de los registros y los informes de Estado del equipo, Riesgo y Anlisis. Para corregir esta condicin, es posible eliminar el archivo de registro daado y el archivo serialize.dat en el cliente. Estos archivos se encuentran en el cliente, en Unidad:\Documents and Settings\All Users\Application Data\Symantec\ Symantec AntiVirus Corporate Edition\7.5\Logs\fecha.Log. Despus de que se eliminen estos archivos, el archivo de registro se reconstruye y comienza a registrar entradas correctamente.
Captulo
56
Solucin de problemas en el dispositivo Enforcer

Resolucin de problemas de comunicacin entre un dispositivo Enforcer y Symantec Endpoint Protection Manager Cmo solucionar problemas en un dispositivo Enforcer Preguntas ms frecuentes sobre los dispositivos Enforcer Solucin de problemas de conexin entre Enforcer y los clientes bajo demanda
Resolucin de problemas de comunicacin entre un dispositivo Enforcer y Symantec Endpoint Protection Manager
Si los mdulos Enforcer y el servidor de administracin no se comunican, consulte los siguientes motivos y soluciones posibles.
1086
Solucin de problemas en el dispositivo Enforcer Resolucin de problemas de comunicacin entre un dispositivo Enforcer y Symantec Endpoint Protection Manager
Tabla 56-1
Resolucin de problemas en problemas de comunicacin entre los mdulos de aplicacin Enforcer y el servidor de administracin Solucin
Compruebe la configuracin del servidor de administracin en Enforcer usando el comando configure show spm. Asegrese de haber configurado la direccin IP del servidor de administracin, el nmero de puerto y el secreto previamente compartido correctamente. El nmero de puerto predeterminado es 8014. Si Tipo de Enforcer se volvi a configurar o se cambi, elimine el grupo Enforcer en el servidor de administracin o mueva Enforcer a un grupo diferente. Por ejemplo, Tipo de Enforcer pudo haber cambiado de Gateway Enforcer a LAN Enforcer. La lista de servidores de administracin para Enforcer puede tener un servidor de administracin que Enforcer no puede alcanzar o tiene varias interfaces de un servidor de administracin. Se recomienda agregar una lista de servidores de administracin con solo un servidor de administracin que puede conectarse a Enforcer. El servidor de administracin debe tener una direccin IP.
Problema
Enforcer no puede registrarse con Symantec Endpoint Protection Manager
Retraso en la conexin a la Si usa un Enforcer de apertura en caso de error, compruebe red por medio de Enforcer la configuracin del conmutador. Asegrese de que PortFast o de los clientes de bloqueo est habilito en ambos puertos a los cuales se conecta Enforcer. del dispositivo Gateway Enforcer Eventos de desconexin de clientes en el registro del cliente del dispositivo LAN Enforcer Si los clientes suspenden frecuentemente las solicitudes de reautenticacin (802.1x EAP) del conmutador y no las responden, es posible que deba disminuir el tiempo de espera de reautenticacin del conmutador.
El dispositivo LAN Compruebe que el modelo seleccionado del conmutador Enforcer no enva clientes en la configuracin coincida con el conmutador en uso. a la VLAN correcta Compruebe que los nombres de VLAN coincidan exactamente con la configuracin del conmutador. Compruebe que las asignaciones de VLAN de la tabla de accin sean correctas para el conmutador en la consola del servidor de administracin.
Ver "Preguntas ms frecuentes sobre los dispositivos Enforcer" en la pgina 1088. Ver "Cmo solucionar problemas en un dispositivo Enforcer" en la pgina 1087.
Solucin de problemas en el dispositivo Enforcer Cmo solucionar problemas en un dispositivo Enforcer
1087
Cmo solucionar problemas en un dispositivo Enforcer

La Tabla 56-2 muestra los problemas y las soluciones posibles que puede tener con un dispositivo Enforcer. Tabla 56-2 Sntoma Resolucin de problemas y soluciones para un dispositivo Enforcer Solucin
La contrasea raz de Limite las contraseas a 128 caracteres. Use otra contrasea Enforcer se muestra como no ms corta. vlida cuando se usa la Ver "Password" en la pgina 1141. interfaz de lnea de comandos Modificar la memoria en el R200 causa errores de hardware Los errores son debido a la codificacin dura de IRQ. Quite memoria adicional o reinstale Enforcer despus del cambio de hardware. Nuestras pruebas han mostrado que la memoria adicional no brinda una diferencia apreciable. Ver "Instalar un dispositivo Enforcer" en la pgina 802. Algunas opciones de configuracin (Debug Level, Capture) se restablecen a la configuracin predeterminada cuando se actualiza Enforcer. Un restablecimiento a la configuracin predeterminada puede aparecer en la actualizacin, pero no aparece despus de eso. Ver "Cmo actualizar la imagen de dispositivo Enforcer" en la pgina 811.
Los problemas aparecen al Resuelva este problema configurando HP OpenView: ejecutar SNMP con Enforcer Cargue el archivo MIB de Symantec seleccionando y HP OpenView Opcin > Cargar/descargar MIB. En Opcin > Configuracin del evento, elija OnDemandTraps (.1.3.6.1.4.1.393.588) y modifique cada captura segn sea necesario. Por ejemplo, en Mensaje de evento, elija Registrar y visualizar en categora. A continuacin, seleccione una categora de la lista desplegable. Configure el Mensaje de registro de eventos como $1.
Ver "Resolucin de problemas de comunicacin entre un dispositivo Enforcer y Symantec Endpoint Protection Manager" en la pgina 1085.
1088
Solucin de problemas en el dispositivo Enforcer Preguntas ms frecuentes sobre los dispositivos Enforcer
Preguntas ms frecuentes sobre los dispositivos Enforcer

Los siguientes temas proporcionan respuestas a problemas de aplicacin en los dispositivos Gateway Enforcer o LAN Enforcer:
Ver "Qu proteccin contra virus y software antivirus administra la integridad del host?" en la pgina 1088. Ver "Es posible configurar polticas de integridad del host en el nivel de grupo o el nivel global?" en la pgina 1088. Ver "Se puede crear un mensaje de integridad del host personalizado?" en la pgina 1089. Ver "Qu sucede si los dispositivos Enforcer no pueden comunicarse con Symantec Endpoint Protection Manager?" en la pgina 1089. Ver "Se necesita un servidor RADIUS cuando un dispositivo LAN Enforcer se ejecuta en modo transparente?" en la pgina 1090. Ver "Cmo maneja la aplicacin los equipos sin clientes?" en la pgina 1091.
Qu proteccin contra virus y software antivirus administra la integridad del host?

La integridad del host permite agregar requisitos personalizados para detectar y administrar software de proteccin contra virus. Para un requisito personalizado, es posible especificar aplicaciones de proteccin contra virus e informacin del archivo de firmas que se comprobar como parte de su instruccin condicional IF-THEN. Los productos que se admiten aparecen en una lista desplegable en el cuadro de dilogo de requisito personalizado. Ver "Acerca de las condiciones del antivirus" en la pgina 779. Ver "Acciones que pueden llevarse a cabo con polticas de integridad del host" en la pgina 758.
Es posible configurar polticas de integridad del host en el nivel de grupo o el nivel global?
Es posible asignar las polticas de integridad del host por grupo y por ubicacin en la consola de Symantec Endpoint Protection Manager. Ver "Cmo crear y probar una poltica de integridad del host" en la pgina 759.
1089
Se puede crear un mensaje de integridad del host personalizado?

Symantec Network Access Control puede crear mensajes personalizados de la integridad del host para cada norma de integridad del host. Es posible personalizar el mensaje, incluso el icono y el ttulo. Es posible realizar esta personalizacin con una norma personalizada de Integridad del host. Ver "Mostrar un cuadro de dilogo de mensaje" en la pgina 792.
Qu sucede si los dispositivos Enforcer no pueden comunicarse con Symantec Endpoint Protection Manager?
Si planea utilizar mdulos de aplicacin Enforcer con Symantec Endpoint Protection, recomendamos que cuente con servidores de administracin redundantes. Si Symantec Endpoint Protection Manager no est disponible, Enforcer bloquea el trfico de los clientes. Los servidores de administracin redundantes son preferibles. Enforcer enva un paquete UDP en el puerto 1812 usando el protocolo RADIUS a Symantec Endpoint Protection Manager para verificar el GUID de los clientes. Si un firewall bloquea este puerto o si Symantec Endpoint Protection Manager no est disponible, los clientes estn bloqueados. Una opcin en Enforcer permite el acceso de clientes a la red cuando Symantec Endpoint Protection Manager no est disponible. Si se habilita esta opcin y Symantec Endpoint Protection Manager no est disponible, la comprobacin de GUID y las comprobaciones de perfil no se realizan. Solamente la comprobacin de integridad del host se puede realizar en el cliente cuando Symantec Endpoint Protection Manager no est disponible. Es posible utilizar el comando advanced local-auth para habilitar o deshabilitar la autenticacin de Enforcer de un cliente. Ver "Advanced local-auth" en la pgina 1089.
Advanced local-auth
El comando advanced local-auth habilita o deshabilita la autenticacin del cliente de Enforcer. Utilice este comando para la solucin de problemas. La autenticacin del cliente est habilitada de forma predeterminada. El comando advanced local-auth utiliza la sintaxis siguiente:
advanced local-auth {disable | enable}
donde:
1090
disable
Verifica el agente con el servidor de administracin. Esto bloquea el agente si no puede conectarse a un servidor de administracin. La configuracin predeterminada para la autenticacin del cliente es Deshabilitar.
enable
Deshabilita la verificacin del agente y realiza la validacin de la integridad del host solamente.
De forma predeterminada, el dispositivo Gateway Enforcer verifica el identificador nico global (GUID) del cliente con Symantec Endpoint Protection Manager. Si Gateway Enforcer no puede conectarse con Symantec Endpoint Protection Manager para verificar el GUID, bloquea el cliente. Aunque no se recomiende como paso de solucin de problemas, es posible detener la verificacin de GUID del dispositivo Gateway Enforcer. De forma predeterminada, el dispositivo Gateway Enforcer verifica el GUID. En cambio, el dispositivo Gateway Enforcer realiza solamente un control de validacin de Integridad del host. Asegrese de volver a habilitar esta opcin si desea que el dispositivo Gateway Enforcer verifique el GUID. Ver "Comunicacin entre un dispositivo Enforcer y Symantec Endpoint Protection Manager" en la pgina 742.
Se necesita un servidor RADIUS cuando un dispositivo LAN Enforcer se ejecuta en modo transparente?
Los requisitos del servidor RADIUS dependen de cmo se configura el conmutador y de qu elementos autentica el conmutador. Los siguientes son algunos elementos que deben tenerse en cuenta:
Conmutadores que utilizan servidores RADIUS para ms tareas que la autenticacin de usuarios 802.1x. Por ejemplo, cuando usted inicia sesin en el conmutador, es necesario escribir un nombre de usuario y una contrasea. El servidor RADIUS realiza tpicamente la autenticacin para este inicio de sesin. Cuando se instala el dispositivo LAN Enforcer, esta autenticacin se enva al dispositivo LAN Enforcer. Si la autenticacin se enva al dispositivo LAN Enforcer, es necesario configurar la direccin IP del servidor RADIUS en el dispositivo LAN Enforcer. Debe configurar el dispositivo LAN Enforcer para que remita todas las solicitudes que no son EAP directamente al servidor RADIUS. Instalacin de un suplicante de 802.1x en un sistema cliente. Si existe un suplicante de 802.1x en un sistema cliente, el dispositivo LAN Enforcer intenta autenticar con el servidor RADIUS. La autenticacin 802.1x est habilitada de forma predeterminada en Windows XP. Si permite que su cliente funcione en
1091
modo transparente, no se deshabilita automticamente el suplicante de 802.1x incorporado. Es necesario asegurarse de que ningn suplicante de 802.1x se ejecuta en ninguno de sus equipos cliente.
Configuracin de Enforcer para omitir la solicitud de RADIUS de cualquier equipo cliente que incluya un suplicante de 802.1x de otro fabricante. Es posible configurar este valor usando una direccin IP de 0.0.0.0 para el servidor RADIUS. Es posible utilizar este programa de instalacin si desea ejecutar un dispositivo LAN Enforcer en modo transparente. Algunos clientes pueden tener un suplicante de 802.1x. En este caso, es posible especificar que el dispositivo LAN Enforcer no enve trfico a un servidor RADIUS.
Ver "Usar la configuracin del grupo de servidores RADIUS" en la pgina 897.
Cmo maneja la aplicacin los equipos sin clientes?

Symantec Network Access Control puede imponer las polticas de seguridad solamente para los sistemas que tienen clientes de Symantec instalados. No se puede imponer la postura de seguridad de otros proveedores. Cualquier aplicacin de otros proveedores puede interrumpir la red. Los mtodos siguientes de aplicacin estn disponibles:
Aplicacin automtica La aplicacin automtica del firewall cliente no tiene ningn efecto sobre los sistemas sin clientes en la red. Ver "Cmo funciona la aplicacin automtica" en la pgina 739. Aplicacin de gateway En las redes que utilizan la aplicacin de gateway, los sistemas sin clientes no pueden pasar a travs del gateway. El lugar donde usted coloca Gateway Enforcer en la red es clave; puede bloquear el acceso a recursos de red fundamentales a los cuales otros sistemas necesitan acceder. Es posible hacer excepciones para las direcciones IP de confianza de modo que puedan pasar a travs del gateway en sentido entrante o saliente sin un cliente. Del mismo modo, el gateway puede adems eximir los sistemas operativos que no son de Microsoft de la aplicacin. En un diseo de red, pueden colocarse los servidores no crticos en el mismo lado del Gateway. Esta configuracin simplifica el diseo de red sin poner en peligro la seguridad seriamente. Ver "Cmo funciona el dispositivo Gateway Enforcer" en la pgina 744.
1092
Aplicacin de DHCP
La aplicacin de DHCP restringe los equipos que estn fuera de cumplimiento o los sistemas sin clientes. Restringe estos sistemas a un espacio de direccin separado o les proporciona un subconjunto de rutas en la red. Esta restriccin reduce los servicios de red para estos dispositivos. Al igual que con la aplicacin de gateway, es posible hacer excepciones para las direcciones MAC de confianza y los sistemas operativos que no son de Microsoft. Ver "Cmo funciona Integrated Enforcer para servidores DHCP de Microsoft" en la pgina 747.
Aplicacin de LAN
La aplicacin de LAN usa el protocolo 802.1x para la autenticacin entre el conmutador y los sistemas cliente que se conecten a la red. Para utilizar este mtodo de aplicacin, el software del conmutador debe admitir el protocolo 802.1x, y su configuracin debe ser correcta. Tambin se necesita software de suplicante de 802.1x si el administrador desea verificar la identidad del usuario, adems del estado de NAC del host. La configuracin del conmutador debe administrar las excepciones para los sistemas sin clientes, en lugar de cualquier configuracin de Symantec. Tiene varias maneras de configurar esta configuracin del conmutador. Los mtodos varan dependiendo del tipo de versin del conmutador y del software que se ejecuta. Un mtodo tpico implementa el concepto de una VLAN invitada. Los sistemas sin clientes son asignados a una red con un nivel inferior de conectividad de red. Otro mtodo implica basar las excepciones en direcciones MAC. Es posible deshabilitar 802.1x en puertos seleccionados. Sin embargo, deshabilitar por puertos seleccionados permite que cualquier usuario se conecte mediante el puerto, as que no se recomienda. Muchos distribuidores tienen provisiones especiales para los telfonos de VoIP, que pueden trasladar automticamente estos dispositivos a VLAN de voz especiales. Ver "Cmo funciona el dispositivo LAN Enforcer" en la pgina 745.
API de aplicacin universal
Cuando se utiliza la API de aplicacin universal, la implementacin de la API del distribuidor externo administra las excepciones.
Solucin de problemas en el dispositivo Enforcer Solucin de problemas de conexin entre Enforcer y los clientes bajo demanda
1093
Aplicacin usando Cisco NAC
Cuando se utiliza la solucin de Symantec para interconectar con Cisco NAC, la arquitectura de Cisco NAC administra cualquier exclusin.
Acerca de la transferencia de informacin de depuracin por la red

Cuando ocurren problemas en el dispositivo Enforcer, se crea un registro de depuracin en Enforcer (kernel.log). Si es necesario transferir informacin de depuracin por la red, utilice uno de los siguientes comandos de depuracin para transferir los registros de depuracin:
debug upload Transferir un archivo a un servidor tftp
Para la transferencia de archivos por la red, se necesita una conexin de serie entre un equipo y el dispositivo Enforcer. El ejemplo siguiente representa una salida de transferencia de archivos que HyperTerminal realiza:
<date> <Time> <File Name> 2008-08-01 16:32:26 user.log 2008-08-01 16:32:24 kernel.log 2008-08-01 14:30:03 ServerSylink[04-05-2010-14-30-03].xml 2008-08-01 14:29:59 ServerProfile[04-05-2010-14-29-59].xml Enforcer(debug)# upload tftp 10.1.1.1 filename kernel.log
Ver "Jerarqua de comandos de la CLI" en la pgina 1132.
Solucin de problemas de conexin entre Enforcer y los clientes bajo demanda

Hay varias reas y problemas conocidos que se pueden comprobar para solucionar problemas de conexin entre Enforcer y los clientes bajo demanda.
1094
Tabla 56-3 Sntoma Solucin
Solucin de problemas de conexin
El firewall est evitando que el Existen varias soluciones posibles: cliente funcione cuando el Cambiar la configuracin del firewall para desbloquear el puerto UDP 39999. usuario descarga el agente por Agregar una ruta esttica a la ruta de Enforcer Enforcer. Por ejemplo: medio de PPTP VPN, CheckPoint VPN o Juniper route add IP netmask NM device eth0 VPN. donde IP y NM son la direccin IP y la mscara de red del grupo de la direccin IP del cliente. Este grupo se configura en el VPN por el administrador. Con frecuencia, las descargas toman bastante tiempo. El cliente generalmente enva trfico a VeriSign, lo que demora la velocidad de descarga. La solucin alternativa es que el administrador agregue a VeriSign a la lista de IP de confianza.
Por lo general, la Una comprobacin de integridad del host larga es un problema con la resolucin comprobacin de integridad de DNS y no debe aparecer despus de la primera comprobacin de integridad del del host demora mucho tiempo host. la primera vez. El firewall del cliente est evitando que el cliente bajo demanda funcione cuando el usuario no tiene derechos de administrador Los usuarios deben modificar la configuracin del firewall para desbloquear el puerto UDP 39999. Alternativamente, configure el firewall con lo siguiente: cclientctl.exe
La actualizacin de Enforcer Este problema se debe al tamao de los paquetes como conjunto. La solucin no contiene inicialmente el alternativa es primero actualizar Enforcer e importar el paquete de instalacin paquete de instalacin manual. manual del cliente en Symantec Endpoint Protection Manager y, despus, habilitar funciones cuando lo necesite en Enforcer. Eso agrega los archivos de instalacin manual. La URL de redireccionamiento El problema de sobrescritura de la URL de redireccionamiento sucede solamente en Enforcer sobrescribir una cuando la funcin On-Demand se habilita en Enforcer. Este es el comportamiento URL de redireccionamiento previsto. anterior en Symantec Endpoint Protection Manager. Por lo general, los clientes de Es un problema de tiempo de instalacin. Modifique el tiempo de espera de DHCP Vista no reciben una direccin a 12 segundos o ms. IP del servidor DHCP. Un usuario normal no puede La solucin alternativa es asegurarse de que el JRE est instalado. De lo contrario, instalar el agente si JRE (Java solamente los Administradores pueden instalarlo. Runtime Environment) no est instalado.
1095
Sntoma
Solucin
El servicio inalmbrico se El usuario debe reiniciar la conexin inalmbrica. desconecta cuando el cliente bajo demanda est instalado y se lo cierra cuando se usa la autenticacin 802.1x. Los sistemas que ejecutan Norton 360 v. 2.x tienen un problema al recibir el cliente. Para solucionar este problema, siga el vnculo de descarga manual para descargar e instalar el cliente.
Con Firefox, no puede La instalacin del complemento NP requiere derechos de administrador. descargar el complemente NP ni el cliente solamente con los derechos de usuario. La instalacin manual falla a veces. Para solucionar este problema, es posible que sea necesario instalar de la parche KB893803 de Microsoft. Este parche se incluye con la instalacin manual y debe instalarse antes que el cliente. Los privilegios de administracin son necesarios. El agente necesita instalar un controlador para funcionar. Si el usuario necesita la autenticacin 802.1x en Windows Vista, necesita abrir el navegador con la opcin Ejecutar como administrador o desactivar UAC para asegurarse de que el agente funcione con privilegios de administrador.
la autenticacin 802.1x falla
Aparece el mensaje "Se detect Es necesario eliminar el ActiveX existente haciendo clic en Herramientas > una versin anterior de Administrar complementos > Habilitar o deshabilitar complementos > Controles ActiveX" ActiveX descargados y eliminando HodaAgt class. El navegador muestra el mensaje No es posible visualizar la pgina web al usuario y el cliente no puede realizar la descarga correctamente. Es posible que el cliente todava est en ejecucin. Como funcin de seguridad, no es posible descargar un nuevo cliente en una sesin de cliente en ejecucin.
El navegador Firefox no puede Este problema sucede cuando Firefox se ejecuta primero. Los primeros reinicios de descargar el cliente a veces. Firefox son necesarios para que finalice su configuracin. Luego, debera ser posible descargar el cliente bajo demanda. Los equipos que ejecutan Mac Parece que este es un problema con esta versin de Mac OS. La versin 10.5 y OS 10.4 a veces no se posteriores no tienen el problema. La solucin alternativa para la versin 10.4 es autentican correctamente configurar el nombre de host en /etc/hostconfig/. debido a que se modifica el nombre de host.
1096
Sntoma
Solucin
Las comprobaciones de Esto se debe a la naturaleza transitoria de %temp%. La solucin alternativa utilizar integridad del host basadas en diferentes ubicaciones. la variable de sistema %temp% no funcionan. Las reglas personalizadas de integridad del host que se dirigen a los valores del registro de Windows no funcionan correctamente. Esto se debe a la naturaleza transitoria de las sesiones de usuario.
La instalacin de Panda Panda elimina un archivo Symantec Network Access Control muy importante. Este Titanium 2007 o Panda se reinstala automticamente y no es necesario que realice ninguna accin. Internet Security 2007 o 2008 provoca que aparezca un mensaje Espere mientras Windows configura Symantec Network Access Control. La autenticacin dot1x de El cliente On-Demand de Mac no es compatible con la autenticacin PEAP. Si su modo transparente del cliente Mac se configura para la autenticacin PEAP, es necesario deshabilitarla en las Mac a veces genera errores propiedades de conexin de red de Mac. La autenticacin dot1x de modo transparente entonces funciona correctamente. En Windows Vista, el cliente Este problema es especfico al uso de una autenticacin VSA y PEAP personalizada On-Demand no puede en Windows Vista. La solucin alternativa es usar una forma de autenticacin autenticarse correctamente al diferente. usar PEAP y una VSA personalizada
Apndice
Implementacin del cliente y referencia de migracin

En este Apndice se incluyen los temas siguientes:

Acerca de la implementacin y migracin del cliente Asignacin de funciones entre clientes de la versin 11.x y 12.1
Acerca de la implementacin y migracin del cliente

Para las nuevas instalaciones, se implementa el software de cliente en sus endpoint una vez que se instala Symantec Endpoint Protection Manager. Para las instalaciones existentes, se migran clientes existentes a la versin ms reciente Symantec Endpoint Protection una vez que de se actualiza Symantec Endpoint Protection Manager. Tabla A-1 enumera los temas relativos a la instalacin y la migracin de clientes de Symantec Endpoint Protection. Si esta es su primera instalacin o migracin de Symantec Endpoint Protection se recomienda encarecidamente que se revisen los temas sugeridos. Tabla A-1 Enforcer
Preparacin de los equipos para recibir los paquetes de instalacin de software de cliente Creacin de las polticas de seguridad para los clientes
Recursos de implementacin y de migracin de los clientes Recurso

Ver "Preparacin para la instalacin de clientes" en la pgina 127.
Ver "Tipos de polticas de seguridad" en la pgina 254. Ver "Agregar una poltica" en la pgina 261.
1098
Implementacin del cliente y referencia de migracin Acerca de la implementacin y migracin del cliente
Enforcer
Recurso
Configuracin de los conjuntos de funciones Ver "Configuracin de funciones de paquetes para los clientes de instalacin de clientes" en la pgina 148. Implementacin de clientes en equipos de endpoint Migracin de clientes a un versin ms reciente Ver "Acerca de los mtodos de implementacin del cliente" en la pgina 137. Ver "Acerca de la migracin a Symantec Endpoint Protection" en la pgina 152.
Cmo se asignan funciones de los clientes Ver "Asignacin de funciones entre clientes de versiones anteriores a los nuevos clientes de la versin 11.x y 12.1" en la pgina 1099.
Tabla A-2 enumera las tecnologas de proteccin recomendadas sugeridas para habilitar para los diversos equipos de endpoint basados en su rol. Tiene la oportunidad de seleccionar estas funciones cuando se crea un paquete de instalacin de clientes. Tabla A-2 Tecnologas de proteccin sugeridas por rol Tecnologas de proteccin recomendadas
Rol del equipo de endpoint
Estaciones de trabajo, equipos de escritorio Proteccin completa para clientes y equipos porttiles Incluye todas las tecnologas de proteccin. Es apropiado para equipos porttiles y de escritorio, y estaciones de trabajo. Incluye proteccin integral de descarga y la proteccin del protocolo de correo. Servidores Proteccin completa para servidores Incluye todas las tecnologas de proteccin excepto la proteccin del protocolo de correo. Es apropiado para cualquier servidor que necesite seguridad de red mxima. Servidores de alta velocidad de transferencia Proteccin bsica sin sistema de proteccin contra intrusiones Proteccin bsica para servidores Incluye solamente proteccin bsica de descarga, antivirus y antispyware. Es apropiado para cualquier servidor que necesite rendimiento de red mximo.
Implementacin del cliente y referencia de migracin Asignacin de funciones entre clientes de la versin 11.x y 12.1
1099
Tabla A-3 compara la configuracin del cliente predeterminada entre los clientes de las versiones 11.x y 12.1. Tabla A-3 Comparacin de la configuracin del cliente predeterminada Tecnologas de proteccin predeterminadas del cliente de la versin 12.1
Antivirus + SONAR + Diagnstico Insight de descargas Antivirus bsico
Tecnologas de proteccin predeterminadas del cliente de la versin 11.x

Antivirus + TruScan
Antivirus bsico
Antivirus sin la proteccin contra amenazas Antivirus sin SONAR ni Diagnstico Insight de intrusin de descargas
Asignacin de funciones entre clientes de la versin 11.x y 12.1

Cuando se usa la actualizacin automtica y se selecciona la opcin Mantener las funciones existentes, las funciones que se configuran en clientes de versiones anteriores se asignan a la versin ms reciente. Las tablas en esta seccin representan la asignacin de funciones entre las versiones previas y la versin ms reciente de Symantec Endpoint Protection para las situaciones comunes de actualizacin. Si migrar de una versin anterior, tenga en cuenta que Proteccin antivirus y antispyware en Symantec Endpoint Protection 11.x se llama Proteccin antivirus y antispyware en Symantec Endpoint Protection 12.1. Nota: Symantec Endpoint Protection Small Business Edition usa las siglas SBE en el nombre del producto. La versin empresarial de Symantec Endpoint Protection no usa ninguna sigla. Tabla A-4 Proteccin completa de 11.0 a 12.1
Funciones existentes de 11.0 instaladas Funciones de 12.1 instaladas


Proteccin antivirus y antispyware bsico Diagnstico Insight de descargas
1100

Proteccin de correo electrnico de Auto-Protect


Analizador de POP3/SMTP Analizador de Microsoft Outlook Analizador de Lotus Notes

Anlisis de amenazas proactivo TruScan SONAR Control de aplicaciones y dispositivos


Proteccin contra amenazas de red Prevencin de intrusiones
Tabla A-5
AV 11.0 a 12.1 solamente

Proteccin antivirus y antispyware bsico


Tabla A-6
TruScan 11.0 a 12.1 solamente




1101


Anlisis de amenazas proactivo TruScan SONAR Control de aplicaciones y dispositivos
Sistema de prevencin de intrusiones (necesario para el control de aplicaciones y dispositivos)
Tabla A-7
Firewall 11.0 a 12.1 solamente



Tabla A-8
SBE 12.0 a 12.1 Funciones de 12.1 instaladas


Funciones existentes de SBE 12.0 instaladas



Analizador de POP3/SMTP Analizador de Microsoft Outlook
1102

Funciones de 12.1 instaladas

Anlisis de amenazas proactivo TruScan SONAR

Firewall y Prevencin de intrusiones
Tabla A-9
Toda la proteccin de SBE 12.0 a 12.1 (de 32 bits) Funciones de SBE 12.1 instaladas

Proteccin antivirus y antispyware bsico

Analizador de correo electrnico
Anlisis de amenazas proactivo TruScan
Tabla A-10
Toda la proteccin de SBE 12.0 a 12.1 (de 64 bits) Funciones de SBE 12.1 instaladas


Proteccin antivirus y antispyware bsico Proteccin estndar

1103

Funciones de SBE 12.1 instaladas
Tabla A-11
SBE 12.0 a 12.1 sin firewall Funciones de SBE 12.1 instaladas




Tabla A-12
SBE 12.0 a 12.1 sin TruScan (clientes no administrados solamente) Funciones de SBE 12.1 instaladas



1104
Las tablas siguientes muestran cmo la configuracin del correo electrnico se asigna entre las versiones Small Business Edition del producto. En la versin 12.1 del cliente, el analizador de correo electrnico reemplaza al analizador de POP3/SMTP y al analizador de Microsoft Outlook. Tabla A-13 SBE 12.0 a 12.1 sin ningn anlisis de correo electrnico instalado en el cliente de versin anterior Funciones de SBE 12.1 instaladas


Ninguno instalado
Ninguno instalado
Tabla A-14
SBE 12.0 a 12.1 con el analizador de SBE POP3/SMTP instalado en el cliente de versin anterior Funciones de SBE 12.1 instaladas


1105


Analizador de POP3/SMTP solamente
Ninguno instalado
Nota: Ambos analizadores en el cliente

de versin anterior se deben activar para que el analizador de correo electrnico del cliente SBE 12.1 se active de forma automtica durante la actualizacin automtica. Adems, el cliente de la versin anterior de 12.0 de 64 bits no tiene un analizador de POP3/SMTP. Por lo tanto, el anlisis de correo electrnico se activa de forma automtica en los clientes de la versin 12.1 de 64 bits. Es posible activar esta funcin enviando una nueva poltica que habilite el anlisis de correo electrnico para los clientes de 64 bits.
Tabla A-15
SBE 12.0 a 12.1 con el analizador de SBE POP3/SMTP instalado en el cliente de versin anterior Funciones de SBE 12.1 instaladas


1106


Analizador de Microsoft Outlook
Ninguno instalado
Nota: Ambos analizadores de correo

electrnico en el cliente de versin anterior se deben activar para que el analizador de correo electrnico del cliente SBE 12.1 se active de forma automtica durante la actualizacin automtica. Adems, el cliente de la versin anterior de 12.0 de 64 bits no tiene un analizador de POP3/SMTP. Por lo tanto, el anlisis de correo electrnico se activa de forma automtica en los clientes de la versin 12.1 de 64 bits. Es posible activar esta funcin enviando una nueva poltica que habilite el anlisis de correo electrnico para los clientes de 64 bits.
Apndice
Personalizacin e implementacin de la instalacin del cliente con herramientas de otro fabricante


Instalacin del software de cliente usando herramientas de otro fabricante Acerca de las funciones y propiedades de instalacin del cliente Propiedades de la instalacin de clientes de Symantec Endpoint Protection Funciones del cliente de Symantec Endpoint Protection Parmetros de Windows Installer Propiedades del Centro de seguridad de Windows Ejemplos de lnea de comandos para instalar el cliente Acerca de la instalacin y la implementacin del software de cliente con Symantec Management Agent Instalacin de clientes con Microsoft SMS 2003 Instalacin de clientes con el objeto de polticas de grupo de Active Directory
1108
Personalizacin e implementacin de la instalacin del cliente con herramientas de otro fabricante Instalacin del software de cliente usando herramientas de otro fabricante
Desinstalar el software de cliente con un Objeto de poltica de grupo de Active Directory
Instalacin del software de cliente usando herramientas de otro fabricante

Es posible instalar el cliente usando herramientas de otro fabricante con excepcin de las se instalan con el servidor de administracin. Si tiene una red grande, es ms probable que se beneficie usando estas opciones para instalar el software de cliente de Symantec. Es posible instalar el cliente usando una variedad de productos de otro fabricante, tales como Microsoft Active Directory, Tivoli, Microsoft Systems Management Server (SMS) y Novell ZENworks. Symantec Endpoint Protection admite Novell ZENworks, Microsoft Active Directory y Microsoft SMS. Tabla B-1 muestra el software de otro fabricante y las herramientas que se pueden usar para instalar el cliente
Personalizacin e implementacin de la instalacin del cliente con herramientas de otro fabricante Instalacin del software de cliente usando herramientas de otro fabricante
1109
Tabla B-1 Herramienta
Herramientas de otro fabricante para instalar el cliente Descripcin

Los paquetes de instalacin de software de cliente de Symantec son archivos de Windows Installer (.msi) que se pueden configurar usando las opciones estndar de Windows Installer. Se pueden utilizar las herramientas de administracin de entornos que admitan la implementacin de .msi, como Active Directory o Tivoli, para instalar los clientes en una red. Ver "Acerca de las funciones y propiedades de instalacin del cliente" en la pgina 1110. Ver "Acerca de la configuracin de cadenas de comando de MSI" en la pgina 1111. Ver "Acerca de la configuracin de Setaid.ini" en la pgina 1111. Ver "Funciones del cliente de Symantec Endpoint Protection" en la pgina 1113. Ver "Propiedades de la instalacin de clientes de Symantec Endpoint Protection" en la pgina 1113. Ver "Parmetros de Windows Installer" en la pgina 1115. Ver "Ejemplos de lnea de comandos para instalar el cliente" en la pgina 1118.
Herramientas de lnea de comandos .msi de Windows
Centro de seguridad de Windows
Es posible configurar cmo Windows Security Center funciona con el cliente. Ver "Propiedades del Centro de seguridad de Windows" en la pgina 1117.
Altiris Agent o Symantec Management Agent
Es posible instalar el cliente con el componente de Symantec Integrated, el cual se instala con Symantec Endpoint Protection Manager. Ver "Acerca de la instalacin y la implementacin del software de cliente con Symantec Management Agent" en la pgina 1119.
Microsoft SMS 2003
Es posible instalar el cliente usando Microsoft Systems Management Server. Ver "Instalacin de clientes con Microsoft SMS 2003" en la pgina 1119.
1110
Personalizacin e implementacin de la instalacin del cliente con herramientas de otro fabricante Acerca de las funciones y propiedades de instalacin del cliente
Herramienta
Windows 2003 Active Directory
Descripcin
Es posible usar el Objeto de directiva de grupo de Active Directory de Windows 2000/2003 si los equipos cliente ejecutan Windows 2000/2003. Ver "Instalacin de clientes con el objeto de polticas de grupo de Active Directory" en la pgina 1121. Ver "Desinstalar el software de cliente con un Objeto de poltica de grupo de Active Directory" en la pgina 1128.
Software de virtualizacin
Es posible instalar el cliente en entornos virtuales. Ver "Instalaciones virtuales y productos de virtualizacin admitidos" en la pgina 89.
Ver "Cmo implementar clientes usando un vnculo web y un correo electrnico" en la pgina 138.
Acerca de las funciones y propiedades de instalacin del cliente

Las funciones y las propiedades de instalacin aparecen como cadenas en archivos de texto y lneas de comandos. Los archivos de texto y las lneas de comandos se procesan durante todas las instalaciones del software de cliente. Las funciones de instalacin controlan qu componentes se instalarn. Las propiedades de instalacin controlan qu subcomponentes se habilitan o se deshabilitan despus de la instalacin. Las funciones y las propiedades de instalacin estn disponibles para el software del cliente de Symantec Endpoint Protection solamente, y tambin estn disponibles para el sistema operativo Windows. Las funciones y las propiedades de instalacin no estn disponibles para el software de cliente de Symantec Network Access Control o para las instalaciones de Symantec Endpoint Protection Manager. Las funciones y las propiedades de instalacin se especifican en dos maneras: como lneas en el archivo Setaid.ini y como valores en comandos de Windows Installer (msi). Los comandos msi se pueden especificar en cadenas de Windows Installer y en vpremote.dat para la implementacin personalizada del Asistente de implementacin mediante transferencia. Los comandos de Windows Installer y Setaid.ini se procesan siempre para todas las instalaciones de software de clientes administrados. Si se especifican diferentes valores, los valores de Setaid.ini siempre tienen prioridad.
1111
Acerca de la configuracin de cadenas de comando de MSI

El software de instalacin de Symantec Endpoint Protection utiliza paquetes de Windows Installer (MSI) 3.1 para la instalacin y la implementacin. Si usa la lnea de comandos para implementar un paquete, es posible personalizar la instalacin. Es posible usar los parmetros estndar de Windows Installer y las funciones y propiedades especficas de Symantec. Para utilizar Windows Installer, se necesitan privilegios elevados. Si se intenta realizar la instalacin sin los privilegios elevados, el proceso fallar sin que se muestre ninguna notificacin. Para obtener la lista ms actualizada de comandos de instalacin y de parmetros de Symantec, consulte el artculo de la base de conocimientos de soporte de Symantec, Referencia de la lnea de comandos de MSI para Symantec Endpoint Protection Nota: No se admite la funcin de anuncios de Microsoft Installer. Las funciones y propiedades especificadas en Setaid.ini tienen precedencia sobre las funciones y propiedades especificadas por MSI. Los nombres de las funciones y propiedades en los comandos de MSI diferencian entre maysculas y minsculas. Ver "Acerca de la configuracin de Setaid.ini" en la pgina 1111.
Acerca de la configuracin de Setaid.ini

Setaid.ini aparece en todos los paquetes de instalacin. Setaid.ini siempre tiene prioridad sobre cualquier configuracin que pueda aparecer en una cadena de comando de msi que se utilice para iniciar la instalacin. Setaid.ini aparece en el mismo directorio que setup.exe. Si exporta a un solo archivo .exe, no es posible configurar Setaid.ini. Sin embargo, el archivo se configura automticamente cuando se exportan los archivos de instalacin del cliente de Symantec Endpoint Protection desde la consola. Las lneas siguientes muestran algunas de las opciones que se pueden configurar en Setaid.ini.
[CUSTOM_SMC_CONFIG] InstallationLogDir= DestinationDirectory= [FEATURE_SELECTION] Core=1 SAVMain=1 Download=1 OutlookSnapin=1
1112
Pop3Smtp=0 NotesSnapin=0 PTPMain=1 DCMain=1 TruScan=1
Nota: Las funciones se muestran con sangra para mostrar jerarqua. Las funciones no incluyen esta sangra dentro del archivo Setaid.ini. Los nombres de funciones en Setaid.ini diferencian entre maysculas y minsculas. Los valores de funciones que se configuran en 1 instalan las funciones. Los valores de funciones que se configuran en 0 no instalan las funciones. Es necesario especificar e instalar las funciones principales correctamente para instalar las funciones del cliente. Ver "Funciones del cliente de Symantec Endpoint Protection" en la pgina 1113. La nica vez que Setaid.ini no se procesa es cuando se instala el software de cliente con los archivos en el disco del producto SAV. Es posible instalar estos archivos con las herramientas de distribucin de otro fabricante, como SMS/SCCM. Tenga en cuenta la siguiente configuracin adicional de setaid.ini que se asigna a las propiedades msi para la instalacin del cliente de Symantec Endpoint Protection:

DestinationDirectory se asigna a INSTALLDIR KeepPreviousSetting se asigna a MIGRATESETTINGS AddProgramIntoStartMenu se asigna a ADDSTARTMENUICON
Personalizacin e implementacin de la instalacin del cliente con herramientas de otro fabricante Propiedades de la instalacin de clientes de Symantec Endpoint Protection
1113
Propiedades de la instalacin de clientes de Symantec Endpoint Protection

Tabla B-2 Propiedades de la instalacin de clientes de Symantec Endpoint Protection Propiedad
RUNLIVEUPDATE =valor
Descripcin
Determina si se debe ejecutar LiveUpdate como parte de la instalacin, donde valor corresponde a uno de los valores siguientes:

1: ejecuta LiveUpdate durante la instalacin (configuracin predeterminada). 0: no ejecuta LiveUpdate durante la instalacin.
De forma predeterminada, todos los clientes de Symantec Endpoint Protection en un grupo reciben las ltimas versiones de todo el contenido y de todas las actualizaciones del producto. Si se configura para obtener actualizaciones de un servidor de administracin, los clientes reciben solo las actualizaciones que descarga el servidor. Si la poltica de contenidos de LiveUpdate se configura para permitir todas las actualizaciones, pero el servidor de administracin no se configura para descargar todas las actualizaciones, los clientes reciben solo lo que el servidor descarga. ENABLEAUTOPROTECT Determina si Auto-Protect para el sistema de archivos est activado una vez finalizada =valor la instalacin, donde valor corresponde a uno de los valores siguientes:

1: habilita Auto-Protect despus de la instalacin (valor predeterminado). 0: deshabilita Auto-Protect despus de la instalacin.
SYMPROTECTDISABLED Determina si se debe habilitar Proteccin contra intervenciones como parte de la =valor instalacin, donde valor corresponde a uno de los valores siguientes:

1: deshabilita Proteccin contra intervenciones despus de la instalacin. 0: habilita Proteccin contra intervenciones despus de la instalacin (valor predeterminado)
Funciones del cliente de Symantec Endpoint Protection

Tabla B-3 enumera las funciones de Symantec Endpoint Protection que se puede instalar especificndose en archivos Setaid.ini y en comandos msi. La mayora de las funciones tienen una relacin de elemento principal y secundario. Si desea instalar una funcin secundaria que tenga una funcin principal, es necesario tambin instalar la funcin principal. Para setaid.ini y msi, si especifica una funcin secundaria, pero no especifica su funcin principal, la funcin secundaria se instala. Sin embargo, la funcin no
1114
Personalizacin e implementacin de la instalacin del cliente con herramientas de otro fabricante Funciones del cliente de Symantec Endpoint Protection
podr utilizarse porque la funcin principal no est instalada. Por ejemplo, si especifica la instalacin de la funcin de firewall, pero no especifica la instalacin de NTPMain, el firewall no se instala. Tabla B-3 Funcin
Core
Funciones del cliente de Symantec Endpoint Protection Descripcin Funciones principales obligatorias
Instala los archivos que se usan para Ninguno las comunicaciones entre los clientes y Symantec Endpoint Protection Manager. Esta funcin es obligatoria. Instala virus, spyware y proteccin Core bsica de descarga. Las subfunciones instalan la proteccin adicional. Instala la proteccin completa para SAVMain archivos descargados. Incluye anlisis de reputacin completamente funcional por Diagnstico Insight de descargas. Instala la funcin de correo electrnico de Auto-Protect para Lotus Notes. Instala la funcin de correo electrnico de Auto-Protect para Microsoft Exchange. SAVMain
SAVMain
Descargar
NotesSnapin
OutlookSnapin
SAVMain
Pop3Smtp
Instala la proteccin de correo POP3 SAVMain y SMTP. Disponible solamente en sistemas de 32 bits. Instala los componentes de Proteccin proactiva contra amenazas. Instala la funcin de anlisis de SONAR. Instala la funcin Control de aplicaciones y Control de dispositivos. Core
PTPMain
TruScan
PTPMain
DCMain
PTPMain
Personalizacin e implementacin de la instalacin del cliente con herramientas de otro fabricante Parmetros de Windows Installer
1115
Funcin
NTPMain
Descripcin
Funciones principales obligatorias
Instala los componentes de Core Proteccin contra amenazas de red. Instala la funcin de prevencin contra intrusiones de navegador y de prevencin de intrusiones, y la red. Instala la funcin del firewall. Instala recursos en ingls. NTPMain
ITPMain
Firewall LANG1033
NTPMain Core
Parmetros de Windows Installer

Los paquetes de instalacin del cliente de Symantec Endpoint Protection Manager emplean los parmetros estndar de Windows Installer junto con un conjunto de extensiones para la instalacin y la implementacin de lneas de comandos. Consulte la documentacin de Windows Installer para obtener informacin adicional acerca del uso de los parmetros estndar de Windows Installer. Es posible tambin ejecutar msiexec.exe desde una lnea de comandos para ver la lista completa de parmetros. Tabla B-4 Parmetro
Symantec AntiVirus.msi
Parmetros de Windows Installer
Descripcin
Archivo de instalacin Symantec AntiVirus.msi para el cliente de Symantec Endpoint Protection Manager. Si algn archivo .msi contiene espacios, escriba el nombre del archivo entre comillas cuando se utilice con /I y /x. Obligatorio.
Msiexec
Archivo ejecutable de Windows Installer. Obligatorio.
/I "nombre de archivo msi"
Instala el archivo .msi especificado. Si el nombre del archivo contiene espacios, escriba el nombre entre comillas. Si el archivo .msi no est en el mismo directorio desde el que se ejecuta Msiexec, especifique el nombre de la ruta de acceso. Si el nombre de la ruta de acceso contiene espacios, escrbalo entre comillas. Por ejemplo, msiexec.exe /I C: ruta a Symantec AntiVirus .msi Obligatorio.
1116
Personalizacin e implementacin de la instalacin del cliente con herramientas de otro fabricante Parmetros de Windows Installer
Parmetro
/qn
Descripcin
Permite realizar la instalacin de forma silenciosa.
Nota: Cuando se usa una implementacin silenciosa, las aplicaciones que se conectan a
Symantec Endpoint Protection, como Microsoft Outlook y Lotus Notes, se deben reiniciar despus de la instalacin. /x "nombre de archivo Permite desinstalar los componentes especificados. msi" Opcional. /qb Permite instalar con una interfaz de usuario bsica que muestra el progreso de la instalacin. Opcional. /l*v archivo de registro Crea un archivo de registro detallado, donde archivo de registro corresponde al nombre del archivo que se quiere crear. Opcional. INSTALLDIR=ruta Permite designar una ruta personalizada en el equipo de destino, donde ruta corresponde al directorio de destino especificado. Si la ruta incluye espacios, deber escribirla entre comillas.
Nota: El directorio predeterminado es C:\Program Files\Symantec Endpoint Protection

Manager Opcional. REBOOT=valor Controla el reinicio del equipo tras la instalacin, donde valor corresponde a un argumento vlido. Los argumentos vlidos son:

Force: exige que se reinicie el equipo. Necesario para la desinstalacin. Suppress: impide que se reinicie el equipo en la mayora de las ocasiones. ReallySuppress: impide todos los reinicios como parte del proceso de instalacin, incluso las instalaciones silenciosas.
Opcional.
Nota: Utilice ReallySuppress para suprimir un reinicio cuando se realiza una desinstalacin
silenciosa del cliente de Symantec Endpoint Protection.
Personalizacin e implementacin de la instalacin del cliente con herramientas de otro fabricante Propiedades del Centro de seguridad de Windows
1117
Parmetro
ADDLOCAL= funcin
Descripcin
Permite seleccionar las funciones que se quieren instalar, donde funcin corresponde a un componente especfico o a una lista de componentes. Si esta propiedad no se utiliza, todas las funciones aplicables se instalan de forma predeterminada, y los clientes de correo electrnico de Auto-Protect se instalan solo para los programas de correo detectados. Para agregar todas las funciones apropiadas para las instalaciones de clientes, utilice el comando ALL como en ADDLOCAL=ALL. Ver "Funciones del cliente de Symantec Endpoint Protection" en la pgina 1113.
Nota: Cuando se especifica una nueva funcin para instalar, es necesario incluir los nombres
de las funciones que ya estn instaladas y que desee guardar. Si no se especifican las funciones que se quieren conservar, Windows Installer las desinstala. Al especificar las funciones existentes, usted no sobrescribe las funciones instaladas. Para desinstalar una funcin existente, utilice el comando REMOVE. Opcional. REMOVE=funcin Desinstala un programa instalado previamente o una funcin especfica del programa instalado, donde funcin puede corresponder a uno de los siguientes elementos:

Funcin: desinstala la funcin o la lista de funciones del equipo de destino. ALL: desinstala el programa y todas las funciones instaladas. Si no se especifica otra funcin, All es el valor predeterminado.
Opcional.
Propiedades del Centro de seguridad de Windows

Es posible personalizar las propiedades del Centro de seguridad de Windows (WSC, Windows Security Center) durante la instalacin del cliente de Symantec Endpoint Protection. Estas propiedades se aplican a los clientes no administrados solamente. Symantec Endpoint Protection Manager controla estas propiedades para los clientes administrados. Tabla B-5 Propiedad
WSCCONTROL=valor
Propiedades del Centro de seguridad de Windows Descripcin

Controla WSC, donde valor corresponde a uno de los valores siguientes:

0: no controlar (valor predeterminado). 1: deshabilitar una vez, la primera vez que se detecta. 2: deshabilitar siempre. 3: restaurar si est deshabilitado.
1118
Personalizacin e implementacin de la instalacin del cliente con herramientas de otro fabricante Ejemplos de lnea de comandos para instalar el cliente
Propiedad
WSCAVALERT=valor
Descripcin
Configura alertas de antivirus para WSC, donde valor corresponde a uno de los valores siguientes:

0: habilitar. 1: deshabilitar (valor predeterminado). 2: no controlar.
WSCFWALERT=valor
Configura alertas de firewall para WSC, donde valor corresponde a uno de los valores siguientes:

0: habilitar. 1: deshabilitar (valor predeterminado). 2: no controlar.
WSCAVUPTODATE=valor Configura el tiempo de desactualizacin de WSC para definiciones antivirus, donde valor corresponde a uno de los valores siguientes: 1 - 90: nmero de das (el valor predeterminado es 30). DISABLEDEFENDER=valor Determina si se deshabilita Windows Defender durante la instalacin, donde valor corresponde a uno de los valores siguientes: 1: deshabilita Windows Defender (configuracin predeterminada). 0: no deshabilita Windows Defender.
Ejemplos de lnea de comandos para instalar el cliente

Tabla B-6 Tarea Ejemplos de lnea de comandos Lnea de comandos
Instalar silenciosamente todos los componentes de cliente msiexec /I "SEP.msi" INSTALLDIR=C:\SFN de Symantec Endpoint Protection con las opciones REBOOT=ReallySuppress /qn /l*v c:\temp\msi.log predeterminadas en el directorio C:\SFN. Suprimir un reinicio del equipo y crear un archivo de registro detallado.
Personalizacin e implementacin de la instalacin del cliente con herramientas de otro fabricante Acerca de la instalacin y la implementacin del software de cliente con Symantec Management Agent
1119
Tarea
Lnea de comandos
Instalar silenciosamente el cliente de Symantec Endpoint msiexec /I "SEP.msi" Protection con Proteccin antivirus y antispyware y con ADDLOCAL=Core,SAVMain,EMailTools,OutlookSnapin, Proteccin contra amenazas de red. Pop3Smtp,ITPMain,Firewall /qn /l*v c:\temp\msi.log Crear un archivo de registro detallado. El equipo se debe reiniciar para implementar la Proteccin contra amenazas de red.
Acerca de la instalacin y la implementacin del software de cliente con Symantec Management Agent
Es posible instalar e implementar el software de cliente de Symantec en los equipos Windows mediante el software de Altiris, ahora llamado Symantec Management Agent. Symantec Endpoint Protection proporciona un componente integrado gratuito para Symantec Endpoint Protection que proporciona funcionalidades de instalacin predeterminadas, administracin de clientes integrada y elaboracin de informes de alto nivel. Symantec Management Agent permite a las organizaciones de tecnologa de la informacin administrar, proteger y proporcionar activos de TI heterogneos. Tambin admite transferencia de software, administracin de parches y muchas otras funcionalidades de administracin. El software de Altiris ayuda a alinear servicios para conducir objetivos de negocio, proporcionar niveles de seguridad adecuados para auditoras, automatizar tareas y reducir los costos y la complejidad de la administracin. Para obtener informacin sobre el componente integrado para Symantec Endpoint Protection, consulte la documentacin Tools/SEPIntegrationComponent en el disco del producto. Para obtener informacin sobre Altiris, vaya a la siguiente URL: http://www.altiris.com Para descargar el componente de integracin para Symantec Endpoint Protection u otras soluciones de Altiris, vaya a la siguiente URL: http://www.altiris.com/Download.aspx
Instalacin de clientes con Microsoft SMS 2003

Puede utilizar Microsoft Systems Management Server (SMS) para instalar el software de cliente de Symantec. Se asume que los administradores del sistema
1120
Personalizacin e implementacin de la instalacin del cliente con herramientas de otro fabricante Instalacin de clientes con Microsoft SMS 2003
que utilizan SMS han instalado previamente software con SMS. Como resultado, se asume que no es necesario proporcionar informacin detallada acerca de la instalacin de software de cliente de Symantec con SMS. Nota: Este tema adems se aplica a Microsoft System Center Configuration Manager (SCCM). El software de instalacin de clientes de Symantec requiere que Microsoft Installer 3.1 se ejecute en los equipos cliente antes de la instalacin. Este software se instala automticamente (si no estaba instalado) en los equipos cliente, pero solamente cuando se implementa con un solo archivo ejecutable setup.exe. Este software no se instala automticamente si se implementa con el archivo msi. Los equipos con Windows Server 2003 con Service Pack 2 y Windows Vista incluyen Microsoft Installer 3.1 o superior. Si es necesario, primero implemente WindowsInstaller-x86.exe incluido en Symantec Endpoint Protection y el disco del producto de Symantec Network Access Control. La actualizacin a msi 3.1 adems necesita que reinicie el equipo. Nota: Esta nota se aplica a la versin 2.0 de SMS y anteriores: Si usa SMS, desactive la funcin Mostrar el icono de estado en la barra de herramientas para todas las actividades del sistema en los clientes de Monitor de programas anunciados. En ocasiones, Setup.exe podra necesitar actualizar un archivo compartido que est en uso por el Monitor de programas anunciados. Si se est usando el archivo, no se podr llevar a cabo la instalacin. Symantec recomienda que los paquetes de SMS/SCCM inicien Setup.exe en lugar del MSI directamente. Este mtodo asegura que el motor de MSI pueda realizar una actualizacin a la versin mnima recomendada y habilita el registro del instalador. Use la funcin personalizada de creacin de paquetes en SMS/SCCM para crear paquetes personalizados en lugar de la funcin del asistente de paquetes. Advertencia: Es necesario incluir un archivo Sylink.xml en los paquetes de instalacin de clientes que usted cre usando los archivos en el disco del producto. Debe incluir un archivo Sylink.xml que se crea despus de la instalacin y usar Symantec Endpoint Protection Manager. El archivo Sylink.xml identifica el servidor de administracin al cual los clientes informan. Si no incluye este archivo, el cliente est instalado como cliente no administrado. Como resultado, todos los clientes se instalan con las configuraciones predeterminadas y no se comunican con un servidor de administracin.
Personalizacin e implementacin de la instalacin del cliente con herramientas de otro fabricante Instalacin de clientes con el objeto de polticas de grupo de Active Directory
1121
Tabla B-7 enumera las tareas para crear y distribuir software del cliente Symantec con SMS 2003. Tabla B-7 Proceso para instalar el cliente que usa Microsoft Systems Management Server Descripcin
Cree un paquete de instalacin de software con Symantec Endpoint Protection Manager que contenga el software y las polticas para instalar en sus equipos cliente. Adems, este paquete de instalacin de software debe contener un archivo denominado Sylink.xml, que identifica el servidor que administra los clientes. Cree un directorio de origen y copie los archivos de instalacin de clientes de Symantec en ese directorio. Por ejemplo, se creara un directorio de origen que contiene los archivos de instalacin para el software de cliente de Symantec. Cree un paquete, asgnele un nombre e identifique el directorio de origen como parte del paquete. Configure el cuadro de dilogo Programa para el paquete a fin de especificar el ejecutable que inicia el proceso de instalacin y especifique el msi con parmetros. Distribuya el software en colecciones especficas con anuncios.
Paso
Paso 1
Paso 2
Paso 3
Paso 4
Paso 5
Para obtener ms informacin sobre cmo usar SMS/SCCM, consulte la documentacin de Microsoft apropiada para su versin.
Instalacin de clientes con el objeto de polticas de grupo de Active Directory

Es posible instalar el cliente usando el objeto de polticas de grupo de Active Directory en Windows 2000/2003. En los procedimientos para instalar software de cliente con un Objeto de poltica de grupo de Active Directory, se asume que se ha instalado este software y se usa Active Directory de Windows 2003. El software de instalacin requiere que los equipos cliente contengan y puedan ejecutar Windows Installer 3.1 o posterior. Los equipos cliente cumplen este requisito si ejecutan Windows XP con Service Pack 2 y posterior, Windows Server 2003 con Service Pack 1 y posterior, y Windows Vista. Si los equipos cliente no cumplen este requisito, el resto de los mtodos de instalacin instalan automticamente Windows Installer 3.1 inicindolo desde los archivos de instalacin.
1122
Por motivos de seguridad, los objetos de poltica de grupo de Windows no permiten el inicio del archivo ejecutable WindowsInstaller*.exe desde los archivos de instalacin. Por lo tanto, antes de instalar el software de cliente de Symantec, es necesario ejecutar este archivo en los equipos que no contienen y no ejecutan Windows Installer 3.1. Es posible ejecutar este archivo con un script de inicio del equipo. Si usa un objeto de polticas de grupo como mtodo de instalacin, es necesario decidir cmo actualizar los equipos cliente que no ejecutan Windows Installer 3.1. La instalacin de clientes de Symantec utiliza los archivos .msi estndar de Windows Installer. Como resultado, es posible personalizar la instalacin del cliente con las propiedades .msi Ver "Acerca de la configuracin de cadenas de comando de MSI" en la pgina 1111. Finalmente, confirme que el servidor DNS est instalado correctamente. Es necesario usar el programa de instalacin correcto, ya que Active Directory confa en su servidor DNS para la comunicacin del equipo. Para probar el programa de instalacin, puede establecer una comunicacin ping con el equipo de Windows Active Directory y, despus, establecer una comunicacin ping en la direccin opuesta. Utilice el nombre de dominio completo. Utilizar el nombre del equipo solamente no requiere nuevas operaciones de bsqueda DNS. Utilice el siguiente formato:
ping nombreequipo.nombredominiocompleto.com
Tabla B-8
Pasos para instalar el software de cliente usando un Objeto de polticas de grupo de Active Directory Accin
Crear la imagen de instalacin administrativa. Ver "Crear la imagen de instalacin administrativa" en la pgina 1123.
Paso
Paso 1
Paso 2
Copiar Sylink.xml a los archivos de instalacin. Ver " Copia de un archivo Sylink.xml a los archivos de instalacin" en la pgina 1127.
Paso 3
Establecer la imagen de instalacin administrativa.
1123
Paso
Paso 4
Accin
Crear una distribucin de software de objeto de polticas de grupo. Es necesario tambin probar la instalacin de GPO con una pequea cantidad de equipos antes de implementarlo en los equipos de produccin. Si el DNS no se configura correctamente, las instalaciones de GPO pueden tardar una hora o ms. Ver "Crear una distribucin de software de objeto de poltica de grupo" en la pgina 1124.
Paso 5
Crear un script de inicio de Windows Installer 3.1. Ver "Crear un script de inicio de Windows Installer 3.1" en la pgina 1125.
Paso 6
Agregar equipos a la unidad organizativa. Ver "Adicin de equipos a la unidad organizativa y el software de instalacin" en la pgina 1127.
Ver "Desinstalar el software de cliente con un Objeto de poltica de grupo de Active Directory" en la pgina 1128.
Crear la imagen de instalacin administrativa

Las instalaciones Objeto de poltica de grupo que utilizan Windows Installer 3.0, o una versin anterior, requieren imgenes administrativas de los archivos de instalacin de clientes. Esta imagen no es un requisito para las instalaciones en la versin 3.1 y posteriores, y es opcional. Aunque no cree la imagen administrativa, debe copiar el contenido de la carpeta SEP disco del producto en el equipo. Ver "Instalacin de clientes con el objeto de polticas de grupo de Active Directory" en la pgina 1121. Para crear la imagen de instalacin administrativa
1 2 3 4 5
Copie los contenidos del disco del producto en el equipo. Desde una lnea de comandos, vaya a la carpeta SEP y escriba msiexec /a
"SEP.msi"
En el panel de bienvenida, haga clic en Siguiente. En el panel Ubicacin de red, especifique la ubicacin donde desea crear la imagen de instalacin administrativa y, a continuacin, haga clic en Instalar. Haga clic en Finalizar.
1124
Crear una distribucin de software de objeto de poltica de grupo

En este procedimiento, se supone que usted ha instalado la Consola de administracin de polticas de grupo de Microsoft con Service Pack 1 o posterior. En este procedimiento, tambin se asume que hay equipos en el grupo de equipos o en otro grupo en los cuales se desea instalar el software de cliente. Es posible arrastrar estos equipos en un nuevo grupo que se cree. Nota: Si se habilita el control de la cuenta de usuario (UAC), es necesario habilitar Instalar siempre con privilegios elevados para que Configuracin del equipo y Configuracin de usuario instalen el software de cliente de Symantec con un objeto de polticas de grupo. Configure estas opciones para permitir que todos los usuarios de Windows instalen el software de cliente de Symantec. Ver "Instalacin de clientes con el objeto de polticas de grupo de Active Directory" en la pgina 1121. Para crear un paquete de GPO
1 2
En la barra de tareas de Windows, haga clic en Inicio > Programas > Herramientas administrativas > Administracin de polticas de grupo. En la ventana Usuarios y equipos de Active Directory, en el rbol de la consola, haga clic con el botn secundario en el dominio y despus haga clic en Usuarios y equipos de Active Directory. En la ventana Usuarios y equipos de Active Directory, haga clic con el botn secundario en Dominio y despus haga clic en Nueva > Unidad organizativa. En el cuadro de dilogo Nuevo objeto, en el cuadro Nombre, escriba un nombre para su unidad organizativa y haga clic en Aceptar. En la ventana Usuarios y equipos de Active Directory, haga clic en Archivo > Salir. En la ventana Administracin de polticas de grupo, en el rbol de la consola, haga clic con el botn secundario en la unidad organizativa que usted cre y despus haga clic en Crear y vincular un GPO aqu. Puede ser necesario actualizar el dominio para ver su nueva unidad organizativa.
3 4 5 6
7 8
En el cuadro de dilogo Nuevo GPO, en el cuadro Nombre, escriba un nombre para su GPO y haga clic en Aceptar. En el panel derecho, haga clic con el botn secundario en el GPO que usted cre y despus haga clic en Editar.
1125
En la ventana Editor de objetos de poltica de grupo, en el panel izquierdo, en Configuracin del equipo, ample Configuracin de software. haga clic en Nuevo > Paquete.
10 Haga clic con el botn secundario en Instalacin de software y, a continuacin, 11 En el cuadro de dilogo Abrir, escriba la ruta de convencin de nomenclatura
universal (UNC) que hace referencia al paquete de MSI y lo contiene. Utilice el formato segn el ejemplo siguiente:
\\nombre de servidor\SharedDir\Symantec AntiVirus.msi
12 Haga clic en Abrir. 13 En el cuadro de dilogo Implementar software, haga clic en Asignado y
despus haga clic en Aceptar. El paquete aparece en el panel derecho de la ventana Editor de objetos de poltica de grupo si usted selecciona Instalacin de software. Para configurar plantillas para el paquete
En la ventana Editor de objetos de poltica de grupo, en el rbol de la consola, muestre y habilite las opciones siguientes:
Configuracin del equipo > Plantillas administrativas > Sistema > Inicio de sesin > Esperar siempre la deteccin de red al inicio del equipo y de sesin Configuracin del equipo > Plantillas administrativas > Sistema > Poltica de grupo > Procesamiento de polticas de instalacin de software Configuracin de usuario > Plantillas administrativas > Componentes de Windows > Windows Installer > Instalar siempre con privilegios elevados
2 3
Cierre la ventana del Editor de objetos de poltica de grupo. En la ventana Administracin de polticas de grupo, en el panel izquierdo, haga clic con el botn secundario en el objeto de poltica de grupo que usted edit y despus haga clic en Forzado. En el panel derecho, bajo Filtrado de seguridad, haga clic en Agregar. En el cuadro de dilogo, bajo Escriba el nombre de objeto a seleccionar, escriba Equipos del dominio y haga clic en Aceptar.
4 5
Crear un script de inicio de Windows Installer 3.1

Es necesario instalar Windows Installer 3.1 en los equipos que contienen y ejecutan versiones anteriores de Windows Installer. Es posible visualizar las versiones de Windows Installer ejecutando msiexec /? en una lnea de comandos. Windows
1126
Installer 3.1 es obligatorio para el paquete de instalacin GPO. Usted puede elegir la forma en que se instale Windows Installer 3.1 en los equipos. Nota: Los usuarios restringidos no pueden ejecutar Windows Installer 3.1, y los usuarios restringidos con privilegios elevados no pueden ejecutar Windows Installer 3.1. Los usuarios restringidos se configuran con la poltica de seguridad local. Una forma de instalar Windows Installer 3.1 es con un script de inicio del equipo de GPO. Los scripts de inicio se ejecutan antes que los archivos de instalacin .msi de GPO cuando los equipos se reinician. Si se utiliza este enfoque, tenga en cuenta que el script de inicio ejecuta y reinstala Windows Installer cada vez que se reinicia el equipo. Si lo instala en modo silencioso, sin embargo, los usuarios experimentan un retraso leve antes de ver la pantalla de inicio de sesin. El software de cliente de Symantec se instala solamente una vez con un GPO. Ver "Instalacin de clientes con el objeto de polticas de grupo de Active Directory" en la pgina 1121. Para instalar Windows Installer 3.1
En la ventana Administracin de polticas de grupo, en el rbol de la consola, ample su unidad organizativa, haga clic con el botn secundario en su paquete y despus haga clic en Editar. En la ventana Editor de objetos de poltica de grupo, en el rbol de la consola, expanda Configuracin del equipo > Configuracin de Windows y despus haga clic en Scripts (Inicio/Cierre). En el panel derecho, haga doble clic en Inicio. En el cuadro de dilogo Propiedades de inicio, haga clic en Mostrar archivos. En una nueva ventana, copie el archivo WindowsInstaller-893803-x86.exe de la carpeta GPO del archivo de instalacin a la carpeta y la ventana de Inicio. Vuelva a abrir el cuadro de dilogo Propiedades de inicio y haga clic en Agregar. En el cuadro de dilogo Agregar un script, haga clic en Examinar. En el cuadro de dilogo Examinar, seleccione el archivo ejecutable de Windows Installer y despus haga clic en Abrir. En el cuadro de dilogo Agregar un script, en el cuadro Parmetros de script, escriba /quiet /norestart y haga clic en Aceptar.
3 4 5 6 7 8 9
10 En el cuadro de dilogo Propiedades de inicio, haga clic en Aceptar. 11 Salga de la ventana del administrador de objetos de poltica de grupo.
1127
Adicin de equipos a la unidad organizativa y el software de instalacin

Es posible agregar los equipos a una unidad organizativa. Cuando los equipos se reinician, el proceso de instalacin de software de cliente comienza. Cuando los usuarios inician sesin en los equipos, el proceso de instalacin de software de cliente termina. La actualizacin de la poltica de grupo, sin embargo, no es instantnea. Por lo tanto, la propagacin de esta poltica puede tardar un tiempo. Este procedimiento, sin embargo, contiene los comandos que es posible ejecutar en los equipos cliente para actualizar la poltica cuando lo necesite. Ver "Instalacin de clientes con el objeto de polticas de grupo de Active Directory" en la pgina 1121. Para agregar los equipos a la unidad organizativa e instalar software
1 2
En la barra de tareas de Windows, haga clic en Inicio > Programas > Herramientas administrativas > Usuarios y equipos de Active Directory. En la ventana Usuarios y equipos de Active Directory, en el rbol de la consola, localice uno o ms equipos para agregarlos a la unidad organizativa que usted cre para la instalacin de GPO. Los equipos primero aparecen en la unidad organizativa de los equipos.
3 4 5 6
Arrastre los equipos y sultelos en la unidad organizativa que cre para la instalacin. Cierre la ventana Usuarios y equipos de Active Directory. Para aplicar rpidamente los cambios a los equipos cliente (para la prueba), abra una lnea de comandos en los equipos cliente. Escriba uno de los siguientes comandos y presione Intro.
En los equipos con Windows 2000, escriba secedit /refreshpolicy machine_policy. En los equipos con Windows XP o superior, escriba gpupdate.
Copia de un archivo Sylink.xml a los archivos de instalacin

Cuando se instala Symantec Endpoint Protection Manager, la instalacin crea un archivo denominado Sylink.xml. Los clientes de Symantec Endpoint Protection leen los contenidos de este archivo para saber qu servidor de administracin administra el cliente. Si no copia este archivo a los archivos de instalacin antes de instalar el software del cliente, los clientes se instalan como no administrados. Es necesario crear, por lo menos, un nuevo grupo con la consola de administracin
1128
Personalizacin e implementacin de la instalacin del cliente con herramientas de otro fabricante Desinstalar el software de cliente con un Objeto de poltica de grupo de Active Directory
antes de copiar el archivo. Si no lo hace, el archivo Sylink.xml provoca que los clientes aparezcan en grupo predeterminado. Nota: Los paquetes que se exportan con la consola de Symantec Endpoint Protection Manager incluyen un archivo Sylink.xml. Ver "Instalacin de clientes con el objeto de polticas de grupo de Active Directory" en la pgina 1121. Para copiar el archivo Sylink.xml a los archivos de instalacin
1 2
Si no lo ha hecho, instale Symantec Endpoint Protection Manager. Localice un archivo Sylink.xml en una de las carpetas de la bandeja de salida. De forma predeterminada, estas carpetas se encuentran en \\Archivos de programa\Symantec\Symantec Endpoint Protection Manager\data\outbox\agent\uid\, donde uid representa un nombre nico para la carpeta del paquete, como 8F171749C0A85C820163FBAA230DBF18. Es posible que deba abrir y leer los archivos Sylink.xml en las diversas carpetas uid con un programa de edicin de texto para encontrar el archivo que desea.
3 4
Si es necesario, copie Sylink.xml en soportes extrables. Copie Sylink.xml usando uno de los siguientes mtodos:
Si cre una imagen administrativa del archivo de instalacin, sobrescriba el archivo Sylink.xml en la carpeta \directorio_instalacin\Archivos de programa\Symantec Endpoint Protection Manager\. Si no cre una imagen administrativa del archivo de instalacin, copie la carpeta SEPT del disco del producto a una carpeta en su equipo. A continuacin, para crear un cliente administrado, copie el archivo Sylink.xml en esa carpeta de destino.
Desinstalar el software de cliente con un Objeto de poltica de grupo de Active Directory

Es posible desinstalar el software de cliente que se instal con Active Directory.
1129
Para desinstalar el software de cliente con un Objeto de poltica de grupo de Active Directory
En la barra de tareas de Windows, haga clic en Inicio > Programas > Herramientas administrativas > Administracin de polticas de grupo. La versin de Windows que se usa puede mostrar Todos los programas en vez de Programas, en el men Inicio.
En la ventana Administracin de polticas de grupo, en el rbol de la consola, expanda el dominio, expanda Configuracin del equipo, expanda Configuracin de software, haga clic con el botn secundario en Instalacin de software y despus haga clic en Propiedades. En la ficha Avanzadas, seleccione Desinstalar esta aplicacin cuando est fuera del mbito de administracin y despus haga clic en Aceptar. En el panel derecho, haga clic con el botn secundario en el paquete de software y despus haga clic en Quitar. En el cuadro de dilogo Quitar software, marque Desinstalar inmediatamente el software de usuarios y equipos y despus haga clic en Aceptar. Cierre la ventana Editor de objetos de poltica de grupo y despus cierre la ventana Administracin de polticas de grupo. El software se desinstala cuando se reinician los equipos cliente.
3 4 5 6
1130
Apndice
Interfaz de lnea de comandos del dispositivo Enforcer


Acerca de la jerarqua de comandos de la CLI del dispositivo Enforcer Jerarqua de comandos de la CLI Movimiento hacia arriba y hacia abajo en la jerarqua de comandos Accesos directos de pulsaciones del teclado de la CLI del dispositivo Enforcer Obtener ayuda con los comandos de la CLI Comandos de nivel superior
Acerca de la jerarqua de comandos de la CLI del dispositivo Enforcer

El dispositivo Enforcer tiene una interfaz de lnea de comandos (CLI) organizada en una jerarqua de comandos. Los comandos principales (comandos de nivel superior) incluyen los grupos de comandos siguientes que ofrecen acceso a comandos adicionales:

capture configure console
1132
Interfaz de lnea de comandos del dispositivo Enforcer Jerarqua de comandos de la CLI
debug mab monitor on-demand snmp
Jerarqua de comandos de la CLI

La Tabla C-1 describe la jerarqua para los comandos de Enforcer. Tabla C-1 Comandos de nivel superior
capture
Jerarqua de comandos de la CLI del dispositivo Enforcer Comandos del primer subnivel Comandos del segundo subnivel
Los comandos clear, exit, help y show solamente No disponible. estn disponibles con el inicio de sesin de administrador y root (superuser). Es posible usar los comandos siguientes del subnivel:

clear compress exit filter help show start upload verbose No disponible.
clear
No disponible.
1133
Comandos de nivel superior

configure
Comandos del primer subnivel
Comandos del segundo subnivel
Los comandos clear, exit, help y show solamente Solamente el estn disponibles con el inicio de sesin de comando advanced administrador y root (superuser). tiene un conjunto de comandos de Es posible usar los comandos siguientes del subnivel. subnivel:

advanced clear dns exit help interface interface-role ntp redirect route show spm No disponible.
console
baud-rate, clear, exit, help, show, ssh y sshkey Los comandos clear, exit, help y show estn disponibles con el inicio de sesin de administrador y root (superuser).
date
date time timezone
No disponible.
debug
clear, exit, destination, help, level, show y upload No disponible. Los comandos clear, exit, help y show estn disponibles con el inicio de sesin de administrador y root (superuser).
exit help hostname
No disponible. No disponible. No disponible.
1134

mab
Los comandos clear, exit, help y show solamente No disponible. estn disponibles con el inicio de sesin de administrador y root (superuser).

clear database disable enable exit help ldap show clear exit help refresh show All o IP direccin ip.
monitor
on-demand
Los comandos clear, exit, help y show solamente Vea cada comando estn disponibles con el inicio de sesin de para obtener administrador y root (superuser). informacin acerca de los autenticacin comandos de banner segundo subnivel. clear Por ejemplo, client-group persistence disable duration days 10 configura la dot1x duracin de la enable persistencia en 10 exit das. help

mac-compliance persistencia show spm-domain No disponible. No disponible.
password ping
No disponible. No disponible.
Interfaz de lnea de comandos del dispositivo Enforcer Movimiento hacia arriba y hacia abajo en la jerarqua de comandos
1135

reboot show shutdown snmp


disable enable heartbeat receiver show trap exit clear help No disponible. No disponible. No disponible. No disponible.
start stop traceroute update
No disponible. No disponible. No disponible. No disponible.
Movimiento hacia arriba y hacia abajo en la jerarqua de comandos

Si desea acceder a un comando ubicado ms abajo en la jerarqua, escriba el comando de nivel superior y el comando de nivel inferior. Si tiene varios comandos que quiera ejecutar en un grupo de comandos, es posible escribir solamente el comando de nivel superior. A continuacin, presione Intro para escribir el grupo de comandos. El mismo proceso se aplica si desea obtener una lista de comandos en un grupo. Es posible entonces escribir cualquier comando disponible en ese grupo. Por ejemplo, el grupo de capture contiene un comando show que muestra los valores de configuracin de capture. Si desea acceder al comando show desde el nivel principal, escriba el comando capture siguiente:
Enforcer# capture show
1136
Interfaz de lnea de comandos del dispositivo Enforcer Accesos directos de pulsaciones del teclado de la CLI del dispositivo Enforcer
Si escribe solamente el comando que da acceso a un grupo de comandos y presiona Intro, la indicacin siguiente muestra el grupo de comandos entre parntesis. Por ejemplo:
Enforcer# capture Enforcer(capture)#
Si desea subir en la jerarqua y acceder a comandos fuera del grupo, debe primero salir del grupo de comandos.
Enforcer(capture)# exit Enforcer#
Accesos directos de pulsaciones del teclado de la CLI del dispositivo Enforcer

Cuando se utiliza la CLI, es posible utilizar pulsaciones del teclado como accesos directos en vez de escribir comandos o para obtener ayuda para completar los comandos. La Tabla C-2 enumera los accesos directos de teclado y la ayuda de la CLI. Tabla C-2 Teclas o combinaciones de teclas
Tecla de tabulacin o ?
Accesos directos de teclado y ayuda de la CLI
Accin
Si presiona la tecla de tabulacin o escribe ?, puede hacer lo siguiente:

Enumera todos los comandos o todas las opciones disponibles. Completa el comando o el nombre de la opcin. Detalla todos los comandos o las opciones posibles que se inician con las letras que escribe.
Ver "Obtener ayuda con los comandos de la CLI" en la pgina 1137. CTRL+D CTRL+C Sale de un grupo de comandos. Borra todos los caracteres de la lnea de comandos.
Interfaz de lnea de comandos del dispositivo Enforcer Obtener ayuda con los comandos de la CLI
1137
Teclas o combinaciones de teclas

!
Accin
Enumera los comandos del bfer de historial. Los comandos que se escriben se almacenan en un bfer de historial de 16 k. Los comandos se ponen en un ndice que comienza por 1. Cuando se desborda el bfer, se sustituye el comando ms antiguo y los nmeros de ndice cambian, de modo que el comando ms antiguo tenga siempre el ndice 1. El comando ! enumera todos los comandos en el bfer de historial. Si escribe un nmero despus de !, la consola de Enforcer restaura el comando que tiene ese nmero. El comando no se ejecuta hasta que usted presione Intro. Lo que sigue es un ejemplo: Enforcer# ! 1. con 2. configure 3. ping 192.168.0.1 4. traceroute 192.168.0.16 Enforcer# !3 Enforcer# ping 192.168.0.1
Tecla de flecha arriba Tecla de flecha abajo Tecla de flecha izquierda Tecla de flecha derecha Teclas Inicio y Fin Tecla Retroceso Tecla Suprimir
Restaura los comandos del bfer de historial desplazndose hacia arriba y hacia abajo por el ndice. Mueve el cursor un carcter hacia la izquierda o hacia la derecha.
Mueve el cursor al principio o al final de la lnea de comandos. Elimina un carcter en la lnea de comandos que est a la izquierda del cursor. Elimina un carcter en el cual se encuentra el cursor.
Obtener ayuda con los comandos de la CLI

Cuando se utiliza la CLI, hay varias maneras de obtener ayuda sobre los comandos y las opciones del comando. La Tabla C-3 muestra las maneras en las cuales es posible obtener ayuda sobre los comandos de la CLI.
1138
Interfaz de lnea de comandos del dispositivo Enforcer Obtener ayuda con los comandos de la CLI
Tabla C-3 Qu desea hacer?

Enumerar todos los comandos disponibles con una breve descripcin.
Obtener ayuda con los comandos de la CLI
Accin
En la lnea de comandos, presione Tabulador o ? Se enumeran todos los comandos disponibles en el nivel actual de la jerarqua. Ejemplo: Una vez que escribi el comando configure y presion Intro para acceder al grupo del comandos configure, presione la tecla de tabulacin o ? para visualizar todos los comandos configure disponibles.
Visualizar una breve descripcin En la lnea de comandos, escriba Help seguido por el nombre de comando. (El de un comando especfico. comando debe estar disponible en el nivel actual de la jerarqua). Completar el nombre del Escriba una o ms letras que comiencen el nombre de comando y presione comando o enumerar todos los Tabulador o ?. comandos posibles que Por ejemplo: comiencen con las letras escritas Cuando se escribe "co" y despus se presiona Tabulador o ? en la lnea de comandos principal, la consola de Enforcer enumera todos los comandos disponibles que comienzan con "co". Como se muestra en el ejemplo siguiente, dos comandos comienzan con "con". Por lo tanto, la consola de Enforcer completa la letra N. Ejemplo: Enforcer# co? configure console Configure Enforcer setting Console setting
Enforcer# con
Visualizar todas las opciones Escriba el comando y presione Tabulador o ? para un comando especfico, Por ejemplo: junto con una breve descripcin Si est en el grupo de comandos configure y desea visualizar las opciones para de cada opcin el comando interface, escriba interface y presione la tecla de tabulacin o ?. Ejemplo: Enforcer(configure)# interface? Se muestra cada opcin de interfaz con una descripcin abreviada.
Interfaz de lnea de comandos del dispositivo Enforcer Comandos de nivel superior
1139
Qu desea hacer?
Accin
Completar el nombre de la opcin Una vez que escribi el nombre de la opcin, escriba una o ms letras que o enumerar todas las opciones comiencen el nombre de la opcin y presione Tabulador o ?. disponibles que comiencen con Por ejemplo: las letras escritas Si escribe el comando capture show, seguido por la letra f, la consola de Enforcer enumera las dos opciones que comienzan con la letra F. Porque ambas comienzan con las letras "fil", la consola completa con "il". Por ejemplo: Enforcer# files filter filter capture show f? Display packet capture files Display current packet capture
Enforcer# capture show fil

Los comandos de nivel superior estn disponibles en la interfaz de lnea de comandos de Enforcer. Son comandos de administracin generales. Algunos de los comandos, tales como clear, exit, help y show, estn disponibles en todos los niveles de la jerarqua.
Clear
El comando clear borra el contenido de la pantalla. Lo que sigue es un ejemplo de la sintaxis:
Enforcer# clear
Date
El comando date configura la hora del sistema o la zona horaria para el dispositivo. Lo que sigue es un ejemplo de la sintaxis:
date {da <MM/DD/YY> | hora <HH:MM:SS> | zona horaria}
1140
Exit
El comando exit cierra la consola cuando se utiliza como comando principal, o sale de un grupo de comandos cuando se utiliza dentro de un grupo de comandos. Es posible tambin utilizar Ctrl+D en vez del comando exit. Lo que sigue es un ejemplo de la sintaxis:
Enforcer# exit
Ayuda
El comando help muestra informacin de ayuda para un comando especificado. Si desea visualizar la ayuda para todos los comandos disponibles, escriba un signo de interrogacin (?) o presione la tecla de tabulacin. Nota: Algunos comandos son especficos solamente de Gateway Enforcer. Estos comandos no aparecen en los otros dispositivos Enforcer. Lo que sigue es un ejemplo de la sintaxis para el grupo de comandos principal:
help {capture | clear | configure | console | date | debug | exit | hostname| mab | monitor| on-demand | password | ping | reboot | show | shutdown | start | stop | traceroute | update | snmp}
Cuando se utiliza el comando help dentro de un grupo de comandos, se visualiza la informacin de ayuda para un comando individual del grupo. Para mostrar la ayuda para todos los comandos en el grupo, se puede escribir ? o presionar la tecla Tab. Lo que sigue es un ejemplo de la sintaxis para el grupo de comandos capture:
help {clear | compress | exit | filter | show | start | verbose | ymodem | upload}
Lo que sigue es un ejemplo de la sintaxis para el grupo de comandos configure:

help {advanced | clear | dns | exit | interface | interface-role | route | show | spm | redirect | ntp}
Lo que sigue es un ejemplo de la sintaxis para el grupo de comandos configure advanced:

help {catos | check-uid | clear | dnsspoofing | exit | failover
1141
| legacy | legacy-uid | local-auth | snacs | user-class | show | trunking}
Lo que sigue es un ejemplo de la sintaxis para el grupo de comandos console:

help {baud-rate | clear | dimensions | exit | re-initialize | show | ssh | sshkey}
Lo que sigue es un ejemplo de la sintaxis para el grupo de comandos debug:

help {clear | compress | destination | exit | level | show |ymodem | upload}
Lo que sigue es un ejemplo de la sintaxis para el grupo de comandos monitor:

help {refresh | show connected-guests | show blocked-hosts | show connected-users }
Nombre de host
El comando hostname modifica el nombre de host del dispositivo Enforcer. El nombre de host predeterminado es Enforcer. Si cambia el nombre de un dispositivo Enforcer, se puede distinguir entre varios dispositivos Enforcer en Symantec Endpoint Protection Manager y en los registros de Enforcer. El nombre del host se registra automticamente en Symantec Endpoint Protection Manager durante el latido siguiente. Si modifica el nombre de host de un dispositivo Enforcer, es posible que tambin sea necesario modificar la entrada en el servidor DNS. Lo que sigue es un ejemplo de la sintaxis para el comando hostname:
hostname hostname
Password
El comando password modifica la contrasea de la cuenta. Es necesario confirmar la contrasea existente antes de especificar y confirmar la nueva contrasea. La nueva contrasea debe contener una letra minscula, una letra mayscula, un dgito y un smbolo. Lo que sigue es un ejemplo de la sintaxis para el comando password:
password
1142
Ping
El comando ping verifica las conexiones a un host remoto que se han especificado con una direccin IP o un nombre de host. El comando utiliza paquetes de solicitud de eco ICMP y de respuesta de eco para determinar si un sistema determinado de IP en una red es funcional. Es posible utilizar el comando ping para diagnosticar incidentes de red IP o de router. El comando ping le permite comprobar si un dispositivo Enforcer puede comunicarse con Symantec Endpoint Protection Manager. Lo que sigue es un ejemplo de la sintaxis para el comando ping:
ping ip-address | hostname
Ejemplo
ping 192.168.0.1 PING 192.168.0.1 (192.168.0.1) 56(84) bytes of data. 64 bytes from 192.168.0.1: icmp_seq=0 ttl=64 time=0.585 ms 64 bytes from 192.168.0.1: icmp_seq=1 ttl=64 time=0.149 ms 64 bytes from 192.168.0.1: icmp_seq=2 ttl=64 time=0.131 ms 64 bytes from 192.168.0.1: icmp_seq=3 ttl=64 time=0.128 ms --- 192.168.0.1 ping statistics --4 packets transmitted, 4 received, 0% packet loss, time 57ms rtt min/avg/max/mdev = 0.128/0.248/0.585/0.194 ms, pipe 2, ipg/ewma 19.043/0.436 ms
Reboot
El comando reboot reinicia el dispositivo Enforcer. Lo que sigue es un ejemplo de la sintaxis para el comando reboot:
reboot
Shutdown
El comando shutdown apaga el dispositivo Enforcer.
1143
Lo que sigue es un ejemplo de la sintaxis para el comando shutdown:

shutdown
Show
El comando show muestra informacin sobre la configuracin o el estado del dispositivo Enforcer. Lo que sigue es un ejemplo de la sintaxis para el comando show:
show { capture | configure | console | date | debug | hostname| status | update | version }
donde:
capture Muestra la configuracin del paquete de captura, como el protocolo, los filtros y la compresin. Muestra la red de Enforcer y la configuracin de Symantec Endpoint Protection Manager. Muestra la configuracin de la consola. Muestra el estado detallado del servicio de Enforcer. Muestra la actualizacin disponible para la instalacin desde tftp, DVD-ROM o unidad USB. Muestra la versin de Enforcer y la informacin de copyright. Muestra la hora local y la hora UTC. Muestra la configuracin de depuracin de Enforcer. Muestra nombre de host del dispositivo.
configure
console status update
version date debug hostname
El ejemplo siguiente muestra el resultado del comando show status:

show status Enforcer Status: ONLINE(ACTIVE) Policy Manager Connected: NO Policy Manager: 192.168.0.64 HTTP 8014 Packets Received: 26 Packets Transmitted: 1 Packets Rx. Failed: 0 Packets Tx. Failed: 0 Enforcer Health: EXCELLENT
1144
Enforcer Uptime: Policy ID:
0 days 00:00:28
Start
El comando start inicia el servicio de Enforcer. Lo que sigue es un ejemplo de la sintaxis para el comando start:
Enforcer# start
Stop
El comando stop detiene el servicio de Enforcer. Lo que sigue es un ejemplo de la sintaxis para el comando stop:
Enforcer# Stop
Traceroute
El comando traceroute localiza la ruta que los paquetes toman para llegar a un host remoto. El host remoto se ha especificado con una direccin IP o un nombre de host. Lo que sigue es un ejemplo de la sintaxis para el comando traceroute:
traceroute [ direccin_ip | nombre_de_host ]
Ejemplo
traceroute 10.50.0.180 traceroute to 10.50.0.180 (10.50.0.180), 30 hops max, 38-byte packets 1 192.168.0.1 (192.168.0.1) 0.391 ms 0.132 ms 0.111 ms 2 10.50.2.1 (10.50.2.1) 0.838 ms 0.596 ms 0.589 ms 3 oldserver1.sygate.dev (10.50.0.180) 1.170 ms 0.363 ms 0.469 ms
Update
El comando update actualiza el paquete de software de Enforcer desde un servidor TFTP o desde el CD-ROM o la unidad USB. Lo que sigue es un ejemplo de la sintaxis para el comando update:
1145
Enforcer:# update
1146
ndice
Smbolos
802.1x autenticacin 937 configuracin del conmutador 926 configurar la autenticacin 940 puntos de acceso inalmbricos 889 suplicante 1090
A
Acceso remoto 819 acciones analizar detecciones 366 Activadores adaptador de red 433 host 428 servicio de red 431 activadores aplicacin 422 Activadores de hosts reglas de firewall 428 activadores de la aplicacin reglas de firewall 422 Actualizacin cliente 170 Adaptadores. Ver adaptadores de red Adaptadores de red activadores 433 adicin a una regla 449 adaptadores de red adicin a la lista predeterminada 434 adicin un administrador 655 Administracin de Enforcer configuracin del cliente 952 Conmutacin por error 946 conmutacin por error de Gateway 946 consola 947 crear un grupo 946 eliminar Enforcer 949 exportacin de la configuracin del grupo 950 importacin de la configuracin del grupo 950
modificar un nombre de grupo 946 mostrar la informacin 948 nombre del grupo 945 restriccin de interrupciones del cliente 953 Administrador acerca de 651 adicin 655 bloquear cuenta despus de inicio de sesin fallido 668 cambiar el tipo de 659 cambiar la contrasea 664 cambiar nombre 655 configurar la autenticacin 660 derechos de acceso 656 tipos de 651 Administrador del dominio 651 Administrador del sistema acerca de 651 Administrador limitado acerca de 651 configurar derechos de acceso 658 Administradores redundantes 1089 Administrar dominios 646 administrar anlisis de amenazas proactivos de TruScan 389 Agregar un grupo 199 mbito DHCP creacin de excepciones 987 amenazas combinadas 302 Amenazas combinadas 302 Anlisis 361, 389. Ver TruScan acerca de 296 administracin 293 configuracin variada 362 detenido 369 ejecucin manual 318 eventos del registro de riesgos 362 interrumpido 369 opciones de progreso del anlisis 369
1148
ndice
personalizar definidos por el administrador 357 pospuesto 369 Anlisis activos cundo ejecutarlos 296 Anlisis completos cundo ejecutarlos 296 anlisis de amenazas proactivo. Ver Anlisis de amenazas proactivos TruScan Anlisis de amenazas proactivos TruScan comparacin con SONAR 379 Anlisis definido por el administrador personalizacin 357 anlisis definidos por el administrador 350, 352 Ver tambin Anlisis manuales Ver tambin Anlisis programados en equipos Mac 352 en equipos Windows 350 Anlisis manuales ejecucin 318 opciones de progreso del anlisis 369 Anlisis programados agregar a una poltica 316317 clientes Mac 317 guardar como plantilla 316317 opciones cuando no se realizan 316 opciones de progreso del anlisis 369 Analizar Registros 621 Antispyware. Ver proteccin antispyware Antivirus. Ver proteccin contra virus software 1088 Apache registro 1066 API de aplicacin universal 800 Aplicacin usar una excepcin para detectar 526 uso de excepcin para permitir o bloquear 526 Aplicacin de polticas 1091 Aplicaciones bsqueda 281 opciones en requisitos de integridad del host 781 reparacin para la integridad del host 773 supervisin de aplicaciones de red 425 aplicaciones 423 Ver tambin Aplicaciones reconocidas adicin a una regla 423 bsqueda 423 definicin 423 Aplicaciones engaosas 303
Aplicaciones reconocidas 423 Ver tambin aplicaciones acerca de 277 activacin 279 bsqueda 281 guardado de resultados de la bsqueda 283 lista 423 Archivo de almacn de claves JKS 682 Archivo del almacn de claves PKCS12 683 Archivos opciones en requisitos de integridad del host 781 registros de Enforcer 957 reparacin para la integridad del host 773 uso compartido 446 archivos de definiciones configurar acciones ante nuevas definiciones 344 Archivos de registro depuracin 1093 Arquitectura de red 81 Ataques bloqueo 409 auditora registro 619 Autenticacin 749, 864 comandos 1089 dispositivo Gateway Enforcer 744, 846, 875 dispositivo LAN Enforcer 934 error 854 Integrated Enforcer 996, 998 Integrated Enforcer para servidores DHCP de Microsoft 959 local 994 Poltica de conmutador 931 proceso 743 para el cliente 743 punto a punto 414 reautenticacin 922, 940 y clientes no autenticados 855, 1001 y clientes que no utilizan Windows 857, 1002 y hosts de confianza 994 y reautenticacin 855 autenticacin Certificado 682 comandos 1089 configuracin del intervalo 861 configurar para administradores 660 e Integrated Enforcer 974 intervalo de confianza 861
ndice
1149
proceso Gateway Enforcer 850 tipos de 741 Autenticacin local 994 comando 1089 habilitar en el dispositivo Gateway Enforcer 875 habilitar en el dispositivo LAN Enforcer 934 habilitar en Integrated Enforcer 996 Autenticacin punto a punto 414 Autenticacin SecurID especificar para un administrador 663 autenticacin SecurID configurar en el servidor de administracin 661 Auto-Protect Diagnstico Insight de descargas 212 habilitar o deshabilitar 212 para el sistema de archivos habilitacin 215 personalizar para equipos Mac 355 personalizar para los anlisis de correo electrnico 356 personalizar para los clientes Windows 353 Auto-Protect para el sistema de archivos. Ver Auto-Protect AutoUpgrade cliente 169
Bloquear el trfico reglas de firewall 439 Bloqueo clientes de grupos 201 equipos atacantes 409 Bloqueo del sistema 498 acerca de 475 ejecutar en modo prueba 506 Bots 302 Bots de Internet 302 Buscar grupos, usuarios y equipos 210 Buscar aplicaciones requisitos personalizados 782 Bsqueda de Insight dependencias de funciones 332 Bsqueda DNS 407
C
Clculo aleatorio descargas de contenido 563565 cambio de contrasea Administrador 664 Centro de seguridad de Windows 362, 371 Certificado Archivo de almacn de claves JKS 682 archivo de claves privadas y certificado (formato DER y PEM) 683 Archivo del almacn de claves PKCS12 683 digital 682 servidor 682 update 683 Cifrado contrasea 920 Symantec Integrated NAP Enforcer 1019 cifrado 682 contrasea 974 Cliente 183, 742 Ver tambin Replicacin actualizaciones herramientas de distribucin de otro fabricante 584 Intelligent Updater 583 autenticacin 851, 959, 974, 1001 cumplimiento 959, 974 desinstalacin 102 en cuarentena 744, 959, 974 implementacin 138 inalmbrico 889
B
Balanceo de carga definicin 720 bandeja de entrada de la aplicacin de correo electrnico exclusin para 308 Base de datos cambio de los parmetros de tiempo de espera 1081 copia de seguridad 729 errores 1081 errores CGI 1082 errores de proceso terminados 1082 mantenimiento 703 restaurar 1058 base de datos copia de seguridad 707 Bases de datos Disponibilidad 720 Bloodhound modificacin de la configuracin 361
1150
ndice
Interfaz de usuario acceso a 221 Configurar 223, 226 mensajes cuando se bloquea 951 proteccin mediante contrasea 230 reglas 417 replicacin de paquetes 183 Symantec Network Access Control 959 Cliente de aplicacin de Symantec 944 Cliente de una versin anterior conectar al dispositivo Gateway Enforcer 875 conectar al dispositivo LAN Enforcer 934 Cliente On-Demand 754 Cliente que no utiliza Windows dispositivo Gateway Enforcer 827 Clientes deshabilitar proteccin de 211 clientes de Symantec Endpoint Protection funciones de msi 1113 propiedades de Msi 1113 Clientes de una versin anterior 570 Clientes no administrados distribucin de actualizaciones con herramientas de otro fabricante 587 Clientes remotos supervisar 252 Comando capture 1132 Comando clear 1132 comando clear 1139 Comando configure 1132 autenticacin local avanzada 1089 spm 818 comando date 1139 Comando debug 1132 Comando exit 1132 comando exit 1140 Comando help 1132, 1140 Comando hostname 1132, 1141 Comando monitor 1132 Comando on-demand authentication 1045 disable 1049 enable 1048 Comando on-demand authentication ad 1047 ad domain 1047 disable 1047 enable 1048 Comando on-demand authentication local-db add 1051 disable 1051
enable 1051 Comando password 1132 comando password 1141 Comando ping 1132, 1142 Comando reboot 1132 comando reboot 1142 Comando show 1132, 1143 capture 1143 configure 1143 console 1143 status 1143 update 1143 version 1143 Comando shutdown 1132 comando shutdown 1142 Comando spm 818 Comando start 1132 comando start 1144 Comando stop 1132 comando stop 1144 Comando traceroute 1132 comando traceroute 1144 Comando update 1132, 1144 Comandos ejecutar de registros 215 ejecutar en clientes desde la consola 215 Comandos on-demand authentication local-db 1050 Compartir archivos e impresoras 446 Componentes producto 76 Comprobacin del nmero de serie de las polticas 1003 Comprobaciones de integridad del host cambio de polticas 769 configuracin 769 e Integrated Enforcer 998 forzar la aprobacin 770 notificaciones 771 registro de detalles 771 Comprobar el nmero de serie de las polticas y Gateway Enforcer 858 Comunicacin problemas con el servidor y la consola o la base de datos 1072 problemas entre el cliente y el servidor 1062 Condiciones del sistema operativo requisitos de integridad del host 782 Conectividad comunicacin entre el cliente y el servidor 1062
ndice
1151
establecer una comunicacin ping para probar 1068 usar un navegador para probar 1068 verificar la comunicacin con la base de datos 1073 conectores Dispositivo Enforcer 803 Conexin del cliente. Ver estado icono de estado 205 Configuracin firewall 402, 411 lista de distribuidores de confianza 983 mscara de subred segura en Integrated Enforcer para servidores DHCP de Microsoft 986 Proteccin contra amenazas de red 408 Configuracin de ocultacin 411 Enmascaramiento de huella digital del sistema operativo 411 Nueva secuencia TCP 411 Configuracin del servidor exportacin e importacin 682 Configuracin del servidor XML 682 Configuracin global de anlisis 361 Configurar clientes bajo demanda 1037 conexin entre el dispositivo Enforcer y Symantec Endpoint Protection Manager 816 configuracin de autenticacin de Integrated Enforcer 996 Cuarentena automtica 979 Dispositivo Enforcer 806 dispositivo Gateway Enforcer en la consola 838 dispositivo LAN Enforcer en la consola del dispositivo 888 grupos de Enforcer 991 Integrated Enforcer para Microsoft Access Protection 1016 Integrated Enforcer para Microsoft Network Access Protection 1024 Integrated Enforcer para servidores DHCP de Microsoft 990 mscara de subred segura en Integrated Enforcer para servidores DHCP de Microsoft 987 polticas de integridad del host 758 puntos de acceso inalmbricos de 802.1x en un dispositivo LAN Enforcer 889 registros de Enforcer 954 servidor RADIUS en un dispositivo LAN Enforcer 888
Conmutacin por error definicin 720 Dispositivo Gateway Enforcer 825 dispositivo Gateway Enforcer 830 conmutacin por error Dispositivo LAN Enforcer 883 Conmutacin por error y balanceo de carga Configurar 722 conmutador VLAN dispositivo LAN Enforcer 905 y LAN Enforcer 894 Consola acerca de 107 tiempo de espera 106 visualizar informacin de Enforcer 948 Consola de administracin. Ver consola registros de Enforcer 956 Consola de Enforcer Administracin de Enforcer 944 comandos 1132 comandos console 1132 informacin sobre 947 pgina Servidores 945 consolas remotas concesin del acceso 689 Consultas de DNS de acuerdo con la ubicacin 431 Contenido acerca de almacenar revisiones 551 administrar actualizaciones 534 clculo aleatorio 563 cmo los clientes reciben actualizaciones 542 revisiones que no son la ltima versin 561 Contrasea 758 cifrado 920 predeterminada 806 proteccin cliente 953 DispositivosEnforcer 953 reemplazo 806 restablecer 666 Control de admisin de red de Cisco 800 Control de aplicaciones acerca de 475 agregar reglas 491 configuracin 479 conjuntos de reglas predeterminados 482 crear reglas personalizadas 483 crear un conjunto de reglas personalizadas 491
1152
ndice
crear una excepcin para 528 prcticas recomendadas 485 prueba 496 reglas para las aplicaciones especficas 493 reglas personalizadas 495 reglas tpicas 487 Control de aplicaciones y dispositivos Registros 619 control de clientes 224 Control de dispositivos acerca de 475 configuracin 479 configurar 513 lista de dispositivos de hardware 510 control de servidores 224 control mixto 225 acerca de 222 configuracin de opciones de proteccin contra amenazas de red 408 controles Dispositivo Enforcer 803 Crear imgenes Dispositivo Enforcer 812 Credenciales clientes On-Demand 749 para la autenticacin de LAN Enforcer 745 Cuarentena administracin 338 borrar archivos 344 carpeta local 341 e Integrated Enforcer 998 Integrated Enforcer para servidores DHCP de Microsoft 959 opciones de limpieza 342 cuarentena e Integrated Enforcer 974, 979 Cuarentena automtica Configurar 979 Cuenta de administrador acerca de 650 habilitar contrasea olvidada 665 cumplimiento Informe 953 Registros 620
D
Datos de reputacin 331 Datos del cliente buscar 210
Declaracin de condicin IF 792 Definiciones actualizacin 534 Definiciones de virus 758 actualizacin 534 Delta acerca de 170 dependencias de funciones 332 Depuracin comandos 1093 registro 1093 Depurar registros. Ver Registros Derechos de acceso 656 descripcin general Replicacin 176 sitios 176 sitios y replicacin 173 Deshabilitar Auto-Protect 212 Proteccin contra amenazas de red 213 Proteccin proactiva contra amenazas 213 Desinstalacin software de cliente con un Objeto de poltica de grupo de Active Directory 1128 Diagnstico Insight de descargas acciones 365 administracin de detecciones 326 datos de reputacin 331 dependencias de funciones 332 interaccin con Auto-Protect 212 Notificaciones 365 personalizar la configuracin 365 Direccin de subred 806 Integrated Enforcer 974 segura 959 Direccin IP de confianza 862 dispositivo Gateway Enforcer 825 direccin IP de confianza 864 Gateway Enforcer 851 Direccin MAC host de confianza 994 Disco del producto 812 Disponibilidad para las bases de datos y los servidores de administracin 720 Dispositivo Enforcer comprobar el estado de comunicacin 819
ndice
1153
comunicacin con Symantec Endpoint Protection Manager 742 conectores 803 configurar 806 controles 803 crear imgenes 812 indicadores 803 inicio de sesin 806 interfaz de lnea de comandos accesos directos de pulsaciones del teclado 1136 sistema de ayuda 1137 mostrar estado 819 panel frontal 803 panel posterior 804 polticas de integridad del host 741 propsito 751 Solucin de problemas 1085 uso 751 dispositivo Enforcer interfaz de lnea de comandos comandos de nivel superior 1139 Dispositivo Gateway Enforcer autenticacin 744 cliente que no utiliza Windows 827 conmutacin por error 830 direccin IP 825 dispositivo activo 830 dispositivo de copia de seguridad 830 dispositivo en espera 830 dispositivo principal 830 funcionamiento 744 planificacin de instalacin 821 punto de acceso inalmbrico (WAP) 823 puntos de acceso inalmbricos (WAP) 826 Servidor de acceso remoto (RAS) 825 servidor que no utiliza Windows 827 servidores 823 VPN 823, 826 dispositivo Gateway Enforcer conmutacin por error 825 Instalacin 801 NIC 829 otros protocolos 873 paquete de solicitud ARP 873 paquete de solicitud DHCP 873 paquete de solicitud DNS 873 proteccin de los servidores 826
Dispositivo LAN Enforcer 802.1x 937 conmutacin dinmica de VLAN 889 Conmutacin por error 883 funcionamiento 745 Instalacin 801 modelo de conmutador admitido 906 opciones de configuracin 891 planificacin de instalacin 879 puntos de acceso inalmbricos de 802.1x 889 dispositivo LAN Enforcer modo transparente 1090 opciones del conmutador 905 DispositivosEnforcer autentica el cliente con GUID 743 Gateway 838 reparar la integridad del host 773 Distribucin de contenido de otro fabricante acerca de 584 activar con una poltica de LiveUpdate 586 en clientes administrados 586 Requisito de la clave de registro de Windows para no administrados 587 usar con los clientes no administrados 587 Distribuidores de confianza 983 Dominio Titular de inicio de sesin 645 dominio actual 646 Dominio web de confianza crear una excepcin para 527 Dominios acerca de 643 actual 646 copiar clientes y polticas 644 deshabilitacin 644 dominios adicin 645
E
Elaboracin de informes idioma 1077 marcas de fecha 1077 Registros 618 Solucin de problemas 1077 SSL 1077 Symantec AntiVirus de versin anterior 1077 Enforcer Configuracin 944 conmutacin por error de LAN 946
1154
ndice
consola administracin 944 editar descripcin 948 editar nombre 948 Informe 953 Integrated Enforcer 753 otro fabricante 800 uso de los grupos de dispositivos Enforcer 945 Enmascaramiento de huella digital del sistema operativo 411 Envos 308, 310 bloquear y desbloquear la configuracin 264 elementos en cuarentena 343 Equipo cliente actualizaciones de polticas 273 administrado 144 asignacin a grupos 201 asistente de implementacin del cliente 137 asistente de migracin 156 configuracin de instalacin 147 deshabilitado 601 desinstalacin 146 detalles del inventario 603 en lnea 601 estado 600 fecha del ltimo registro 603 implementacin remota 131 implementar 137 instalacin personalizada 137 migrar 152, 154, 156 modos 216 no administrado 144 no analizados 602 notificacin de correo electrnico 137 preparacin para la instalacin 127 propiedades 201 proteccin del sistema 601 riesgos 602 sin conexin 601 solucin de problemas 1066 transferencia remota 137 traslado a un grupo 201 equipo cliente no administrado 145 Equipos actualizar proteccin de 534 buscar 210 equipos infectados 291
errores CGI base de datos 1082 errores de proceso terminados base de datos 1082 Estado clientes y equipos 207 visualizacin 205 Estado del cliente visualizacin 207 Estado del equipo Registros 620 visualizacin 207 Estructura del grupo acerca de 195 Excepcin de dominio web de confianza dependencias de funciones 332 Excepciones administracin 516 exclusin de un archivo o una carpeta 523 extensiones de archivo 525 riesgos conocidos 524 excepciones 515 creacin 519 Proteccin contra intervenciones 528 restricciones del cliente 529 Exclusiones creado automticamente 304 Exclusiones automticas acerca de 304 para los productos de Symantec 306 para Microsoft Exchange Server 305 Exportacin paquetes de instalacin de clientes 148 polticas 268 exportacin opciones de grupo de Enforcer 950 reglas de firewall 438
F
Falla en estado abierto dispositivo Gateway Enforcer 834 Filtros guardar en registros 621 usuarios y equipos 208 Firewall acerca de 399, 401, 439 activacin 406 deshabilitacin 406 inspeccin de estado 422
ndice
1155
notificacin 427 reglas 439 requisitos de integridad del host 780 firewall acerca de 402 configuracin del trfico 410411 deshabilitar firewall de Windows 412 Firmas IPS excepciones para 461 firmas IPS biblioteca personalizada 468 personalizadas asignacin de bibliotecas a un grupo 470 bibliotecas 470 copiado y pegado 471 modificar el orden 471 variables 472 Firmas IPS personalizadas prueba 473 Formato DER 683 PEM 683 Formato DER 683 Formato PEM 683 Funciones configurar un valor del registro de Windows 794 descargar un archivo 793 ejecutar un programa 795 ejecutar un script 796 esperar 798 establecer marca de hora 797 mostrar cuadro de dilogo del mensaje 792
grupo principal. Ver herencia Grupos asignacin de lista de servidores de administracin 724 buscar 210 grupos definicin 195 herencia 200 predeterminado 195 Grupos de hosts adicin a una regla 443 grupos de hosts creacin 430 Gusanos 302
H
heartbeat entre Symantec Endpoint Protection Manager y Enforcer 742 Herencia 242 herencia activacin 200 reglas de firewall 419420 Herramienta de evaluacin de seguridad 303 Herramienta Virtual Image Exception 376 Herramientas de piratera 303 Host de confianza configuracin 994 Hosts adicin a una regla 443 equipo local y remoto 428 origen y destino 428 hosts exclusin de la prevencin de intrusiones 463 hosts excluidos 463
G
Gateway Enforcer instalaciones mltiples 869 ubicaciones de red 823 y la configuracin de Symantec Endpoint Protection Manager 838 Grupo agregar 199 asignacin del equipo 201 bloqueo 201 dispositivo Gateway Enforcer 842 dispositivo LAN Enforcer 893 Integrated Enforcer 990 Servidor RADIUS 897, 921 Grupo Mi empresa 193 Grupo predeterminado 193
I
Icono de bandeja del sistema 1064 Icono de escudo 1064 Icono de estado. Ver conexin del cliente Icono del rea de notificacin acerca de 1064 Iconos escudo 1064 ID del dispositivo obtencin 511 Identificador nico global (GUID) 743 autenticacin de Enforcer para el cliente 743
1156
ndice
autenticacin del cliente 998 imgenes del archivo de la lnea de base 376 Imgenes virtuales excepciones 362 Importacin requisitos de poltica de integridad del host plantillas y 768 Importar informacin de usuario desde bsqueda del servidor de directorios LDAP 698 informacin de usuario desde un servidor LDAP 694 polticas 268 unidades organizativas 699 importar opciones de grupo de Enforcer 950 reglas de firewall 438 indicadores Dispositivo Enforcer 803 Informacin de usuario recopilar 229 Informe cumplimiento 953 detalles del inventario de clientes 603 Enforcer 953 equipos infectados y en riesgo 602 equipos no analizados 602 Estado del sitio 953 estado diario 600 estado semanal de 600 favorito 600 nuevos riesgos detectados en la red 602 principales destinos atacados 604 principales fuentes de ataque 604 principales instancias de Enforcer que generan errores 953 principales notificaciones de trfico 604 riesgo completo 602 Sistema 953 informes almacenamiento 615 almacenamiento de las opciones de configuracin 611 descripcin general 607 eliminacin de las opciones de configuracin 611 Impresin 615 tipos 607
Informes programados creacin 613 modificacin 613 Informes rpidos creacin 610 Inicio de sesin normal 806 superusuario 806 Insight 308, 331 modificacin de la configuracin 361 Inspeccin de estado 422 Instalacin clientes mediante Active Directory 1121 configuracin de Microsoft SQL Server 92 dispositivo Gateway Enforcer 801 Dispositivo LAN Enforcer 801 ejemplos de lnea de comandos de MSI 1118 firewalls del cliente 129 internacionalizacin 88 mediante comandos de MSI 1111 mediante un objeto de poltica de grupo de Active Directory 1121 planificacin 73, 81 propiedades del Centro de seguridad de Windows de MSI 1117 puertos de comunicaciones 129 remota 758 software de otro fabricante 1108 Symantec Integrated NAP Enforcer 1005 Instalacin remota y puerto TCP 139 129 Instrucciones ELSE 791 Instrucciones IF THEN 790 Integrated Enforcer para Microsoft Network Access Protection 753 componente obligatorio 1009 requisitos del sistema operativo 1009 Integrated Enforcer para servidores DHCP de Microsoft 753 cliente de Symantec Network Access Control 959 componente obligatorio 963 planificacin 964 requisitos del sistema 962 Integridad del host comprobacin 741 Dispositivo Enforcer 741 estado 743 mensaje 1089 preguntas ms frecuentes 1089 Servidor RADIUS 888
ndice
1157
software compatible 1088 Intelligent Updater 583 Interfaz de usuario acerca de 221 Configurar 223, 226 Interoperabilidad de funciones de polticas 332 IPv4 432 IPv6 432
L
Licencia acerca de 112 activar 116 adicional 116, 123 caducada 120 compra 114 comprobar estado 120 copia de seguridad 122 implementada 120 importar 123 portal de licencias de Symantec 119 renovacin 119 renovada 116, 123 requisitos 82 sobreimplementada 120 Software de prueba 116 software de prueba 118, 123 versin anterior 123 Lista de dispositivos de hardware 510 agregar un dispositivo 512 usar con el control de dispositivos 513 Lista de huellas digitales de archivo importar o combinar 505 Lista de huellas digitales de archivos administracin 500 edicin 504 Lista de servidores de administracin 844 asignacin a grupo y ubicacin 724 Listas de control de acceso (ACL) 890 LiveUpdate acerca de 542 actualizaciones de contenido 534 actualizar definiciones y contenido 538 administrador de LiveUpdate 545 cmo comprobar la actividad del servidor 554 configuracin de proxy de los clientes para el servidor interno de LiveUpdate 555
configurar el contenido de la actualizacin para los clientes 557 configurar frecuencia de descarga de servidor 553 configurar un servidor externo de LiveUpdate 557, 579 configurar un servidor interno de LiveUpdate 580 configurar un sitio para descargar actualizaciones 549 descarga al servidor 554 descripcin general 534 deshabilitar para clientes 557 firmas y definiciones 538 habilitar para clientes 557 Intelligent Updater 583 Macintosh 542 polticas Configurar 579 configurar 557, 580 Proveedor de actualizaciones grupales 568 proveedor de actualizaciones grupales 575 revisiones de contenido 551 tipos de actualizaciones 538 uso de las herramientas de distribucin de otro fabricante en lugar del 584
M
Mquina virtual clculo aleatorio de descargas de contenido simultneas 563 mquina virtual ajustar anlisis para 319 Marcadores 303 Memoria cach compartida de diagnstico Insight 373 modificacin de la configuracin 362 Mensaje de incumplimiento 859 Mensajes Enforcer 951 modificacin 952 visualizacin 952 Mensajes de correo electrnico para reglas de firewall 448 Microsoft Active Directory configuracin de plantillas 1125 creacin de la imagen de instalacin administrativa 1123
1158
ndice
instalacin del software de cliente con un Objeto de poltica de grupo 1121 Microsoft SMS distribucin de archivos de definicin de paquetes 1119 Microsoft SQL Server configuracin de base de datos 92 Migracin. Ver equipo cliente Modelo de conmutador 906 Modo de equipo 216 Modo de usuario 216 Modo transparente 889 Modos equipo cliente 216 Mdulos de aplicacin Integrated Enforcer 753, 974 conexin a un servidor de administracin 992 cuarentena 979 distribuidores de confianza 983 Integrated Enforcer para Microsoft Network Access Protection 749, 960 Integrated Enforcer para servidores DHCP de Microsoft 747 opciones de comunicacin 977 y comprobacin de nmero de serie de polticas 1003 y comunicacin del servidor de administracin 977 Msi ejemplos de lnea de comandos 1118 funciones y propiedades 1110 instalacin mediante parmetros de lnea de comandos 1111 precedencia de procesamiento con setaid.ini 1111 MSP cuando est utilizado para actualizar el software de cliente 170
crear filtros 637 eliminar los filtros 637 guardar los filtros 637 perodo de reduccin 629 predeterminado 629 reconocimiento 635 tipos 629 visualizacin 635 Notificaciones acerca de 627 actualizaciones de otra versin 639 clientes remotos 250 comprobaciones de integridad del host 771 conceder licencia 634 creacin 638 eventos de virus y de spyware en los equipos cliente 345 partner 634 proteccin contra amenazas de red 464 Nueva secuencia TCP 411 Nmero de serie. Ver Nmero de serie de la poltica Nmero de serie de la poltica ver en el cliente 276
O
On-Demand Client autenticacin 749 opciones administradas configurar en el cliente 221 Opciones de espera reparacin de integridad del host 774 Opciones de proteccin contra virus requisitos de integridad del host 779 Opciones del registro de Windows requisitos de integridad del host 783
P
Pantalla de inicio de sesin superar el tiempo de espera 106 Paquetes FDCC 150 Paquetes de desafo 850, 998 especificacin 852 especificar la frecuencia de 853, 1000 especificar nmero mximo 999 Paquetes de instalacin de clientes acerca de 132 adicin de actualizaciones 134
N
NetBIOS 407 Network Access Control Scanner Integrated Enforcer para servidores DHCP de Microsoft 959 NIC. Ver Tarjeta de interfaz de red niveles de control 223 niveles de control del usuario 223 Notificacin acerca de 629 configuracin previa 629
ndice
1159
Configurar 148 exportacin 148 recopilacin de informacin de usuarios 229 Paquetes de solicitud ARP 873 DHCP 873 DNS 873 Parmetros de tiempo de espera consola 106 parmetros de tiempo de espera base de datos 1081 Planificacin Integrated Enforcer para servidores DHCP de Microsoft 964 Planificacin de instalacin dispositivo Gateway Enforcer 821 dispositivo LAN Enforcer 879 Plantillas para anlisis programados 316317 Poltica acerca de 254 asignar a un grupo 265 bloqueos de usuario 264 compartida 260 Control de aplicaciones y dispositivos 254 creacin 261 edicin 263 eliminar compartida 272 eliminar no compartida 272 excepciones 254 exportar compartida pgina Polticas 268 firewall 254 herencia 200 importacin 268 integridad del host 254 LiveUpdate 254, 557 no compartida 260 prevencin de intrusiones 254 proteccin antivirus y antispyware 254 prueba 266 retirar 270 Poltica de conmutador 919 condiciones y acciones 929 Poltica de proteccin antivirus y antispyware Anlisis programados 316 bloquear y desbloquear la configuracin 264 Poltica de seguridad actualizaciones del nmero de serie 1003 API de aplicacin universal 1091
Aplicacin automtica 1091 Cisco NAC 1091 cumplimiento 959, 974 LAN 1091 no propias de Symantec 1091 Polticas actualizar para clientes remotos 248, 250 Polticas de control de aplicaciones y dispositivos 54 estructura 478 Polticas de firewall acerca de 402 Polticas de integridad del host 758 acerca de 765 aplicacin automtica 739 configurar un valor del registro de Windows 794 creacin 765 nivel de grupo 1088 nivel global 1088 reparar la integridad del host 773 configuracin de Enforcer 773 posposicin 775 requisitos aprobacin incluso cuando una condicin no se cumple 770 definicin 762 ejemplo 740 eliminacin 767 habilitar e inhabilitar 767 plantillas 768 secuencia 768 tipos 765 requisitos personalizados acerca de 778 condiciones de la proteccin antispyware 779 condiciones de la proteccin contra virus 779 condiciones del firewall 780 condiciones del sistema operativo 782 cuadro de mensaje 792 descargar un archivo 793 ejecutar un programa 795 ejecutar un script 796 escritura 789 establezca la marca de fecha 797 opcin de espera 798 opciones de archivo 781 opciones de registro 783 restauracin de integridad del host 772, 774
1160
ndice
trabajar con 758 polticas de integridad del host creacin 759 compartida 765 prueba 759 Portal de licencias de Symantec. Ver Licencia Prevencin contra intrusiones de navegador dependencias de funciones 332 Prevencin contra intrusiones de red acerca de 458 Prevencin contra intrusiones del navegador acerca de 458 Prevencin de intrusiones 453 administrar firmas personalizadas 465 bloquear equipos atacantes 409 firmas 459 funcionamiento 458 prueba de firmas personalizadas 473 prevencin de intrusiones desactivar en los equipos especificados 463 habilitar o deshabilitar en Poltica de prevencin de intrusiones 461 notificaciones 464 Problemas conocidos 1093 Problemas de la licencia notificaciones para 629 Producto componentes 76 Productos de Symantec Exclusiones automticas 306 Programa de lectura de pantalla aplicacin bloqueada por Proteccin contra intervenciones 523 Programa de seguimiento 303 programacin copia de seguridad automtica de base de datos 707 Programaciones adicin a una regla 450 Programas broma 303 Programas de acceso remoto 303 Programas de control para padres 303 Propiedades del usuario y del equipo visualizacin 211 Proteccin actualizacin 534 habilitar o deshabilitar 211 Proteccin antispyware opciones 779
Proteccin antivirus y antispyware 758 evitar ataques 286 Proteccin contra amenazas de red configuracin para el control mixto 408 creacin de notificaciones 464 habilitar o deshabilitar 213 Registros 620 Proteccin contra intervenciones acerca de 395 bloquear y desbloquear la configuracin 264 cambiar la configuracin 396 deshabilitacin 213 mensajes de notificacin de clientes 397 Proteccin de acceso a redes de Microsoft 749 Proteccin de descargas dependencias de funciones 332 Proteccin de endpoints Estado 602 estado 601 supervisar 600, 602603 proteccin de los servidores dispositivo Gateway Enforcer 826 Proteccin del navegador de Internet 362 proteccin mediante contrasea Cliente 230 Proteccin proactiva contra amenazas acerca de 54 habilitar o deshabilitar 213 Protocolo LDAP 694 Protocolos adicin 432 adicin a una regla 445 HTTPS 682 LDAP 694 Protocolos inalmbricos 889, 923 Proveedor de actualizaciones grupales administracin 568 bsqueda 578 Clientes de una versin anterior 570 controlar descargas de contenido 575 tipos 570 nico 570, 575 varios 570, 574575 Proxy comunicacin externa del cliente 337 conexin de Symantec Endpoint Protection Manager a Symantec LiveUpdate 555 envos de los clientes 337
ndice
1161
excepciones necesarias al usar la autenticacin 328 Publicidad no deseada 302 Puerto de escucha LAN Enforcer 894 Puertos requisitos para la comunicacin 129 requisitos para la instalacin 129 Puertos de comunicacin y obligatorios 129 Puntos de acceso inalmbricos (WAP) dispositivo Gateway Enforcer 823, 826
R
Reautenticacin 940 Recopilar informacin del usuario 229 Recuperacin despus de un desastre acerca del proceso 1057 preparacin 727 reinstalar el servidor 1059 Red de confianza 959, 974 Redireccin de solicitudes HTTP 860 registro externo 711 Registros 618 acceso remoto 622 actualizacin 617 Anlisis de amenazas proactivos TruScan 388 Analizar 621 Apache 1066 auditora 619 comprobar los registros de depuracin en el cliente 1069 comprobar los registros de la bandeja de entrada 1070 Control de aplicaciones y dispositivos 619 cumplimiento 620 ejecutar comandos de 215 eliminacin de las opciones de configuracin 622 envo desde Enforcer a Symantec Endpoint Protection Manager 954 errores de la base de datos 617 Estado del equipo 620 exportacin de datos 600 filtrado 621 filtrar datos del registro de trfico de Enforcer 958 filtro ltimas 24 horas 621 guardar configuraciones de filtro 621
Proteccin contra amenazas de red 620 reduccin del espacio en base de datos 681, 706 replicar 622 Riesgo 620 riesgo eliminar archivos de Cuarentena 344 Sistema 621 SONAR 388 tipos 618 ubicacin de 954 ver remotamente 622 visualizacin 616 registros borrar de base de datos 717 servidor configuracin de tamao 715 Registros de Enforcer configurar 954 deshabilitacin 956 envo a la consola de administracin 956 filtro de los registros del trfico 958 retencin 957 retencin de 957 tamao 957 registros de eventos 616 filtro ltimas 24 horas 621 Reglas de control de aplicaciones copiar entre las polticas 492 Reglas de firewall 421 acerca de 415, 417 activadores de adaptador de red 433 activadores de servicio de red 431 adaptadores de red adicin 434, 449 adicin usar regla vaca 436 aplicaciones 422 adicin 423 Cliente 417 configuracin 435 copiado 439 exportacin 438 grupos de hosts adicin 443 creacin 430 herencia 419420 hosts 428 importar 438 Mensajes de correo electrnico 448
1162
ndice
orden de procesamiento acerca de 418 modificacin 421 pegado 439 permitir trfico a la subred local 445 programaciones adicin 450 servicios de red adicin 432, 445 servidor 417 Reglas integradas 407 Reglas vacas 436 Reinicio comando 215 Reparacin 744 integridad del host 772 aplicaciones 773 archivos 773 posposicin 775 tiempo de espera 774 Reparacin de integridad del host cancelar 774 Replicacin agregar partner de replicacin 180 definicin 176 descripcin general 173 frecuencia 182 paquete cliente 183 programacin manual 182 requisitos del sistema Integrated Enforcer para servidores DHCP de Microsoft 962 Requisitos personalizados condiciones 778 copiar instrucciones 792 eliminar instrucciones 792 escritura 789 Funciones 785 instruccin ELSE 791 requisitos personalizados acerca de 778 comentarios 791 instruccin ELSE 788 instruccin IF, THEN, ENDIF 787 instruccin RETURN 787 palabra clave NOT 788 palabras clave AND, OR 788 Respuesta activa configuracin 409
Retirar una poltica 270 Riesgo Registros 620 registros eliminar archivos de Cuarentena 344 riesgos reparar 289 Riesgos para la seguridad detecciones de 314 Rootkits 302
S
Secreto compartido 902 edicin 920 Service Pack 758 Servicios adicin a una regla 445 servicios adicin 432 Servicios de red activadores 431 adicin a una regla 445 servicios de red adicin a la lista predeterminada 432 Servidor administracin 673 conexin con 1064 configurar 101 desinstalacin 102 heartbeat 273 instalacin 99 servidor adicin de servidor de directorios 700 registros 715 reglas 417 Servidor de acceso remoto (RAS) dispositivo Gateway Enforcer 825 Servidor de Active Directory filtrar 700 importacin de la informacin de usuarios de 197 Servidor de administracin 742, 959, 974. Ver Symantec Endpoint Protection Manager versin anterior 974 Servidor de correo electrnico vnculo al servidor de administracin 635 Servidor de Microsoft Exchange Exclusiones automticas 305 Servidor de polticas de red de Microsoft 749
ndice
1163
Servidor DHCP como servidor de cuarentena 998 Integrated Enforcer para servidores DHCP de Microsoft 959 y clientes no autenticados 1001 Servidor que no utiliza Windows dispositivo Gateway Enforcer 827 Servidor RADIUS Dispositivo LAN Enforcer 888 nombre descriptivo 900 poltica de integridad del host 888 secreto compartido 902 y LAN Enforcer 897 servidor RADIUS 1090 Servidor RSA usar con Symantec Endpoint Protection Manager 662 servidor RSA configurar la autenticacin de SecurID 661 Servidor Web Apache detencin e inicio 1067 servidores de administracin sitios 176 servidores de directorios adicin 700 sincronizacin 695 Servidores de directorios LDAP bsqueda de usuarios 696 filtrar 700 importar informacin de usuario de 694, 698 unidades organizativas 699 setaid.ini configurar 1111 precedencia de procesamiento con funciones y propiedades de msi 1111 Sincronizacin unidades organizativas 694 sincronizacin servidores de directorios 695 Sistema Registros 621 Sistema operativo Linux 812 sitios definicin 176 descripcin general 173 Software de copia de seguridad 758 Software de otro fabricante instalar el software de cliente 1108
Software de prueba licencia 82, 120 Solucin de problemas 1093 control de cuentas de usuario en Vista y GPO 1124 Dispositivo Enforcer 1085 dispositivo Enforcer 1087 herramienta de soporte 1061 problemas de clientes 1066 SONAR acerca de 379 administracin 381 ajuste de configuracin 387 dependencias de funciones 332 falsos positivos 384 sobre detecciones 380 supervisar eventos de anlisis 388 Spyware 303 Superusuario iniciar sesin 806 Supervisin de aplicaciones de red 425 Sylink.xml convertir un cliente a un cliente administrado 1127 Symantec Endpoint Protection acerca de 41 Symantec Endpoint Protection Manager comando configure SPM 818 comunicacin con Enforcer 742, 1089 direccin IP de confianza 869 e Integrated Enforcer 974 Integrated Enforcer para servidores DHCP de Microsoft 959 Integridad del host 741 y Gateway Enforcer 844 Symantec Integrated NAC Enforcer configurar en la consola de NAP Enforcer 1016 requisitos del sistema 1007 Symantec Integrated NAP Enforcer conectar al servidor de administracin 1017 contrasea cifrada 1019 eliminar de la lista de servidores de administracin 1019 instalacin 1005 nombre del grupo 1020 protocolo de comunicacin HTTP 1021 protocolo HTTP 1019 protocolo HTTPS 1019
1164
ndice
Symantec Network Access Control configuracin y prueba 759 implementaciones 754 Symantec Security Response 291 Envos 310
VLAN puntos de acceso inalmbricos 889 VPN conexin del cliente On-Demand al Enforcer 1093 dispositivo Gateway Enforcer 826
T
Tamao del registro Enforcer 957 Tarjeta de interfaz de red dispositivo Gateway Enforcer 829 tecnologa de asistencia cmo crear las excepciones para 523 Titular de inicio de sesin adicin 645 Trfico Configuracin 410411 Trfico de la subred local 445 Trfico de token ring 407 Trfico DHCP 407 Trfico DNS 407 Trfico WINS 407 Troyano 302, 425
W
Windows Installer comandos 1111 creacin de un script de inicio 1125 funciones y propiedades 1110 parmetros 1115
U
Ubicaciones asociadas a consultas de DNS 431 Unidades organizativas importar 197, 699 sincronizacin 694 Update definiciones 534 Uso compartido de impresoras 446 Usuarios buscar 210 Usuarios y equipos filtrado 208
V
variables en firmas 472 Virtualizacin admitida 89 virtualizacin 373, 376 ajustar anlisis para 319 ordenar aleatoriamente anlisis 360 Virus 302 detecciones de 314 Visualizar propiedades del usuario y del equipo 211

Implementation Symantec

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Implementation Symantec

Uploaded by

Copyright:

Available Formats

Gua de implementacin de Symantec Endpoint Protection y Symantec Network Access Control

Gua de implementacin de Symantec Network Access Control y Symantec Endpoint Protection

Contactar al soporte tcnico

Nivel de versin de producto

Concesin de licencia y registro

Problemas relacionados con los CD-ROM, los DVD o los manuales

Recursos de acuerdos de soporte

Soporte tcnico ................................................................................................... 4 Captulo 1 Presentacin de Symantec Endpoint Protection .......................................................................

Instalacin de Symantec Endpoint Protection ................................................................... 71

Instalacin de Symantec Endpoint Protection Manager ..........................................................................

Administracin de licencias de productos ................... 111

Preparacin para la instalacin de clientes ................. 127

Agregar actualizaciones de paquetes de instalacin de clientes ........... 134

Instalacin del cliente de Symantec Endpoint Protection ...................................................................... 137

Actualizacin y migracin a Symantec Endpoint Protection ...................................................................... 151

166 167 168 169 170 171

Configuracin y administracin de sitios y replicacin ..................................................................... 173

Administracin de Symantec Endpoint Protection en Protection Center ................................................... 185

Administracin de proteccin en Symantec Endpoint Protection .................... 191

199 200 200 201 201

Administracin de clientes .............................................. 203

Administracin de clientes remotos .............................. 233

244 247 248 248 250 250 251 251 252

Uso de polticas para administrar seguridad .............. 253

Administracin de proteccin antivirus y antispyware ..................................................................

285 286 289 291 292 293 296 299 301

332 335 337 338 341 342

343 344 345

Personalizacin de anlisis ............................................. 349

366 369 370 372 373 375 376

Administracin de SONAR ............................................... 379

Administracin de proteccin contra intervenciones .............................................................. 395

Administracin de proteccin mediante firewall ........................................................................... 399

Administracin de prevencin de intrusiones ............. 453

Administracin del control de aplicaciones y dispositivos ................................................................... 475

508 509 510 511 512 513

Administracin de excepciones ...................................... 515

526 527 528 528 529 530

Configuracin de actualizaciones y actualizaciones de proteccin del equipo cliente .............................. 533

554 554 555

555 557 557 558 560 561 562 563

564 565 566

567 568 570 574 574 575 578

579 580 583 584

Supervisin de proteccin con los informes y los registros ......................................................................... 595

Administracin de notificaciones .................................. 627

Administracin de dominios ........................................... 643

Administracin de cuentas de administrador ............. 649

665 666 667 668

Mantenimiento del entorno de seguridad .................................................................. 671

Administracin de servidores de directorio ................. 693

695 696 698 699 700

Administracin de bases de datos ................................. 703

Administracin de la conmutacin por error y el balanceo de carga ....................................................... 719

Preparacin para la recuperacin despus de un desastre ......................................................................... 727

Utilizacin de Symantec Network Access Control ........................................................................... 751

Configuracin de la integridad del host ....................... 757

Adicin de requisitos personalizados ........................... 777

Instalacin de todos los tipos de dispositivos Enforcer ......................................................................... 801

Planificacin para la instalacin del dispositivo Gateway Enforcer ........................................................ 821

831 834 834

844 846 846 850 851 852 853

Uso de Gateway Enforcer como servidor de falsificacin de DNS ................................................................................... 877

Planificacin de la instalacin de un dispositivo LAN Enforcer ................................................................ 879